主页 / server / 问题 / 1050668
Accepted
Ice Drake
Asked: 2021-01-22 03:18:30 +0800 CST

HTTPS + Nginx 反向代理 + URL 重写

  • 772

我正在尝试将所有 HTTPS 流量定向到 Nginx 服务器,在那里它将所有请求作为对所有内部服务器的 HTTP 请求进行处理。到目前为止,我能够让下面的模板适用于我的大多数服务器。

server {
    listen 443 default ssl;
    ssl_certificate /etc/letencrypt/live/somesite.com/fullchain.pem;
    ssl_certificate_key /etc/letencrypt/live/somesite.com/privkey.pem;
    server_name somesite.com;

    location ^~ /Service {
      proxy_pass http://192.168.1.2;
    }

    location / {
      proxy_pass http://192.168.1.3;
    }
}

但是,我必须始终将https://somesite.com/Servicehttp://192.168.1.2/Service匹配才能使上述工作正常进行。

我不能让https://somesite.com/Servicehttp://192.168.1.2/Hello一起工作。

或者我不能使用http://192.168.1.2:3000将其定向到其他端口,例如https://somesite.com/Service

例如,当我将上面的内容更改为:

location /Service/ {
    proxy_pass http://192.168.1.2:80/;
}

location / {
    proxy_pass http://192.168.1.3;
}

使用以下日志记录设置:

log_format upstreamlog '[$time_local] $remote_addr - $remote_user - $server_name to: $upstream_addr: $request upstream_response_time $upstream_response_time msec $msec request_time $request_time';
access_log /var/log/nginx/access.log upstreamlog;

这是我得到的日志:

[22/Jan/2021:09:56:28 +0000] 172.56.38.95 - - - somesite.com to: 192.168.1.2:80: GET /Service/ HTTP/1.1 upstream_response_time 0.004 msec 1611309388.445 request_time 0.004
[22/Jan/2021:09:56:28 +0000] 172.56.38.95 - - - somesite.com to: 192.168.1.2:80: GET /Service/js/default.cache.a331c8c3.js HTTP/1.1 upstream_response_time 0.000 msec 1611309388.547 request_time 0.002
[22/Jan/2021:09:56:28 +0000] 172.56.38.95 - - - somesite.com to: 192.168.1.2:80: GET /Service/favicon.ico HTTP/1.1 upstream_response_time 0.012 msec 1611309388.757 request_time 0.012
[22/Jan/2021:09:56:28 +0000] 172.56.38.95 - - - somesite.com to: 192.168.1.3:80: GET /api/v1/oauth.json?_=1611309389573 HTTP/1.1 upstream_response_time 0.016 msec 1611309388.771 request_time 0.017

从日志可以看出前三个fetch都是正确的。第四个是错的。之后没有再提出要求。再跟踪一点后,我意识到 192.168.1.2 已经有一个 Nginx 服务器运行并使用 FastCGI 处理 PHP 页面。我不知道这是否有区别。

所以我尝试结合上面的内容使用重写,但我遇到了一个找不到页面。我认为它似乎不适用于 HTTPS 也许?因此,它让我提出了如何配置 Nginx 以在外部通过 URL 重写和 HTTPS 进行反向代理的问题。

rewrite nginx https reverse-proxy

2 个回答

  1. Best Answer

    请参阅NGINX 文档,第一个示例正是您正在做的,并且解释得很好:

    如果你配置一个location带有 path1 的块和proxy_pass带有 path2 的块,你最终会得到整个“路径树”从 path1 重定位到 path2:

    server {
    ...
    server_name example.net;
    location /some/path/ {
        proxy_pass http://www.example.com/link/;
    }
}

    如果您要访问https://example.net/some/path/blah它将代理到http://www.example.com/link/blah.

    下一个警告是您的原始服务器返回的内容。它可能会发出一些 HTML、一些 JS、一些 CSS,它们都可以包含 HTTP(S) 链接;其中一些是相对的,但有些不是。非常重要的考虑是proxy_pass指令不会指示 Nginx 重写代理数据中的任何链接。如果存在非相对路径,它们将保持原样,并且客户端会将它们解释为“超出”代理前缀的指令。

    正如我们在您的日志文件中看到的,Web 服务器在请求 2 上返回一些 Javascript 代码:

    [22/Jan/2021:09:56:28 +0000] 172.56.38.95 - - - somesite.com to: 192.168.1.2:80: GET /Service/js/default.cache.a331c8c3.js HTTP/1.1 upstream_response_time 0.000 msec 1611309388.547 request_time 0.002

    该代码可能包含一些非相对路径,即它有一个以 . 开头的路径/api/。然后客户端根据该路径发出请求,该路径位于代理树之外(仅/Service/现在),我们在第 4 行看到它:

    [22/Jan/2021:09:56:28 +0000] 172.56.38.95 - - - somesite.com to: 192.168.1.3:80: GET /api/v1/oauth.json?_=1611309389573 HTTP/1.1 upstream_response_time 0.016 msec 1611309388.771 request_time 0.017

    Nginx,根据它的配置,正确地在别处代理这个请求(它被location /规则捕获)。

    几种方法可以解决这个问题。如果您只使用了一些用于非相对路径的前缀,并且没有其他任何东西已经在使用它们,您可以在它们返回时代理它们:

    # (inside a "server" block, above "location /" rule)
    location /api/ {
        proxy_pass http://www.example.com/api/;
    }

    另一种方法是在 Nginx 中使用 a 安装过滤器ngx_http_sub_module,这将改变服务内容,将所有 URI 更新到新的基础。

    请记住,不可能有一种完全防弹的方法来做到这一点。链接不仅可以出现在基于文本的 HTML、CSS 和 JS 文件中,还可以出现在专有的二进制文件中。而且我们事先不知道它们可能包含哪些链接来预防性地代理它们。在最近的过去,Adobe Flash 就是这种二进制格式的一个例子。没有人知道将来会发明什么来暴露同样的问题。

    • 1

  2. 您正在尝试使用代理和重写。不过,它们需要在不同的地方完成。代理将把它收到的相同路径传递给源服务器。如果你想重写到另一个位置,你可以在你的源服务器上这样做,这样它就知道将 /service 的请求重写为 /hello。否则你会得到一个 404,因为源服务器不知道如何处理 /service 的请求。

    • 0

相关问题