Nginx 反向代理 HTTP、HTTPS、WS、WSS、SSH 配置(2022.03.31)

Nginx 反向代理 HTTP、HTTPS、WS、WSS、SSH 配置(2022.03.31)

反向代理(2022/03/31)

目录
  • 反向代理(2022/03/31)
    • 1. HTTP 配置
    • 2. HTTPS 配置
      • 2.1 证书生成
      • 2.2 配置文件
    • 3. WS 配置
    • 4. WSS 配置
      • 4.1 证书生成
      • 4.2 配置文件
    • 5. Stream 配置
      • 5.1 应用场景
      • 5.2 配置文件
    • 6. 跨域配置

简单记录 Nginx 反向代理相关的一些配置文件,描述不足之处请自行查阅相关资料。

1. HTTP 配置

upstream web {
    server domain.com:80;
}

server {
    # 监听 tcp4
    listen 80;
    # 监听 tcp6
    listen [::]:80;
    # 无效域名 _ 匹配任意域名,优先级最低
    server_name  _;
    
    # 访问日志
    access_log /var/log/nginx/access.log main;
    # 错误日志
    error_log /var/log/nginx/error.log notice;
    
    # 客户端请求体大小,避免大文件上传 413
    client_max_body_size 1024m;

    # X-Frame-Options 标头
    add_header X-Frame-Options sameorigin;
    # 内容安全策略 (CSP)
    add_header Content-Security-Policy "frame-ancestors "self"";
    
    # 允许的外域 URI
    # add_header Access-Control-Allow-Origin *;
    # 允许的 HTTP 方法,用于 OPTIONS 预检请求
    # add_header Access-Control-Allow-Methods *;
    # 允许的 HTTP 请求头,用于 OPTIONS 预检请求
    # add_header Access-Control-Allow-Headers *;
    # OPTIONS 预检请求结果缓存时间,单位秒
    # add_header Access-Control-Max-Age 86400;
    # 如果为 OPTIONS 预检请求,返回 204 No Content
    # if ($request_method = OPTIONS) {
    #     return 204;
    # }

    # 前端静态文件
    location / {
        root /data/www/web_frontend;
        try_files $uri $uri/ /index.html last;
    }

    # 后端 API,注意 proxy_pass 后的 /,携带 / 转发请求时会去掉匹配前缀
    location /api/ {
        # 代理转发目标,注意需要添加请求协议
        proxy_pass http://web/;
        # Host 主机名
        proxy_set_header Host $host;
        # X-Real-IP 将真实访问者的远端 IP 地址转发给代理服务器
        proxy_set_header X-Real-IP $remote_addr;
        # X-Forwarded-For 标记客户端通过代理连接到服务器的源 IP
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        # X-Forwarded-Host 标记客户端通过代理连接到服务器的原始主机
        proxy_set_header X-Forwarded-Host $host:$server_port;
        # X-Forwarded-Server 代理服务器的主机名
        proxy_set_header X-Forwarded-Server $host;
        # X-Forwarded-Port 定义客户端请求的原始端口
        proxy_set_header X-Forwarded-Port $server_port;
        # X-Forwarded-Proto 标记客户端通过代理连接到服务器的协议
        proxy_set_header X-Forwarded-Proto $scheme;
        # proxy_set_header X-Forwarded-Proto $proxy_x_forwarded_proto;
    }
}

2. HTTPS 配置

2.1 证书生成

实现 HTTPS 访问首先需要申请证书,制作自签名证书的方法网上很多,但因命令较为复杂,所以此处笔者使用的一键生成工具Fishdrowned/ssl,具体使用方法参考作者使用说明。

# 拉取仓库
$ git clone https://gitee.com/xiaoqqya/ssl.git

# 生成证书
$ ./ssl/gen.cert.sh domain.com

# 将证书复制到指定路径,方便使用
$ cp ./ssl/out/root.crt /data/www/domain.com/certs/ca.crt
# 路径中存在时间戳,注意修改
$ cp ./ssl/out/domain.com/20220104-1757/domain.com.bundle.crt /data/www/domain.com/certs/server.crt
$ cp ./ssl/out/cert.key.pem /data/www/domain.com/certs/server.key

2.2 配置文件

upstream web {
    server domain.com:443;
}

server {
    # 监听 tcp4 并开启 http2
    listen 443 ssl http2;
    # 监听 tcp6 并开启 http2
    listen [::]:443 ssl http2;
    # 无效域名 _ 匹配任意域名,优先级最低
    server_name  _;
    
    # 访问日志
    access_log /var/log/nginx/access.log main;
    # 错误日志
    error_log /var/log/nginx/error.log notice;

    # 服务器证书文件
    ssl_certificate /data/www/domain.com/certs/server.crt;
    # 服务器证书密钥文件
    ssl_certificate_key /data/www/domain.com/certs/server.key;
    # 支持的 ssl 或 tls 的版本
    ssl_protocols TLSv1.2 TLSv1.3;
    # 是否由服务器决定采用哪种算法,默认 off;如果 ssl 协议支持 tlsv1、tlsv1.1 老协议,设置为 on 并配合 ssl_ciphers 使用,如果 ssl 协议为 tlsv1.2、tlsv1.3 新协议,设置为 off,新协议不再采纳该参数
    ssl_prefer_server_ciphers off;
    # 支持 ssl 协议的加密套件
    ssl_ciphers ECDHE-RSA-AES256-SHA384:AES256-SHA256:RC4:HIGH:!MD5:!aNULL:!eNULL:!NULL:!DH:!EDH:!AESGCM;
    # 启用 ssl session 缓存,占用 10m 内存,缓存时间由 ssl_session_timeout 决定
    ssl_session_cache shared:SSL:10m;
    # 客户端可以重用会话的时间
	ssl_session_timeout 10m;

    # 客户端请求体大小,避免大文件上传 413
    client_max_body_size 1024m;

    # HSTS: HTTP 严格传输安全
    add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
    # X-Frame-Options 标头
    add_header X-Frame-Options sameorigin;
    # 内容安全策略 (CSP)
    add_header Content-Security-Policy "frame-ancestors "self"";

    # HTTPS 通过 HTTP 访问时 Nginx 触发 497 状态码,重定向到 HTTPS
    error_page 497 https://$http_host$uri$is_args$args;

    # 前端静态文件
    location / {
        root /data/www/web_frontend;
        try_files $uri $uri/ /index.html last;
    }

    # 后端 API,注意 proxy_pass 后的 /,携带 / 转发请求时会去掉匹配前缀
    location /api/ {
        # 代理转发目标,注意需要添加请求协议
        proxy_pass http://web/;
        # Host 主机名
        proxy_set_header Host $host;
        # X-Real-IP 将真实访问者的远端 IP 地址转发给代理服务器
        proxy_set_header X-Real-IP $remote_addr;
        # X-Forwarded-For 标记客户端通过代理连接到服务器的源 IP
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        # X-Forwarded-Host 标记客户端通过代理连接到服务器的原始主机
        proxy_set_header X-Forwarded-Host $host:$server_port;
        # X-Forwarded-Server 代理服务器的主机名
        proxy_set_header X-Forwarded-Server $host;
        # X-Forwarded-Port 定义客户端请求的原始端口
        proxy_set_header X-Forwarded-Port $server_port;
        # X-Forwarded-Proto 标记客户端通过代理连接到服务器的协议
        proxy_set_header X-Forwarded-Proto $scheme;
        # proxy_set_header X-Forwarded-Proto $proxy_x_forwarded_proto;
    }
}

3. WS 配置

upstream web {
    server domain.com:80;
}

# map 指令根据客户端请求头中 $http_upgrade 的值构建 $connection_upgrade 的值;如果 $http_upgrade 没有匹配,默认值为 upgrade,如果 $http_upgrade 配置空字符串,值为 close
map $http_upgrade $connection_upgrade {
    default upgrade;
    "" close;
}

server {
    # 监听 tcp4
    listen 80;
    # 监听 tcp6
    listen [::]:80;
    # 无效域名 _ 匹配任意域名,优先级最低
    server_name  _;
    
    # 访问日志
    access_log /var/log/nginx/access.log main;
    # 错误日志
    error_log /var/log/nginx/error.log notice;
    
    # 客户端请求体大小,避免大文件上传 413
    client_max_body_size 1024m;

    # X-Frame-Options 标头
    add_header X-Frame-Options sameorigin;
    # 内容安全策略 (CSP)
    add_header Content-Security-Policy "frame-ancestors "self"";

    # 前端静态文件
    location / {
        root /data/www/web_frontend;
        try_files $uri $uri/ /index.html last;
    }

    # 后端 WebSocket,注意 proxy_pass 后的 /,携带 / 转发请求时会去掉匹配前缀
    location /websocket/ {
        # 代理转发目标
        proxy_pass http://web;

        # 请求服务器升级协议为 WebSocket
        proxy_http_version 1.1;
        proxy_set_header Upgrade $http_upgrade;
        proxy_set_header Connection $connection_upgrade;
        
        # 设置读写超时时间,默认 60s 无数据连接将会断开
        proxy_read_timeout 300s;
        proxy_send_timeout 300s;

        # Host 主机名
        proxy_set_header Host $host;
        # X-Real-IP 将真实访问者的远端 IP 地址转发给代理服务器
        proxy_set_header X-Real-IP $remote_addr;
        # X-Forwarded-For 标记客户端通过代理连接到服务器的源 IP
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        # X-Forwarded-Host 标记客户端通过代理连接到服务器的原始主机
        proxy_set_header X-Forwarded-Host $host:$server_port;
        # X-Forwarded-Server 代理服务器的主机名
        proxy_set_header X-Forwarded-Server $host;
        # X-Forwarded-Port 定义客户端请求的原始端口
        proxy_set_header X-Forwarded-Port $server_port;
        # X-Forwarded-Proto 标记客户端通过代理连接到服务器的协议
        proxy_set_header X-Forwarded-Proto $scheme;
        # proxy_set_header X-Forwarded-Proto $proxy_x_forwarded_proto;
    }
}

4. WSS 配置

4.1 证书生成

详见 [证书生成](###2.1 证书生成).

4.2 配置文件

upstream web {
    server domain.com:443;
}

# map 指令根据客户端请求头中 $http_upgrade 的值构建 $connection_upgrade 的值;如果 $http_upgrade 没有匹配,默认值为 upgrade,如果 $http_upgrade 配置空字符串,值为 close
map $http_upgrade $connection_upgrade {
    default upgrade;
    "" close;
}

server {
    # 监听 tcp4 并开启 http2
    listen 443 ssl http2;
    # 监听 tcp6 并开启 http2
    listen [::]:443 ssl http2;
    # 无效域名 _ 匹配任意域名,优先级最低
    server_name  _;
    
    # 访问日志
    access_log /var/log/nginx/access.log main;
    # 错误日志
    error_log /var/log/nginx/error.log notice;

    # 服务器证书文件
    ssl_certificate /data/www/domain.com/certs/server.crt;
    # 服务器证书密钥文件
    ssl_certificate_key /data/www/domain.com/certs/server.key;
    # 支持的 ssl 或 tls 的版本
    ssl_protocols TLSv1.2 TLSv1.3;
    # 是否由服务器决定采用哪种算法,默认 off;如果 ssl 协议支持 tlsv1、tlsv1.1 老协议,设置为 on 并配合 ssl_ciphers 使用,如果 ssl 协议为 tlsv1.2、tlsv1.3 新协议,设置为 off,新协议不再采纳该参数
    ssl_prefer_server_ciphers off;
    # 支持 ssl 协议的加密套件
    ssl_ciphers ECDHE-RSA-AES256-SHA384:AES256-SHA256:RC4:HIGH:!MD5:!aNULL:!eNULL:!NULL:!DH:!EDH:!AESGCM;
    # 启用 ssl session 缓存,占用 10m 内存,缓存时间由 ssl_session_timeout 决定
    ssl_session_cache shared:SSL:10m;
    # 客户端可以重用会话的时间
	ssl_session_timeout 10m;

    # 客户端请求体大小,避免大文件上传 413
    client_max_body_size 1024m;

    # HSTS: HTTP 严格传输安全
    add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
    # X-Frame-Options 标头
    add_header X-Frame-Options sameorigin;
    # 内容安全策略 (CSP)
    add_header Content-Security-Policy "frame-ancestors "self"";

    # HTTPS 通过 HTTP 访问时 Nginx 触发 497 状态码,重定向到 HTTPS
    error_page 497 https://$http_host$uri$is_args$args;

    # 前端静态文件
    location / {
        root /data/www/web_frontend;
        try_files $uri $uri/ /index.html last;
    }

    # 后端 WebSocket,注意 proxy_pass 后的 /,携带 / 转发请求时会去掉匹配前缀
    location /websocket/ {
        # 代理转发目标
        proxy_pass http://web;

        # 请求服务器升级协议为 WebSocket
        proxy_http_version 1.1;
        proxy_set_header Upgrade $http_upgrade;
        proxy_set_header Connection $connection_upgrade;
        
        # 设置读写超时时间,默认 60s 无数据连接将会断开
        proxy_read_timeout 300s;
        proxy_send_timeout 300s;

        # Host 主机名
        proxy_set_header Host $host;
        # X-Real-IP 将真实访问者的远端 IP 地址转发给代理服务器
        proxy_set_header X-Real-IP $remote_addr;
        # X-Forwarded-For 标记客户端通过代理连接到服务器的源 IP
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        # X-Forwarded-Host 标记客户端通过代理连接到服务器的原始主机
        proxy_set_header X-Forwarded-Host $host:$server_port;
        # X-Forwarded-Server 代理服务器的主机名
        proxy_set_header X-Forwarded-Server $host;
        # X-Forwarded-Port 定义客户端请求的原始端口
        proxy_set_header X-Forwarded-Port $server_port;
        # X-Forwarded-Proto 标记客户端通过代理连接到服务器的协议
        proxy_set_header X-Forwarded-Proto $scheme;
        # proxy_set_header X-Forwarded-Proto $proxy_x_forwarded_proto;
    }
}

5. Stream 配置

5.1 应用场景

反向代理转发 ssh 连接等。

5.2 配置文件

  1. 修改nginx.conf文件,引入 stream 相关配置文件;

    user nginx;
    worker_processes auto;
    
    error_log /var/log/nginx/error.log notice;
    pid /var/run/nginx.pid;
    
    
    events {
        worker_connections 1024;
    }
    
    
    http {
        include /etc/nginx/mime.types;
        default_type application/octet-stream;
    
        log_format main "$remote_addr - $remote_user [$time_local] "$request" "
                        "$status $body_bytes_sent "$http_referer" "
                        ""$http_user_agent" "$http_x_forwarded_for"";
    
        access_log /var/log/nginx/access.log  main;
    
        sendfile on;
    
        keepalive_timeout 65;
    
        include /etc/nginx/conf.d/*.conf;
    }
    
    # stream 相关配置文件
    stream {
        include /etc/nginx/conf.d/*.stream;
    }
    
  2. /etc/nginx/conf.d文件夹下添加配置文件;

    upstream ssh {
        server domain.com:22;
    }
    
    server {
        listen 22;
        listen [::]:22;
        
        proxy_connect_timeout 10s;
        proxy_timeout 3600s;
        proxy_pass ssh;
        
        # 访问日志
        access_log /var/log/nginx/access.log main;
        # 错误日志
        error_log /var/log/nginx/error.log notice;
    }
    

6. 跨域配置

server {
    # 允许的外域 URI
    add_header Access-Control-Allow-Origin *;
    # 允许的 HTTP 方法,用于 OPTIONS 预检请求
    add_header Access-Control-Allow-Methods *;
    # 允许的 HTTP 请求头,用户 OPTIONS 预检请求
    add_header Access-Control-Allow-Headers *;
    # OPTIONS 预检请求结果缓存时间,单位秒
    add_header Access-Control-Max-Age 86400;
    # 如果为 OPTIONS 预检请求,返回 204 No Content
    if ($request_method = OPTIONS) {
        return 204;
    }
}

参考链接:

  • nginx 转发代理 wss 和 https (目标程序是 ws 和 http) | Zach Ke"s Notes (kebingzao.com)
  • Nginx配置HTTPS与HSTS · 零壹軒·笔记 (qidong.name)
  • Nginx 配置 - 反向代理 - 《Nginx 极简教程》 - 书栈网 · BookStack
  • Nginx实现同一端口HTTP跳转HTTPS - 1024搜-程序员专属的搜索引擎 (1024sou.com)
  • Nginx中变量详解 | 精彩每一天 (hangdaowangluo.com)

原文地址:https://www.cnblogs.com/xiaoQQya/archive/2022/05/24/16305241.html