服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 通过suburi的孤立多个nginx SSL应用程序与单个域的策略?
Intereting Posts
光油/ Apacheredirect到后端端口8080 鸽子不听任何港口 .NET框架3.5不可用 如何使用SSL支持为我的SaaS产品实现自定义域? 鸽舍 – 加号login邮箱名称 即使定义了入站规则,也不能访问除RD(3389)之外的任何Azure VM端口 在Ubuntu升级之后,Nginx前端,Apache后端的mod_rpaf问题 用户无法将registry项添加到HKCU 我如何要求IP范围而不是1个IP? 是否有可能“看到”一个传入的ping? 克隆生产虚拟机进行testing的最简单方法是什么? 如果我想在不使用包pipe理器的情况下在Linux中运行应用程序,是我从源码编译它的唯一select吗? check_mysql_slavestatus RPE:无法读取输出 RPM云服务器上的RPM错误 在Fedora 11/12上安装Ruby 1.8.7

通过suburi的孤立多个nginx SSL应用程序与单个域的策略?

警告:到目前为止,我只学习了如何使用nginx为自己的域和服务器块提供应用程序。 但我认为是时候深入一点。

为了减轻对多个SSL证书或昂贵的通配符证书的需求,我想从一个nginx server_name提供多个应用程序(例如rails应用程序,php应用程序,node.js应用程序)。 例如rooturl / railsapp rooturl / nodejsapp rooturl / phpshop rooturl / phpblog

我不确定理想的策略。 我已经看到和想到的一些例子:

  1. 多个位置规则,这似乎导致各个应用程序configuration要求之间的冲突,例如不同的重写和访问要求

  2. 通过后端内部端口隔离应用程序,这可能吗? 每个端口路由到自己的configuration? 所以configuration是孤立的,可以定制到应用程序的要求。

  3. 反向代理,我对这是如何工作的小无知,这是我需要研究? 这实际上是2以上? 在线帮助似乎总是代理到另一台服务器,如Apache

什么是有效的方法来隔离从一个单一的域通过子uris服务的应用程序的configuration要求?

Nginx可以做很多事情,包括反向代理,caching和服务内容,但是在大型环境中,单独的function被拆分,使得它们更易于维护或专门用于更好的替代scheme(如大容量https://的stud)。

反向代理只是意味着客户端和实际应用程序之间的东西; 这实际上是一个误导,应该被称为“服务器代理”。

要从一个领域的一个证书服务一切,从这样的事情开始:

(在Ubuntu LTS 12.04上testing)

的/ etc / nginx的/ proxy_params 

#proxy_set_header Host $proxy_host; # instead of standard $host proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

在/ etc / nginx的/启用的站点 – / global_redirects 

 # note: must disable the built-in # /etc/nginx/sites-enabled/default by removing it (it's a symlink) server { # redirects all http:// requests to https:// # critically, passes the original host the client was trying to connect to. rewrite ^ https://$host$request_uri? permanent; # combined redirect access and error logs for easier correlation error_log '/var/log/nginx/global_redirects'; access_log '/var/log/nginx/global_redirects'; }

在/ etc / nginx的/启用的站点 – / global_ssl 

 # This serves all enabled-locations over ssl only. # If there's no match, it shows the default site. include /etc/nginx/upstreams-enabled/*; # include enabled upstream proxies server { listen 443 ssl; ssl_certificate /etc/nginx/server.crt; ssl_certificate_key /etc/nginx/server.key; keepalive_timeout 70; root /usr/share/nginx/www; index index.html index.htm; access_log '/var/log/nginx/global_ssl'; error_log '/var/log/nginx/global_ssl'; include /etc/nginx/locations-enabled/*; }

在/ etc / nginx的/启用位置-/条 

 # points to hackernews but # it could be http://10.2.4.5:401/app495 instead location ~ ^/bar(/.*)?$ { include proxy_params; include apps/node; proxy_pass http://news.ycombinator.com/$1; access_log '/var/log/nginx/bar'; error_log '/var/log/nginx/bar'; }

在/ etc / nginx的/启用位置-/富 

 location ~ ^/foo(/.*)?$ { include proxy_params; include apps/ruby; proxy_pass http://www.linode.com/$1; access_log '/var/log/nginx/foo'; error_log '/var/log/nginx/foo'; }

/etc/nginx/upstreams-enabled/news.ycombinator.com 

 upstream news.ycombinator.com { server news.ycombinator.com; }

/etc/nginx/upstreams-enabled/www.linode.com 

 upstream www.linode.com { server www.linode.com; }

的/ etc / nginx的/应用/ruby 

 # Place ruby specific directives here

的/ etc / nginx的/应用/节点 

 # Place node specific directives here

请记住,这不会重写网页中的url,因为这是由每个应用程序生成的。 相反,每个应用程序应该知道它的外部scheme,主机,端口和url库,并产生适当的链接(大多数真实的应用程序支持这一点)。

参考文献:

  1. http://wiki.nginx.org/HttpProxyModule
  2. http://wiki.nginx.org/HttpSslModule