12.17 Nginx负载均衡
12.18 ssl原理
12.19 生成ssl密钥对
12.20 Nginx配置ssl
扩展
针对请求的uri来代理 http://ask.apelearn.com/question/1049
根据访问的目录来区分后端的web http://ask.apelearn.com/question/920
nginx长连接 http://www.apelearn.com/bbs/thread-6545-1-1.html
nginx算法分析 http://blog.sina.com.cn/s/blog_72995dcc01016msi.html
12.17 Nginx负载均衡
代理1台Web服务器称为代理
代理2台Web服务器称为负载均衡
nginx代理不支持https解析
1 负载均衡配置如下,
# vim /usr/local/nginx/conf/vhost/load.conf
upstream qq_com
{
ip_hash;
server 61.135.157.156:80;
server 125.39.240.113:80;
}
server
{
listen 80;
server_name www.qq.com;
location /
{
proxy_pass http://qq_com;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
}
}
配置解释:
借助模块upstream,
proxy_pass不支持定义多个ip,proxy_pass后面跟的就是upstream的名字。
upstream 与proxy_pass后面接的都是名字,而不是主要域名。
主要域名,ip参数是此三项。
server_name www.qq.com;
server 61.135.157.156:80;
server 125.39.240.113:80;
ip_hash;
ip_hash 目的 同一个用户始终保留在同一台机器上。
它表示根据ip地址把请求分到不同的服务器上。
比如用户A的ip是1.1.1.1,用户B的IP是2.2.2.2,则A访问的时候会把请求转发到第一个Web服务器上,
B访问的时候会到第二个Web服务器上。
ip_hash 下面可以定义多个ip,格式是ip:port
2 域名解析qq.com的ip
利用dig工具查看(yum install -y bind-util)
3 curl 测试(未重新加载前,配置未生效。)
[root@AliKvn vhost]# curl -x127.0.0.1:80 www.qq.com
this is a default site.
未配置的时候,从本机访问www.qq.com的时候是访问本机的默认网站。
4 检查语法,并重新加载。
[root@AliKvn vhost]# /usr/local/nginx/sbin/nginx -t
nginx: the configuration file /usr/local/nginx/conf/nginx.conf syntax is ok
nginx: configuration file /usr/local/nginx/conf/nginx.conf test is successful
[root@AliKvn vhost]# /usr/local/nginx/sbin/nginx -s reload
5 curl测试,通过访问,显示网页代码,状态码200.
12.18 ssl原理
HTTP与HTTPS的区别:
HTTPS是一种加密的HTTP协议,如果HTTP通信的数据包在传输过程中被截获,我们可以破译这些数据包的信息,
这里面可能会有一些用户名,密码,手机登敏感信息。如果使用HTTPS通信,即使数据包被截获,也无法破译里面的内容。
SSL的原理工作流程图
文字解释SSL工作流程
1 浏览器发送一个https的请求给服务器;
2 服务器要有一套数字证书,可以自己制作(后面的操作就是阿铭自己制作的证书),也可以向组织申请,区别就是自己颁发的证书需要客户端验证通过,才可以继续访问,而使用受信任的公司申请的证书则不会弹出>提示页面,这套证书其实就是一对公钥和私钥;
3 服务器会把公钥传输给客户端;
4 客户端(浏览器)收到公钥后,会验证其是否合法有效,无效会有警告提醒,有效则会生成一串随机数,并用收到的公钥加密;
5 客户端把加密后的随机字符串传输给服务器;
6 服务器收到加密随机字符串后,先用私钥解密(公钥加密,私钥解密),获取到这一串随机数后,再用这串随机字符串加密传输的数据(该加密为对称加密,所谓对称加密,就是将数据和私钥也就是这个随机字符串>通过某种算法混合在一起,这样除非知道私钥,否则无法获取数据内容);
7 服务器把加密后的数据传输给客户端;
8 客户端收到数据后,再用自己的私钥也就是那个随机字符串解密;
https的工作原理就是反复给数据执行公钥与私钥的加密解密的过程。
12.19 生成ssl密钥对
1 进入/conf目录
[root@AliKvn vhost]# cd /usr/local/nginx/conf/
2 使用openssl工具生成私钥文件,定义密码 .key为私钥文件
[root@AliKvn conf]# openssl genrsa -des3 -out tmp.key 2048
3 转换key,取消密码。因为密码每次加密解密都输入密码过于频繁,此处删除密码。
[root@AliKvn conf]# openssl rsa -in tmp.key -out aminglinux.key
Enter pass phrase for tmp.key:
writing RSA key
4 删除tmp.key
[root@AliKvn conf]#rm -f tmp.key
5 生成证书请求文件csr,需要拿这个文件和私钥一起生产公钥文件。
[root@AliKvn conf]# openssl req -new -key aminglinux.key -out aminglinux.csr
生成crt文件
[root@AliKvn conf]# openssl x509 -req -days 365 -in aminglinux.csr -signkey aminglinux.key -out aminglinux.crt
[root@AliKvn conf]# ls aminglinux.*
aminglinux.crt aminglinux.csr aminglinux.key
这里的aminglinux.crt为公钥
6 有了.csr .crt文件后,可以配置ssl了
12.20 Nginx配置ssl
1 配置ssl.conf
#vim /usr/local/nginx/conf/vhost/ssl.conf
server
{
listen 443;
server_name aming.com;
index index.html index.php;
root /data/wwwroot/aming.com;
ssl on;
ssl_certificate aminglinux.crt;
ssl_certificate_key aminglinux.key;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
}
配置解释:
ssl on;
开启ssl
ssl_certificate aminglinux.crt
指定公钥
ssl_certificate_key aminglinux.key;
指定私钥
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
协议,一般三种都需要配置上。
2 检查语法
[root@AliKvn vhost]# /usr/local/nginx/sbin/nginx -t
nginx: [emerg] unknown directive "ssl" in /usr/local/nginx/conf/vhost/ssl.conf:7
nginx: configuration file /usr/local/nginx/conf/nginx.conf test failed
第七行报错提示,unknown ssl,因为当初编译没有把ssl给编译进去,所以需要重新编译,加上--with-http_ssl_module
2.1 编译操作:
[root@AliKvn nginx-1.8.0]# ./configure --prefix=/usr/local/nginx --with-http_ssl_module
[root@AliKvn nginx-1.8.0]# make && make install
2.2 -V检查编译参数
[root@AliKvn nginx-1.8.0]# /usr/local/nginx/sbin/nginx -V
2.3 再次检查语法
[root@AliKvn nginx-1.8.0]# /usr/local/nginx/sbin/nginx -t
nginx: the configuration file /usr/local/nginx/conf/nginx.conf syntax is ok
nginx: configuration file /usr/local/nginx/conf/nginx.conf test is successful
3 重启nginx
[root@AliKvn nginx-1.8.0]# /etc/init.d/nginx restart
Restarting nginx (via systemctl): [ OK ]
4 检查listen端口
80和443端口都已经被listen
5 建立目录和测试文件
[root@AliKvn aming.com]# mkdir /data/wwwroot/aming.com/
[root@AliKvn aming.com]# echo "ssl test" > /data/wwwroot/aming.com/index.html
[root@AliKvn aming.com]# ls
index.html
[root@AliKvn aming.com]# cat index.html
ssl test
6 在hosts写入aming.com
[root@AliKvn aming.com]#vim /etc/hosts
127.0.0.1 aming.com
7 curl测试
证书被标记为不可信用,因为证书是自己创建的,不合法的。
8 在windows浏览器访问(如果发现访问不到,可以检查防火墙,iptables规则,或者建立开通443端口规则)
在windows编辑hosts文件,添加aming.com进去
8.1 在浏览器输入https://aming.com 进行访问
8.2 因为这是自己的测试,所以站点的信任性是透明的,继续前往访问,点击 1 高级 2 继续前往
8.3 访问发现当初echo的页面信息,正常访问效果。
当然,这只是测试使用,利用https访问时,证书是被标注未信任的。如果想利用https正常访问,需要购买证书。