反向代理与正向代理
摘抄:https://cloud.tencent.com/developer/article/1418457
正向代理
正向代理(forward proxy):是一个位于客户端和目标服务器之间的服务器(代理服务器),为了从目标服务器取得内容,客户端向代理服务器发送一个请求并指定目标,然后代理服务器向目标服务器转交请求并将获得的内容返回给客户端。
正向代理,其实是"代理服务器"代理了"客户端",去和"目标服务器"进行交互。
通过正向代理服务器访问目标服务器,目标服务器是不知道真正的客户端是谁的,甚至不知道访问自己的是一个代理
正向代理的用途
突破访问限制
通过代理服务器,可以突破自身IP访问限制,访问国外网站,教育网等。
提高访问速度
通常代理服务器都设置一个较大的硬盘缓冲区,会将部分请求的响应保存到缓冲区中,当其他用户再访问相同的信息时, 则直接由缓冲区中取出信息,传给用户,以提高访问速度。
隐藏客户端真实IP
上网者也可以通过这种方法隐藏自己的IP,免受攻击。
反向代理
反向代理(reverse proxy):是指以代理服务器来接受internet上的连接请求,然后将请求转发给内部网络上的服务器,并将从服务器上得到的结果返回给internet上请求连接的客户端,此时代理服务器对外就表现为一个反向代理服务器。
反向代理,其实是"代理服务器"代理了"目标服务器",去和"客户端"进行交互。
通过反向代理服务器访问目标服务器时,客户端是不知道真正的目标服务器是谁的,甚至不知道自己访问的是一个代理。
反向代理的用途
隐藏服务器真实IP
使用反向代理,可以对客户端隐藏服务器的IP地址。
负载均衡
反向代理服务器可以做负载均衡,根据所有真实服务器的负载情况,将客户端请求分发到不同的真实服务器上。
提高访问速度
反向代理服务器可以对于静态内容及短时间内有大量访问请求的动态内容提供缓存服务,提高访问速度。
提供安全保障
反向代理服务器可以作为应用层防火墙,为网站提供对基于Web的攻击行为(例如DoS/DDoS)的防护,更容易排查恶意软件等。还可以为后端服务器统一提供加密和SSL加
正向代理与反向代理的区别
虽然正向代理服务器和反向代理服务器所处的位置都是客户端和真实服务器之间,所做的事情也都是把客户端的请求转发给服务器,再把服务器的响应转发给客户端,但是二者之间还是有一定的差异的。
1、正向代理其实是客户端的代理,帮助客户端访问其无法访问的服务器资源。反向代理则是服务器的代理,帮助服务器做负载均衡,安全防护等。
2、正向代理一般是客户端架设的,比如在自己的机器上安装一个代理软件。而反向代理一般是服务器架设的,比如在自己的机器集群中部署一个反向代理服务器。
3、正向代理中,服务器不知道真正的客户端到底是谁,以为访问自己的就是真实的客户端。而在反向代理中,客户端不知道真正的服务器是谁,以为自己访问的就是真实的服务器。
4、正向代理和反向代理的作用和目的不同。正向代理主要是用来解决访问限制问题。而反向代理则是提供负载均衡、安全防护等作用。二者均能提高访问速度。
Nginx反向代理服务器
Nginx具有高并发高负载能力,一般会作为前端的服务器直接向客户端提供静态文件服务。
但是有一些复杂多变的业务,不合适放Nginx上,这是会使用Apache,Tomcat等服务器来处理。于是Nginx可以作为静态Web服务器,也可以是反向代理服务器。
当客户端发来HTTP请求时,Nginx并不会立刻转发到上游服务器,而是先把用户的请求完整的接收到Nginx坐在服务器的硬盘或者内存中,然后向上游服务器发起连接,把缓存的客户端请求转发到上有服务器。而其他Squid等其他反向大力服务器则是采用一边接收客户端请求,一边转发到上有服务器方式。
优点:降低上有服务器的负载,尽量把压力放到Nginx服务器上
缺点:延长了一个请求的处理时间,增加了用于缓存请求内容的内存和磁盘空间
降低上有服务器负载的原因:
通常客户端与代理服务器走的是公网,网速较慢,一个请求持续很久才完成。代理服务器与上游服务器一般是走内网,传输速度快。如果像Squid等反向代理服务器一样在客户端建立连接且开没有开始接收HTTP包体时,就已经向上游服务器建立了连接,例如上传一个1GB的文件,每次收到一个TCP包为2Kb,然后转发给上游,而这个整个接收1GB包过程中,服务器始终需要维护这个连接,对上游服务器的比给你发处理能力提出了要求。
而Nginx在接受完整个客户端的请求后,才与上游建立连接,由于内网,转发很快,这样与上游的连接时长就会很短。
负载均衡配置
upstream块
upstream name {…}
配置块:http
upstream块定义了一个上游服务器集群,便于反向代理中proxy_pass使用。
upstream backend {
server backend1.example.com;
server backend2.example.com;
server 1.2.3.4:80;
}
server {
location / {
proxy_pass http://backend;
}
}
server块
server name [parameters];
配置块:upstream
server定义上游服务器名字,可以是域名,IP地址端口,UNIX句柄等
weight=number:设置向这台上游服务器转发的权重,默认为1.
max_fails=number:配合fail_timeout使用,指定在fail_timeout时间段内,如果向当前上游服务器转发失败次数超过number,则认为在当前的fail_timeout时间内这台服务器不可用。max_fails默认为1,如果设置为0表示不检查失败次数
fail_timeout=time:fail_timeout表示该时间内转发失败多少次后就认为上游服务器暂不可用,用于反向代理功能优化。它与向上有服务器建立连接的超时时间,读取上游服务器的响应超时时间等无关。fail_timeout默认10s
down:表示所在上游服务器永久下线,只有使用ip_hash配置项时才使用
backup:在使用ip_hash配置项时无效。表示所在上游服务器只是配分服务器,只有在所有的非备份上游服务器都失效后,才会向所在的上游服务器转发请求。
upstream backend {
server baidu.com;
server 1.2.3.4:80;
server 3.4.54.5:90 weight=6;
server 1.2.3.4:80 max_fails=3 fail_timeout=30s;
server unix:/tmp/backend3;
}
ip_hash
希望来自某一个用户的请求始终落到固定的一台上游服务器中。ip_hash原理,首先根据客户端IP地址计算一个key,然后key对upstream集群的数量取模。
ip_hash与weight配置不可同时使用,如果upstream集群中有一台上有服务器暂时不可用,不能直接删除该配置,而是要down参数标识,确保转发策略的一贯性。
upstream backend {
ip_hash;
server baidu.com;
server 1.2.3.4:80;
server 3.4.54.5:90;
server 1.2.3.4:80 down;
server unix:/tmp/backend3;
}
记录日志时支持的变量
如果需要将负载均衡时的一些信息记录到access.log日志中,那木在定义日志格式时可以使用负载均衡功能提供的变量
| 变量名 | 意义 |
|---|---|
| $upstream_addr | 处理请求的上游服务器地址 |
| $upstream_cache_status | 表示是否命中缓存,取值范围:MISS,EXPIRED,UPDATING,STALE,HIT |
| $upstream_status | 上游服务器返回的响应中HTTP响应码 |
| $upstream_response_time | 上游服务器的响应时间,精确到毫秒 |
| KaTeX parse error: Expected group after '_' at position 14: upstream_http_̲HEADER | HTTP的头部,例如:$upstream_http_host |
可以定义日志格式:
log_format timing '$remote_addr - $upstream_addr - $upstream_response_time'
反向代理配置
- proxy_pass
proxy_pass URL
配置块:location,if
此配置项将当前请求反向代理到URL参数指定的服务器上,URL可以是主机名或IP地址加端口形式,例如:
proxy_pass http://localhost:8080/uri/;
或者
proxy_pass http://unix:/path/to/backend.socket:/uri/;
也可以使用upstream块
upstream backend {
...
}
server {
location / {
proxy_pass http://backend;
}
}
默认情况下反向代理不会转发请求中的Host头部,如果需要转发,则必须添加配置
proxy_set_header Host $host;
- proxy_method
proxy_method method;
配置块:http,server,location
此配置项表示转发时的协议方法名,
proxy_method POST;
客户端发来的Get请求在转发时也会改为POST
- proxy_hide_header
proxy_hide_header the_header
配置块:http,server,location
Nginx会将上游服务器的响应转发给客户端,但是默认不会转发以下HTTP头部:Date,Server,X-Pad和X-Accel-*。使用proxy_hide_header后可以任意指定哪些HTTP头部字段不能被转发
proxy_hide_header Cache-Control;
proxy_hide_header MicrosoftOfficeWebServer;
- proxy_pass_header
proxy_pass_header the_header;
配置块:http,server,location
proxy_pass_header会禁止转发的header设置为允许转发,例如:
proxy_pass_header X-Accel-Redirect
- proxy_pass_request_body
proxy_pass_request_body on | off
默认:proxy_pass_request_body on;
配置块:http,server,location
为确定是否项上游服务器发送HTTP包体部分
- proxy_pass_request_headers
proxy_pass_request_headers on | off
默认:proxy_pass_request_headers on;
配置块:http,server,location
为确定是否转发HTTP头部
- proxy_redirect
proxy_redirect [default | off | redirect replacement];
默认:proxy_redirect default;
配置块:http,server,location
当上游服务器返回的响应是重定向或刷新请求时(301或302)时,proxy_redirect可以重设HTTP头部的location或refresh字段。
表示上游服务器发出的响应是302重定向,location为http://localhost:8000/two/some/uri/时,实际会转发给客户端为location是http://frontend/one/some/uri/
proxy_redirect http://localhost:8000/two/ http://frontend/one/;
proxy_redirect http://localhost:8000/two/ http://$host:$server_port/;
也可以省略replacement参数中的主机名部分,这时会用虚拟机主机名来填充。
proxy_redirect http://localhost:8000/two/ /one/;
使用off参数时,将使location或者refresh字段位置不变。
proxy_redirect off
使用默认的default参数时,会按照proxy_pass配置项和所属的location配置项重组发生客户端的location头部。如下两种效果是一样的
location /one/ {
proxy_pass http://upstream:port/two/;
proxy_redirect default;
}
location /one/ {
proxy_pass http://upstream:port/two/;
proxy_redirect http://upstream:port/two/ /one/;
}
- proxy_next_upstream
proxy_next_upstream [error | timeout | invalid_header | http_500 | http_502 | http_503 | http_504 | http_404 | off ];
默认:proxy_next_upstream error timeout;
配置块:http,server,location
表示当向一台上游服务器转发请求发现错误时,继续换一台上游服务器处理这个请求。
此参数表示在哪些情况下继续选择下一台上游服务器转发请求。
error:当向上游服务器发起连接,发送连接,读取响应时出错
timeout:发送请求或读取响应时发生超时
invalid_header:上游服务器发送的响应是不合法的
http_500:上游返回的HTTP响应码是500,其他的意义相同
off:关闭proxy_next_upstream 功能一出错就选择另一台上游服务器再次转发
