Nginx HTTP代理服务器

代理功能根据应用方式的不同可以分为正向代理和反向代理。正向代理是客户端设置代理地址后,以代理服务器的 IP 作为源 IP 访问互联网应用服务的代理方式;反向代理则是客户端直接访问代理服务器,代理服务器再根据客户端请求的主机名、端口号及 URI 路径等条件判断后,将客户端请求转发到应用服务器获取响应数据的代理方式。

1、模块指令

Nginx 的 HTTP 代理功能是通过 ngx_http_proxy_module 模块实现的,该模块会被默认构建,无须特殊配置编译参数。配置指令如下表所示。


指令名称

指令值格式

默认值

指令说明

proxy_bind

address[transparent] 或 off

--

设置从指定的本地 IP 地址及端口与被代理服务器建立连接,指令值可以是变量。指令值参数为 transparent 时,允许将客户端的真实 IP 透传给被代理服务器,并将客户端的真实 IP 设置为访问被代理服务器的源 IP;指令值参数为 off 时,取消上一层指令域同名指令的配置

proxy_buffering

on 或 off

on

设置是否启用响应数据缓冲区

proxy_buffers

number size

4k 或 8k

设置每个连接从被代理服务器接收响应数据的缓冲区数量及单个缓冲区的大小。默认单个缓冲区的大小与操作系统的单个内存页(Page Size)的大小相等。缓冲区至少有 2 个

proxy_buffer_size

size

4k 或 8k

设置用于读取被代理服务器响应数据第一部分的缓冲区大小,默认值等于操作系统的单个内存页的大小

proxy_busy_buffers_size

size

8k 或 16k

当每个连接从被代理服务器接收响应数据时,限制 proxy_buffers 设置的缓冲区中可用于向客户端发送响应数据的缓冲区大小,以使其余的缓冲区用于从被代理服务器接收响应数据。该值必须大于单个缓冲区或 proxy_buffer_size 的大小,小于总缓冲区减掉一个缓冲区的大小。默认值为单个缓冲区大小的 2 倍

proxy_limit_rate

rate

0

限制从被代理服务器读取响应的每个请求的流量速度,单位是字节/秒,指令值为“0”时表示不限制。该指令只有在 proxy_buffering 启用时才有效

proxy_max_temp_file_size

size

1024m

当响应数据超出响应数据缓冲区的大小时,超出部分数据将存储到临时文件中。该指令设置临时文件的最大值,指令值为“0”时,关闭存储临时文件的功能。该值必须大于单个缓冲区或 proxy_buffer_size 的大小

proxy_temp_file_write_size

size

8k 或 16k

限制一次写入临时文件的数据大小,默认值为 2 个缓冲区的大小。在默认配置下,缓冲区大小由 proxy_buffer_size 和 proxy_buffers 指令配置限制,最大值是 proxy_max_temp_file_size 指令的值

proxy_temp_path

path [level1 [level2 [level3]]]

proxy_temp

设置临时文件存储目录

proxy_request_buffering

on 或 off

on

设置是否将请求转发给被代理服务器之前,先从客户端读取整个请求体。若禁用该功能,Nginx 接收到请求体时会立即转发给被代理服务器,已经发送请求体的请求,将无法使用 proxy_next_upstream 指令功能。对于基于 HTTP/1.1 协议的分块传输请求,会强制读取完整请求体

proxy_pass

address

--

设置连接被代理服务器的协议、IP 地址或套接字,也可以是域名或 upstream 定义的服务器组

proxy_method

method

--

将当前客户端的请求方法改为指令值设定的请求方法,并向被代理服务器发送请求

proxy_pass_request_body

on 或 off

on

设置是否将客户端请求体传递给被代理服务器

proxy_pass_request_headers

on 或 off

on

设置是否将客户端请求头传递给被代理服务器

proxy_set_header

field value

--

在转发给被代理服务器前,修改或添加客户端的请求头属性字段

proxy_set_body

value

--

修改客户端的请求体为指令值指定的内容,指令值可以是文本、变量及其组合

proxy_redirect

default 或 off 或 redirect replacement

default

替换被代理服务器返回的响应头中属性字段 location 或 Refresh 的值,并返回给客户端。指令值为 default 时,使用 proxy_pass 指令值的内容进行替换

proxy_cookie_domain

off 或 domain replacement

off

修改被代理服务器返回的响应头属性字段 Set-Cookie 中 domain 的内容,支持正则及变量

proxy_cookie_path

off 或 path replacement

off

修改被代理服务器返回的响应头属性字段 Set-Cookie 中 path 的内容,支持正则及变量

proxy_force_ranges

on 或 off

off

无论被代理服务器的 HTTP 响应头中是否有属性字段 Accept-Ranges,都启用 byte-range 请求支持

proxy_hide_header

field

--

指定被代理服务器响应数据中不向客户端传递的 HTTP 头字段名称

proxy_pass_header

field

--

默认配置下 Nginx 不会将头属性字段 Status 和 X-Accel-... 传递给客户端,可通过该指令开放传递

proxy_headers_hash_bucket_size

size

64

设置指令 proxy_set_header 及 proxy_hide_header 使用哈希表的桶的大小

proxy_headers_hash_max_size

size

512

设置指令 proxy_set_header 及 proxy_hide_header 使用哈希表的大小

proxy_ignore_headers

field...

--

设置 Nginx 对被代理服务器响应头包含指定字段时,不执行响应操作。如 Expires 和 Cache-Control

proxy_send_lowat

size

0

设置 FreeBSD 系统中,使用 kqueue 驱动时 socket 接口 SO_SNDLOWAT 选项的大小。在 Linux、Solaris 及 Windows 平台,该指令无效

proxy_connect_timeout

time

60s

Nginx 与被代理服务器建立连接的超时时间,通常不应该超过 75s,与请求是否返回响应无关

proxy_read_timeout

time

60s

在连续两个从被代理服务器接收数据的读操作之间的间隔时间超过设置的时间时,将关闭连接

proxy_send_timeout

time

60s

在连续两个发送到被代理服务器的操作之间的间隔时间超过设置的时间时,将关闭连接

proxy_ignore_client_abort

on 或 off

off

设置当客户端未接收响应就关闭连接时,是否关闭 Nginx 与被代理服务器的连接。默认配置下,Nginx 会记录日志响应码 499,并关闭连接

proxy_http_version

1.0

1.0 或 1.1

设置用于代理的 HTTP 协议版本,若使用 keepalive 或 NTLM 认证,建议指令值设置为 1.1

proxy_socket_keepalive

on 或 off

off

设置 Nginx 与被代理服务器的 TCP keepalive 行为的心跳检测机制,默认使用操作系统的 socket 配置。若指令值为 on,则开启 SO_KEEPALIVE 选项进行心跳检测

proxy_intercept_errors

on 或 off

off

当指令值为 on 时,将拦截被代理服务器响应码大于或等于 300 的结果,error_page 指令可对该结果做后续处理;当指令值为 off 时,直接返回给客户端

proxy_next_upstream

error、timeout、

invalid_header、

http_500、http_502、

http_503、http_504、

http_403、http_404、

http_429、

non_idempotent、

off...

enror timeout

当出现指令值中指定的条件时,将未返回响应的客户端请求传递给 upstream 中的下一个服务器

proxy_next_upstream_timeout

time

0

设置将符合条件的客户端请求传递给 upstream 中下一个服务器的超时时间。“0”为不做超时限制,此时须遍历完所有上游服务器组中的服务器

proxy_next_upstream_tries

number

0

设置将符合条件的客户端请求传递给 upstream 中下一个服务器的尝试次数,包括第一次失败次数。“0”为不做尝试次数限制,此时须遍历完所有上游服务器组中的服务器

proxy_ssl_protocols

[SSLv2][SSLv3]

[TLSv1][TLSv1.1]

[TLSv1.2][TLSv1.3]

TLSv1 TLSv1.1 TLSv1.2

指定可用于 Nginx 与被代理服务器建立 SSL 连接的 SSL 协议版本

proxy_ssl_server_name

on 或 off

off

在与被代理服务器建立 HTTPS 连接时,设置是否启用通过 SNI 或 RFC 6066 传递主机名

proxy_ssl_ciphers

ciphers

DEFAULT

设置与被代理服务器建立 SSL 连接时用于协商使用的加密算法组合,又称密码套件,指令值内容为 openssl 的密码套件名称,多个套件名称由“:”分隔

proxy_ssl_session_reuse

on 或 off

off

决定是否启用与被代理服务器 HTTPS 连接的 SSL 会话重用功能

proxy_ssl_certificate

file

--

指定被代理服务器对 Nginx 服务器身份验证的 PEM 格式 SSL 证书文件

proxy_ssl_certificate_key

file

--

指定被代理服务器对 Nginx 服务器身份验证的 PEM 格式 SSL 证书私钥文件

proxy_ssl_password_file

file

--

存放被代理服务器对 Nginx 服务器身份验证的 PEM 格式 SSL 证书私钥文件的密码文件,一个密码一行。有多个密码时,Nginx 会依次尝试

proxy_ssl_verify

on 或 off

off

设置是否启用对被代理服务器的 SSL 证书验证功能

proxy_ssl_crl

file

--

证书吊销列表文件,用以验证被代理服务器 SSL 证书有效性的 PEM 格式文件

proxy_ssl_trusted_certificate

file

--

指定一个 PEM 格式 CA 证书(根或中间证书)文件,该证书用作被代理服务器的证书链验证

proxy_ssl_name

name

$proxy_host

指定对被代理服务器 SSL 证书验证的主机名

proxy_ssl_verify_depth

number

1

设置对被代理服务器 SSL 证书链的验证深度


关于上表,有以下几点需要说明。

  • 在 ngx_http_proxy_module 模块指令列表中,除 proxy_pass 指令以外,其余指令使用的指令域范围都是 http、server 或 location;
  • 缓冲区的大小默认为操作系统中单个内存页的大小,在 CentOS 下可通过如下命令查询:

getconf PAGE_SIZE

  • proxy_next_upstream 指令值中,当 non_idempotent 参数启用时,请求方法 POST、LOCK、PATCH 在出现错误时,也可以向下一个服务器重复提交。

2、正向代理

正向代理是客户端设置代理地址后,通过将代理服务器的 IP 作为源 IP 访问互联网应用服务的代理方式。通过对正向代理访问设置,可以实现限制客户端的访问行为、下载速度、访问记录统计、隐藏客户端信息等目的。实现原理如下图所示。


nginx proxy 其他服务器 nginx的proxy_代理服务器


图:正向代理

1) HTTP 的正向代理

Nginx 的 proxy 模块可以实现基础的 HTTP 代理功能。配置样例如下:

map $host $deny {
     hostnames;
     default 0;
     www.google.com 1;                             # 禁止访问www.google.com
}

server {
    listen 8080;
    resolver 114.114.114.114;
    resolver_timeout 30s;
    access_log logs/proxy_access.log;              # 记录访问日志
    location / {

        if ( $deny ) {
            return 403;                            # 被禁止访问的网址返回403错误
        }
        proxy_limit_rate    102400;                # 限制客户端的下载速率是100KB/s
        proxy_buffering on ;                       # 启用代理缓冲
        proxy_buffers   8 8k;                      # 代理缓冲区大小为64KB
        proxy_buffer_size   8k;                    # 响应数据第一部分的缓冲区大小为8KB
        proxy_busy_buffers_size 16k;               # 向客户端发送响应的缓冲区大小16KB
        proxy_temp_file_write_size  16k;           # 一次写入临时文件的数据大小为16KB

        # 设置所有代理客户端的agent
        proxy_set_header User-Agent "Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv:1.8.1.14) Gecko/20080404 Firefox/2.0.0.14" ;

        proxy_set_header Host $http_host;
        proxy_connect_timeout   70s;               # 代理连接超时时间
        proxy_http_version  1.1;                   # 代理协议为http/1.1
        proxy_pass $scheme://$http_host$request_uri; # 代理到远端服务器
    }
}
2) HTTPS 的正向代理

Nginx 默认不支持 HTTP 的 CONNECT 方法,所以无法实现 HTTPS 的正向代理的功能,若要实现 Nginx 的 HTTPS 的正向代理功能,需要添加一个第三方模块 ngx_http_proxy_connect_module,实现 HTTPS 的正向代理支持。对于该模块,官网提示可支持到 Nginx 1.15.8 版本,但实测 Nginx 的 1.17.0 版本也可以编译通过。模块配置指令如下表所示。


指令名称

指令值格式

默认值

指令说明

proxy_connect

--

--

启用 HTTP 的 CONNECT 方法支持

proxy_connect_allow

all 或端口或端口范围

443 563

设置允许 CONNECT 方法的访问端口

proxy_connect_timeout

time

--

设置与被代理服务器建立连接的超时时间

proxy_connect_read_timeout

time

60s

在连续两个从被代理服务器接收数据的操作之间的间隔时间超过设置的时间时,将关闭连接

proxy_connect_send_timeout

time

60s

在连续两个发送到被代理服务器的操作之间的间隔时间超过设置的时间时,将关闭连接

proxy_connect_address

address 或 off

none

设置代理服务器的 IP 地址,指令值可以是变量。指令值 off 等于 none

proxy_connect_bind

address[tran-sparent] 或 off

none

设置从指定的本地 IP 地址及端口号与被代理服务器建立连接,指令值不能是变量。transparent 参数启用时,将会允许以非 Nginx 的客户端 IP 为源 IP 访问被代理服务器。指令值 off 等于 none


proxy_connect 模块指令使用的指令域范围为 server。模块编译如下:

yum -y install patch
git clone https://github.com/chobits/ngx_http_proxy_connect_module.git
cd nginx
patch -p1 < ../ngx_http_proxy_connect_module/patch/proxy_connect_rewrite_101504.patch
./configure --add-module=../ngx_http_proxy_connect_module

配置样例如下:

server {
    listen 8080;
    resolver 114.114.114.114;
    resolver_timeout 30s;
    access_log logs/proxy_access.log             # 记录访问日志

    proxy_connect;                               # 启用HTTP的CONNECT方法支持
    proxy_connect_allow            all;          # 允许所有端口
    proxy_connect_connect_timeout  60s;          # 与互联网网站建立连接的超时时间

    location / {
        proxy_buffering on ;                     # 启用代理缓冲
        proxy_buffers   8 8k;                    # 代理缓冲区的大小为64KB
        proxy_buffer_size   8k;                  # 响应数据第一部分的缓冲区的大小为8KB
        proxy_busy_buffers_size 16k;             # 向客户端发送响应的缓冲区的大小16KB
        proxy_limit_rate    102400;              # 限制客户端的下载速率是100KB/s
        proxy_temp_file_write_size  16k;         # 一次写入临时文件的数据大小为16KB

        # 设置所有代理客户端的agent
        proxy_set_header    User-Agent “Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv:1.8.1.14) Gecko/20080404 Firefox/2.0.0.14” ;

        proxy_set_header Host $host;
        proxy_connect_timeout   70s;             # 代理连接
        proxy_http_version  1.1;                 # 代理协议为http/1.1
        proxy_pass $scheme://$http_host$request_uri;# 代理到远端服务器
    }
}

## 本地测试
curl -x 127.0.0.1:8080  https://www.baidu.com

各浏览器可以通过代理功能配置使用 Nginx 代理服务器访问互联网服务器。 

3、HTTP 的反向代理

反向代理是用户客户端访问代理服务器后,被反向代理服务器软件按照一定的规则从一个或多个被代理服务器中获取响应资源并返回给客户端的代理模式,客户端只知道代理服务器的 IP,并不知道后端服务器的 IP,原因是代理服务器隐藏了被代理服务器的信息。


因为编写 Nginx 的反向代理配置时,被代理服务器通常会被编写在 upstream 指令域中,所以被代理服务器也被称为上游服务器。实现原理如下图所示。


nginx proxy 其他服务器 nginx的proxy_Nginx_02


图:反向代理

为方便反向代理的配置,此处把通用的代理配置写在 proxy.conf 文件中。在使用时,通过主配置文件 nginx.conf 用 include 指令引入。文件 proxy.conf 的内容如下:

cat >proxy.conf<<EOF

proxy_buffering on;           # 启用响应数据缓冲区
proxy_buffers 8 8k;           # 设置每个HTTP请求读取上游服务器响应数据缓冲区的大小为64KB
proxy_buffer_size 8k;         # 设置每个HTTP请求读取响应数据第一部分缓冲区的大小为8KB
proxy_busy_buffers_size 16k;  # 接收上游服务器返回响应数据时,同时用于向客户端发送响应的缓
                              # 冲区的大小为16KB
proxy_limit_rate 0;           # 不限制每个HTTP请求每秒读取上游服务器响应数据的流量
proxy_request_buffering on;   # 启用客户端HTTP请求读取缓冲区功能
proxy_http_version 1.1;       # 使用HTTP 1.1版本协议与上游服务器建立通信
proxy_connect_timeout 5s;     # 设置与上游服务器建立连接的超时时间为5s
proxy_intercept_errors on;    # 拦截上游服务器中响应码大于300的响应处理
proxy_read_timeout 60s;       # 从上游服务器获取响应数据的间隔超时时间为60s
60sproxy_send_timeout 60s;    # 向上游服务器发送请求的间隔超时时间为60s

# 设置发送给上游服务器的头属性字段Host为客户端请求头头字段Host的值
proxy_set_header   Host              $host:$server_port;

# 设置发送给上游服务器的头属性字段Referer为客户端请求头头字段的值Host
proxy_set_header   Referer           $http_referer;
            
# 设置发送给上游服务器的头属性字段Cookie为客户端请求头头字段的值Host
proxy_set_header   Cookie            $http_cookie;

# 设置发送给上游服务器的头属性字段X-Real-IP为客户端的IP
proxy_set_header   X-Real-IP         $remote_addr;

# 设置发送给上游服务器的头属性字段X-Forwarded-For为客户端请求头的X-Forwarded-For的
# 值,如果没有该字段,则等于$remote_addr
proxy_set_header   X-Forwarded-For   $proxy_add_x_forwarded_for;

# 设置发送给上游服务器的头属性字段X-Forwarded-Proto为请求协议的值
proxy_set_header   X-Forwarded-Proto $scheme;  
                   
EOF

在 nginx.conf 的 http 指令域中引入该文件,配置样例如下:

http {
    ...
    include proxy.conf
    include conf.d/*.conf
}

Nginx 的指令支持在指令域中对上级指令域指令的继承和修改,若对 proxy.conf 有特殊配置需求的,可在对应的 server 指令域中添加同名指令。


反向代理的配置样例如下:

server {
    listen       8088;
    access_log  logs/proxy.access.log  main;
   
    tcp_nodelay off;                 # 因启用缓冲区功能,所以关闭立刻发送功能

    location ~ ^/ {
        proxy_force_ranges on;       # 强制启用字节范围请求支持
        proxy_pass   http://192.168.2.145:8082;
        break;
    }
}

4、HTTPS 的反向代理

HTTPS 通过加密通道保护客户端与服务端之间的数据传输,已成为当前网站部署的必选配置。在部署有 Nginx 代理集群的 HTTPS 站点,通常会把 SSL 证书部署在 Nginx 的服务器上,然后把请求代理到后端的上游服务器。这种部署方式由 Nginx 服务器负责 SSL 请求的运算,相对减轻了后端上游服务器的 CPU 运算量,这种方式也被称为 SSL 终止(SSL Termination)。


因 Nginx 启用了对 TSL SNI(Server Name Identification)技术的支持,所以在同一服务器上可以安装多个绑定不同域名的 SSL 证书,使其可以在 Nginx 服务器上统一部署,同时也极大地方便了证书的管理和维护。


由 Nginx 服务器实现 SSL 终止的 HTTPS 的反向代理的常见方式有两种,一种是由 Nginx 通过 HTTP 方式与被代理服务器建立连接;另一种是由 Nginx 通过 HTTPS 方式与被代理服务器建立连接。由 Nginx 通过 HTTP 方式与被代理服务器建立连接的部署方式为客户端 → Nginx 服务器(HTTPS)→ 上游服务器(HTTP),配置样例如下:

server {
    listen 443 ssl;
    server_name www.nginxbar.org;
    charset utf-8;
    access_log  logs/sslproxy.access.log  main;
   
    tcp_nodelay off;                              # 因启用缓冲区功能,所以关闭立刻发送功能

    ssl_certificate ssl/www_nginxbar_org.pem;     # 网站证书文件
    ssl_certificate_key ssl/www_nginxbar_org.key; # 网站证书密钥文件

    ssl_session_cache shared:SSL:10m;               # 会话缓存的存储大小为10MB
    ssl_session_timeout  10m;                       # 会话缓存的超时时间为10分钟
    ssl_session_tickets on;                         # 设置会话凭证为会话缓存机制
    ssl_session_ticket_key  ssl/session_ticket.key; # 设置会话凭证密钥文件

    location ~ ^/ {
        proxy_pass   http://192.168.2.145:8082;
        break;
    }
}

按照上面的配置,Nginx 服务器与后端的上游服务器之间仍然采用的是 HTTP 透明传输,虽然可以与上游服务器部署在同一内网,但数据传输仍是不安全的。为了提高传输安全性,建议在上游服务器也开启 HTTPS 协议,实现全链路的安全数据传输。由 Nginx 通过 HTTPS 方式与被代理服务器建立连接的配置样例场景如下。


在配置样例的场景中有两个 HTTPS 节点,为方便举例说明配置指令的功能及配置指令中所用的 SSL 证书的区别,共设计了 3 个 SSL 证书并通过自签证书的方式进行签发,部署方式如下图所示。


nginx proxy 其他服务器 nginx的proxy_代理服务器_03


图:HTTPS代理

www.nginxbar.org (http://www.nginxbar.org) 证书为对外网站的域名证书,用于给用户提供身份验证。


backend.nginxbar.org (htp://backend.nginxbar.org) 证书为被代理服务器的域名证书,用于给 Nginx 服务器提供身份验证。


proxy.nginxbar.com (http://proxy.nginxbar.com) 证书为 Nginx 服务器的域名证书,用于给被代理服务器提供身份验证。


自签证书命令如下:

# 生成自建根域nginxbar.org证书
openssl req -new -x509 -out /etc/nginx/conf/ssl/root.pem -keyout
/etc/nginx/conf/ssl/root.key -days 3650 -subj
"/C=CN/ST=Shanghai/L=Shanghai/O=nginxbar/OU=admin/CN=nginxbar.org/emailAddress= admin@nginxbar.org"

# 域名www.nginxbar.org生成请求文件,面向用户端的域名请求文件
openssl req -out /etc/nginx/conf/ssl/www_nginxbar_org.csr -new -sha256
-newkey rsa:2048 -nodes -keyout /etc/nginx/conf/ssl/www_nginxbar_org.key
-subj
"/C=CN/ST=Shanghai/L=Shanghai/O=nginxbar/OU=www/CN=www.nginxbar.org/emailAddress= www@nginxbar.org"

# 颁发自签域名www.nginxbar.org证书,面向用户端的域名证书
openssl x509 -req -in /etc/nginx/conf/ssl/www_nginxbar_org.csr -out
/etc/nginx/conf/ssl/www_nginxbar_org.pem -CA /etc/nginx/conf/ssl/root.pem
-CAkey /etc/nginx/conf/ssl/root.key  -CAcreateserial -days 3650

# 域名backend.nginxbar.org生成请求文件,后端上游服务器的SSL请求文件
openssl req -out /etc/nginx/conf/ssl/backend_nginxbar_org.csr -new -sha256
-newkey rsa:2048 -nodes -keyout
/etc/nginx/conf/ssl/backend_nginxbar_org.key -subj
"/C=CN/ST=Shanghai/L=Shanghai/O=nginxbar/OU=backend/CN=backend.nginxbar.org/emailAddress=backend@nginxbar.org"

# 颁发自签域名backend.nginxbar.org证书,后端上游服务器的SSL证书
openssl x509 -req -in /etc/nginx/conf/ssl/backend_nginxbar_org.csr -out
/etc/nginx/conf/ssl/backend_nginxbar_org.pem -CA
/etc/nginx/conf/ssl/root.pem -CAkey /etc/nginx/conf/ssl/root.key
-CAcreateserial -days 3650

# 生成自建根域nginxbar.com证书,该域名仅为方便区分代理端和后端证书使用,实际使用时可以使用一个根证书
openssl req -new -x509 -out /etc/nginx/conf/ssl/proxy_root.pem -keyout
/etc/nginx/conf/ssl/proxy_root.key -days 3650 -subj
"/C=CN/ST=Shanghai/L=Shanghai/O=nginxbar/OU=admin/CN=nginxbar.com/emailAddress= admin@nginxbar.com"

# 域名proxy.nginxbar.com生成请求文件,Nginx服务器的SSL代理请求文件
openssl req -out /etc/nginx/conf/ssl/proxy_nginxbar_com.csr -new -sha256
-newkey rsa:2048 -nodes -keyout /etc/nginx/conf/ssl/proxy_nginxbar_com.key
-subj “/C=CN/ST=Shanghai/L=Shanghai/O=nginxbar/OU=proxy/CN=proxy.nginxbar.com
/emailAddress=proxy@nginxbar.com”

# 颁发自签域名proxy.nginxbar.com证书,Nginx服务器的SSL代理证书
openssl x509 -req -in /etc/nginx/conf/ssl/proxy_nginxbar_com.csr -out
/etc/nginx/conf/ssl/proxy_nginxbar_com.pem -CA
/etc/nginx/conf/ssl/proxy_root.pem -CAkey
/etc/nginx/conf/ssl/proxy_root.key  -CAcreateserial -days 3650

Nginx 代理服务器的配置如下:

resolver 114.114.114.114 valid=300s;              # DNS服务器地址
resolver_timeout 5s;                              # DNS解析的超时时间为5s

server {
    listen      443 ssl;
    server_name www.nginxbar.org;
    access_log  logs/sslproxy2_access.log  main;

    ssl_certificate ssl/www_nginxbar_org.pem;     # 网站www.nginxbar.org证书文件
    ssl_certificate_key ssl/www_nginxbar_org.key; # 网站www.nginxbar.org证书密钥文件

    ssl_session_cache shared:SSL:10m;             # 会话缓存的存储大小为10MB
    ssl_session_timeout  10m;                     # 会话缓存的超时时间为10分钟
    ssl_session_tickets on;                       # 设置会话凭证为会话缓存机制
    ssl_session_ticket_key  ssl/session_ticket.key;  # 设置会话凭证密钥文件

    location / {
        proxy_pass                    https://backend.nginxbar.org; # 被代理服务器的地址
        proxy_ssl_certificate         ssl/proxy_nginxbar_com.pem;   # 代理服务器的客户端证书
                                                                    # 文件
        proxy_ssl_certificate_key     ssl/proxy_nginxbar_com.key;   # 代理服务器的客户端证书
                                                                    # 密钥文件
        proxy_ssl_protocols           TLSv1 TLSv1.1 TLSv1.2;
        proxy_ssl_ciphers             HIGH:!aNULL:!MD5;

        proxy_ssl_verify        on;                  # 启用验证被代理服务器的证书
        proxy_ssl_trusted_certificate ssl/root.pem;  # 用于验证被代理服务器的主机名backend.
                                                     # nginxbar.org的根证书
        proxy_ssl_verify_depth  2;                   # 证书验证深度为2
        proxy_ssl_session_reuse on;                  # SSL连接启用会话重用
    }
}

Nginx Web 服务器配置如下:

server {
    listen      443 ssl;
    server_name backend.nginxbar.org;
    access_log  logs/sslbackend_access.log  main;

    ssl_certificate        ssl/backend_nginxbar_org.pem;# 网站backend.nginxbar.org证书文件
    ssl_certificate_key    ssl/backend_nginxbar_org.key;# 网站backend.nginxbar.org证书密钥
                                                        # 文件
    ssl_verify_client      on;                          # 启用对Nginx服务的证书验证
    ssl_client_certificate ssl/proxy_root.pem;          # 用以验证Nginx服务器主机名
                                                        # proxy.nginxbar.com的根证书
    ssl_verify_depth  2;                                # 证书验证深度为2

    ssl_session_cache shared:SSL:10m;                   # HTTPS会话缓存的存储大小为10MB
    ssl_session_tickets off;                            # 以会话编号机制实现会话缓存
    ssl_session_timeout 10m;                            # 会话缓存的超时时间为10分钟

    charset utf-8;
    root /opt/nginx-web;
    index index.html index.htm;
}

5、反向代理的真实客户端 IP

客户端在访问互联网应用服务器时,与真实的应用服务器之间会因为有多层反向代理,而导致真实应用服务器获取的仅是最近一层的反向代理服务器 IP。为使 Nginx 后端的上游服务器可以获得真实客户端 IP,Nginx 提供了 ngx_http_realip_module 模块用以实现真实客户端 IP 的获取及传递的功能。


通过该模块提供的配置指令,用户可以手动设置上层反向代理服务器的 IP 作为授信 IP,Nginx 服务器根据配置指令的配置排除授信 IP,而甄别出真实的客户端 IP 进行日志记录,并传递给上游服务器。模块配置指令如下表所示。


指令名称

指令值格式

默认值

指令说明

set_real_ip_from

address 或 CIDR 或 unix

--

设置授信 IP,IP 网段或 UNIX 套接字

real_ip_header

field 或 X-Real-IP 或 X-For-warded-For 或 proxy_protocol 

X-Real-IP

通过指定的 HTTP 头字段获取真实客户端 IP

real_ip_recursive

on 或 off

off

当客户端经多层反向代理到达当前服务器时,指定的 HTTP 头字段中会有多个 IP 地址。默认会以最后一个 IP 为真实客户端 IP,当指令值为 on 时,会以最后一个非信 IP 为真实客户端 IP


该模块指令使用的指令域范围为http、server、location。配置样例如下:

server {
    listen       8088;
    access_log  logs/proxy.access.log  main;
   
    set_real_ip_from 192.168.2.159;   # 设置192.168.2.159为授信IP
    real_ip_header X-Forwarded-For;   # 通过HTTP头字段X-Forwarded-For获取真实客户端IP
    real_ip_recursive on;             # 以最后一个非授信IP为真实客户端IP
   
    tcp_nodelay off;                  # 因启用缓冲区功能,所以关闭立刻发送功能

    location ~ ^/ {
        proxy_force_ranges on;        # 强制启用字节范围请求支持
        proxy_pass   http://192.168.2.145:8082;
        break;
    }
}

Nginx stream模块简述

Nginx 的 TCP/UDP 代理功能的模块分为核心模块和辅助模块、核心模块 stream 需要在编译配置时增加“--with-stream”参数进行编译。核心模块的全局配置指令如下表所示。

参数名称

指令值格式

默认值

参数说明

listen

address:port[ssl][udp][proxy protocol]

[backlog=number][rcvbuf=size]

--

stream 监听协议及端口

listen

[sndbuf=size][bind][ipv6only=on 或 off]

[reuseport][so_keepalive=on 或 off 或

[keepidle]:[keepintvl]:[keepent]]

--

stream 监听协议及端口

preread_buffer_size

size

16k

设置每个会话数据预读缓冲区的大小

preread_timeout

timeout

30s

设置每个会话数据预读取的超时时间

proxy_protocol_timeout

timeout

30s

读取代理协议头的超时时间

resolver

address... [valid=time][ipv6=on 或 off]

--

域名解析服务器地址

resolver_timeout

time

30s

域名解析超时时间

tcp_nodelay

on 或 off

on

启用或关闭立即发送数据(tcp_nodelay)选项

variables_hash_bucket_size

size

64

设置变量哈希表中桶的大小

variables_hash_max_size

size

1024

设置变量哈希表的最大值


关于上表有以下几点需要说明。

  • 指令 listen 使用的指令域范围为 server;
  • 指令 variables_hash_bucket_size 和 variables_hash_max_size 使用的指令域范围为 stream;
  • stream 核心模块其余指令使用的指令域范围为 stream、server;
  • resolver 指令值可填写多个域名解析服务器地址,各个地址用空格分隔;
  • listen 指令值参数如下表所示。


参数名称

默认

参数说明

ssl

--

在指定监听端口上启用 SSL 协议支持

udp

--

在指定监听端口上启用 UDP 协议支持

proxy_protocol

--

在指定监听端口上启用 proxy_protocol 协议支持

backlog

-1/511

设置挂起连接队列的最大长度,在 FreeBSD、DragonFly BSD 和 macOS 操作系统上,设置默认值为 -1,其他平台为 511

rcvbuf

--

设置套接字(socket)接收缓冲区(SO_RCVBUF 选项)的大小,Linux 操作系统下默认值为内核参数 net.core.rmem_default 的值

sndbuf

--

设置套接字(socket)发送缓冲区(SO_SNDBUF 选项)的大小,Linux 操作系统下默认值为内核参数 net.core.wmem_default 的值

bind

--

address:port 指定 IP 及端口

ipv6only

on

只接收 IPv6 连接,或接收 IPv6 和 IPv4 连接

reuseport

--

在默认情况下,所有的工作进程都会共享一个 socket 去监听同一 IP 和端口的组合。该参数启用后,允许每个工作进程由独立的 socket 去监听同一 IP 和端口的组合,内核会对传入的连接进行负载均衡。目前,它只适用于 Linux 3.9+、DragonFly BSD 和 FreeBSD 12+

so_keepalive

off

配置监听的端口启用 TCP keepalive 机制时的心跳检测参数。当指令值为 on 时,默认等同于 so_keepalive=30m::10,表示 30 分钟无数据传输时发送探测包,总共发送 10 次,发送时间间隔为系统内核参数 tcp_keepalive_intvl 的设定值


配置样例如下:

stream {
    resolver 114.114.114.114 valid=300s; 
    resolver_timeout 2s;

    upstream backend {
       server 192.168.0.1:333;
       server www.example.com:333;
    }

    server {
        listen 127.0.0.1:333 udp reuseport;
        proxy_timeout 20s;
        proxy_pass backend;
    }

    server {
        listen [::1]:12345;
        proxy_pass unix:/tmp/stream.socket;
    }
}

stream 辅助模块

1) ngx_stream_map_module

该模块的功能是在客户端每次连接时,Nginx按照map指令域中源变量的当前值,把设定的对应值赋给新变量。该指令的语法格式如下:

map 源变量 新变量{}

这个指令使用的指令域只有 stream,指令值参数如下表所示。


参数名称

参数值

default

为新变量指定一个默认值。若不指定这个参数,新变量默认值为空

hostnames

当源变量为主机名时,允许使用主机名前缀或后缀对源变量值进行匹配

include

引入一个外部文件作为 map 的指令域内容

volatile

map 默认创建的是可被缓存的变量,启用该参数后,创建的为不可被缓存的变量


map 指令域中,当源变量值存在相同匹配项时,匹配的顺序如下:

  • 完全匹配的字符串;
  • 有主机前缀的最长字符串;
  • 有主机后缀的最长字符串;
  • 在指令域中按自上而下的顺序最先匹配到的正则表达式;
  • default 参数给定的默认值。


map 哈希表大小指令如下表所示。


名称

map 哈希表大小指令

指令

map_hash_max_size

作用域

stream

默认值

2048

指令说明

map 指令中,存储变量的哈希表的大小


map 哈希桶大小指令如下表所示。


名称

map 哈希桶大小指令

指令

map_hash_bucket_size

作用域

stream

默认值

32、64 或 128

指令说明

map 指令中,存储变量的哈希桶的大小


配置样例如下:

stream{
   
    map $remote_addr $limit {
        127.0.0.1    “”;
        default      $binary_remote_addr;
    }

    limit_conn_zone $limit zone=addr:10m;
    limit_conn addr 1;
    server {
        listen 33060 reuseport;
        access_log  logs/tcp.log tcp;

        proxy_timeout 20s;
        proxy_pass 127.0.0.1:3306;
    }
}
2) ngx_stream_geo_module

该模块的功能是从源变量获取 IP 地址,并根据设定的 IP 与对应值的列表对新变量进行赋值。该模块只有一个 geo 指令,指令格式如下:

geo [源变量]新变量{}

geo 指令的默认源变量是 $remote_addr,新变量默认值为空,这个指令使用的指令域只有 stream,指令值参数如下表所示。


参数名

参数描述

delete 

删除配置中已经存在的相同 IP 地址的设定

default

如果从源变量获取的IP无法匹配任意一个 IP 或 IP 范围时,使用这个参数的值作为新变量赋值

include

引入一个包含 IP 与对应值的外部文件

ranges

以地址段的形式定义 IP 地址,这个参数必须放在最上面


配置样例如下:

geo $country {
    ranges;
    default                   CN;
    127.0.0.0-127.0.0.0       US;
    10.1.0.0-10.1.255.255     RU;
    192.168.1.0-192.168.1.255 UK;
}

geo $country {
    default        ZZ;
    include        conf/geo.conf;
    delete         127.0.0.0/16;

    127.0.0.0/24   US;
    10.1.0.0/16    RU;
    192.168.1.0/24 UK;
}
3) ngx_stream_geoip_module

该模块的功能首先是根据客户端的 IP 地址与 MaxMind 数据库中的城市地址信息做比对,然后再将对应的城市地址信息赋值给内置变量。


国家信息数据库指令如下表所示。


名称

国家信息数据库指令

指令

geoip_country

作用域

stream

默认值

1

指令说明

指定国家信息的 MaxMind 数据库文件路径


城市信息数据库指令如下表所示。


名称

城市信息数据库指令

指令

geoip_city

作用域

stream

默认值

1

指令说明

指定城市信息的 MaxMind 数据库文件路径


机构信息数据库指令如下表所示。


名称

机构信息数据库指令

指令

geoip_org

作用域

stream

默认值 

1

指令说明

指定机构信息的 MaxMind 数据库文件路径


配置样例如下:

stream {
    geoip_country         /usr/share/GeoIP/GeoIP.dat;
    geoip_city            /usr/share/GeoIP/GeoLiteCity.dat;

    map $geoip_city_continent_code $nearest_server {
        default        example.com;
        EU          eu.example.com;
        NA          na.example.com;
        AS          as.example.com;
    }
    ...
}
4) ngx_stream_split_clients_module

该模块会按照配置指令将一个 0~232 之间的数值根据设定的比例分割为多个数值范围,每个数值范围会被设定一个对应的给定值。用户每次请求时,指定的字符串会被计算出一个数值,该模块会将该数值所在范围对应的给定值赋值给配置中定义的变量。该功能常用来按照用户的来源IP进行访问流量分流。该指令的语法格式如下:

split_clients 字符串 新变量 {}

配置样例如下:

stream {
    split_clients "${remote_addr}AAA" $upstream {  # ${remote_addr}AAA会被计算出一个数值
        0.5%     backend1;  # 数值在0 ~ 21474835之间,$upstream被赋值backend1
        80.0%    backend2;  # 数值在21474836 ~ 3435973836之间,$upstream被赋值backend2
        *        backend;   # 数值在3435973837 ~ 4294967295,$upstream被赋值backend
    }
    server {
        listen 389;
        proxy_pass $upstream;
    }
}

这个指令使用的指令域只有 stream;客户端每次请求时,指定字符串会被使用 MurmurHash2 算法计算出一个 0~232(0~4294967295)之间的数值,该模块会将该数值所在范围对应的给定值赋值给配置中定义的变量。

5) ngx_stream_ssl_preread_module

该模块可以在预读取阶段从 ClientHello 消息中提取信息,赋值给内置变量后供用户调用。


SSL 信息预读如下表所示。


名称

SSL 信息预读

指令

ssl_preread

作用域

stream、server

可选项

on 或 off

默认值

off

指令说明

设置是否启用 SSL 信息预读功能


内置变量如下表所示。


变量名

变量说明

$ssl_preread_protocol 

客户端支持的最高 SSL 协议版本

$ssl_preread_server_name

通过 SNI 请求的服务器名称

$ssl_preread_alpn_protocols

客户通过 ALPN 公布的协议列表


配置样例如下:

stream {
    map $ssl_preread_protocol $upstream {
        ""        ssh.example.com:22;
        "TLSv1.2" new.example.com:443;
        default   tls.example.com:443;
    }

    server {
        listen      192.168.0.1:443;
        proxy_pass  $upstream;
        ssl_preread on;
    }
}
6) ngx_stream_limit_conn_module

该模块对访问连接中含有指定变量且变量值相同的连接数进行计数,当计数值达到 limit_conn 指令设定的值时,Nginx 服务器将关闭此类连接。由于 Nginx 采用的是多进程的架构,因此该模块通过共享内存存储计数状态并实现了多个进程间的计数状态共享。


计数存储区指令如下表所示。


名称

计数存储区指令

指令

limit_conn_zone

作用域

stream

默认值

--

指令说明

设定用以存储指定变量计数的共享内存区域


连接数设置指令如下表所示。


名称

连接数设置指令

指令

limit_conn

作用域

stream、server

默认值

--

指令说明

设置指定变量并发连接的最大数


连接数日志级别指令如下表所示。


名称

连接数日志级别指令

指令

limit_conn_log_level

作用域

stream、server

默认值

error

可选项

info、notice、warn、error

指令说明

当指定变量的并发连接数达最大值时,输出日志的级别


配置样例如下:

stream {
    limit_conn_zone $binary_remote_addr zone=addr:10m; # 对客户端IP进行并发计数,计数内存区
                                                       # 命名为addr,计数内存区的大小为10MB
    server {
        limit_conn addr 1;                             # 限制客户端的并发连接数为1
        ...
    }
}

配置说明如下所示:

  • limit_conn_zone 的格式如下:

limit_conn_zone key zone=name:size;

  • limit_conn_zone 的 key 可以是文本、变量或文本与变量的组合;
  • $binary_remote_addr 为 IPv4 时,占用 4B;为 IPv6 时,占用 16B;
  • limit_conn_zone 中,1MB 的内存空间可以存储 32000 个 32B 或 16000 个 64B 的变量计数状态;
  • 变量计数状态在 32 位系统平台占用 32B 或 64B,在 64 位系统平台占用 64B。
7) ngx_stream_access_module

这个模块可以允许或拒绝客户端的源 IP 地址进行连接。


允许连接指令如下表所示。


名称

允许连接指令

指令

allow

作用域

stream、server

可选项

address 或 CIDR 或 unix: 或 all

默认值

--

指令说明

允许指定源 IP 的客户端连接


拒绝连续指令如下表所示。


名称

拒绝连接指令

指令

deny

作用域

stream、server

可选项

address 或 CIDR 或 unix: 或 all

默认值

--

指令说明

拒绝指定源 IP 的客户端连接


配置样例如下:

stream {
    server {
        deny  192.168.1.1;          # 禁止192.168.1.1
        allow 192.168.0.0/24;       # 允许192.168.0.0/24的IP访问
        allow 10.1.1.0/16;          # 允许10.1.1.0/16的IP访问
        allow 2001:0db8::/32;
        deny  all;
    }
}

Nginx 按照自上而下的顺序进行匹配。

8) ngx_stream_return_module

该模块向客户端返回指定值并关闭连接。


返回值指令如下表所示。


名称

返回值指令

指令

return

作用域

server

指令说明

向客户端返回指定值并关闭连接


配置样例如下:

stream {
    server {
        listen 12345;
        return $time_iso8601; # 返回当前连接的时间
    }
}

Nginx TCP/UDP代理简述

Nginx 并不直接提供 TCP/UDP 的应用响应,Nginx Stream 模块的核心功能是将客户端的 TCP/UDP 连接反向代理给后端的被代理服务器。

1) 核心配置指令

TCP/UDP 代理功能的核心配置指令如下表所示。


指令名称

指令值格式

默认值

指令说明

proxy_bind

address[transparent] 或 off

--

设置从指定的本地 IP 地址及端口与被代理服务器建立连接,指令值可以是变量。指令值参数为 transparent 时,允许将客户端的真实 IP 透传给被代理服务器,并以客户端真实 IP 为访问被代理服务器的源 IP;指令值参数为 off 时,则取消上一层指令域同名指令的配置

proxy_buffer_size

size

16k

设置用于从被代理服务器读取数据的缓冲区的大小,也用于设置从客户端读取会话数据的缓冲区的大小

proxy_connect_timeout

time

60s

与被代理服务器建立连接的超时时间

proxy_timeout

time

10m

Nginx 服务器与客户端或被代理服务器的两个连续成功的读或写操作的最大间隔时间,如果在间隔时间内没有数据传输,则关闭连接

proxy_download_rate

rate

0

限制每个连接每秒从被代理服务器中读取数据的字节数,默认不限制

proxy_upload_rate

rate

0

限制每个连接每秒发送到被代理服务器的数据的字节数,默认不限制

proxy_next_upstream

on 或 off

on

当被代理的服务返回错误或超时时,将未返回响应的客户端连接请求传递给 upstream 中的下一个服务器

proxy_next_upstream_timeout

time

0

设置将符合条件的客户端连接请求传递给 upstream 中下一个服务器的超时时间。“0”为不做超时限制,即直到遍历完所有上游服务器组中的服务器为止

proxy_next_upstream_tries

number

0

设置将符合条件的客户端连接请求传递给 upstream 中下一个服务器的尝试次数,包括第一次的失败次数。“0”为不做尝试次数限制,即直到遍历完所有上游服务器组中的服务器为止

proxy_pass

address

--

被代理服务器的地址,支持 IP 或域名加端口、UNIX 域套接字、upstream 名

proxy_protocol

on 或 off

off

设置是否对被代理服务器的连接启用代理协议(proxy_protocol)支持

proxy_socket_keepalive

on 或 off

off

设置 Nginx 与被代理服务器的 TCP keepalive 行为的心跳检测机制,默认使用操作系统的 socket 配置,若指令值为 on,则开启 SO_KEEPALIVE 选项进行心跳检测

proxy_ssl

on 或 off

off

设置是否启用 SSL/TLS 协议与被代理服务器建立连接

proxy_ssl_protocols

[SSLv2][SSLv3]

[TLSv1][TLSv1.1]

[TLSv1.2][TLSv1.3]

TLSv1

TLSv1.1

TLSv1.2

指定可用于 Nginx 与被代理服务器建立 SSL 连接的 SSL 协议版本

proxy_ssl_session_reuse

on 或 off

on

是否启用与被代理服务器 SSL TCP 连接的 SSL 会话重用功能

proxy_ssl_ciphers

ciphers

DEFAULT

设置与被代理服务器建立 SSL 连接时,用于协商使用的加密算法组合,也称为密码套件,指令值内容为 openssl 的密码套件名称,多个套件名称由“:”分隔

proxy_ssl_server_name

on 或 off

off

在与被代理服务器建立 SSL 连接时,设置是否启用通过 SNI 或 RFC 6066 传递主机名

proxy_ssl_certificate

file

--

指定被代理服务器对 Nginx 服务器身份验证的 PEM 格式 SSL 证书文件

proxy_ssl_certificate_key

file

--

指定被代理服务器对 Nginx 服务器身份验证的 PEM 格式 SSL 证书私钥文件

proxy_ssl_password_file

file

--

存放被代理服务器对 Nginx 服务器身份验证的 PEM 格式 SSL 证书私钥文件的密码文件,一个密码一行。有多个密码时,Nginx 会依次尝试

proxy_ssl_verify

on 或 off

off

设置是否启用对被代理服务器的 SSL 证书的验证功能

proxy_ssl_name

name

proxy_pass

指令指定的主机名

指定对被代理服务器 SSL 证书验证的主机名

proxy_ssl_crl

file

--

证书品销列表文件,用于验证被代理服务器 SSL 证书有效性的 PEM 格式文件

proxy_ssl_trusted_certificate

file

--

指定一个 PEM 格式的 CA 证书(根或中间证书)文件,该证书用作被代理服务器的证书链验证

proxy_ssl_verify_depth

number

1

设置被代理服务器的证书链的验证深度

proxy_requests

number

0

UDP 代理时,设置同一客户端被 Nginx 在每次 UDP 会话中,转发给被代理服务器的数据报的数量。当达到这个数量时,将启用一个新的 UDP 会话继续转发。可用于 Nginx 对 UDP 虚拟连接会话的控制

proxy_responses

number

--

UDP 代理时,设置允许被代理服务器返回 UDP 数据报的数量,超过指令值时将中止会话。默认无限制,0 为不返回响应数据


该模块的指令使用的指令域范围为 stream、server。

2) TCP 反向代理配置样例

配置样例如下:

stream {
    server {
        listen 389 ;                          # 设置监听端口为389
        proxy_pass 192.168.2.100:389;         # 将连接代理到后端192.168.2.100:389
        proxy_timeout 5s;                     # 与被代理服务器的连续通信间隔大于5s,
                                              # 则认为通信超时,将关闭连接
        proxy_connect_timeout 5s;             # 与被代理服务器建立连接的超时时间为5s
        access_log logs/ldap_access.log tcp;  # 记录日志文件为logs/ldap_access.log,
                                              # 日志模板为tcp
    }
}

3) 代理 SSL TCP

代理模块 stream 可以实现基于 SSL/TLS 协议的被代理服务器的反向代理,部署方式为客户端 → Nginx 服务器(TCP)→ 被代理服务器(SSL TCP)。配置样例如下:

stream {
    server{
        listen 636;                            # 设置监听端口为636
        access_log  logs/ldap_access.log tcp;
        proxy_pass  192.168.2.100:636;
        proxy_ssl   on;                        # 启用SSL/TLS协议,与被代理服务器建立连接
        proxy_ssl_session_reuse on;            # 与被代理服务器SSL TCP连接的SSL会话重用功能
    }
}

4) UDP 反向代理配置

UDP 协议是一种无连接的协议,发送端与接收端传输数据之前不需要建立连接,发送端会尽最大努力把数据发送出去,不能保证安全地传输到接收端。由于传输数据不建立连接,也不需要维持复杂的链路关系(包括连接状态、收发状态等),因此发送端可同时向多个接收端传输相同的消息。


虽然 UDP 的数据传输是不可靠的,但如果有一个数据报丢失,另一个新的数据报会在几秒内替换它发送到接收端。UDP 协议通常被用在单向传输无须返回响应及信息分发的场景,如日志收集或在屏幕上的航班信息、股票行情等多媒体场景。

stream {
    server {
        listen 1514 udp;               # 设置监听端口为1514并启用UDP协议
        proxy_pass 192.168.2.123:1514;
        proxy_responses 0;             # 会话接收数据报后无须等待返回响应,立即关闭会话
    }
}