Nginx学习（3）—— 反向代理、负载均衡、动静分离、URLRewrite、防盗链

2023-05-16

文章目录

网关、代理与反向代理
Nginx的反向代理配置
基于反向代理的负载均衡的配置
负载均衡策略
- 负载均衡权重相关配置（weight）
动静分离
- Nginx配置动静分离
URL-rewrite伪静态配置
负载均衡+URL-rewrite
防盗链

网关、代理与反向代理

什么是反向代理：
在这里插入图片描述
所谓代理，指的是在用户和服务器之间有个中间人，对于用户而言它是代理的服务器，对服务器而言它是代理的用户。
那么正向代理就是用户主动配置的代理服务器，通过代理服务器向目标服务器发送请求。
反向代理就是服务器主动提供的，供用户来访问的代理。

什么是网关：
当一个网络需要访问另一个网络时总需要一些出入口，这些出入口就是网关。所谓的反向代理服务器，负载均衡服务器只是网关的一个特殊实现，他们都包含在网关这个大概念里面。

Nginx的反向代理配置

nginx配置文件中添加proxy_pass 参数：（注意下面配置会有问题）
在这里插入图片描述
刷新配置文件后浏览器请求localhost，访问到qq.com：
此时有个问题就是，请求localhost后地址栏的地址会变成https://www.qq.com 原因是proxy_pass选项后的地址是不支持https协议的，否则nginx发出一个页面跳转的响应，从而跳转到指定的网址。
在这里插入图片描述

下面配置也会有问题： 因为地址不全
在这里插入图片描述

正确配置应该是：
在这里插入图片描述

基于反向代理的负载均衡的配置

在这里插入图片描述

负载均衡策略

轮询：
逐一将请求分发给服务器。缺点：不能保持会话。
ip_hash：
判断来源的ip地址，相同的ip指向相同的服务器。缺点：ip变化时会话也会丢失，比如移动端。
least-conn：
最少连接数访问。哪个服务器接收的用户少就给谁分配。
URL_hash：
根据用户访问的URL定向指定服务器。定向流量转发（对URL取hash相同的hash转发给相同的服务器）。也不能保持会话，比如注册页面和登陆页面的hash不同，在一台服务器上注册后再发起登录请求时又是另一台服务器，此时就找不到登录信息。适用于访问固定资源不在同一服务器时。
fair：
根据服务器的响应时间分发请求。会有流量倾斜的风险。

注意：
fair、url_hash、least-conn、ip_hash生产上都不常用，最大的原因是这些策略不能动态的上线或下线服务器。非常不灵活。
一般都是用lua脚本语言来自定义转发。

负载均衡权重相关配置（weight）

服务器集群中的设备条件总会有差异，所以需要牛一点的设备多承担一些作业，此时就可以给性能高的服务器较高的权重，以此来提高用户体验。
在这里插入图片描述

动静分离

场景：
只适用于中小型并发较小的网站。

原理：
用户的以此请求会伴随很多个动态请求和静态请求，其中获取js、图片等资源属于静态访问。
原始的服务是Nginx只负责做反向代理，所有的资源都在应用服务器上，用户请求Nginx,Nginx再请求应用服务器，服务器将资源返回给Nginx再由Nginx返回给用户。
动静分离是指将本来在应用服务器上的静态资源放到Nginx反向代理服务器上，当用户发起静态请求时直接由Nginx提供资源，动态请求再去转发，以此来实现动静分离。从而提高网页的访问速度。

Nginx配置动静分离

在这里插入图片描述

URL-rewrite伪静态配置

在这里插入图片描述

rewrite 也可以写正则表达式

rewrite 结尾标志：

last：本条规则匹配完成后，继续向下匹配新的location URI规则。
break：本条规则匹配完成立即终止，不再匹配后面的任何规则。
redirect：返回302临时重定向，浏览器地址会显示跳转后的URL地址。
permanent：返回301永久重定向，浏览器地址栏会显示跳转后的URL地址。

负载均衡+URL-rewrite

在这里插入图片描述

防盗链

什么是防盗链：
在跨站访问资源的时候，被称为“盗链”。假设B站点作为一个商业网站，有很多自主版权的图片，用于商业目的。而A站点，希望在自己的网站上面也展示这些图片，直接使用。
这样，大量的客户端在访问A站点时，实际上消耗了B站点的流量，这就称之为“盗链”。
我们要防止这种情况的发生，就称为“防盗链”。

怎么实现防盗链：
HTTP协议和标准的浏览器对于解决这个问题提供便利，浏览器在加载非本站的资源时，会增加一个头域，头域名字固定为referer，该字段记录了一个请求的来源，第一次请求是没有referer字段的。
在这里插入图片描述
服务器可以检测referer是否是允许的主机，如果是那就接收请求否则拒绝。

防盗链的配置：

valid_referers none | blocked | server_names | strings...

- none：检测referer头域不存在的情况。
- blocked：检测referer头域的值被防火墙或者代理服务器删除或伪装的情况。这种情况该头域的值不以"http://"或"https://"开头。
- server_names：设置一个或多个URL，检测Referer头域的值是否是这些URL中的某一个。

Nginx配置文件中在需要防盗链的location中添加如下配置

valid_referers none 主机名;	# none 表示没有referer头域的时候允许访问，也可不配置，不配置时没有referer则不能访问
if ($invalid_referer){
	return 403;
}
# 解释：valid_referers配置表示 如果referer头域中匹配到“主机名”那就接收请求。if处理的是无效的引用就返回403

在这里插入图片描述

使用curl测试：

# 1. 查看192.168.165.101站点响应的头信息
curl -I http://192.168.165.101/img/img.png

# 2. 带引用，表示从http://baidu.com访问的192.168.165.101站点
curl -e "http://baidu.com" -I http://192.168.165.101/img/img.png

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系:hwhale#tublm.com(使用前将#替换为@)