反向代理与正向代理
摘抄:https://cloud.tencent.com/developer/article/1418457
正向代理
正向代理(forward proxy):是一个位于客户端和目标服务器之间的服务器(代理服务器),为了从目标服务器取得内容,客户端向代理服务器发送一个请求并指定目标,然后代理服务器向目标服务器转交请求并将获得的内容返回给客户端。
正向代理,其实是"代理服务器"代理了"客户端",去和"目标服务器"进行交互。
通过正向代理服务器访问目标服务器,目标服务器是不知道真正的客户端是谁的,甚至不知道访问自己的是一个代理
正向代理的用途
突破访问限制
通过代理服务器,可以突破自身IP访问限制,访问国外网站,教育网等。
提高访问速度
通常代理服务器都设置一个较大的硬盘缓冲区,会将部分请求的响应保存到缓冲区中,当其他用户再访问相同的信息时, 则直接由缓冲区中取出信息,传给用户,以提高访问速度。
隐藏客户端真实IP
上网者也可以通过这种方法隐藏自己的IP,免受攻击。
反向代理
反向代理(reverse proxy):是指以代理服务器来接受internet上的连接请求,然后将请求转发给内部网络上的服务器,并将从服务器上得到的结果返回给internet上请求连接的客户端,此时代理服务器对外就表现为一个反向代理服务器。
反向代理,其实是"代理服务器"代理了"目标服务器",去和"客户端"进行交互。
通过反向代理服务器访问目标服务器时,客户端是不知道真正的目标服务器是谁的,甚至不知道自己访问的是一个代理。
反向代理的用途
隐藏服务器真实IP
使用反向代理,可以对客户端隐藏服务器的IP地址。
负载均衡
反向代理服务器可以做负载均衡,根据所有真实服务器的负载情况,将客户端请求分发到不同的真实服务器上。
提高访问速度
反向代理服务器可以对于静态内容及短时间内有大量访问请求的动态内容提供缓存服务,提高访问速度。
提供安全保障
反向代理服务器可以作为应用层防火墙,为网站提供对基于Web的攻击行为(例如DoS/DDoS)的防护,更容易排查恶意软件等。还可以为后端服务器统一提供加密和SSL加
正向代理与反向代理的区别
虽然正向代理服务器和反向代理服务器所处的位置都是客户端和真实服务器之间,所做的事情也都是把客户端的请求转发给服务器,再把服务器的响应转发给客户端,但是二者之间还是有一定的差异的。
1、正向代理其实是客户端的代理,帮助客户端访问其无法访问的服务器资源。反向代理则是服务器的代理,帮助服务器做负载均衡,安全防护等。
2、正向代理一般是客户端架设的,比如在自己的机器上安装一个代理软件。而反向代理一般是服务器架设的,比如在自己的机器集群中部署一个反向代理服务器。
3、正向代理中,服务器不知道真正的客户端到底是谁,以为访问自己的就是真实的客户端。而在反向代理中,客户端不知道真正的服务器是谁,以为自己访问的就是真实的服务器。
4、正向代理和反向代理的作用和目的不同。正向代理主要是用来解决访问限制问题。而反向代理则是提供负载均衡、安全防护等作用。二者均能提高访问速度。
Nginx反向代理服务器
Nginx具有高并发高负载能力,一般会作为前端的服务器直接向客户端提供静态文件服务。
但是有一些复杂多变的业务,不合适放Nginx上,这是会使用Apache,Tomcat等服务器来处理。于是Nginx可以作为静态Web服务器,也可以是反向代理服务器。
当客户端发来HTTP请求时,Nginx并不会立刻转发到上游服务器,而是先把用户的请求完整的接收到Nginx坐在服务器的硬盘或者内存中,然后向上游服务器发起连接,把缓存的客户端请求转发到上有服务器。而其他Squid等其他反向大力服务器则是采用一边接收客户端请求,一边转发到上有服务器方式。
优点:降低上有服务器的负载,尽量把压力放到Nginx服务器上
缺点:延长了一个请求的处理时间,增加了用于缓存请求内容的内存和磁盘空间
降低上有服务器负载的原因:
通常客户端与代理服务器走的是公网,网速较慢,一个请求持续很久才完成。代理服务器与上游服务器一般是走内网,传输速度快。如果像Squid等反向代理服务器一样在客户端建立连接且开没有开始接收HTTP包体时,就已经向上游服务器建立了连接,例如上传一个1GB的文件,每次收到一个TCP包为2Kb,然后转发给上游,而这个整个接收1GB包过程中,服务器始终需要维护这个连接,对上游服务器的比给你发处理能力提出了要求。
而Nginx在接受完整个客户端的请求后,才与上游建立连接,由于内网,转发很快,这样与上游的连接时长就会很短。
负载均衡配置
upstream块
upstream name {…}
配置块:http
upstream块定义了一个上游服务器集群,便于反向代理中proxy_pass使用。
upstream backend {
server backend1.example.com;
server backend2.example.com;
server 1.2.3.4:80;
}
server {
location / {
proxy_pass http://backend;
}
}
server块
server name [parameters];
配置块:upstream
server定义上游服务器名字,可以是域名,IP地址端口,UNIX句柄等
weight=number:设置向这台上游服务器转发的权重,默认为1.
max_fails=number:配合fail_timeout使用,指定在fail_timeout时间段内,如果向当前上游服务器转发失败次数超过number,则认为在当前的fail_timeout时间内这台服务器不可用。max_fails默认为1,如果设置为0表示不检查失败次数
fail_timeout=time:fail_timeout表示该时间内转发失败多少次后就认为上游服务器暂不可用,用于反向代理功能优化。它与向上有服务器建立连接的超时时间,读取上游服务器的响应超时时间等无关。fail_timeout默认10s
down:表示所在上游服务器永久下线,只有使用ip_hash配置项时才使用
backup:在使用ip_hash配置项时无效。表示所在上游服务器只是配分服务器,只有在所有的非备份上游服务器都失效后,才会向所在的上游服务器转发请求。
upstream backend {
server baidu.com;
server 1.2.3.4:80;
server 3.4.54.5:90 weight=6;
server 1.2.3.4:80 max_fails=3 fail_timeout=30s;
server unix:/tmp/backend3;
}
ip_hash
希望来自某一个用户的请求始终落到固定的一台上游服务器中。ip_hash原理,首先根据客户端IP地址计算一个key,然后key对upstream集群的数量取模。
ip_hash与weight配置不可同时使用,如果upstream集群中有一台上有服务器暂时不可用,不能直接删除该配置,而是要down参数标识,确保转发策略的一贯性。
upstream backend {
ip_hash;
server baidu.com;
server 1.2.3.4:80;
server 3.4.54.5:90;
server 1.2.3.4:80 down;
server unix:/tmp/backend3;
}
记录日志时支持的变量
如果需要将负载均衡时的一些信息记录到access.log日志中,那木在定义日志格式时可以使用负载均衡功能提供的变量
| 变量名 | 意义 |
|---|---|
| $upstream_addr | 处理请求的上游服务器地址 |
| $upstream_cache_status | 表示是否命中缓存,取值范围:MISS,EXPIRED,UPDATING,STALE,HIT |
| $upstream_status | 上游服务器返回的响应中HTTP响应码 |
| $upstream_response_time | 上游服务器的响应时间,精确到毫秒 |
| KaTeX parse error: Expected group after '_' at position 14: upstream_http_̲HEADER | HTTP的头部,例如:$upstream_http_host |
可以定义日志格式:
log_format timing '$remote_addr - $upstream_addr - $upstream_response_time'
