3.nginx反向代理协议升级

==============================================================================================================================================================================================

1.nginx反向代理websocket原理

一般我们开发的WebSocket服务程序使用ws协议,明文的。但是怎样让它安全的通过互联网传输呢?这时候可以通过nginx在客户端和服务端直接做一个转发了, 客户端通过wss访问,然后nginx和服务端通过ws协议通信。如下图所示:

2.nginx配置文件详解

先直接展示配置文件,如下所示(使用的话直接复制,然后改改ip和port即可)
http --> ws

upstream web {
    server domain.com:80;
# map 指令根据客户端请求头中 $http_upgrade 的值构建 $connection_upgrade 的值;如果 $http_upgrade 没有匹配,默认值为 upgrade,如果 $http_upgrade 配置空字符串,值为 close
map $http_upgrade $connection_upgrade {
    default upgrade;
    '' close;
server {
    # 监听 tcp4
    listen 80;
    # 监听 tcp6
    listen [::]:80;
    # 无效域名 _ 匹配任意域名,优先级最低
    server_name  _;
    # 访问日志
    access_log /var/log/nginx/access.log main;
    # 错误日志
    error_log /var/log/nginx/error.log notice;
    # 客户端请求体大小,避免大文件上传 413
    client_max_body_size 1024m;
    # X-Frame-Options 标头
    add_header X-Frame-Options sameorigin;
    # 内容安全策略 (CSP)
    add_header Content-Security-Policy "frame-ancestors 'self'";
    # 前端静态文件
    location / {
        root /data/www/web_frontend;
        try_files $uri $uri/ /index.html last;
    # 后端 WebSocket,注意 proxy_pass 后的 /,携带 / 转发请求时会去掉匹配前缀
    location /websocket/ {
        # 代理转发目标
        proxy_pass http://web;
        # 请求服务器升级协议为 WebSocket
        proxy_http_version 1.1;
        proxy_set_header Upgrade $http_upgrade;
        proxy_set_header Connection $connection_upgrade;
        # 设置读写超时时间,默认 60s 无数据连接将会断开
        proxy_read_timeout 300s;
        proxy_send_timeout 300s;
        # Host 主机名
        proxy_set_header Host $host;
        # X-Real-IP 将真实访问者的远端 IP 地址转发给代理服务器
        proxy_set_header X-Real-IP $remote_addr;
        # X-Forwarded-For 标记客户端通过代理连接到服务器的源 IP
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        # X-Forwarded-Host 标记客户端通过代理连接到服务器的原始主机
        proxy_set_header X-Forwarded-Host $host:$server_port;
        # X-Forwarded-Server 代理服务器的主机名
        proxy_set_header X-Forwarded-Server $host;
        # X-Forwarded-Port 定义客户端请求的原始端口
        proxy_set_header X-Forwarded-Port $server_port;
        # X-Forwarded-Proto 标记客户端通过代理连接到服务器的协议
        proxy_set_header X-Forwarded-Proto $scheme;
        # proxy_set_header X-Forwarded-Proto $proxy_x_forwarded_proto;

https --> wss

upstream web {
    server domain.com:443;
# map 指令根据客户端请求头中 $http_upgrade 的值构建 $connection_upgrade 的值;如果 $http_upgrade 没有匹配,默认值为 upgrade,如果 $http_upgrade 配置空字符串,值为 close
map $http_upgrade $connection_upgrade {
    default upgrade;
    '' close;
server {
    # 监听 tcp4 并开启 http2
    listen 443 ssl http2;
    # 监听 tcp6 并开启 http2
    listen [::]:443 ssl http2;
    # 无效域名 _ 匹配任意域名,优先级最低
    server_name  _;
    # 访问日志
    access_log /var/log/nginx/access.log main;
    # 错误日志
    error_log /var/log/nginx/error.log notice;
    # 服务器证书文件
    ssl_certificate /data/www/domain.com/certs/server.crt;
    # 服务器证书密钥文件
    ssl_certificate_key /data/www/domain.com/certs/server.key;
    # 支持的 ssl 或 tls 的版本
    ssl_protocols TLSv1.2 TLSv1.3;
    # 是否由服务器决定采用哪种算法,默认 off;如果 ssl 协议支持 tlsv1、tlsv1.1 老协议,设置为 on 并配合 ssl_ciphers 使用,如果 ssl 协议为 tlsv1.2、tlsv1.3 新协议,设置为 off,新协议不再采纳该参数
    ssl_prefer_server_ciphers off;
    # 支持 ssl 协议的加密套件
    ssl_ciphers ECDHE-RSA-AES256-SHA384:AES256-SHA256:RC4:HIGH:!MD5:!aNULL:!eNULL:!NULL:!DH:!EDH:!AESGCM;
    # 启用 ssl session 缓存,占用 10m 内存,缓存时间由 ssl_session_timeout 决定
    ssl_session_cache shared:SSL:10m;
    # 客户端可以重用会话的时间
    ssl_session_timeout 10m;
    # 客户端请求体大小,避免大文件上传 413
    client_max_body_size 1024m;
    # HSTS: HTTP 严格传输安全
    add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
    # X-Frame-Options 标头
    add_header X-Frame-Options sameorigin;
    # 内容安全策略 (CSP)
    add_header Content-Security-Policy "frame-ancestors 'self'";
    # HTTPS 通过 HTTP 访问时 Nginx 触发 497 状态码,重定向到 HTTPS
    error_page 497 https://$http_host$uri$is_args$args;
    # 前端静态文件
    location / {
        root /data/www/web_frontend;
        try_files $uri $uri/ /index.html last;
    # 后端 WebSocket,注意 proxy_pass 后的 /,携带 / 转发请求时会去掉匹配前缀
    location /websocket/ {
        # 代理转发目标
        proxy_pass http://web;
        # 请求服务器升级协议为 WebSocket
        proxy_http_version 1.1;
        proxy_set_header Upgrade $http_upgrade;
        proxy_set_header Connection $connection_upgrade;
        # 设置读写超时时间,默认 60s 无数据连接将会断开
        proxy_read_timeout 300s;
        proxy_send_timeout 300s;
        # Host 主机名
        proxy_set_header Host $host;
        # X-Real-IP 将真实访问者的远端 IP 地址转发给代理服务器
        proxy_set_header X-Real-IP $remote_addr;
        # X-Forwarded-For 标记客户端通过代理连接到服务器的源 IP
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        # X-Forwarded-Host 标记客户端通过代理连接到服务器的原始主机
        proxy_set_header X-Forwarded-Host $host:$server_port;
        # X-Forwarded-Server 代理服务器的主机名
        proxy_set_header X-Forwarded-Server $host;
        # X-Forwarded-Port 定义客户端请求的原始端口
        proxy_set_header X-Forwarded-Port $server_port;
        # X-Forwarded-Proto 标记客户端通过代理连接到服务器的协议
        proxy_set_header X-Forwarded-Proto $scheme;
        # proxy_set_header X-Forwarded-Proto $proxy_x_forwarded_proto;

接下来,我们就分别分析上述配置的具体含义。

2.1 map值映射

map $http_upgrade $connection_upgrade {
          default upgrade;
          '' close;

表示的是:
如果 $http_upgrade 不为 '' (空),则 $connection_upgrade 为 upgrade 。
如果 $http_upgrade 为 '' (空),则 $connection_upgrade 为 close。

2.2 upstream

upstream wsbackend{
        server ip1:port1;
        server ip2:port2;
        keepalive 1000;

表示的是 nginx负载均衡:
两台服务器 (ip1:port1)和(ip2:port2) 。
keepalive 1000 表示的是每个nginx进程中上游服务器保持的空闲连接,当空闲连接过多时,会关闭最少使用的空闲连接.当然,这不是限制连接总数的,可以想象成空闲连接池的大小,设置的值应该是上游服务器能够承受的。

2.3 location

server {
       listen 20038;
       location /{
            proxy_http_version 1.1;
            proxy_pass http://wsbackend;
            proxy_redirect off;
            proxy_set_header Host $host;
            proxy_set_header X-Real-IP $remote_addr;
            proxy_read_timeout 3600s;
            proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
            proxy_set_header Upgrade $http_upgrade;
            proxy_set_header Connection $connection_upgrade;

表示的是监听的服务器的配置

listen 20038 表示 nginx 监听的端口
locations / 表示监听的路径(/表示所有路径,通用匹配,相当于default)
proxt_http_version 1.1 表示反向代理发送的HTTP协议的版本是1.1,HTTP1.1支持长连接
proxy_pass http://wsbackend; 表示反向代理的uri,这里可以使用负载均衡变量
proxy_redirect off; 表示不要替换路径,其实这里如果是/则有没有都没关系,因为default也是将路径替换到proxy_pass的后边
proxy_set_header Host $host; 表示传递时请求头不变, $host是nginx内置变量,表示的是当前的请求头,proxy_set_header表示设置请求头
proxy_set_header X-Real-IP $remote_addr; 表示传递时来源的ip还是现在的客户端的ip
proxy_read_timeout 3600s; 表的两次请求之间的间隔超过 3600s 后才关闭这个连接,默认的60s,自动关闭的元凶
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; 表示X-Forwarded-For头不发生改变
proxy_set_header Upgrade $http_upgrade; 表示设置Upgrade不变
proxy_set_header Connection $connection_upgrade; 表示如果 $http_upgrade为upgrade,则请求为upgrade(websocket),如果不是,就关闭连接
若是实际使用的websocket地址后面还有路径,比如实际地址是这样的,访问地址是 http://www.a.com,实际会转发给ws://127.0.0.1:8094/ws

3. nginx反向代理协议升级

nginx http协议升级成websocket协议
WebSocket 和HTTP虽然是不同协议,但是两者“握手”方式兼容。通过HTTP升级机制,使用HTTP的Upgrade和Connection协议头的方式可以将连接从HTTP升级为WebSocket。如下图所示
Http升级为WebSocket

因为WebSocket协议是一个hop-by-hop协议(此类头部字段只对单次转发有效。会因为转发给缓存/代理服务器而失效),为了让Nginx代理服务器可以将来自客户端的Upgrade请求发送到后端服务器,要求Upgrade和Connection的头信息必须被显式的设置。可以通过下文将要讲解的修改Nginx的配置文件方式解决此问题。
1.map是根据客户端请求中 $http_upgrade 的值来构造改变 $connection_upgrade 的值,即根据变量 $http_upgrade 的值和{} 里规则创建新的变量 $connection_upgrade并赋值。
2.HTTP的Upgrade协议头机制用于将连接从HTTP连接升级到WebSocket连接,Upgrade机制使用了Upgrade协议头和Connection协议头;为了让Nginx可以将来自客户端的Upgrade请求发送到后端服务器,Upgrade和Connection的头信息必须被显式的设置。如上图代码中第三个红圈。

通过Http升级机制将Http升级为WebSocket。Nginx代理服务器通过修改配置的方式解决了WebSocket属于hop-by-hop协议的问题、并通过保持分别与客户端和服务端的连接一直处于打开状态从而实现WebSokcet的代理。