什么是反向代理?
在nginx服务器中,使用 proxy_pass http://192.168.1.66:8080
就是这么一句话,就实现了反向代理。
什么意思呢? 找个中介公司把房间打扫一下, 你告诉中介即可,不需要知道谁去处理,就是这个道理。
//定义一个负载均衡 upstream imageserver{ server weight=1 max_fails=2 fail_timeout=3; server 192.168.1.166:8081 weight=1 max_fails=2 fail_timeout=3; #什么意思呢 weight 权重 max_fails=2 连续失败两次 就算失败了 fail_timeout=3 超过3秒失效 #切记在这里,不需要指定http协议 } server{ listen 8080; server_name localhost; root /usr/local/nginx/html; }
server{ listen 8081; server_name localhost; root /usr/local/nginx/html; access_log log/8181_nginx.log main; #access_log 这是日志 } location ~* \.(jpg|jpeg|png|gif) { proxy_pass http://imageserver; } location ~ \.php$ { proxy_set_header Host $host:5055; #端口跟上面的一致 proxy_set_header REMOTE-HOST $remote_addr; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; #这是配置的详细设置, proxy_set_header Host $host; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header X-Forwarded-Host $server_name; proxy_set_header X-Real-IP $remote_addr; proxy_pass http://192.168.61.103:8080 }
那么使用了upstream 是如何轮询的呢? 算法很简单,轮着来 请求。
有其他算法,nginx_hash
问题1:使用了反向代理后,获取不到真实的ip地址了,如何解决?
location ~ \.php$ { proxy_set_header Host $host:5055; #端口跟上面的一致 proxy_set_header REMOTE-HOST $remote_addr; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; # 也可以写成:proxy_set_header X-Forwarded-For $remote_addr proxy_pass http://192.168.61.103:8080 client_max_body_size 10m; client_body_buffer_size 256k; proxy_connect_timeout 600; proxy_send_timeout 600; proxy_read_timeout 600; proxy_buffer_size 32k; proxy_buffers 4 64k; proxy_busy_buffers_size 128k; proxy_temp_file_write_size 512k; }
问题2:使用了反向代理后,如何维持一个会话? 使用了反向代理负载均衡后,如何维持一个会话?
Nginx反向代理实现会话(session)保持的两种方式:
ip_hash
虽然用户名和密码输对了但是系统不知反馈给那个代理的服务,
然后在nginx配置文件里加入ip_hash就可以成功登录了
1. ip_hash
upstream phpserver { ip_hash;#加在这里就可以 server 192.168.1.166:8080 weight=1 max_fails=2 fail_timeout=3; server 192.168.1.166:8081 weight=1 max_fails=2 fail_timeout=3; }
ip_hash简单易用,但有如下问题:
1. 当后端服务器宕机后,session会丢失;
2. 来自同一局域网的客户端会被转发到同一个后端服务器,可能导致负载失衡;
3. 不适用于CDN网络,不适用于前段还有代理的情况。
2. sticky_cookie_insert
使用sticky_cookie_insert启用会话亲缘关系,这会导致来自同一客户端的请求被传递到一组服务器在同一台服务器。与ip_hash不同之处在于,它不是基于IP来判断客户端的,而是基于cookie来判断。因此可以避免上述ip_hash中来自同一局域网的客户端和前段代理导致负载失衡的情况。
upstream phpserver { server 192.168.1.166:8080 weight=1 max_fails=2 fail_timeout=3; server 192.168.1.166:8081 weight=1 max_fails=2 fail_timeout=3; sticky_cookie_insert srv_id expires=1h domain=toxingwang.com path=/;#加在这里即可 }
1. expires:设置浏览器中保持cookie的时间。
2. domain:定义cookie的域 。
3. path:为cookie定义路径。
还有以下解决方案:
1、不使用session,换用cookie
session是存放在服务器端的,cookie是存放在客户端的,我们可以把用户访问页面产生的session放到cookie里面,就是以cookie为中转站。你访问web服务器A,产生了session然后把它放到cookie里面,当你的请求被分配到B服务器时,服务器B先判断服务器有没有这个session,如果没有,再去看看客户端的cookie里面有没有这个session,如果也没有,说明session真的不存,如果cookie里面有,就把cookie里面的sessoin同步到服务器B,这样就可以实现session的同步了。
说明:这种方法实现起来简单,方便,也不会加大数据库的负担,但是如果客户端把cookie禁掉了的话,那么session就无从同步了,这样会给网站带来损失;cookie的安全性不高,虽然它已经加了密,但是还是可以伪造的。
2、session存在数据库(MySQL等)中
PHP可以配置将session保存在数据库中,这种方法是把存放session的表和其他数据库表放在一起,如果mysql也做了集群了话,每个mysql节点都要有这张表,并且这张session表的数据表要实时同步。
说明:用数据库来同步session,会加大数据库的IO,增加数据库的负担。而且数据库读写速度较慢,不利于session的适时同步。
3、session存在memcache或者redis中
memcache可以做分布式,php配置文件中设置存储方式为memcache,这样php自己会建立一个session集群,将session数据存储在memcache中。
说明:以这种方式来同步session,不会加大数据库的负担,并且安全性比用cookie大大的提高,把session放到内存里面,比从文件中读取要快很多。但是memcache把内存分成很多种规格的存储块,有块就有大小,这种方式也就决定了,memcache不能完全利用内存,会产生内存碎片,如果存储块不足,还会产生内存溢出。
问题4:禁止访问一个目录或文件如何设置
location ~^/WEB-INF/{ #安全配置,不能访问WEB-INF目录 deny all; } #如果是lumen 或 laravel 禁止掉浏览器直接访问 .env 文件 location \.env { deny all; }