Chinaunix首页 | 论坛 | 博客
  • 博客访问: 10326744
  • 博文数量: 1669
  • 博客积分: 16831
  • 博客等级: 上将
  • 技术积分: 12594
  • 用 户 组: 普通用户
  • 注册时间: 2011-02-25 07:23
个人简介

柔中带刚,刚中带柔,淫荡中富含柔和,刚猛中荡漾风骚,无坚不摧,无孔不入!

文章分类

全部博文(1669)

文章存档

2023年(4)

2022年(1)

2021年(10)

2020年(24)

2019年(4)

2018年(19)

2017年(66)

2016年(60)

2015年(49)

2014年(201)

2013年(221)

2012年(638)

2011年(372)

分类: 系统运维

2012-07-16 13:26:04

Apache反向代理  

2011-05-24 20:20:14|  分类: rhel_apache |  标签:apache  代理  服务器  httpd  访问   |字号 

反向代理简言之就是通过一台代理服务器,让Internet用户可以访问到内部网络上的服务器。
实验环境:一台带有两块网卡的OB服务器,一块连接外网1.1.1.1,一块连接内网192.168.100.1
1、开启apache的代理模块。修改httpd.conf文件,去掉下面的注释
 
  1. #LoadModule proxy_module    /usr/lib/apache/modules/libproxy.so 
  2.  LoadModule proxy_module    /usr/lib/apache/modules/libproxy.so 
 
2、启用请求转发功能。找到模块,修改如下
 
  1. <IfModule mod_proxy.c> 
  2. ProxyRequests Off 
  3.  
  4. <Directory proxy:*> 
  5.     Order deny,allow 
  6.     Allow from all  
  7. Directory> 
  8. IfModule> 
 
3、配置反向代理。在httpd.conf文件中的Section 3: Virtual Hosts中进行virtualhost配置
 
  1. NameVirtualHost 1.1.1.1 
  2. <VirtualHost 1.1.1.1> 
  3.     ServerName 
  4.     ProxyPass / 
  5.     ProxyPassReverse / 
  6.         SetEnv force-proxy-request-1.0 1 
  7.      SetEnv proxy-nokeepalive 1 
  8. VirtualHost> 
 
还可以重定向到https协议的网址,前提是服务器上要先配置apache的ssl证书
 
  1. <VirtualHost 1.1.1.1> 
  2.     ServerName it.abc.com 
  3.     ProxyPass / 
  4.     ProxyPassReverse / 
  5.     SetEnv force-proxy-request-1.0 1 
  6.     SetEnv proxy-nokeepalive 1 
  7.     SSLEngine on 
  8.     SSLCertificateFile /etc/ssl/server.crt 
  9.     SSLCertificateKeyFile /etc/ssl/private/server.key 
  10. VirtualHost> 
 
4、进行测试。对部署的内部服务进行访问时,要对DNS做相应的设置,即DNS可以正常解析到外网网卡上提供的域名
 
  1. 1.1.1.1 
  2. it.abc.com 1.1.1.1 
 
这时就可以通过域名对多台内部服务器进行映射访问了
 
apache做反向代理服务器
apache代理分为正向代理和反向代理:
1 正向代理: 客户端无法直接访问外部的web,需要在客户端所在的网络内架设一台代理服务器,客户端通过代理服务器访问外部的web(需要在客户端的浏览器中设置代理服务器)
适用于: ①局域网的代理服务器(一般是网关,相当于squid的一般用法)
②访问某个受限网络的代理服务器,如教育网访问某些国外网站需要找代理
2 反向代理: 客户端能访问外部的web,但是不能访问目标web,目标web所在的网络内一台机器充当目标web的代理,客户端直接访问代理就像访问目标web一样(此代理对客户端透明,即客户端不用做如何设置,并不知道实际访问的只是代理而已,以为就是访问的目标)
适用于: ①idc的某台目标机器只对内开放web,外部的客户端要访问,就让另一台机器做proxy,外部直接访问proxy即相当于访问目标
②idc的目标机器的某个特殊的web服务跑在非正常端口如9000,而防火墙上只对外开放了80,此时可在80上做proxy映射到9000,外部访问80即相当于9000
简单示意图如下
clip_image005
clip_image006
 
本例中
机器192.168.0.114是我们的reverse proxy server
apache/2.0.63运行在其80端口
上面有两个域名的虚拟主机
要实现的效果是:
访问 即相当于访问另一台机器192.168.0.115
访问 即相当于访问本机的9000端口
 
apache的proxy功能由其proxy模块实现.加载模块有两种方式:静态和动态,现分别说明:
一 静态加载
静态加载,在编译apache时候编译进去,编译参数如下:
"./configure" \
"-prefix=/usr/local/apache3" \
"--enable-so" \
"--enable-rewrite" \
"--with-mpm=prefork" \
"--enable-proxy" \ (这个参数即是代理模块启用)
安装完成后查看模块列表
/usr/local/apache3/bin/httpd -l
显示
Compiled in modules:
core.c
mod_access.c
mod_auth.c
mod_include.c
mod_log_config.c
mod_env.c
mod_setenvif.c
mod_proxy.c
proxy_connect.c
proxy_ftp.c
proxy_http.c
prefork.c
http_core.c
.......
编辑配置文件 httpd.conf
在虚拟主机部分
NameVirtualHost *:80
ServerAdmin webmaster@dummy-host.example.com
ServerName
ProxyRequests Off
Order deny,allow
Allow from all
ProxyPass /
ProxyPassReverse /
 
ServerAdmin webmaster@dummy-host.example.com
ServerName
ProxyRequests Off
Order deny,allow
Allow from all
ProxyPass /
ProxyPassReverse /
 
二 动态加载
动态加载:编译进一个已经装好了的apache中(编译为dso模块)
已经装好的apache在 /usr/local/apache2
进入apache源码的模块目录进行编译
cd httpd-2.0.63/modules/proxy/
/usr/local/apache2/bin/apxs -c -i -a mod_proxy.c proxy_connect.c proxy_http.c proxy_util.c
从输出里面看到apache的modules目录下已经产生了mod_proxy.so,且已经在httpd.conf中激活了
cd /usr/local/apache2/conf/
ls ../modules/ 看到确实有mod_prxoy.so
编辑配置文件
vi httpd.conf
修改如下
加载模块
LoadModule proxy_module modules/mod_proxy.so (这句是编译激活时产生的)
LoadModule proxy_http_module modules/mod_proxy.so (这句是要手动添加的)
虚拟主机的部分加上
NameVirtualHost *:80
ServerAdmin webmaster@dummy-host.example.com
ServerName
ProxyRequests Off
Order deny,allow
Allow from all
ProxyPass /
ProxyPassReverse /
 
ServerAdmin webmaster@dummy-host.example.com
ServerName
ProxyRequests Off
Order deny,allow
Allow from all
ProxyPass /
ProxyPassReverse /
重启apache生效
 
注:
如果不加LoadModule proxy_http_module modules/mod_proxy.so,则浏览器页面打不开,页面显示
Forbidden
You don't have permission to access / on this server.
日志acess_log里面显示
192.168.0.28 - - [03/Jun/2009:16:16:27 +0800] "GET /?sessionId=4293567494722637330&rand=1244014624405&CONTEXT=0&page=com.othe
r.AjaxWhoWhatUpdate&xrand=1244016991554&wwRandId=1244014624405&wwBugId=2341&wwType=View HTTP/1.1" 403 315
或者
192.168.0.28 - - [03/Jun/2009:17:10:32 +0800] "GET / HTTP/1.1" 403 315
即403错误
日志error_log里面显示
[Wed Jun 03 17:08:46 2009] [warn] proxy: No protocol handler was valid for the URL /. If you are using a DSO version of mod_p
roxy, make sure the proxy submodules are included in the configuration using LoadModule.
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
Linux下Apache Proxy与Cache功能的配置
 
1. 安 装:
随REDHAT5.2 安 装 盘 携 带 有APACHE HTTP SERVER, 在 安 装 时 选 择 安 装 即可,REDHAT5.2 还 有 一 个XWINDOWS 界 面 下 的APACHE 管 理 器(CAMANCHE), 愿 意 的话 也可 以 一 并 安 装。
2. 设 置:
一 . 设 置PROXY:
进 入XWINDOWS, 启 动CONTRAL PANAL, 有 一 个 图 标 是 大 写 的W, 那 就是CAMANCHE, 点 击 图 标, 出 现 配 置 界 面, 在MAIN 里 面 找 到PROXY 选 项, 把UNSET 改为ON 即 可, 这 样 只 是 开 启 了PROXY 功 能, 如 果 需 要 是 进 行 一 些 其 它 配置, 就 要 修 改位 于\ETC\HTTPD\CONF\HTTPD.CONF 去 掉 下 列 命 令 前 面 的 注 释, 并 根 据 需 要调 整 相关 参 数
a. ProxyRequests on
b. ProxyRemote 定 义 此SERVER 的 远 程 代 理。
比 如ProxyRemote * * 表 示 对 所 有 请 求 都使 用 远 程PROXY 。
c. ProxyBlock 定 义 到 哪 些 站 点 的 请 求 被PROXY 阻 断。
比 如ProxyBlock 123.com ffff 表 示 凡 是 在 域 名 中 出 现ffff,123.com 以 及 域 名是 的 站 点 都 会 被PROXY 阻 断, 无 法 访 问。
至 此,PROXY 设 置 完 成, 其 地 址 就 是 该 机 器 的 内 部IP, 端 口 缺 省是80, 如 需 要改 变, 修 改 位 于\ETC\HTTPD\CONF\HTTPD.CONF , 把Port 80 改 为 相 应 端 口。
二 . 设 置CACHE
修 改 位 于\ETC\HTTPD\CONF\HTTPD.CONF
去 掉 下 列 命 令 前 面 的 注 释, 并 根 据 需 要 调 整 相 关 参 数
d. CacheRoot < diretectory >
比 如CacheRoot /var/cache/httpd 就 是 说 所 有 的CACHE 都 会 放 在 此 目 录下面。
f. CacheSize < size > 定 义 缓 存 区 大 小, 以KB 为 单 位。
可 以 根 据 需 要, 硬 盘 空 间 大 小 进 行 设 置。
h. CacheGcInterval < time > 每 隔< time > 小 时 检 查 缓 存 区, 如 果 已 经超 过CacheSize 就 删 除 文 件。 缺 省 是4
i. CacheMaxExpire < time > HTTP 文 件 最 多 被 保 持< time > 小 时。 缺 省是24
j. CacheLastModifiedFactor < factor > 定 义HTTP 文 件 失 效 期, 缺 省是0.1 意 思 是 说 失 效 期= 离 最 近 一 次 修 改 的 时 间X< factor >, 比 如 离 最近 一 次 修改 的 时 间 是5 小 时, 那 么 失 效 期 就 是5X0.1=0.5 小 时。
k. CacheDirLevels 定 义 缓 存 子 目 录 层 数, 缺 省 是1
l. CacheDirlength 设 置 缓 存 子 目 录 名 字 的 长 度, 缺 省 是1。 即 所 有子 目 录
的 名 字 都 是 由 一 个 字 母 组 成。
m. NoCache < word/host/domain list > 定 义 哪 些 站 点 不 要 缓 存。
比 如NoCache 123.com ffff 表 示 凡 是 在 域 名 中 出现ffff,123.com 以 及 域 名 是 的 站 点 都 会 不 被PROXY 缓 存。
下 面 是 我 在 本 地SERVER 上 的HTTPD。CONF 的 相 关 部 分。
ProxyRequests on
CacheRoot /var/cache/httpd
CacheSize 5000
CacheGcInterval 4
CacheMaxExpire 24
CacheLastModifiedFactor 0.1
CacheDefaultExpire 1
3 . 然 后 可 以 规 定 哪 些IP 地 址 可 以 使 用PROXY SERVER, 哪 些 不 可 以修 改 位
于\ETC\HTTPD\CONF\HTTPD.CONF
< Directory proxy : * >
< limit GET PUT DELETE CONNECT OPTIONS >
order deny allow
deny from [不可以使用PROXY SERVER的IP地址或者节点名]
allow from[可以使用PROXY SERVER的IP地址或者节点名]
< /limit >
< /directory >
4 . 设 置 用 户 的 浏 览 器 使 用PROXY
A . INTERNET EXPLORER
查 看----》internet 选 项-----》 连 接------》 代 理 服 务 器, 假 定PROXY SERVER 的IP 是172。16。1。100, 端 口 是80, 那 么 将 其 输 入 即 可
B . NETSCAPE
EDIT-----》 PREFERENCES ----》ADVANCED-----》PROXYES 选 择MANUAL
PROXY CONFIGURATION -----》VIEW 输 入172.16.1.100:80
 
 ````````````````````````````````````````````````````````````````````````````````````````````````````````````````````
Apache的ProxyPass指令详解

原文地址:
翻译:

描述:将远程服务器映射到本地服务器的URL空间
语法:ProxyPass [路径] !|url [键=值 键=值 ...]] [nocanon]
上下文: server config, virtual host, directory
状态:扩展
模块:mod_proxy

该指令可以将远程服务器映射到本地服务器的URL空间;本地的服务器并不是扮演传统意义上的代理服务器的角色,而是表现为远程服务器的一个镜像。此本地服务器常被成为反向代理(reversed proxy)或者是网关(gateway)。路径是指本地虚拟路径的名字;url指远程服务器的一个部分URL,不能包含查询字符串。

注意:在使用ProxyPass指令的时候,ProxyRequests指令通常都应该是关闭的。

假设本地服务器的地址是 ,那么

ProxyPass /mirror/foo/

将会把对mirror/foo/bar的本地请求内部转换成到bar的代理请求。

其中,!指令当你不想对某个子目录进行反向代理的时候就有用了,例如:

ProxyPass /mirror/foo/i ! ProxyPass /mirror/foo

将会把所有的/mirror/foo请求重定向到backend.example.com除了对/mirror/foo/i的请求。

注意:

顺序很重要:排除的指令必须在一般的ProxyPass指令之前。

和Apache 2.1一样,具备了使用到后端服务器的线程池的能力。使用“键=值”的参数便可调节线程池的分配。硬性最大值(Hard Maximum)的默认值为当前MPM中每个进程的线程数量。在Prefork MPM中,该值总是为1,在Worker MPM中,该值受ThreadsPerChild控制。

设置min可以决定有多少到后端服务器的链接始终打开。根据需要最多创建数量为柔性最大值(Soft Maximum),也就是smax的链接。任何超出smax数量的链接都会指定一个生存时间也就是ttl。Apache不会同时创建超过硬性最大值(或max)数量的到后端服务器的链接。

ProxyPass /example smax=5 max=20 ttl=120 retry=300
参数 默认值 描述
min 0 到后端服务器的总是打开的链接最小数。
max 1…n 允许连接到后端服务器的硬性最大链接数。硬性最大值的默认值为当前MPM中每个进程的线程数量。在Prefork MPM中,该值总是为1,在Worker MPM中,该值受ThreadsPerChild控制。
smax max 根据需要最多创建数量为柔性最大值(Soft Maximum),也就是smax的链接。任何超出smax数量的链接都会指定一个生存时间也就是ttl
acquire - 如果设置了该参数,它就会成为等待链接池中空闲链接的最大时间。如果链接池中没有任何空闲链接,那么Apache将会给客户端返回SERVER_BUSY状态。
flushpackets off 决定代理模块是否要在接受到每段数据的时候自动冲掉输出缓冲。‘off’表示只有当需要的时候才冲掉,‘on’表示每段数据后都冲,‘auto’表示轮询/等待一段长度为‘flushwait’毫秒的时间后如果没有输入便冲掉。目前该参数仅对AJP有效。
flushwait 10 表示如果‘flushpackets’为‘auto’,在冲掉输出组前等待额外输入的时间,单位毫秒。
keepalive Off 该参数应该在你的Apache和后端服务器之间有防火墙的时候时候,因为防火墙有可能会丢弃不活动的链接。该标志将会告诉操作系统在不活动的链接中发送KEEP_ALIVE消息(时间间隔由全局的OS设置决定,一般为120ms),这样避免防火墙丢弃该链接。要启用keepalive可以将该属性设置为On
lbset 0 对该工作单元所属的负载均衡集群进行设置。负载均衡器会先尝试较小的lbset,然后尝试大的。
ping 0 Ping数据告诉Web服务器在对ajp13链接递交请求前发送一个CPING请求。参数为等待CPONG响应的延迟,单位为秒。添加该功能是为了避免挂起和忙碌的Tomcat的一些问题。该功能需要ajp13 的ping/pong支持,已经在Tomcat 3.3.2+、4.1.28+、5.0.13+中实现。它会增加普通操作中的网络流量,有可能是个问题,但是它在集群节点失效或者繁忙的时候减少网络流量。目前该参数只对AJP有效。
loadfactor 1 工作单元负载系数。用于BalancerMember。它是一个1到100之间的数字,用于定义应用于该工作单元的正规化权重负载。
redirect - 工作单元的重定向路由(Redirection Route)。该值通常被动态设置用于从集群中安全地移除某个节点。如果被设置了,所有不包含会话ID的请求都会被重定向到有等值route参数的BalancerMember中。
retry 60 线程池工作单元重试的超时时间,以秒为单位。如果到后端服务器的线程池工作单元状态是出错,Apache将不会递交任何请求到该服务器,直到超时结束。这可以令后端服务器关闭进行维护,并稍后上线。如果值为0则表示总是重试错误状态的工作单元不等待任何时间。
route - 工作单元的路由,用于负载均衡器中。该路由是附加给会话ID的一个值。
status - 用一个字符定义该工作单元的初始状态:‘D’表示禁用,‘S’表示已停止,‘I’表示忽略错误,‘H’表示热备,‘E’表示出错。状态可以通过前置‘+’表示设置或者‘-’表示清楚。这样,‘S-E’表示设置该工作单元为已停止并清除出错标志。
timeout Timeout 链接超时时间,单位为秒。如果未设置,那么Apache会一直等到有可用的链接位置。该指令常和max参数一起使用来限制到后端服务器的链接。
ttl - 超出smax连接数的非活动链接的生存时间(Time To Live),单位为秒。Apache会关闭在这段时间内没有被用过的所有链接。

如果代理的指令类型以balancer://开头那么会创建一个虚拟工作单元,并不直接和后端服务器通讯。它负责对一些“真正”的工作单元进行管理。这种情况下可以给虚拟工作单元添加一系列额外参数。更多关于均衡器如何工作的信息请查看。

参数 默认值 描述
lbmethod byrequests 选择均衡器的负载均衡方式。可以是byrequests,进行加权请求计数,或者是bytraffic,进行加权流量字节计数均衡。默认按请求数。
maxattempts 1 在放弃之前的故障转移的最大尝试次数。
nofailover Off 如果设为‘On’,当工作单元被禁用或者出错时,会话则立即中断。可以将该值设为On如果后端服务器不支持会话复制(Session replication)。
stickysession 均衡器粘连会话名称。该值常常会被设置为类似JSESSIONID或者PHPSESSIONID之类的值,他依赖于支持会话的后端应用服务器。如果后端服务器使用不同的cookie名称或者URL编码的ID(像servlet容器),使用|来分开他们。第一个部分针对cookie,第二个针对路径。
timeout 0 均衡器超时时间,单位为秒。如果设置了,那么就是等待空闲工作单元的最大时间。默认是不等。

均衡器设置范例

ProxyPass /special-area smax=5 max=10 ProxyPass / balancer://mycluster stickysession=JSESSIONID|jsessionid nofailover=On BalancerMember BalancerMember smax=10 # 性能较弱的服务器,不要给他发送太多请求 BalancerMember smax=1 loadfactor=20

设置一个热备份,也就是只有当没有其他成员可用的时候才使用:

ProxyPass / balancer://hotcluster/ BalancerMember loadfactor=1 BalancerMember loadfactor=2 # 以下是热备份 BalancerMember status=+H ProxySet lbmethod=bytraffic

正常情况下,mod_proxy会标准化被ProxyPass的URL。但它可能会和某些后端不兼容,尤其是那些利用了PATH_INFO的。可选的nocanon关键词可以禁止它,并不动地直接将URL路径传递给后端。注意它可能会影响到后端的安全性,因为它跳过了由代理提供的对常见的基于URL的攻击的保护。

当用在节中的时候,第一个参数应被忽略,并且本地的路径将从取得。

如果你需要更加有弹性的反向代理配置,参见是用[P]标志的指令。

 ````````````````````````````````
上一篇中讲了apache的安装配置参数,生成了我想要的代理、rewrite相关模块,对于代理的配置规则,在这里进行一个概述。
       mod_proxy代理的作用主要就是进行url的转发,而应用转发功能,可以实现同tomcat等应用服务器的整合,同时也可以实现web集群负载均衡的功能。以下先介绍大致的规则:
       proxy是位于客户端与实际的服务器之间的服务器,一般称为facade server,负责将外部的请求分流,也负责对内部的响应做一些必要的处理。如果结合mod_cache,则可提高访问速度,适当的减轻网络流量压力。闲话少说,直接拿个例子来:
    设本站地址为
    ProxyPass /images/ !
    ProxyPass /js/ !
    ProxyPass /css/ !
    ProxyPass /example
    ProxyPassReverse /example
    ProxyPass / ajp://127.0.0.1:8009/
    ProxyPassReverse / ajp://127.0.0.1:8009/
    还是上一篇的例子,ProxyPass易理解,就是转发url上的请求,而其中的配置顺序也是需要遵守 。要禁止转发的url需要放在一般的请求之前。对于http:///images/  http:///js/ http:///css/的请求是不予转发的,对于http:///example/的请求,会转发到。
    值得注意的就是ProxyPassReverse的配置了,这是反向代理。为什么要在这里加上这样的配置?我们来看个例子:
    在没有加这样的反向代理设置的情况下,访问http:///example/a,如果对请求进行了redirect至b,那么,客户端就会绕过反向代理,进而访问http:///example/b。如果设置了反向代理,则会在转交HTTP重定向应答到客户端之前调整它为http:///example/a/b,即是在原请求之后追加上了redirect的路径。
更多更详细的关于mod_proxy的描述可以参见手册:
 
 

ProxyPreserveHost On
ProxyPass /foo/no !
ProxyPass /foo
ProxyPassReverse /foo
ServerName hostname.example.com

一、首先这是一个基于IP的虚拟主机,它接收并处理对IP地址158.29.33.248的请求。
二、ProxyPass /foo 将把对的请求转换为一个代理请求,该请求指向。
三、ProxyPass /foo/no ! 不代理针对/foo/no的请求。这个必须放在正常代理指令之前。
四、ProxyPreserveHost On 意思是传送原始请求的Host信息给被代理的机器。
五、ProxyPassReverse /foo 可以保证请求URL在其它机器上被重定向后,本机处理时也可以保持一致。具体看手册关于反向代理的部分。
阅读(1409) | 评论(0) | 转发(2) |
给主人留下些什么吧!~~