2018-3-16 Linux学习笔记

原创

XiaoluHuang 2018-03-16 17:03:21 ©著作权

文章标签 Nginx 负载均衡原理 文章分类 运维

©著作权归作者所有：来自51CTO博客作者XiaoluHuang的原创作品，请联系作者获取转载授权，否则将追究法律责任

12.17 Nginx负载均衡

Nginx负载均衡和Nginx代理本质其实是一样的,只不过是当Nginx代理服务器连接有多个Web服务器时,它就可实现负载均衡的作用(借助upstream模块来实现).
Nginx负载均衡配置方法: vim /usr/local/nginx/conf/vhost/load.conf
写入如下内容: upstream qq_com { ip_hash; server 14.17.32.211:80; server 14.17.42.40:80; } server { listen 80; server_name www.qq.com; location / { proxy_pass http://qq_com; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; } }
/usr/local/nginx/sbin/nginx -t
/usr/local/nginx/sbin/nginx -s reload

测试结果:
配置前: curl -x127.0.0.1:80 www.qq.com
配置后: curl -x127.0.0.1:80 www.qq.com
说明: (1)upstream来指定多个web server. (2)ip_hash的作用是让同一个用户始终保持连接到同一台web服务器上,避免服务中断. (3)其中server的IP地址可通过dig qq.com来获得.
知识点: nginx不支持代理https(443端口),只支持代理http(80端口).

12.18 ssl原理

SSL的工作原理示意图:
(1)浏览器发送一个https的请求给服务器；服务器要有一套数字证书，可以自己制作（后面的操作就是以自己制作的证书为例），也可以向组织申请，区别就是自己颁发的证书需要客户端验证通过，才可以继续访问，而使用受信任的公司申请的证书则不会弹出>提示页面，这套证书其实就是一对公钥和私钥；
(2)服务器会把公钥传输给客户端；客户端（浏览器）收到公钥后，会验证其是否合法有效，无效会有警告提醒，有效则会生成一串随机数，并用收到的公钥加密；
(3)客户端把加密后的随机字符串传输给服务器；服务器收到加密随机字符串后，先用私钥解密（公钥加密，私钥解密），获取到这一串随机数后，再用这串随机字符串加密传输的数据（该加密为对称加密，所谓对称加密，就是将数据和私钥也就是这个随机字符串通过某种算法混合在一起，这样除非知道私钥，否则无法获取数据内容）；
(4)服务器把加密后的数据传输给客户端；客户端收到数据后，再用自己的私钥也就是那个随机字符串解密；

12.19 生成ssl密钥对

生成ssl密钥对的步骤: cd /usr/local/nginx/conf
(1) 生成私钥tmp.key openssl genrsa -des3 -out tmp.key 2048
(2) 将tmp.key转换成testssl.key(两者其实是同一个,转换只是为了取消自带的密码方便实际应用),转换后的testssl.key不用密码. openssl rsa -in tmp.key -out testssl.key
(3) 删除带密码的tmp.key(因为已用不到) rm -f tmp.key
(4) 生成证书请求文件testssl.csr openssl req -new -key testssl.key -out testssl.csr
(5) 用证书请求文件testssl.csr和私钥testssl.key生产公钥文件testssl.crt openssl x509 -req -days 365 -in testssl.csr -signkey testssl.key -out testssl.crt
说明: 通常.key文件为私钥,而.crt文件为公钥.

知识点: 查看一个命令是用哪个包安装的方法(此处以openssl为例) rpm -qf `which openssl` #这里的单引号是键盘Tab键上的那一个

12.20 Nginx配置ssl

Nginx配置ssl的步骤:
生成一个新的配置文件ssl.conf vim /usr/local/nginx/conf/vhost/ssl.conf
加入如下内容 server { listen 443; server_name testssl.com; index index.html index.php; root /data/wwwroot/testssl.com; ssl on; ssl_certificate testssl.crt; ssl_certificate_key testssl.key; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; } /usr/local/nginx/sbin/nginx -t /etc/init.d/nginx restart #重启nginx netstat -lntp #查看是否已监听443端口
mkdir /data/wwwroot/testssl.com
echo “ssl test page.”>/data/wwwroot/testssl.com/index.html
编辑虚拟机hosts，增加127.0.0.1 testssl.com curl https://testssl.com/ #访问测试
也可编辑我们windows主机中的C:\Windows\System32\drivers\etc\hosts文件,增加127.0.0.1 testssl.com,然后在浏览器中输入https://testssl.com来测试.
注意: 若/usr/local/nginx/sbin/nginx -t时报错unknown directive“ssl”,则需要重新编译nginx，加上--with-http_ssl_module
具体如下: cd /usr/local/src/nginx-1.12.1 ./configure --help | grep -i ssl #查看现有的带ssl的可选项 ./configure --prefix=/usr/local/nginx/ --with-http_ssl_module make make install /usr/local/nginx/sbin/nginx -V #查看--with-http_ssl_module是否正确安装

扩展学习: 针对请求的uri来代理 http://ask.apelearn.com/question/1049 根据访问的目录来区分后端的web http://ask.apelearn.com/question/920 nginx长连接 http://www.apelearn.com/bbs/thread-6545-1-1.html nginx算法分析 http://blog.sina.com.cn/s/blog_72995dcc01016msi.html