最近给我们官网做了新加坡、香港、美国、加拿大地区的反代,由于现阶段发展有限,只好选择这种最节约的方法了,但并非负载均衡,负载均衡等后期商城确定了要做。
除了加拿大是高配机器之外,其他都是小云服务器,香港是阿里云的。
所以用了军哥的一键lnmp来做的基础,当然只是反代是不需要太多的,不用任何一键脚本都可以,我是为了更多的检测,加上时间关系,就用了军哥的。
nginx反代多数是用sub_filter,但是这个需要ngx_http_sub_module模块,刚好军哥的安装包就自带编译了,所以很方便。
开始工作:
一、给服务器上面安装nginx、php、带上http_sub_module、pcre-devel、openssl模版编译即可。(其他模块常见的就不说了,一键脚本都有,反代用到的也少)
军哥一键安装包:lnmp.org
手动编译nginx在这里我就不说了。
二、配置反向代理规则
一键包安装好之后,已经默认有nginx.conf文件了,所以我们就直接修改nginx.conf就行。
1:先创建缓存文件夹
mkdir /home/cache/path -p mkdir /home/cache/temp -p
2:修改nginx.conf文件中的http区域,在这里增加反代的缓存设置。还有wordpress正常功能的配置。如果不是wordpress网站可以不要那几句。
http
{
include mime.types;
default_type application/octet-stream;
server_names_hash_bucket_size 128;
client_header_buffer_size 32k;
large_client_header_buffers 4 32k;
client_max_body_size 50m;
sendfile on;
tcp_nopush on;
keepalive_timeout 60;
tcp_nodelay on;
fastcgi_connect_timeout 300;
fastcgi_send_timeout 300;
fastcgi_read_timeout 300;
fastcgi_buffer_size 64k;
fastcgi_buffers 4 64k;
fastcgi_busy_buffers_size 128k;
fastcgi_temp_file_write_size 256k;
gzip on;
gzip_min_length 1k;
gzip_buffers 4 16k;
gzip_http_version 1.1;
gzip_comp_level 2;
gzip_types text/plain application/javascript application/x-javascript text/javascript text/css application/xml application/xml+rss;
gzip_vary on;
gzip_proxied expired no-cache no-store private auth;
gzip_disable "MSIE [1-6]\.";
#limit_conn_zone $binary_remote_addr zone=perip:10m;
##If enable limit_conn_zone,add "limit_conn perip 10;" to server section.
#从这里开始就是在http区域里面添加的,上面的是默认就有的,可以不动。
#这一段是为了wordpress的功能
#map $http_cookie $logged_in {
#default 0;
#~SESS 1; # Drupal session cookie
#~wordpress_logged_in 1; # WordPress session cookie
#}
#下面这段就是反代缓存设置了
server_tokens off;
access_log off;
client_body_buffer_size 512k;#缓冲区代理缓冲用户端请求的最大字节数
proxy_connect_timeout 5;#nginx跟后端服务器连接超时时间(代理连接超时)
proxy_read_timeout 60;#连接成功后,后端服务器响应时间(代理接收超时)
proxy_send_timeout 5;#请求的超时时间
proxy_buffer_size 16k;#设置代理服务器(nginx)保存用户头信息的缓冲区大小
proxy_buffers 4 64k;#proxy_buffers缓冲区,网页平均在64k以下
proxy_busy_buffers_size 128k; #高负荷下缓冲大小(proxy_buffers*2)
proxy_temp_file_write_size 128k;
proxy_temp_path /home/cache/temp;
proxy_cache_path /home/cache/path levels=1:2 keys_zone=cache_one:100m inactive=3d max_size=5g;
#这一段就是反代的一些缓存和设置,最后一句cache_one为缓存区名字,100m是内存占用, 3d是3天删除, 5g是缓存空间,
这些时间只是做镜像反代不用设置太长,如果是做集群负载就可以加长相互的连接时间。3:修改nginx.conf文件中的server区域,在这里增加反代的proxy规则
反代域名的80端口监听设置
server {
listen 80;
server_name cs.test.com;#反代域名
#这里的跳转,如果不是要反代ssl网站就不用了
if ( $scheme = http ){
return 301 https://$server_name$request_uri;
}
#屏蔽蜘蛛,防止降权,反代别人的网站。。。就随便了
if ($http_user_agent ~* (baiduspider|360spider|haosouspider|googlebot|soso|bing|sogou|yahoo|sohu-search|yodao|YoudaoBot|robozilla|msnbot|MJ12bot|NHN|Twiceler)) {
return 403;
}
#反代规则设置
location / {
sub_filter www.test.com cs.test.com; #网站域名,反代域名
sub_filter_once off;#进行替换
proxy_cache cache_one;
#缓存区名称
proxy_cache_valid 200 304 3h;
#200 304状态缓存3小时
proxy_cache_valid 301 3d;
#301状态缓存3天
proxy_cache_valid any 10s;
#其他状态缓存(如502 404)10秒
proxy_cache_key "$scheme://$host$request_uri";
#缓存key规则,自动清除缓存
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
#向后端传递访客ip
proxy_set_header Referer http://www.test.com;
#强制定义Referer
proxy_set_header Host www.test.com;
#定义主机
proxy_pass http://www.test.com;
#
proxy_set_header Accept-Encoding "";
#重要 将信息传递到服务器端
}
}
这个80端口,也可以取消加到下面433一起去。如果不做https的ssl反代就用上面这个就行了。
我看国外的一些网站上,基本都是分别创建server,国内的看见几个都是加在一起的,但是我加在一起的时候,出现过问题,另外为了方便自己,毕竟是80要强制跳转到433的,所以我单独创建了。反代网站最好是用ssl吧,可以防止被判为非法。
server
{
listen 443 ssl;
ssl on;
ssl_certificate /usr/local/nginx/ssl/cs.test.com.crt;
ssl_certificate_key /usr/local/nginx/ssl/cs.test.com.key;
#这里的域名证书是你反代的域名的证书,现在免费证书网上一大堆可以申请的,就不说了
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;
ssl_prefer_server_ciphers on;
ssl_session_timeout 10m;
ssl_session_cache builtin:1000 shared:SSL:10m;
ssl_buffer_size 1400;
add_header Strict-Transport-Security max-age=15768000;
ssl_stapling on;
ssl_stapling_verify on;
#跳转https
if ( $scheme = http ){
return 301 https://$server_name$request_uri;
}
#屏蔽蜘蛛,防止降权
if ($http_user_agent ~* (baiduspider|360spider|haosouspider|googlebot|soso|bing|sogou|yahoo|sohu-search|yodao|YoudaoBot|robozilla|msnbot|MJ12bot|NHN|Twiceler)) {
return 403;
}
#反代规则设置
location / {
sub_filter www.test.com cs.test.com; #网站域名,反代域名
sub_filter_once off;
proxy_cache cache_one;
#缓存区名称
proxy_cache_valid 200 304 3h;
#200 304状态缓存3小时
proxy_cache_valid 301 3d;
#301状态缓存3天
proxy_cache_valid any 10s;
#其他状态缓存(如502 404)10秒
proxy_cache_key "$scheme://$host$request_uri";
#缓存key规则,自动清除缓存
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
#向后端传递访客ip
proxy_set_header Referer https://www.test.com;
#强制定义Referer
proxy_set_header Host www.test.com;
#定义主机
proxy_pass_header Set-Cookie;
#这两句是为了实现wordpress的正常功能
#proxy_cache_bypass $logged_in;
#proxy_no_cache $logged_in;
#这两句是为了实现wordpress的正常功能
proxy_pass https://www.test.com;
#这种写法,这里就必须得是https
proxy_set_header Accept-Encoding "";
#重要将信息传递到服务器端
}
}
}
最后看看nginx -t有没有什么语法错误,有就修改,没有就重启nginx,看有没有生效。
我们做这个纯属因为wordpress网站关系,这样做下来,反代的网站,功能上都正常,包括支付功能。
下次做负载均衡了,也会靠这个的大部分配置。
