nginx反向代理https网站 并实现网站的注册和登录功能

最近给我们官网做了新加坡、中国香港、美国、加拿大地区的反代,由于现阶段发展有限,只好选择这种最节约的方法了,但并非负载均衡,负载均衡等后期商城确定了要做。 除了加拿大是高配机器之外,其他都是小云服务器,中国香港是阿里云的。 所以用了军哥的一键lnmp来做的基础,当然只是反代是不需要太多的,不用任何一键脚本都可以,我是为了更多的检测,加上时间关系,就用了军哥的。 nginx反代多数是用sub_filter,但是这个需要ngx_http_sub_module模块,刚好军哥的安装包就自带编译了,所以很方便。 开始工作: 一、给服务器上面安装nginx、php、带上http_sub_module、pcre-devel、openssl模版编译即可。(其他模块常见的就不说了,一键脚本都有,反代用到的也少)

军哥一键安装包:lnmp.org

手动编译nginx在这里我就不说了。

二、配置反向代理规则

一键包安装好之后,已经默认有nginx.conf文件了,所以我们就直接修改nginx.conf就行。

1:先创建缓存文件夹

mkdir /home/cache/path -p
mkdir /home/cache/temp -p

2:修改nginx.conf文件中的http区域,在这里增加反代的缓存设置。还有wordpress正常功能的配置。如果不是wordpress网站可以不要那几句。

http
    {
        include       mime.types;
        default_type  application/octet-stream;

        server_names_hash_bucket_size 128;
        client_header_buffer_size 32k;
        large_client_header_buffers 4 32k;
        client_max_body_size 50m;

        sendfile   on;
        tcp_nopush on;

        keepalive_timeout 60;

        tcp_nodelay on;

        fastcgi_connect_timeout 300;
        fastcgi_send_timeout 300;
        fastcgi_read_timeout 300;
        fastcgi_buffer_size 64k;
        fastcgi_buffers 4 64k;
        fastcgi_busy_buffers_size 128k;
        fastcgi_temp_file_write_size 256k;

        gzip on;
        gzip_min_length  1k;
        gzip_buffers     4 16k;
        gzip_http_version 1.1;
        gzip_comp_level 2;
        gzip_types     text/plain application/javascript application/x-javascript text/javascript text/css application/xml application/xml+rss;
        gzip_vary on;
        gzip_proxied   expired no-cache no-store private auth;
        gzip_disable   "MSIE [1-6]\.";

        #limit_conn_zone $binary_remote_addr zone=perip:10m;
        ##If enable limit_conn_zone,add "limit_conn perip 10;" to server section.
        #从这里开始就是在http区域里面添加的,上面的是默认就有的,可以不动。
        #这一段是为了wordpress的功能
        #map $http_cookie $logged_in {
        #default 0;
        #~SESS 1; # Drupal session cookie
        #~wordpress_logged_in 1; # WordPress session cookie
    #}
        #下面这段就是反代缓存设置了
        server_tokens off;
        access_log off;
        client_body_buffer_size  512k;#缓冲区代理缓冲用户端请求的最大字节数
        proxy_connect_timeout    5;#nginx跟后端服务器连接超时时间(代理连接超时)
        proxy_read_timeout       60;#连接成功后,后端服务器响应时间(代理接收超时)
        proxy_send_timeout       5;#请求的超时时间
        proxy_buffer_size        16k;#设置代理服务器(nginx)保存用户头信息的缓冲区大小
        proxy_buffers            4 64k;#proxy_buffers缓冲区,网页平均在64k以下
        proxy_busy_buffers_size 128k; #高负荷下缓冲大小(proxy_buffers*2)
        proxy_temp_file_write_size 128k;
        proxy_temp_path   /home/cache/temp;
        proxy_cache_path  /home/cache/path levels=1:2 keys_zone=cache_one:100m inactive=3d max_size=5g;
        #这一段就是反代的一些缓存和设置,最后一句cache_one为缓存区名字,100m是内存占用, 3d是3天删除, 5g是缓存空间,
这些时间只是做镜像反代不用设置太长,如果是做集群负载就可以加长相互的连接时间。

3:修改nginx.conf文件中的server区域,在这里增加反代的proxy规则

反代域名的80端口监听设置

server {
    listen 80;
    server_name cs.test.com;#反代域名
    #这里的跳转,如果不是要反代ssl网站就不用了
        if ( $scheme = http ){
		return 301 https://$server_name$request_uri;
	}

	#屏蔽蜘蛛,防止降权,反代别人的网站。。。就随便了
	if ($http_user_agent ~* (baiduspider|360spider|haosouspider|googlebot|soso|bing|sogou|yahoo|sohu-search|yodao|YoudaoBot|robozilla|msnbot|MJ12bot|NHN|Twiceler)) {
		return  403;
		}

	#反代规则设置
	location / {
	sub_filter www.test.com cs.test.com; #网站域名,反代域名
	sub_filter_once off;#进行替换
	proxy_cache cache_one;
        #缓存区名称
        proxy_cache_valid  200 304 3h;
        #200 304状态缓存3小时
        proxy_cache_valid 301 3d;
        #301状态缓存3天
        proxy_cache_valid any 10s;
        #其他状态缓存(如502 404)10秒
        proxy_cache_key "$scheme://$host$request_uri";
        #缓存key规则,自动清除缓存
	proxy_set_header X-Real-IP $remote_addr;
	proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
	#向后端传递访客ip
	proxy_set_header Referer http://www.test.com;
        #强制定义Referer
	proxy_set_header Host www.test.com;
	#定义主机
	proxy_pass http://www.test.com;
	#
	proxy_set_header Accept-Encoding "";
	#重要 将信息传递到服务器端
		}

}

这个80端口,也可以取消加到下面433一起去。如果不做https的ssl反代就用上面这个就行了。 我看国外的一些网站上,基本都是分别创建server,国内的看见几个都是加在一起的,但是我加在一起的时候,出现过问题,另外为了方便自己,毕竟是80要强制跳转到433的,所以我单独创建了。反代网站最好是用ssl吧,可以防止被判为非法。

server
	{
	listen 443 ssl;
	ssl on;
        ssl_certificate /usr/local/nginx/ssl/cs.test.com.crt;
        ssl_certificate_key /usr/local/nginx/ssl/cs.test.com.key;
        #这里的域名证书是你反代的域名的证书,现在免费证书网上一大堆可以申请的,就不说了
        ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
        ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;
        ssl_prefer_server_ciphers on;
        ssl_session_timeout 10m;
        ssl_session_cache builtin:1000 shared:SSL:10m;
        ssl_buffer_size 1400;
        add_header Strict-Transport-Security max-age=15768000;
        ssl_stapling on;
        ssl_stapling_verify on;

        #跳转https
	if ( $scheme = http ){
		return 301 https://$server_name$request_uri;
		}
		
	#屏蔽蜘蛛,防止降权
	if ($http_user_agent ~* (baiduspider|360spider|haosouspider|googlebot|soso|bing|sogou|yahoo|sohu-search|yodao|YoudaoBot|robozilla|msnbot|MJ12bot|NHN|Twiceler)) {
		return  403;
		}

        #反代规则设置
	location / {
	sub_filter www.test.com cs.test.com; #网站域名,反代域名
	sub_filter_once off;
	proxy_cache cache_one;
        #缓存区名称
        proxy_cache_valid  200 304 3h;
        #200 304状态缓存3小时
        proxy_cache_valid 301 3d;
        #301状态缓存3天
        proxy_cache_valid any 10s;
        #其他状态缓存(如502 404)10秒
        proxy_cache_key "$scheme://$host$request_uri";
        #缓存key规则,自动清除缓存
	proxy_set_header X-Real-IP $remote_addr;
	proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
	#向后端传递访客ip
	proxy_set_header Referer https://www.test.com;
        #强制定义Referer
	proxy_set_header Host www.test.com;
	#定义主机
	proxy_pass_header Set-Cookie;
        #这两句是为了实现wordpress的正常功能
        #proxy_cache_bypass $logged_in;
        #proxy_no_cache $logged_in;
        #这两句是为了实现wordpress的正常功能
	proxy_pass https://www.test.com;
	#这种写法,这里就必须得是https
	proxy_set_header Accept-Encoding "";
	#重要将信息传递到服务器端
	}
}
}

最后看看nginx -t有没有什么语法错误,有就修改,没有就重启nginx,看有没有生效。 我们做这个纯属因为wordpress网站关系,这样做下来,反代的网站,功能上都正常,包括支付功能。 下次做负载均衡了,也会靠这个的大部分配置。

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏Zchannel

#Linux新手入门第一期#Xshell——最好的linux系统远程管理软件

Xshell是最好的远程管理软件,没有之一,支持中文,家庭用户完全免费,它支持保存ip、用户名和密码(Public KEY也可以,也就是俗称的公钥),支持各种自...

15910
来自专栏FreeBuf

快速自检电脑是否被黑客入侵过(Linux版)

之前写了一篇《快速自检电脑是否被黑客入侵过(Windows版)》, 这次就来写写Linux版本的。 前言 严谨地说, Linux只是一个内核, GNU Linu...

60770
来自专栏狂码一生

windows下Nginx安装与配置

1、下载nginx/windows     官网下载地址:http://nginx.org/en/download.html ? 2、解压: ?     提示:...

588110
来自专栏张首富-小白的成长历程

解决克隆系统网卡名字不是默认eth0的问题

设备上有2个网卡,在设置也区别了eth0和eth1,直到设置eth0无效时才发现有了问题。 克隆后在ifconfig时候发现网卡名字eth3 或者eth4 而不...

13320
来自专栏FreeBuf

PoisonCake(毒蛋糕):内置于手机ROM的恶意代码模块

AVL移动安全团队近日联合LBE发现一款内置于手机ROM的恶意代码模块。由于该恶意代码作者将此恶意模块运行释放的模块称为“Cake”,所以我们将其命名为“Poi...

27080
来自专栏FreeBuf

快速、直接的XSS漏洞检测爬虫 – XSScrapy

XSScrapy是一个快速、直接的XSS漏洞检测爬虫,你只需要一个URL,它便可以帮助你发现XSS跨站脚本漏洞。 XSScrapy的XSS漏洞攻击测试向量将会覆...

347100
来自专栏Youngxj

评论框调用一言

16970
来自专栏Linuxer的专栏

LEP 与负载均衡:以 PCDUINO 实际案例来使用 LEP 提高网络带宽

本案例演示 LEP 观察到负载不均衡情况下,PCDUINO 电路板 iperf 测试网络带宽发挥不出来,并实施负载均衡后,看到 PCDUINO 网络带宽重大提高...

16000
来自专栏jeremy的技术点滴

云服务器上ssh服务安全加固

92560
来自专栏石仕海的专栏

三种 PHP 运行环境的性能对比

本文分析了nginx+swoole、nginx+php-fpm和apache+mod_php的工作原理,并对三种php运行环境做了对比测试。

3.2K40

扫码关注云+社区

领取腾讯云代金券