Nginx反向代理

Nginx反向代理

🔍一、什么是反向代理?

反向代理(Reverse Proxy)是一种架设在客户端和服务器之间的中间服务器。

  • 客户端:用户的浏览器或移动设备。
  • 反向代理:如 Nginx、Apache、Caddy 等。
  • 后端服务器:实际处理请求的服务器,通常是 Web 服务器或应用服务器。

📘反向代理与正向代理的区别

代理类型 位置 主要用途
正向代理 客户端一侧 客户端访问外网的中介(如翻墙)
反向代理 服务器一侧 保护、负载均衡、缓存、路径重写

在正向代理中,客户端隐藏自己;而在反向代理中,服务器隐藏自己

💡二、反向代理的 7 大作用

1️⃣隐藏后端服务器的 IP 和端口(安全防护)

作用

  • • 反向代理将后端服务器的 IP 地址和端口隐藏,外部用户无法直接与后端通信。
  • • 避免黑客通过 IP 扫描攻击后端服务器,提升安全性。

场景

  • • 当后端使用私有 IP(如127.0.0.1:1337)时,外部用户只能看到反向代理的 IP 地址。

示例配置(Nginx)

1
2
3
4
5
6
7
8
9

server {
    listen 80;
    server_name example.com;

    location / {
        proxy_pass http://127.0.0.1:1337;
    }
}

效果

  • • 用户请求http://example.com,Nginx 将请求转发到http://127.0.0.1:1337
  • • 只有 Nginx 公开的 IP 和端口暴露在外,后端 IP完全隐藏

2️⃣负载均衡(Load Balancing)

作用

  • • 将用户请求分发到多台后端服务器上,避免单台服务器负载过高。
  • • 通过轮询、权重、最少连接等策略分发请求,确保高可用性。

场景

  • • 电商大促期间,用户请求激增,单台服务器可能会崩溃。通过反向代理,Nginx 将请求分发到 3 台服务器,减少单点故障。

示例配置(Nginx)

1
2
3
4
5
6
7
8
9
10
11
12
13

upstream backend {
    server192.168.0.101:1337;
    server192.168.0.102:1337;
    server192.168.0.103:1337;
}

server {
    listen80;
    location / {
        proxy_pass http://backend;
    }
}

效果

  • • Nginx 将请求分发到192.168.0.101:1337192.168.0.102:1337192.168.0.103:1337,支持高并发流量。

3️⃣缓存加速(Cache)

作用

  • • 将静态资源(如图片、CSS、JS 文件)缓存在代理服务器上,减少后端请求。
  • • 缓存可减少带宽使用,提升页面加载速度,降低后端负载。

场景

  • • 当用户多次访问相同的图片、视频时,反向代理从缓存中提供资源,而不向后端服务器请求。

示例配置(Nginx)

1
2
3
4
5
6
7

server {
    location /static/ {
        root /var/www;
        expires 30d;  # 缓存 30 天
    }
}

效果

  • • 用户请求/static/logo.png,Nginx 从缓存中加载,减少后端服务器的压力。

4️⃣SSL 终止(HTTPS 加密)

作用

  • • 反向代理处理 SSL 加密,将 HTTPS 请求解密为 HTTP 请求转发给后端。
  • • 减轻后端服务器的加解密压力,提升性能。

场景

  • • 让 Nginx 处理 HTTPS 证书,后端只处理普通的 HTTP 请求。

示例配置(Nginx)

1
2
3
4
5
6
7
8
9
10
11
12

server {
    listen443 ssl;
    server_name example.com;

    ssl_certificate /etc/nginx/ssl/example.crt;
    ssl_certificate_key /etc/nginx/ssl/example.key;

    location / {
        proxy_pass http://localhost:1337;
    }
}

效果

  • • Nginx 负责 HTTPS 证书的加解密,后端只需处理普通的 HTTP 请求,性能更高。

5️⃣路径重写(URL 重写)

作用

  • • 当前端的 URL 与后端的路径不一致时,通过路径重写进行适配。

场景

  • • 前端请求/api/v1/users,后端路径为/users,Nginx 通过路径重写将其转换为/users

示例配置(Nginx)

1
2
3
4
5
6
7

server {
    location /api/v1/ {
        proxy_pass http://localhost:1337/;
        rewrite ^/api/v1/(.*)$ /$1 break;
    }
}

效果

  • /api/v1/users请求被转发到http://localhost:1337/users,无缝对接前后端路径差异。

6️⃣限流和防 DDoS 攻击

作用

  • • 通过限制每秒的请求数量,保护后端服务器,防止 DDoS 攻击。

场景

  • • 只允许每个 IP 每秒 10 个请求,超过则返回429 Too Many Requests

示例配置(Nginx)

1
2
3
4
5
6
7
8
9
10
11

http {
    limit_req_zone$binary_remote_addr zone=api_limit:10m rate=10r/s;

    server {
        location /api/ {
            limit_req zone=api_limit burst=20 nodelay;
            proxy_pass http://localhost:1337;
        }
    }
}

效果

  • • 每个 IP 每秒最多 10 个请求,额外的 20 个请求将排队,超出部分将返回429 Too Many Requests

7️⃣WebSocket 支持

作用

  • • 支持 WebSocket 长连接,常用于实时通信投票系统在线聊天

场景

  • • WebSocket 连接需要保持长连接,反向代理要确保不关闭 TCP 连接。

示例配置(Nginx)

1
2
3
4
5
6
7
8
9

server {
    location /socket/ {
        proxy_pass http://localhost:8080/;
        proxy_http_version 1.1;
        proxy_set_header Upgrade $http_upgrade;
        proxy_set_header Connection "Upgrade";
    }
}

效果

  • • 用户连接wss://example.com/socket,Nginx 保持与后端的 WebSocket 连接。

📚总结

作用 解释 使用场景
隐藏 IP 隐藏后端 IP 和端口 提高安全性,防止攻击
负载均衡 请求分发到多台服务器 提升性能,处理高并发
缓存 缓存静态资源 加速加载,减少带宽
限流 限制每秒请求数量 防 DDoS 攻击,防滥用
SSL 终止 处理 HTTPS 加解密 减轻后端负载,提高性能