是否可以使用Nginx反向代理和SSL透传来将请求传递到需要客户端证书验证的服务器,而无需使用Nginx反向代理服务器的证书。
3个回答
42
- F.X.
6
这个可以运行,但是无法记录日志,访问日志为空。 - radtek
1访问日志很可能在“stream”模式下不起作用:当Nginx在该模式下操作时,它对HTTP一无所知(而且由于HTTPS被加密,无法拦截!),因此除了“IPxxxx打开了连接,我们将其代理到backend.example.com:443”之外,它无法记录任何其他信息。 - F.X.
1是的,找到了相关文档。你可以添加一个 error_log 并将其设置为 debug 模式以获取某种输出。 - radtek
请问您能描述一下如何使用流模块吗?当我尝试在标准的Ubuntu Nginx安装中使用它时,它说“stream”无效。非常感谢您提供的帮助性答案! - Vince Pike
1@VincePike 我认为官方文档 https://docs.nginx.com/nginx/admin-guide/load-balancer/tcp-udp-load-balancer/ 应该很好地解决了这个问题? - F.X.
很好的信息,非常感谢。如果在nginx.conf中包含default.conf.template,请记得将stream{...}放在http{...}旁边而不是里面。 - mrc
4
从我们希望进行 SSL 透传的那一刻开始,SSL 终止将会到达后端 Nginx 服务器。同时我还没有看到一个关于处理 HTTP 连接的解答。
最佳方案是使用同时作为第七层和第四层代理的 Nginx。另外一个很少讨论的问题是 IP 地址重定向。当我们使用代理时,必须在代理上进行配置,而不是像通常那样在后端服务器上进行配置。
最后,客户端 IP 地址必须保留,因此我们必须使用代理协议来正确地执行此操作。听起来有点混乱?其实并不难理解。
我想出了一个解决方案,我目前正在生产中使用,它运行得非常完美。
现在一切都应该完美运作。
最佳方案是使用同时作为第七层和第四层代理的 Nginx。另外一个很少讨论的问题是 IP 地址重定向。当我们使用代理时,必须在代理上进行配置,而不是像通常那样在后端服务器上进行配置。
最后,客户端 IP 地址必须保留,因此我们必须使用代理协议来正确地执行此操作。听起来有点混乱?其实并不难理解。
我想出了一个解决方案,我目前正在生产中使用,它运行得非常完美。
worker_processes 1;
error_log /var/log/nginx/error.log warn;
pid /var/run/nginx.pid;
events {
worker_connections 1024;
}
http {
variables_hash_bucket_size 1024;
variables_hash_max_size 1024;
map_hash_max_size 1024;
map_hash_bucket_size 512;
types_hash_bucket_size 512;
server_names_hash_bucket_size 512;
sendfile on;
tcp_nodelay on;
tcp_nopush on;
autoindex off;
server_tokens off;
keepalive_timeout 15;
client_max_body_size 100m;
upstream production_server {
server backend1:3080;
}
upstream staging_server {
server backend2:3080;
}
upstream ip_address {
server backend1:3080; #or backend2:3080 depending on your preference.
}
server {
server_name server1.tld;
listen 80;
listen [::]:80;
location / {
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header Host $http_host;
proxy_set_header X-Forwarded-Host $server_name;
proxy_set_header Connection "";
#add_header X-Upstream $upstream_addr;
proxy_redirect off;
proxy_connect_timeout 300;
proxy_http_version 1.1;
proxy_buffers 16 16k;
proxy_buffer_size 64k;
proxy_cache_background_update on;
proxy_pass http://production_server$request_uri;
}
}
server {
server_name server2.tld;
listen 80;
listen [::]:80;
location / {
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header Host $http_host;
proxy_set_header X-Forwarded-Host $server_name;
proxy_set_header Connection "";
#add_header X-Upstream $upstream_addr;
proxy_redirect off;
proxy_connect_timeout 300;
proxy_http_version 1.1;
proxy_buffers 16 16k;
proxy_buffer_size 16k;
proxy_cache_background_update on;
proxy_pass http://staging_server$request_uri;
}
}
server {
server_name 192.168.1.1; #replace with your own main ip address
listen 80;
listen [::]:80;
location / {
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header Host $http_host;
proxy_set_header X-Forwarded-Host $server_name;
proxy_set_header Connection "";
#add_header X-Upstream $upstream_addr;
proxy_redirect off;
proxy_connect_timeout 300;
proxy_http_version 1.1;
proxy_buffers 16 16k;
proxy_buffer_size 16k;
proxy_cache_background_update on;
proxy_pass http://ip_address$request_uri;
}
}
}
stream {
map $ssl_preread_server_name $domain {
server1.tld production_server_https;
server2.tld staging_server_https;
192.168.1.1 ip_address_https;
default staging_server_https;
}
upstream production_server_https {
server backend1:3443;
}
upstream staging_server_https {
server backend2:3443;
}
upstream ip_address_https {
server backend1:3443;
}
server {
ssl_preread on;
proxy_protocol on;
tcp_nodelay on;
listen 443;
listen [::]:443;
proxy_pass $domain;
}
log_format proxy '$protocol $status $bytes_sent $bytes_received $session_time';
access_log /var/log/nginx/access.log proxy;
error_log /var/log/nginx/error.log debug;
}
现在唯一需要完成的就是启用代理协议到后端服务器。下面的示例可以帮助您进行操作:
server {
real_ip_header proxy_protocol;
set_real_ip_from proxy;
server_name www.server1.tld;
listen 3080;
listen 3443 ssl http2;
listen [::]:3080;
listen [::]:3443 ssl http2;
include ssl_config;
# Non-www redirect
return 301 https://server1.tld$request_uri;
}
server {
real_ip_header proxy_protocol;
set_real_ip_from 1.2.3.4; # <--- proxy ip address, or proxy container hostname for docker
server_name server1.tld;
listen 3443 ssl http2 proxy_protocol; #<--- proxy protocol to the listen directive
listen [::]:3443 ssl http2 proxy_protocol; # <--- proxy protocol to the listen directive
root /var/www/html;
charset UTF-8;
include ssl_config;
#access_log logs/host.access.log main;
location ~ /.well-known/acme-challenge {
allow all;
root /var/www/html;
default_type "text/plain";
}
location / {
index index.php;
try_files $uri $uri/ =404;
}
error_page 404 /404.php;
# place rest of the location stuff here
}
现在一切都应该完美运作。
- Skeptic
1
server {
real_ip_header proxy_protocol;
set_real_ip_from proxy;`enter code here`
server_name www.server1.tld;`enter code here`
listen 8180;`enter code here`
listen 8443 ssl http2;`enter code here`
listen [::]:8180;`enter code here`
listen [::]:8443 ssl http2;`enter code here`
include ssl_config;
# Non-www redirect`enter code here`
return 301 https://server1.tld$request_uri;
}**strong text**
- ywcin2018 YWC
1
网页内容由stack overflow 提供, 点击上面的可以查看英文原文,
原文链接
原文链接
- 相关问题
- 35 Nginx反向代理错误:14077438:SSL SSL_do_handshake()失败
- 4 使用Nginx反向代理和SSL透传
- 9 如何安全地在Nginx反向代理后的CakePHP中检测SSL?
- 5 Nginx反向代理SSL / 最小化
- 13 无法使用Nginx(反向代理+SSL协商)和Tomcat上传大文件
- 3 使用反向代理Nginx实现GoLang的SSL
- 204 NGINX如何反向代理WebSockets并启用SSL(wss://)?
- 6 如何将nginx的tcp pass-through与ssl-preread和反向代理功能结合起来?
- 10 通过nginx反向代理使用SSL在Docker上运行Wordpress
- 3 基于Docker的NGINX反向代理SSL