nginx反向代理

简介

​ 反向代理服务器位于用户与目标服务器之间，但是对于用户而言，反向代理服务器就相当于目标服务器，即用户直接访问反向代理服务器就可以获得目标服务器的资源。同时，用户不需要知道目标服务器的地址，也无须在用户端作任何设定。反向代理服务器通常可用来作为Web加速，即使用反向代理作为Web服务器的前置机来降低网络和服务器的负载，提高访问效率。

使用nginx实现反向代理

1. nginx三大主要功能

静态web服务器、反向代理、负载均衡。

nginx一般同时做为静态web服务器和反向代理服务器，做为web服务器访问静态文件图片、css、js、html等文件，做为反向代理服务器把请求发给后端业务处理服务，如果有多个后端处理节点，会配置负载均衡功能。

外网客户机 --> nginx反向代理服务器 --> 内网web应用

nginx反向代理
   浏览器输入网址并回车后，会发起一个http请求给nginx（反向代理服务器），这个请求如果是访问静态文件，那么nginx作为web服务器直接返回请求的内容，如果是访问的后台服务逻辑，那么nginx把请求转发给后端的服务处理。
   
内网web应用
   后端的服务可以是很多种类型，LNMP环境下的php-fpm进程，Java环境下的tomcat、jetty等容器，通过程序逻辑处理http请求，生成html页面或者json串返回给客户端。对于小型应用，后端服务可以和nginx部署在同一台机器上。

2. nginx作为反向代理服务器的优点

a. nginx反向代理重要的作用是配合upstream实现负载均衡。
b. 同时增加安全性，客户端不能直接访问后端服务，多了一个中间的屏障。
c. 提升性能，通过异步非阻塞的方式把请求传给后端，提升了并发处理能力。
d. 也可利用缓存、压缩响应提高响应速度。

3. nginx如何配置反向代理服务器

nginx反向代理不需要编译额外的模块，默认自带proxy_pass和fastcgi_pass指令，在location配置块中增加指令就可实现反向代理功能。
以www.nginx.cn为例，这个网站用的wordpress程序，wordpress是php语言编写，那么需要通过php运行环境，可以选择apache的php扩展或者php-fpm环境，主流的选择是php-fpm，php-fpm设置为Unix socket模式或者ip:端口模式。

Unix socket后端服务配置

server {
    listen 80;
    server_name www.nginx.cn nginx.cn;
    
	location /app {
		fastcgi_pass unix:/tmp/php-cgi.sock;
	}
}

ip端口后端服务配置

server {
    listen 80;
    server_name www.nginx.cn nginx.cn;
    
	location /app {
		proxy_pass http://127.0.0.1:8080;
	}
}

反向代理的工作方式

​ 反向代理的工作原理是，代理服务器来接受客户端的网络访问连接请求，然后服务器将请求有策略的转发给网络中实际工作的业务服务器，并将从业务服务器处理的结果，返回给网络上发起连接请求的客户端。

​ 通常的代理服务器，只用于代理内部网络对Internet的连接请求，客户机必须指定代理服务器,并将本来要直接发送到Web服务器上的http请求发送到代理服务器中。由于外部网络上的主机并不会配置并使用这个代理服务器，普通代理服务器也被设计为在Internet上搜寻多个不确定的服务器,而不是针对Internet上多个客户机的请求访问某一个固定的服务器，因此普通的Web代理服务器不支持外部对内部网络的访问请求。

​ 当一个代理服务器能够代理外部网络上的主机，访问内部网络时，这种代理服务的方式称为反向代理服务。此时代理服务器对外就表现为一个Web服务器，外部网络就可以简单把它当作一个标准的Web服务器而不需要特定的配置。不同之处在于，这个服务器没有保存任何网页的真实数据，所有的静态网页或者CGI程序，都保存在内部的Web服务器上。因此对反向代理服务器的攻击并不会使得网页信息遭到破坏，这样就增强了Web服务器的安全性。

反向代理的优点

• 提高了内部服务器的安全

  外部网络用户通过反向代理访向内部服务器，只能看到反向代理服务器的IP地址和端口号，内部服务器对于外部网络来说是完全不可见。而且反向代理服务器上没有保存任何的信息资源，所有的网页程序都保存在内部服务器上，对反向代理服务器的攻击并不能使真的网页信息系统受到破坏，这样就提高了内部服务器的安全性。

• 加快了对内部服务器的访问速度

  在内部服务器前放置两台反向代理服务器，分别连接到教育网和公网，这样公网用户就可以直接通过公网线路访问学校服务器，从而避开了公网和教育网之间拥挤的链路。同时反向代理服务器的缓存功能也加快了用户的访问速度。

• 节约了有限的IP资源

  校园网内部服务器除使用教育网地址外，也会采用公网的IP地址对外提供服务，公网分配的IP地址数目是有限的，如果每个服务器有分配-个公网地址，那是不可能的，通过反向代理技术很好的解决了IP地址不足的问题。