技術文章 » Nginx如何設定Http、Https、WS、WSS?

Nginx如何設定Http、Https、WS、WSS?

2021-05-10 21:01:12

寫在前面

當今網際網路領域,Nginx是使用最多的代理伺服器之一,很多大廠在自己的業務系統中都是用了Nginx作為代理伺服器。所以,我們有必要了解下Nginx對於Http、Https、WS、WSS的各項設定。來來來,跟冰河一些學習Nginx,一起進階,一起頭禿~~

Nginx設定Http

首先,我們來聊聊Nginx如何設定Http,Nginx設定Http是Nginx最常用的功能之一。在nginx.conf中設定相應的資訊,如下所示。

upstream message {
  server localhost:8080 max_fails=3;
}

server {
    listen       80;
    server_name  localhost;

    location / {
        root   html;
        index  index.html index.htm;
        #允許cros跨域存取 
        add_header 'Access-Control-Allow-Origin' '*';
        #proxy_redirect default;
        #跟代理伺服器連線的超時時間,必須留意這個time out時間不能超過75秒,當一臺伺服器當掉時,過10秒轉發到另外一臺伺服器。
        proxy_connect_timeout 10;
    }
    
     location /message {
       proxy_pass                  http://message;
       proxy_set_header Host $host:$server_port;
    }
}

此時,存取 http://localhost/message,就會被轉發到 http://localhost:8080/message 上。

Nginx設定Https

如果業務對於網站的安全性要求比較高,此時可能就會在Nginx設定Https,具體設定資訊可以參照如下方式進行。

upstream message {
  server localhost:8080 max_fails=3;
}

server {
    listen       443 ssl;
    server_name localhost;
    ssl_certificate    /usr/local/nginx-1.17.8/conf/keys/binghe.pem;
    ssl_certificate_key /usr/local/nginx-1.17.8/conf/keys/binghe.key;
    ssl_session_timeout 20m;
    ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    ssl_prefer_server_ciphers on;
    ssl_verify_client off;
    location / {
        root   html;
        index  index.html index.htm;
        #允許cros跨域存取 
        add_header 'Access-Control-Allow-Origin' '*';
        #跟代理伺服器連線的超時時間,必須留意這個time out時間不能超過75秒,當一臺伺服器當掉時,過10秒轉發到另外一臺伺服器。
        proxy_connect_timeout 10;
    }
    
     location /message {
       proxy_pass                  http://message;
       proxy_set_header Host $host:$server_port;
    }
}

此時存取https://localhost/message 就會被轉發到 http://localhost:8080/message上。

Nginx設定WS

WS的全稱是WebSocket,Nginx設定WebSocket也比較簡單,只需要在nginx.conf檔案中進行相應的設定。這種方式很簡單,但是很有效,能夠橫向擴充套件WebSocket伺服器端的服務能力。

為了方便小夥伴們更好的理解,這裡,我重點說下Nginx設定WS。

先直接展示組態檔,如下所示(使用的話直接複製,然後改改ip和port即可)

map $http_upgrade $connection_upgrade { 
    default upgrade; 
    '' close; 
} 
upstream wsbackend{ 
    server ip1:port1; 
    server ip2:port2; 
    keepalive 1000;
} 
 
server { 
    listen 20038; 
    location /{ 
        proxy_http_version 1.1; 
        proxy_pass http://wsbackend; 
        proxy_redirect off; 
        proxy_set_header Host $host; 
        proxy_set_header X-Real-IP $remote_addr; 
        proxy_read_timeout 3600s; 
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; 
        proxy_set_header Upgrade $http_upgrade; 
        proxy_set_header Connection $connection_upgrade; 
    } 
}

接下來,我們就分別分析上述設定的具體含義。

首先:

map $http_upgrade $connection_upgrade { 
    default upgrade; 
    '' close; 
}

表示的是:

  • 如果 $http_upgrade 不為 '' (空), 則$connection_upgrade 為 upgrade 。
  • 如果 $http_upgrade 為 '' (空), 則 $connection_upgrade 為 close。

其次:

upstream wsbackend{ 
    server ip1:port1; 
    server ip2:port2; 
    keepalive 1000; 
}

表示的是 nginx負載均衡:

  • 兩臺伺服器 (ip1:port1)和(ip2:port2) 。
  • keepalive 1000 表示的是每個nginx程序中上游伺服器保持的空閒連線,當空閒連線過多時,會關閉最少使用的空閒連線.當然,這不是限制連線總數的,可以想象成空閒連線池的大小,設定的值應該是上游伺服器能夠承受的。

最後:

server { 
    listen 20038; 
    location /{ 
        proxy_http_version 1.1; 
        proxy_pass http://wsbackend; 
        proxy_redirect off;
        proxy_set_header Host $host; 
        proxy_set_header X-Real-IP $remote_addr; 
        proxy_read_timeout 3600s; 
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; 
        proxy_set_header Upgrade $http_upgrade; 
        proxy_set_header Connection $connection_upgrade; 
    } 
}

表示的是監聽的伺服器的設定

  • listen 20038 表示 nginx 監聽的埠
  • locations / 表示監聽的路徑(/表示所有路徑,通用匹配,相當於default)
  • proxt_http_version 1.1 表示反向代理傳送的HTTP協定的版本是1.1,HTTP1.1支援長連線
  • proxy_pass http://wsbackend; 表示反向代理的uri,這裡可以使用負載均衡變數
  • proxy_redirect off; 表示不要替換路徑,其實這裡如果是/則有沒有都沒關係,因為default也是將路徑替換到proxy_pass的後邊
  • proxy_set_header Host $host; 表示傳遞時請求頭不變, $host是nginx內建變數,表示的是當前的請求頭,proxy_set_header表示設定請求頭
  • proxy_set_header X-Real-IP $remote_addr; 表示傳遞時來源的ip還是現在的使用者端的ip
  • proxy_read_timeout 3600s; 表的兩次請求之間的間隔超過 3600s 後才關閉這個連線,預設的60s,自動關閉的元凶
  • proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; 表示X-Forwarded-For頭不發生改變
  • proxy_set_header Upgrade $http_upgrade; 表示設定Upgrade不變
  • proxy_set_header Connection $connection_upgrade; 表示如果 $http_upgrade為upgrade,則請求為upgrade(websocket),如果不是,就關閉連線

此時,存取 ws://localhost:20038 就會被轉發到 ip1:port1ip2:port2 上。

Nginx設定WSS

WSS表示WebSocket + Https,通俗點說,就是安全的WebSocket,接下來,我們來看看如何設定WSS。在設定WS時,詳細描述了設定的細節資訊,這裡,我就不詳細介紹了。

map $http_upgrade $connection_upgrade { 
    default upgrade; 
    '' close; 
} 
upstream wsbackend{ 
    server ip1:port1; 
    server ip2:port2; 
    keepalive 1000; 
} 
server{
    listen 20038 ssl;
    server_name localhost;
    ssl_certificate    /usr/local/nginx-1.17.8/conf/keys/binghe.com.pem;
    ssl_certificate_key /usr/local/nginx-1.17.8/conf/keys/binghe.com.key;
    ssl_session_timeout 20m;
    ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    ssl_prefer_server_ciphers on;
    ssl_verify_client off;
    location /{
      proxy_http_version 1.1;
      proxy_pass http://wsbackend;
      proxy_redirect off; 
      proxy_set_header Host $host; 
      proxy_set_header X-Real-IP $remote_addr; 
      proxy_read_timeout 3600s; 
      proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; 
      proxy_set_header Upgrade $http_upgrade; 
      proxy_set_header Connection $connection_upgrade; 
    }
}

此時,存取 wss://localhost:20038 就會被轉發到 ip1:port1ip2:port2 上。

小夥伴們你們學會了嗎?歡迎文末留言呀。

好了,今天就到這兒吧,我是冰河,大家有啥問題可以在下方留言,也可以加我微信:sun_shine_lyz,我拉你進群,一起交流技術,一起進階,一起牛逼~~