服务器 Gind.cn
  1. 服务器 Gind.cn
  3. Nginx,代理传递给Apache和SSL
Intereting Posts
为什么我的IIS模块映射configuration不显示在applicationHost.config中? VMware ESXi VM的Veeam备份 – 是快照备份吗? 为什么我不能重新创build一个数据库? 用软件dnsmasqreplace股票dnsmasq 从哪个Apache版本的LimitRequestFieldSize不再硬编码到8K最大? 检查ping答复 – 意外的结果 如何防止其他人的名称服务器注册指向我的IP地址? (即改变com区文件) 如何在Windows服务器上logging/graphics化内存使用情况? 即使服务器pipe理垃圾邮件过滤,我如何允许最终用户“阻止的发件人列表”工作? 直接在httpd.conf中设置WordPress永久链接? 无法连接到子网上的设备 狮身人面像search死亡,但子宫locking 公司维基组织 – 技术文档 在Cassandra中备份数据的最佳解决scheme是什么? 本地存储在GhettoVCB上

Nginx,代理传递给Apache和SSL

我有Nginx和Apache设置Nginx的代理服务器 – 除了静态资源之外,一切都传给了Apache。 我有一个服务器设置为端口80,如下所示: 

server { listen 80; server_name *.example1.com *.example2.com; [...] location ~* \.(?:ico|css|js|gif|jpe?g|png|pdf|te?xt)$ { access_log off; expires max; add_header Pragma public; add_header Cache-Control "public, must-revalidate, proxy-revalidate"; add_header Vary: Accept-Encoding; } location / { proxy_pass http://127.0.0.1:8080; include /etc/nginx/conf.d/proxy.conf; } }

而且,由于我们有多个SSL站点(不同的SSL证书),我有一个server{}块为他们每个像这样: 

 server { listen 443 ssl; server_name *.example1.com; [...] location ~* \.(?:ico|css|js|gif|jpe?g|png|pdf|te?xt)$ { access_log off; expires max; add_header Pragma public; add_header Cache-Control "public, must-revalidate, proxy-revalidate"; add_header Vary: Accept-Encoding; } location / { proxy_pass https://127.0.0.1:8443; include /etc/nginx/conf.d/proxy.conf; proxy_set_header X-Forwarded-Port 443; proxy_set_header X-Forwarded-Proto https; } } server { listen 443 ssl; server_name *.example2.com; [...] location ~* \.(?:ico|css|js|gif|jpe?g|png|pdf|te?xt)$ { access_log off; expires max; add_header Pragma public; add_header Cache-Control "public, must-revalidate, proxy-revalidate"; add_header Vary: Accept-Encoding; } location / { proxy_pass https://127.0.0.1:8445; include /etc/nginx/conf.d/proxy.conf; proxy_set_header X-Forwarded-Port 443; proxy_set_header X-Forwarded-Proto https; } }

首先,我认为这里存在一个非常明显的问题,那就是我对所有东西都进行了双重encryption,首先是在nginx级别,然后是Apache。 为了让一切变得更糟,我刚开始使用Amazon的Elastic Load Balancer,所以我将证书添加到了ELB,现在SSLencryption发生了三次。 这对于演出来说太恐怖了。

什么是理智的方式来处理这个? 我应该在ELB上转发https – >在nginx上的http – >在Apache上的http?

其次,上面有这么多的重复。 最好的方法是不要重复自己把所有的静态资产处理放在一个包含文件中,只是把它包含在服务器中?

第1部分:传递encryption的stream量

只有你的第一个服务器“终止”客户端连接的SSL是很好的。 你应该有一个设置,你所控制的机器可以以一种可信的方式(例如在一个专用networking上)交换stream量,而不必一次又一次地运行SSL。 SSL只是为了传输安全。 浏览器 – >第一个Web服务器是不受信任的传输。 Web服务器 – >内部服务应该是可信的,因为你也将与文件服务器,数据库服务器甚至其他像memcache,redis等等进行通信。

第2部分:nginxconfiguration重复

nginx的include语句允许一个非常自由的重用forms,我可以看到你已经开始使用它了 – 继续并重构该configuration,直到看起来“正确”。 而且,nginx的可变扩展对于创build可重用的可重用应用程序非常有用,而不会造成混乱。