nginx: бэкэнд https, proxy_pass показывает ip
Я использую nginx в качестве прослушивания обратного прокси на порту 80 (http). Я использую proxy_pass для пересылки запросов на серверы http и https. Все отлично работает для моего http-сервера, но когда я пытаюсь связаться с https-сервером через обратный прокси-сервер nginx, ip-адрес https-сервера отображается в веб-браузере клиента. Я хочу, чтобы вместо IP-адреса бэкэнд-сервера https отображался URI сервера nginx (опять же, это отлично работает с сервером http, но не для сервера https). Смотрите этот пост на форуме
Вот мой файл конфигурации:
server {
listen 80;
server_name domain1.com;
access_log off;
root /var/www;
if ($request_method !~ ^(GET|HEAD|POST)$ ) {
return 444;
}
location / {
proxy_pass http://ipOfHttpServer:port/;
}
}
server {
listen 80;
server_name domain2.com;
access_log off;
root /var/www;
if ($request_method !~ ^(GET|HEAD|POST)$ ) {
return 444;
}
location / {
proxy_pass http://ipOfHttpsServer:port/;
proxy_set_header X_FORWARDED_PROTO https;
#proxy_set_header Host $http_host;
}
}
Когда я пытаюсь использовать директиву proxy_set_header Host $ http_host и proxy_set_header Host $ host, веб-страница недоступна (страница не найдена). Но когда я это комментирую, в браузере отображается ip сервера https (что плохо).
У кого-нибудь есть идея?
Мои другие файлы конфигурации:
proxy_redirect off;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
#proxy_hide_header X-Powered-By;
proxy_intercept_errors on;
proxy_buffering on;
proxy_cache_key "$scheme://$host$request_uri";
proxy_cache_path /var/cache/nginx levels=1:2 keys_zone=cache:10m inactive=7d max_size=700m;
user www-data;
worker_processes 2;
error_log /var/log/nginx/error.log;
pid /var/run/nginx.pid;
events {
worker_connections 1024;
}
http {
include /etc/nginx/mime.types;
default_type application/octet-stream;
access_log /var/log/nginx/access.log;
server_names_hash_bucket_size 64;
sendfile off;
tcp_nopush on;
#keepalive_timeout 0;
keepalive_timeout 65;
tcp_nodelay on;
gzip on;
gzip_comp_level 5;
gzip_http_version 1.0;
gzip_min_length 0;
gzip_types text/plain text/html text/css image/x-icon application/x-javascript;
gzip_vary on;
include /etc/nginx/conf.d/*.conf;
include /etc/nginx/sites-enabled/*;
}
Спасибо за вашу помощь!
Я последовал вашему совету и вашему примеру и перенес свои директивы кеша во внешние серверные блоки и прокси-директивы внутри блоков местоположения. У меня все та же проблема: когда proxy_set_header Host $host; написано, что веб-сайт https недоступен через nginx.
Когда я комментирую это, я могу связаться с сервером https через nginx, но адрес локальной сети сервера https отображается в строке адреса, несмотря на директиву proxy_pass и выключенную proxy_redirect. Но это все равно работает для http-сервера (вместо np-адреса http-сервера отображается ip nginx).
Еще одна точность: я не захожу на веб-страницу https, как только захожу http://addressOfMyNginx/, Ранее была страница с предупреждением, потому что сертификат не аутентифицирован. На этой странице я до сих пор have http://addressOfMyNginx/ в адресной строке. Но когда я перехожу по ссылке "все равно перейти на веб-сайт", я перенаправляюсь на веб-сайт https, а затем отображается IP-адрес сервера https.
Прочитав журналы отладки, я обнаружил:
2012/07/30 17:24:13 [debug] 4412#0: *75 http proxy header:
"GET / HTTP/1.0^M
Host: nameOfMMyNginxServer^M
X-Real-IP: xxx.xxx.xxx.xxx^M
X-Forwarded-For: xxx.xxx.xxx.xxx^M
Connection: close^M
Accept: text/html, application/xhtml+xml, */*^M
Accept-Language: fr-FR^M
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)^M
Accept-Encoding: gzip, deflate^M
Cookie: a_cookie_which_has_nothing_to_do_with_my_nginx_and_mybackend_server^M
Где xxx.xxx.xxx.xxx - это публичный адрес сервера, который не имеет ничего общего с nginx или моим внутренним сервером (и не имеет никакого отношения к cookie, упомянутому ранее).
Я перезагружал / перезапускал и очищал кеш моего браузера и кеш nginx много времени с тех пор, как я протестировал сервер, который мог касаться этого куки. Но xxx.xxx.xxx.xxx действительно не имеет к этому никакого отношения.
Я не могу комментировать последний пост, потому что я опубликовал анонимный аккаунт и очистил кеш браузера. Так что SF больше не называл меня Вульпо... (тогда я создал аккаунт).
1 ответ
proxy_redirect off должен сделать свое дело. Я думаю, что вы также должны изменить свой proxy_pass использовать SSL, если вы хотите использовать SSL для своего бэкэнда. Хотя для Unix-сокета было бы намного лучше ужесточить меры безопасности и при этом поддерживать быстрое соединение.
Мой рекомендуемый nginx.conf:
# /etc/nginx/nginx.conf
user www-data;
worker_processes 2; # Do you really have two CPU cores?
events {
multi_accept on;
worker_connections 768;
use epoll;
}
http {
charset utf-8;
client_body_timeout 65;
client_header_timeout 65;
client_max_body_size 10m;
default_type application/octet-stream;
index index.html index.php /index.php;
keepalive_timeout 20;
reset_timedout_connection on;
send_timeout 65;
sendfile on;
server_names_hash_bucket_size 64;
tcp_nodelay off;
tcp_nopush on;
gzip on;
gzip_buffers 32 4k;
gzip_comp_level 2;
gzip_disable "msie6";
gzip_http_version 1.1;
gzip_min_length 1100;
gzip_proxied any;
gzip_static on;
gzip_types
#text/html is always compressed by HttpGzipModule
text/css
text/plain
application/javascript
application/x-javascript
application/json
application/x-json
application/rss+xml
application/xml
application/vnd.ms-fontobject
font/truetype
font/opentype
image/x-icon
image/svg+xml;
gzip_vary on;
include mime.types;
include conf.d/*.conf;
include sites-enabled/*;
}
Моя рекомендуемая конфигурация виртуального хоста:
# /etc/nginx/sites-available/default.conf
proxy_cache_key "$scheme://$host$request_uri";
proxy_cache_path /var/cache/nginx levels=1:2 keys_zone=cache:10m inactive=7d max_size=700m;
server {
listen 80;
server_name example.com;
access_log off;
root /var/www;
# Consider using a map for this! If is bad!
if ($request_method !~ ^(GET|HEAD|POST)$ ) {
return 444;
}
location / {
proxy_redirect off;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwared-For $proxy_add_x_forwarded_for;
proxy_intercept_errors on;
proxy_buffering on;
proxy_pass http://127.0.0.1:port$request_uri;
}
}
Посмотрите мою конфигурацию nginx на GitHub для более продвинутых вещей (еще не закончено, сначала нужно написать больше комментариев): https://github.com/Fleshgrinder/nginx