为什么要将https转发为http
当前的互联网应用基本都要支持https协议,而当浏览器头通过https协议将请求发到到负责负载的nginx后,会由当前nginx再以http协议向后端upstream进行请求,之所以这么做是因为https协议的安全性也带来的额外的性能消耗。而源端基本都是在一个内网里面的,对于通讯协议的安全性要求没那么高,采用http协议通讯性能会更优,也能降低证书的部署成本。
因此在实际应用中的部署架构如下方所示
浏览器 ---- https (http2) —> nginx (负载均衡) ---- http1.1—> nginx/tomcat/node (upstream 源端)
如何配置
假设我当前的域名为 aaa.com
并且已经有了aaa.com的ssl证书(自签或购买),本文重点不在于如何生成证书,具体就不写了。
证书会包含2个文件:
aaa_com.key , aaa_com.crt
建议将这2个文件cpoy到 nginx的安装目录(默认为:/usr/local/nginx)的ssl目录中(需要自行创建)
然后创建aaa.com的虚拟主机配置文件aaa.conf,示例如下
server {
listen 80;
server_name www.aaa.com aaa.com;
access_log /data/log/nginx/aaa_access.log main;
error_log /data/log/nginx/aaa_error.log;
#核心代码
rewrite ^(.*)$ https://${server_name}$1 permanent;
}
#配置源端
upstream aaa-upstream {
#源端的ip与端口
server x.x.x.x:port weight=5 max_fails=3 fail_timeout=30s;
}
server {
server_name www.aaa.com aaa.com;
#https相关配置,开启http2.0
#启用https需要安装openssl,同时在安装nginx的时候添加 --with-http_ssl_module --with-http_v2_module
listen 443 ssl http2;
#指定证书位置
ssl_certificate /usr/local/nginx/ssl/aaa_com.crt;
ssl_certificate_key /usr/local/nginx/ssl/aaa_com.key;
ssl_session_cache shared:SSL:10m;
#1m大约可以存储4000个TLS握手,当某个https连接在规定时间重连时,可以通过session_cahce重用TLS秘钥,也就是client只要发起一次http请求就可以再次进行连接。
#根据TLS通讯过程,如果你的https开启了session_cache,在第二步,server获取到client请求就会去读取session_cache文件,如果存在client的key就直接复用,进行数据传输。
#设置存储会话参数的高速缓存的类型和大小。缓存可以是以下任何一种类型:
# off 严禁使用会话缓存:nginx明确告诉客户端会话可能不会被重用。
# none 会话缓存的使用被轻轻地禁止:nginx告诉客户端会话可能被重用,但实际上不会将会话参数存储在缓存中。
# builtin 建立在OpenSSL中的缓存; 仅由一个工作进程使用。缓存大小在会话中指定。如果没有给出大小,则等于20480个会话。内置缓存的使用可能导致内存碎片。
# shared 所有工作进程之间共享的缓存。缓存大小以字节为单位指定; 一兆字节可以存储大约4000个会话。每个共享缓存都应该有一个任意的名字。具有相同名称的缓存可以在多个虚拟服务器中使用。
# 两种缓存类型都可以同时使用,例如:ssl_session_cache builtin:1000 shared:SSL:10m;
#注意:但只使用没有内置缓存的共享缓存应该更有效率。
#ssi on; #服务器嵌套,主要是实现网站的内容更新,时间和日期的动态显示,以及执行shell和CGI脚本程序等复杂的功能。
ssl_session_timeout 10m;
access_log /data/log/nginx/aaa_access.log main;
error_log /data/log/nginx/aaa_error.log;
location / {
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_http_version 1.1; #这行很关键,没有的话可能导致https访问报bad request 400
proxy_set_header Upgrade $http_upgrade; # 做websocket应用,需要实时感知客户端头信息变化的场景需要加
proxy_set_header Connection "upgrade"; # 做websocket应用,需要实时感知客户端头信息变化的场景需要加
#设定回源通过http协议
proxy_pass http://aaa-upstream;
}
}
重点说明
- 要启用nginx https支持,需要在安装openssl,并安装–with-http_ssl_module --with-http_v2_module 模块
建议开启 ssl会话缓存,降低握手时间 ssl_session_cache shared:SSL:10m; - proxy_http_version 1.1; 需要重点关注,在实际使用中发现,不配置的话,可能会导致转发到源端的http请求变成http1.0协议,从而导致源端报bad request 400的异常(如果源端也是一个nginx负载的情况下),而且http1.0协议的性能最差,最好还是加上。
- websocket 应用场景(比如IM实时通讯),开启以下配置
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection "upgrade"
这2行都是为了实时让服务端能感知到客户端的状态变化
- 创建好的aaa.conf,可以放到nginx安装目录下的conf/site/下,同时在conf/nginx.conf中的http对象配置中添加 include site/*.conf; 以便于各站点配置的分别维护
- 遇到问题先定位一下是那一层出了问题,是负载层,还是源端层,再判断问题根源