nginx中怎麼設定使用proxy protocol協定-Nginx-PHP中文網

nginx中怎麼設定使用proxy protocol協定

王林

發布： 2023-05-18 08:47:26

轉載

2804 人瀏覽過

proxy protocol在nginx中應用

#我們知道nginx是web伺服器和代理伺服器，它一般工作在proxy server或負載平衡軟體（Haproxy ,Amazon Elastic Load Balancer (ELB)的後面。

首先，客戶端向代理伺服器或負載平衡軟體發起請求，然後請求會被轉發到nginx進行實際的web存取。

因為經過了多層軟體，所以客戶端的一些資訊例如ip位址，連接埠號碼等可能就會被隱藏，這對於我們問題分析，資料統計都是不利的。我們希望獲得客戶端真實的IP位址，以便獲取準確的請求環境。

這種情況下就需要用到PROXY protocol了。

#如果前面所說的proxy或LSB都實現了PROXY protocol協定的話，不管是HTTP, SSL , HTTP/2, SPDY, WebSocket 還是TCP協議，nginx都可以拿到客戶端的原始IP位址，從而根據原始IP位址進行一些特殊的操作，例如屏蔽惡意IP的訪問，根據IP不同展示不同的語言或頁面，或者更簡單的日誌記錄和統計等，都非常有效。

當然，如果想要支援PROXY protocol，對nginx的版本也是有要求的，具體版本需求如下：

想要支援PROXY protocol v2，需要NGINX Plus R16或NGINX Open Source 1.13.11。
想要支援ROXY protocol for HTTP,需要NGINX Plus R3或NGINX Open Source 1.5.12。
想要支援TCP client‑side PROXY protocol，需要NGINX Plus R7或NGINX Open Source 1.9.3。

在nginx中可以透過下面的變數來取得對應的客戶端資訊，具體而言如下所示：

$proxy_protocol_addr和$proxy_protocol_port 分別表示的是原始客戶端的IP位址和連接埠號碼。

$remote_addr 和 $remote_port表示的是load balancer的的IP位址和連接埠。

如果你使用了RealIP擴充模組，那麼這個模組會重寫$remote_addr 和 $remote_port這兩個值，將其替換成原始客戶端的IP位址和連接埠號碼。

然後使用$realip_remote_addr 和 $realip_remote_port來表示load balancer的的IP位址和連接埠。

在RealIP擴充模組中，$proxy_protocol_addr和$proxy_protocol_port 表示的意義不變，還是原始客戶端的IP位址和連接埠號碼。

在nginx中設定使用proxy protocol

上面我們提到了nginx中proxy protocol的基本應用，下面來講一下如何在nginx中進行具體的設定。

在nginx中啟用proxy protocol

如果你的nginx已經是支援proxy protocol的版本，那麼啟用proxy protocol非常簡單，只需要在server中的listen中加入proxy_protocol即可，如下：

http {
    #...
    server {
        listen 80   proxy_protocol;
        listen 443  ssl proxy_protocol;
        #...
    }
}
   
stream {
    #...
    server {
        listen 112233 proxy_protocol;
        #...
    }
}

登入後複製

大家比較熟悉的是http block，在nginx中，它表示對http/https的支持。 Nginx提供了對TCP/UDP協定的支持，這項功能透過stream模組實現，對許多人來說比較陌生。

透過上面的配置，nginx可以實現在tcp/udp協定和http/https協定同時支援proxy protocol。

使用Real‑IP modules

Real‑IP modules是nginx自帶的一個模組，可以透過下面的指令來查看nginx是否有安裝real-ip模組：

nginx -V 2>&1 | grep -- &#39;http_realip_module&#39;
nginx -V 2>&1 | grep -- &#39;stream_realip_module&#39;

登入後複製

如果你目前使用的版本沒有real ip,也不要急，這時候你可能需要從原始碼編譯。

在編譯的過程中，我們需要執行一個configure指令，在這個configure指令中可以指定要開啟的功能，例如stream或http_ssl_module：

$ ./configure
--sbin-path=/usr/local/nginx/nginx
--conf-path=/usr/local/nginx/nginx.conf
--pid-path=/usr/local/nginx/nginx.pid
--with-pcre=../pcre-8.44
--with-zlib=../zlib-1.2.11
--with-http_ssl_module
--with-stream
--with-mail

登入後複製

如果要開啟real-ip功能，則可以新增：

--with-http_realip_module

登入後複製

如果nginx是運行在SLB或proxy之後的，那麼可以透過set_real_ip_from指令來指定代理程式或負載平衡伺服器的IP範圍，如下所示：

server {
    #...
    set_real_ip_from 192.168.1.0/24;
   #...
}

登入後複製

然後我們需要將proxy或SLB的IP位址替換為真實客戶端的位址，那麼可以這樣使用：

http {
    server {
        #...
        real_ip_header proxy_protocol;
      }
}

登入後複製

請求轉送

不管是http還是stream block，都可能會遇到請求向後續的upstream進行轉送的情況，對於upstream來說，他們希望收到的是真實客戶端IP位址，而不是proxy或slb的位址，那麼可以透過下面的設定來解決：

http {
    proxy_set_header X-Real-IP       $proxy_protocol_addr;
    proxy_set_header X-Forwarded-For $proxy_protocol_addr;
}

登入後複製

stream {
    server {
        listen 12345;
        proxy_pass example.com:12345;
        proxy_protocol on;
    }
}

登入後複製

http和stream的設定方式是不同的。

日誌記錄

日誌是一個非常重要的功能，對於定位問題，執行資料統計分析都非常有用，當然我們需要的是真實的客戶端IP位址。

###我們可以透過使用變數$proxy_protocol_addr在http和stream block中記錄對應的日誌，如下所示：###

http {
    #...
    log_format combined &#39;$proxy_protocol_addr - $remote_user [$time_local] &#39;
                        &#39;"$request" $status $body_bytes_sent &#39;
                        &#39;"$http_referer" "$http_user_agent"&#39;;
}

登入後複製

stream {
    #...
    log_format basic &#39;$proxy_protocol_addr - $remote_user [$time_local] &#39;
                      &#39;$protocol $status $bytes_sent $bytes_received &#39;
                      &#39;$session_time&#39;;
}

登入後複製

以上是nginx中怎麼設定使用proxy protocol協定的詳細內容。更多資訊請關注PHP中文網其他相關文章！