大家好,欢迎来到停止重构的频道。
本期我们讨论网络代理。
在往期《大型网站 安全性》介绍过,出于网络安全的考虑,一般大型网站都需要做网络区域隔离,以防止攻击者直接操控服务器。
网站系统的应用及数据库都会放在这个网络安全区域里。这样的话就会产生代理的问题。
外网请求需要进来,第三方服务调用需要出去。本期我们将详细讨论代理问题,我们按这样的顺序讨论 :
1、 反向代理,外网请求进来
2、 正向代理,请求外网服务
反向代理,接收外网请求
外网请求需要经过统一网关才能反向代理进网络隔离区,网关可以是负载均衡服务、也可以是Nginx等服务软件。
如果是Nginx,反向代理的配置是这样的。
这里需要说明的是,如果外网请求是https,那么其实不需要整个网站系统的各个服务都是https,只需要保证网关那一层配置https即可,系统内部的调用仍然使用http。
如果是使用负载均衡等云服务,则https只需要在负载均衡服务配置即可,网站系统本身的调用还是http,因为网站系统内部使用https通信并没有好处,反而会降低性能。
正向代理,调用外网服务
一些时候,网站系统需要调用第三方服务,超大型的网站系统会分离几个网络隔离区,容灾备份需要夸网络隔离区备份。
以上场景,网站系统都不得不调用网络隔离区以外的服务器,此时需要经过同一代理服务器正向代理到目标服务器。
正向代理可以使用Nginx作为服务软件,正向代理一般有两种方式,一种是7层代理,另一种是4层代理。
网络分层模型一般按OSI模型分为7层。
第7层为应用层,就是常听到的HTTP、HTTPS、RTMP、SMTP等协议。
第4层为传输层,即TCP、UDP等基础协议。
对应的7层代理和4层代理就是对应的这两个网络分层。
如果是使用7层代理,Nginx配置是这样的。
这个配置跟以上反向代理配置的方式是一致的,且可以通过匹配url关键字代理到多个目标服务器。
网站系统调用外网服务需要将IP/端口指向代理服务器,当然,我们更推荐使用域名调用,通过修改服务器host文件即可把调用指向代理服务器。
当然,除了修改IP指向,也可以设置http_proxy、https_proxy等参数设置代理,但这种方式不太推荐,因为这样管理起来不太好。
另一种是4层代理 Nginx配置是这样的,但是需要一个端口对应一个目标服务器,网站系统调用外网服务也需要将IP/端口指向代理服务器。
而且由于4层代理是基于TCP/UDP这些基础协议的,所以HTTP、RTMP这些基于TCP的请求都可以共用一个代理端口。
当然4层代理比7层代理配置更加复杂,需要一个端口对应一个目标服务器。
但是我们更推荐4层代理。
一是性能和稳定性都会相对高一点点,另外是更好管理,由于一个端口是对应一个目标外网服务,所以如果出现一些突发问题,可以在代理服务器直接关闭对应端口即可立刻断开指定外网服务,且不影响其他外网服务的调用。
总结
本期聊了网站系统的代理方案,这其实是往期网站系统安全性中的其中一个内容,本期作了更详细的讨论。
