您当前的位置:首页 > 电脑百科 > 站长技术 > 服务器

后台服务器老是被勒索多半是没有使用Nginx代理

时间:2020-07-22 11:30:23  来源:  作者:

1. 前言

我们真实的服务器不应该直接暴露到公网上去,否则更加容易泄露服务器的信息,也更加容易受到攻击。一个比较“平民化”的方案是使用Nginx反向代理它。今天就来聊一聊使用Nginx反向代理的一些能力,Nginx代理能帮助我们实现很多非常有效的API控制功能。这也解释了我为什么一直推荐使用Nginx来代理我们的Spring Boot应用。

2. Nginx可以提供哪些能力

Nginx已经不用太多的赞美了,它已经得到了业界的广泛认可。我们就聊聊它具体能够实现什么功能。

2.1 代理能力

这是针对服务器端我们最常用的功能,一台具有公网的Nginx服务器可以代理和它能进行内网通信的真实的服务器。让我们的服务器不直接对外暴露,增加其抗风险能力。

后台服务器老是被勒索多半是没有使用Nginx代理

 

假如Nginx服务器192.168.1.8可以和同一内网网段的192.168.1.9的应用服务器进行通信,同时Nginx服务器具有公网能力并将公网绑定到域名felord.cn上。那么我们Nginx代理的对应的配置(nginx.conf)是这样的:

    server {
        listen       80;
        server_name  felord.cn;
    #   ^~ 表示uri以某个常规字符串开头,如果匹配到,则不继续往下匹配。不是正则匹配
        location ^~  /api/v1 {
            proxy_set_header Host $host;
            proxy_pass http://192.168.1.9:8080/;
        }
    }

经过以上配置后我们服务器真实的接口地址是http://192.168.1.9:8080/foo/get就可以通过http://felord.cn/api/v1/foo/get访问。

proxy_pass如果以/结尾,就相当于是绝对根路径,那么Nginx不会把location中匹配的路径部分代理走;如果不以/结尾,也会代理匹配的路径部分。

2.2 Rewrite功能

Nginx还提供了一个rewrite功能让我们在请求到达服务器时重写URI,有点类似Servlet Filter的意味,对请求进行一些预处理。

后台服务器老是被勒索多半是没有使用Nginx代理

 

2.1的例子中如果我们要实现如果判断请求为POST的话返回405,只需要更改配置为:

location ^~  /api/v1 {
    proxy_set_header Host $host;
    if ($request_method = POST){
      return 405;
    }
    proxy_pass http://192.168.1.9:8080/;
}

你可以使用Nginx提供的全局变量(如上面配置中的$request_method)或自己设置的变量作为条件,结合正则表达式和标志位(last、break、redirect、permanent)实现URI重写以及重定向。

2.3 配置HTTPS

之前很多同学在群里问如何在Spring Boot项目中配置HTTPS,我都推荐使用Nginx来做这个事情。 NginxSpring Boot中配置SSL要方便的多,而且不影响我们本地开发。NginxHTTPS的相关配置根据下面的改一改就能用:

http{
    #http节点中可以添加多个server节点
    server{
        #ssl 需要监听443端口
        listen 443;
        # CA证书对应的域名
        server_name felord.cn;
        # 开启ssl
        ssl on;
        # 服务器证书绝对路径
        ssl_certificate /etc/ssl/cert_felord.cn.crt;
        # 服务器端证书key绝对路径 
        ssl_certificate_key /etc/ssl/cert_felord.cn.key;
        ssl_session_timeout 5m;
        # 协议类型
        ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
        # ssl算法列表 
        ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE;
        #  是否 服务器决定使用哪种算法  on/off   TLSv1.1 的话需要开启
        ssl_prefer_server_ciphers on;
        
        location ^~  /api/v1 {
            proxy_set_header Host $host;
            proxy_pass http://192.168.1.9:8080/;
        }
    }
    # 如果用户通过 http 访问 直接重写 跳转到 https 这个是一个很有必要的操作
    server{
        listen 80;
        server_name felord.cn;
        rewrite ^/(.*)$ https://felord.cn:443/$1 permanent;
    }

}

这里就用到了rewrite来提高用户体验。

2.4 负载均衡

一般项目都是从小做到大起来的,起步的时候部署一个服务器就够用了,如果你的项目用户多了起来,首先恭喜你,说明你的项目方向很对。但是伴随而来还有服务器压力,你一定不想服务器宕机带来的各种损失,你需要快速提高服务器的抗压能力,或者你想不停机维护避免业务中断,这些都可以通过Nginx的负载均衡来实现,而且非常简单。假如felord.cn我们部署了三个节点:

后台服务器老是被勒索多半是没有使用Nginx代理

 

最简单的轮询策略

轮番派发请求,这种配置是最简单的:

http {
    
    upstream App {
           # 节点1
           server 192.168.1.9:8080;
           # 节点2
           server 192.168.1.10:8081;
           # 节点3
           server 192.168.1.11:8082;
    }
    
    server {
        listen       80;
        server_name  felord.cn;
    #   ^~ 表示uri以某个常规字符串开头,如果匹配到,则不继续往下匹配。不是正则匹配
        location ^~  /api/v1 {
            proxy_set_header Host $host;
            # 负载均衡
            proxy_pass http://app/;
        }
    }
}

加权轮询策略

指定轮询几率,weight和访问比率成正比,用于后端服务器性能不均的情况:

upstream app {
       # 节点1
       server 192.168.1.9:8080 weight = 6;
       # 节点2
       server 192.168.1.10:8081 weight = 3;
       # 节点3
       server 192.168.1.11:8082 weight = 1;
}

最终请求处理数将为6:3:1 进行分配。其实简单轮询可以看作所有的权重均分为1。轮询宕机可自动剔除。

IP HASH

根据访问IP进行Hash,这样每个客户端将固定访问服务器,如果服务器宕机,需要手动剔除。

upstream app {
       ip_hash;
       # 节点1
       server 192.168.1.9:8080 weight = 6;
       # 节点2
       server 192.168.1.10:8081 weight = 3;
       # 节点3
       server 192.168.1.11:8082 weight = 1;
}

最少连接

请求将转发到连接数较少的服务器上,充分利用服务器资源:

upstream app {
       least_conn;
       # 节点1
       server 192.168.1.9:8080 weight = 6;
       # 节点2
       server 192.168.1.10:8081 weight = 3;
       # 节点3
       server 192.168.1.11:8082 weight = 1;
}

其它方式

我们可以借助一些插件来实现其它模式的负载均衡,例如借助于nginx-upsync-module实现动态负载均衡。我们是不是借助于此可以开发一个灰度发布功能呢?

2.5 限流

通过对Nginx的配置,我们可以实现漏桶算法和令牌桶算法,通过限制单位时间的请求数、同一时间的连接数来限制访问速度。这一块我并没有深入研究过这里就提一提,你可以查询相关的资料研究。

3. 总结

Nginx非常强大,推荐使用它来代理我们的后端应用,我们可以通过配置实现很多有用的功能,而不必进行一些非业务逻辑的编码来实现,如果你在Spring Boot中实现限流、配置SSL的话,麻烦不说,还影响本地开发,使用Nginx可以让我们专心到业务中去。可以说Nginx在这里充当了一个小网关的作用,其实很多知名网关底层都是Nginx,比如KongOrangeApache APISIX等,如果你有兴趣可以玩一玩Nginx的高级形态Openresty。另外我这里也有一份非常不错的Nginx入门资料送给你,可以关注:码农小胖哥 回复 nginx 获取。



Tags:Nginx代理   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,如有任何标注错误或版权侵犯请与我们联系(Email:2595517585@qq.com),我们将及时更正、删除,谢谢。
▌相关推荐
1. 最简反向代理配置在http节点下,使用upstream配置服务地址,使用server的location配置代理映射。upstream my_server {server 10.0.0.2:8080;keepalive 2000;}server {listen...【详细内容】
2021-08-12  Tags: Nginx代理  点击:(64)  评论:(0)  加入收藏
1. 前言我们真实的服务器不应该直接暴露到公网上去,否则更加容易泄露服务器的信息,也更加容易受到攻击。一个比较“平民化”的方案是使用Nginx反向代理它。今天就来聊一聊使用...【详细内容】
2020-07-22  Tags: Nginx代理  点击:(43)  评论:(0)  加入收藏
客户反映:说自己的网站走nginx代理后,打开空白。直接IP加地址访问是好的(http://ip:port)故障排查:1、打开chrome浏览器,访问了下,访问情况真是客户描述的那样。2、感觉打开chrom...【详细内容】
2019-08-28  Tags: Nginx代理  点击:(260)  评论:(0)  加入收藏
▌简易百科推荐
阿里云镜像源地址及安装网站地址https://developer.aliyun.com/mirror/centos?spm=a2c6h.13651102.0.0.3e221b111kK44P更新源之前把之前的国外的镜像先备份一下 切换到yumcd...【详细内容】
2021-12-27  干程序那些事    Tags:CentOS7镜像   点击:(1)  评论:(0)  加入收藏
前言在实现TCP长连接功能中,客户端断线重连是一个很常见的问题,当我们使用netty实现断线重连时,是否考虑过如下几个问题: 如何监听到客户端和服务端连接断开 ? 如何实现断线后重...【详细内容】
2021-12-24  程序猿阿嘴  CSDN  Tags:Netty   点击:(12)  评论:(0)  加入收藏
一. 配置yum源在目录 /etc/yum.repos.d/ 下新建文件 google-chrome.repovim /etc/yum.repos.d/google-chrome.repo按i进入编辑模式写入如下内容:[google-chrome]name=googl...【详细内容】
2021-12-23  有云转晴    Tags:chrome   点击:(7)  评论:(0)  加入收藏
一. HTTP gzip压缩,概述 request header中声明Accept-Encoding : gzip,告知服务器客户端接受gzip的数据 response body,同时加入以下header:Content-Encoding: gzip:表明bo...【详细内容】
2021-12-22  java乐园    Tags:gzip压缩   点击:(8)  评论:(0)  加入收藏
yum -y install gcc automake autoconf libtool makeadduser testpasswd testmkdir /tmp/exploitln -s /usr/bin/ping /tmp/exploit/targetexec 3< /tmp/exploit/targetls -...【详细内容】
2021-12-22  SofM    Tags:Centos7   点击:(7)  评论:(0)  加入收藏
Windows操作系统和Linux操作系统有何区别?Windows操作系统:需支付版权费用,(华为云已购买正版版权,在华为云购买云服务器的用户安装系统时无需额外付费),界面化的操作系统对用户使...【详细内容】
2021-12-21  卷毛琴姨    Tags:云服务器   点击:(6)  评论:(0)  加入收藏
参考资料:Hive3.1.2安装指南_厦大数据库实验室博客Hive学习(一) 安装 环境:CentOS 7 + Hadoop3.2 + Hive3.1 - 一个人、一座城 - 博客园1.安装hive1.1下载地址hive镜像路径 ht...【详细内容】
2021-12-20  zebra-08    Tags:Hive   点击:(9)  评论:(0)  加入收藏
以下是服务器安全加固的步骤,本文以腾讯云的CentOS7.7版本为例来介绍,如果你使用的是秘钥登录服务器1-5步骤可以跳过。1、设置复杂密码服务器设置大写、小写、特殊字符、数字...【详细内容】
2021-12-20  网安人    Tags:服务器   点击:(7)  评论:(0)  加入收藏
项目中,遇到了一个问题,就是PDF等文档不能够在线预览,预览时会报错。错误描述浏览器的console中,显示如下错误:nginx代理服务报Mixed Content: The page at ******** was loaded...【详细内容】
2021-12-17  mdong    Tags:Nginx   点击:(7)  评论:(0)  加入收藏
转自: https://kermsite.com/p/wt-ssh/由于格式问题,部分链接、表格可能会失效,若失效请访问原文密码登录 以及 通过密钥实现免密码登录Dec 15, 2021阅读时长: 6 分钟简介Windo...【详细内容】
2021-12-17  LaLiLi    Tags:SSH连接   点击:(16)  评论:(0)  加入收藏
最新更新
栏目热门
栏目头条