成人国产在线小视频_日韩寡妇人妻调教在线播放_色成人www永久在线观看_2018国产精品久久_亚洲欧美高清在线30p_亚洲少妇综合一区_黄色在线播放国产_亚洲另类技巧小说校园_国产主播xx日韩_a级毛片在线免费

資訊專欄INFORMATION COLUMN

tomcat與nginx的反向代理,https過程分析

aikin / 4095人閱讀

摘要:接下來我們要配置這個的端口,這樣他們才能運行時端口號不沖突。問題指明不同的端口號訪問也太蠢了吧的確很蠢,所以我們要慢慢過渡學(xué)習。接下來我們學(xué)習用來進行反向代理。阿里云的部分有一些配置的具體過程。

一、在linux上部署運行多個tomcat 1、以前的我們

雖然說是在linux上,但是windows上也是同樣的道理,只不過我們服務(wù)器都是選用linux罷了。

原先,自己有多個項目需要部署在linux上時,我的做法(新手的做法)是:在linux上只有一個tomcat服務(wù)器,我們把多個項目如project-1.warproject-2.war、project-3.war(一般都是.war包的形式)都傳輸?shù)竭@個tomcat的webapps/目錄下;在啟動tomcat后,tomcat自動解壓war包成文件夾,然后我們通過地址+項目名的方法來訪問項目。

比如:192.168.1.1:8080/project-1/index.jsp,192.168.1.1:8080/project-2/index.jsp等形式。

缺點: 作為新手來說,這只是一個過渡的時期。我們發(fā)現(xiàn),如果我們有時候想要重啟服務(wù)器或關(guān)閉服務(wù)器(修改配置、項目之類的),所有的項目就都暫時無法訪問了。而且tomcat每次啟動都要重新加載所有的項目。簡而言之,十分地不方便。

2、學(xué)會部署運行多個tomcat

我們可以運行多個tomcat,每一個tomcat都使用不同的端口號,這樣我們就能隨心所欲地部署我們的web項目了。當然,這里可能有多種搭配。如:單tomcat單項目,單tomcat多項目,多tomcat單項目,多tomcat多項目等。重要的是:使用多個tomcat可以讓我們借助不同端口號來獨立分隔不同的項目,個人覺得比較條理清楚

2.1、多個tomcat運行單項目

下面講解一下如何部署多個tomcat來運行同一個項目。假設(shè)我們的工作目錄是/opt/,我們下載傳輸tomcat-xxx.zip到該目錄下,解壓unzip tomcat-xxx.zip后,重命名mv tomcat-1,這個就是我們的第一個tomcat服務(wù)器了。然后我們再復(fù)制一個cp -a tomcat-1 tomcat-2,這樣就得到了第2個tomcat服務(wù)器。

接下來我們要配置這2個tomcat的端口,這樣他們才能運行時端口號不沖突。下面的內(nèi)容參考自網(wǎng)絡(luò),大家分享的都是差不多的。

1、打開配置文件,配置環(huán)境變量:vim /etc/profile

2、在文件的最后幾行加入配置信息:

# tomcat-1 config
CATALINA_1_BASE=/opt/tomcat-1
CATALINA_1_HOME=/opt/tomcat-1
TOMCAT_1_HOME=/opt/tomcat-1
export CATALINA_1_BASE CATALINA_1_HOME TOMCAT_1_HOME

# tomcat-2 config
CATALINA_2_BASE=/opt/tomcat-2
CATALINA_2_HOME=/opt/tomcat-2
TOMCAT_2_HOME=/opt/tomcat-2
export CATALINA_2_BASE CATALINA_2_HOME TOMCAT_2_HOME

這里就是配置了我們自己的tomcat所在路徑

然后,我們要刷新文件使其生效:source /etc/profile。

3、對tomcat進行相應(yīng)的配置

我們先來到第一個tomcat下cd /opt/tomcat-1/,然后編輯第一個需要配置的文件:vim /bin/catalina.sh

我們找到下面的內(nèi)容:# OS specific support. $var _must_ be set to either true or false.

然后在下面增加如下代碼:

export CATALINA_BASE=$CATALINA_1_BASE
export CATALINA_HOME=$CATALINA_1_HOME

接著,我們編輯第二個需要配置的文件vim /conf/server.xml:找到下面3條信息

                

   


    

我們需要修改這3個端口號的值,以防止多個tomcat之間端口沖突。比如改成下面的端口號。

                


   


    

4、這樣,第1個tomcat就已經(jīng)配置好了。我們這時候可以把項目project-1.war傳輸?shù)?b>/opt/tomcat-1/webapps/目錄下,然后運行這個tomcat/bin/startup.sh。接著我們訪問192.168.1.1:9080/project-1/index.jsp就能看到項目了。

5、小插曲:

可能會出現(xiàn)無法執(zhí)行startup.sh文件的情況,提示沒有權(quán)限,我們需要賦予執(zhí)行權(quán)限cd /opt/tomcat-1/bin/chmod u+x *.sh即可。

記得要開放linux對應(yīng)的端口號,我用的是阿里云,所以就在控制臺進行開發(fā),你也可以使用ufw軟件來進行開放。

第2個tomcat服務(wù)器的配置、運行的步驟和上面是一致的,只是選用的端口號不能重復(fù),在配置完之后,我們就有2個tomcat服務(wù)器來運行同一個web項目了。

比如說:192.168.1.1:9080/project-1/index.jsp192.168.1.1:10080/project-1/index.jsp

2.2、想的再遠一點,別輕易滿足

其實上面這種多tomcat單個項目的方式,我們稱之為tomcat集群。當然,上面的還很粗糙,只是一個小demo。

問題1:指明不同的端口號訪問(9080、10080)也太蠢了吧!

的確很蠢,所以我們要慢慢過渡學(xué)習。接下來我們學(xué)習用nginx來進行反向代理。


二、使用nginx進行反向代理

nginx的安裝

在上面的教程安裝完成之后,如何啟動呢?我建議把nginx的目錄加到環(huán)境變量中。

/etc/profile 中加入:

export NGINX_HOME=/usr/local/nginx
export PATH=$PATH:$NGINX_HOME/sbin

這樣,就能直接使用nginx -t等命令了。

在安裝完成后,啟動nginx,訪問我們的地址192.168.1.1就可以看到nginx的歡迎頁面了。

曾經(jīng)的一個bug: 遇到的情況是,無論如何修改配置都不能使其生效!通過nginx -t可以看到配置文件的路徑:

那一次就是我找錯了配置文件。也可以手動加載配置文件來啟動:nginx -t -c /usr/local/nginx/conf/nginx.conf來先檢查,然后讀取配置文件啟動。

nginx常用的命令
# 檢查配置文件
nginx -t

# 啟動
nginx

# 停止
nginx -s stop

# 重新加載配置文件啟動
nginx -s reload

# 指定配置文件啟動
nginx -c /usr/local/nginx/conf/nginx.conf

# 查看nginx版本
nginx -v

# 摘自網(wǎng)絡(luò)
nginx -s stop       快速關(guān)閉Nginx,可能不保存相關(guān)信息,并迅速終止web服務(wù)。
nginx -s quit       平穩(wěn)關(guān)閉Nginx,保存相關(guān)信息,有安排的結(jié)束web服務(wù)。
nginx -s reload     因改變了Nginx相關(guān)配置,需要重新加載配置而重載。
nginx -s reopen     重新打開日志文件。
nginx -c filename   為 Nginx 指定一個配置文件,來代替缺省的。
nginx -t            不運行,而僅僅測試配置文件。nginx 將檢查配置文件的語法的正確性,并嘗試打開配置文件中所引用到的文件。
nginx -v            顯示 nginx 的版本。
nginx -V            顯示 nginx 的版本,編譯器版本和配置參數(shù)。
1、先練個手,為不同端口配置虛擬主機
# 找到安裝的nginx
whereis nginx

# 進入安裝目錄
cd /usr/local/nginx/

# 編輯nginx配置文件
vim conf/nginx.conf

我們先找到下面這些信息:

server {
        listen       80;
        server_name  localhost;

        #charset koi8-r;

        #access_log  logs/host.access.log  main;

        location / {
            root   html;
            index  index.html index.htm;
        }

上面的配置,意思是:

nginx監(jiān)聽服務(wù)器本地的80端口(建議把localhost改成自己的ip,更清晰),對外部訪問的/進行代理,所以我們訪問192.168.1.1就會看到nginx的歡迎頁面。

之前我們不是覺得加上端口號9080、10080很蠢嗎,現(xiàn)在來改造一下:

# 虛擬主機
server {
        listen       80;
        server_name  yeziqiduo.top;

        #charset koi8-r;

        #access_log  logs/host.access.log  main;

        location / {
            root   html;
            index  index.html index.htm;
        }

        location /tomcat-1/ {
            proxy_pass http://yeziqiduo.top:9080/xmlconfig/;
        }

        location /tomcat-2/ {
            proxy_pass http://yeziqiduo.top:10080/xmlconfig/;
        }

我們把localhost改成了自己的域名(當然你也可以用ip地址),然后添加了2個location的配置,意思是nginx監(jiān)聽到指定的server_name匹配到的location時,進行請求代理,即:yeziqiduo.top/tomcat-1的請求被代理給了我們設(shè)置的http://yeziqiduo.top:9080/xmlconfig/。第2個location的意思是一樣的。

示意圖如下:

瀏覽器監(jiān)聽請求轉(zhuǎn)發(fā)(重定向):可以明顯看到先是301的永久重定向,請求被轉(zhuǎn)發(fā)給了下一個url。

這個練手,讓我們明白了可以用nginx來映射請求url和服務(wù)器上的真實url。
2、再練下手,為不同的二級域名配置虛擬主機

如果我們使用主域名+項目名的url(yeziqiduo.top/tomcat-1、yeziqiduo.top/tomcat-2),看起來還是太low了啊。我覺得,用二級域名來代表不同的項目豈不是很爽嗎?比如說:book.yeziqiduo.top、movie.yeziqiduo.top,就可以用來分別表示book項目和movie項目。

首先,我們要對我們的域名(yeziqiduo.top)添加2條A類型的解析記錄,讓book.yeziqiduo.top指向我們的ip地址。同理movie也是。

然后,我們再來編輯nginx的配置文件,(/usr/local/nginx/conf/nginx.conf.default是默認文件)我們可以添加多個server段來配置基于域名的虛擬主機。如下:

# 第一個虛擬主機
server {
  listen       80;
  server_name  book.yeziqiduo.top;

  location / {
    proxy_pass  http://yeziqiduo.top/book/;
  }

  error_page   500 502 503 504  /50x.html;
  location = /50x.html {
      root   html;
  }
}

# 第二個虛擬主機
server {
  listen       80;
  server_name  movie.yeziqiduo.top;

  location / {
      proxy_pass  http://yeziqiduo.top/movie/;
  }

  error_page   500 502 503 504  /50x.html;
  location = /50x.html {
      root   html;
  }
}

這樣,我們就可以通過2個二級域名的地址來訪問服務(wù)器上的2個不同項目了。

這種方式,是我們比較常用的方式,因為2級域名更加直觀。毫無疑問,這種方式把第一種方式給碾壓了。
3、正題來了,單項目的tomcat集群實現(xiàn)

當一個項目訪問的人數(shù)多了之后,可能單個tomcat就支撐不住并發(fā)量了。這時候,我們希望有多臺tomcat可以提供服務(wù),理想的情況如下圖:

在前面的2次練手后,我們可以很容易想明白。服務(wù)器端我們部署運行多個tomcat來實現(xiàn)單項目的集群。然后借助nginx來對請求進行代理,nginx依據(jù)某種策略把這些請求分發(fā)給不同的tomcat來處理。

為了方式調(diào)試,我們讓tomcat-1和tomcat-2下的book項目有一點不同,就是主頁index的顯示不一樣,這樣才知道是哪個tomcat提供的服務(wù)。

我們來編輯配置文件:

# 配置上游服務(wù)器集群
upstream book_cluster {
  server  yeziqiduo.top:9080;
  server  yeziqiduo.top:10080;
}

# 虛擬主機
server {
  listen       80;
  server_name  book.yeziqiduo.top;

  location / {
    # 如果服務(wù)器出錯,則代理給下一臺服務(wù)器
    proxy_next_upstream  http_502 http_504 error timeout invalid_header;
    proxy_pass  http://book_cluster/xmlconfig/;
    proxy_set_header  Host book.yeziqiduo.top;
    proxy_set_header  X-Forwarded-For $remote_addr;
  }

  access_log  logs/book.yeziqiudo.top_access.log;

  error_page   500 502 503 504  /50x.html;
  location = /50x.html {
      root   html;
  }
}

要注意,upstream只能配置地址+端口,不能加上項目路徑。我們將項目路徑配置在proxy_pass字段,緊跟著集群地址后加上/xmlconfig/來指定這個tomcat集群的項目。

我們在瀏覽器多次訪問,刷新,可以看到不同的tomcat提供的服務(wù)。

相信看著,應(yīng)該很激動了。到這里,我們接觸到了比較粗淺的負載均衡。
問題:tomcat集群下,nginx如何選擇策略來代理請求?

nginx的upstream目前支持4種方式的分配
1、輪詢(默認)
每個請求按時間順序逐一分配到不同的后端服務(wù)器,如果后端服務(wù)器down掉,能自動剔除。
2、按權(quán)重分配weight
weight和訪問比率成正比,用于后端服務(wù)器性能不均的情況。 例如:

upstream bakend {
  server yeziqiduo.top:9080 weight=10;
  server yeziqiduo.top:10080 weight=10;
}

3、ip_hash
每個請求按訪問ip的hash結(jié)果分配,這樣每個訪客固定訪問一個后端服務(wù)器,可以解決session的問題。 例如:

upstream bakend {
  ip_hash;
  server yeziqiduo.top:9080;
  server yeziqiduo.top:10080;
}

4、fair(第三方)
按后端服務(wù)器的響應(yīng)時間來分配請求,響應(yīng)時間短的優(yōu)先分配。

upstream backend {
  server yeziqiduo.top:9080;
  server yeziqiduo.top:10080;
    fair;
}

5、url_hash(第三方)
按訪問url的hash結(jié)果來分配請求,使每個url定向到同一個后端服務(wù)器,后端服務(wù)器為緩存時比較有效。
例:在upstream中加入hash語句,server語句中不能寫入weight等其他的參數(shù),hash_method是使用的hash算法。

upstream backend {
  server yeziqiduo.top:9080;
  server yeziqiduo.top:9080;
  hash $request_uri;
  hash_method crc32;
}
4、想一想,現(xiàn)在的問題又來了! 1.現(xiàn)在我們只有一個服務(wù)器,如果并發(fā)量巨大,一臺服務(wù)器上的單項目tomcat集群也是撐不住的。所以我們會來到分布式架構(gòu),演變?yōu)閱雾椖慷喾?wù)器集群的形式。(橫向拓展遠遠優(yōu)于硬件的縱向拓展)

2.接著問題1,現(xiàn)在來到了分布式。那么新的問題就是:如何保持用戶的session一致性?如何保證文件資源(如上傳、下載)的一致性? 3.分布式帶來的問題不少,現(xiàn)在,單項目的tomcat集群又演變成了微服務(wù)架構(gòu)。將一個大型的項目拆分,各個模塊都獨立運行提供服務(wù),比如說拆分出單點登錄系統(tǒng)、OSS(對象存儲服務(wù))等,能夠解決一些問題2中的一些麻煩。 三、使用nginx強制http轉(zhuǎn)https

首先我們需要https的證書,免費提供https證書的網(wǎng)站有freessl、letsencrypt、以及阿里云這3個網(wǎng)站。借助阿里云的單域名ssl證書,可以得到一個.key文件(私鑰)和.pem文件(證書)。阿里云的ssl部分有一些配置的具體過程。在nginx的配置文件中,配置如下。對yeziqiduo.top啟用了ssl即https連接,2個文件需要復(fù)制到linux中并指明路徑。

然后我們想要強制http轉(zhuǎn)成https連接,nginx配置如下:借助return重定向為https。(實現(xiàn)的方式還有其他幾種)

由于阿里云提供的免費ssl證書只支持單域名,所有我們按照自己的需求申請多個證書并一一配置就可以了。
1、https的詳細了解

這部分內(nèi)容,網(wǎng)上的博客分析地比較全面和透徹,看到好的文章多看看理解了才行。

下面自己梳理一下一些關(guān)鍵的名詞https的連接、傳輸過程。

首先,我們知道申請得到的ssl文件:一個是私鑰(private key),另一個是證書(certificate)。我先講一下什么是證書吧!借助Firefox可以查看網(wǎng)站的證書信息,重要的內(nèi)容有:證書編號,過期時間,所有者信息,所有者公鑰。

1.下面講解一下證書的生成過程:
一個概念就是數(shù)字證書就好比網(wǎng)站的身份證,CA頒發(fā)給網(wǎng)站的證書就好比是一張張可信任的身份證。

上面就是CA機構(gòu)生成證書的過程,可以看到,證書中包含的內(nèi)容有3部分:證書編號的數(shù)字簽名值,網(wǎng)站的公鑰,網(wǎng)站的信息。

2.https的連接
https的連接,就是在tcp層和http層之間加了一層ssl層,所以需要先建立ssl連接,然后才開始http連接與通信。下面講解一下,客戶端如何與網(wǎng)站進行通信連接的建立。

當客戶端請求網(wǎng)站時,網(wǎng)站將證書發(fā)送給客戶端,客戶端如何判斷發(fā)送的證書內(nèi)容沒有修改呢?這樣我才能使用該證書的公鑰進行通信!

這個過程就是證書生成的逆過程。需要指出的是:CA的公鑰哪里來的呢? 操作系統(tǒng)和瀏覽器會自己維護為數(shù)不多的CA機構(gòu)列表。所以CA機構(gòu)的公鑰是在我們本地的??蛻舳耸褂猛瑯拥墓7椒ǎㄟ@個信息放在網(wǎng)站信息中)計算得到證書編號,同時使用CA公鑰對數(shù)字簽名值進行解密得到真實的證書編號,2者一對比,相等則說明該證書沒有被篡改,可以信任并且使用其公鑰。

1、如果證書被人修改,因為它沒有CA的私鑰,所以只能篡改網(wǎng)站公鑰或網(wǎng)站信息這2部分的內(nèi)容??蛻舳擞嬎?個證書編號后就能知道信息是否被篡改。

2.如果證書被CA信任的其他網(wǎng)站劫持,發(fā)送過來的是被信任的網(wǎng)站的證書呢?客戶端還會判斷證書中網(wǎng)站信息里的域名是否和自己請求的域名一致,這樣就能知道是否被中間人劫持了。

證書驗證通過之后,還要做更重要的事情!

客戶端生成隨機數(shù),并使用網(wǎng)站的公鑰進行加密,發(fā)送給網(wǎng)站(中間人沒有私鑰,無法篡改);網(wǎng)站收到密文后使用私鑰進行解密得到隨機數(shù),并回復(fù)客戶端。這個過程就是在協(xié)商后面的http通信所要使用的對稱加密的密文。協(xié)商完成后,雙方后面就開始進行http通信了,通信的內(nèi)容都要使用密文進行對稱加密(中間人不知道對稱加密的密文,無法篡改),這樣內(nèi)容的安全性就得到了保證。

2、總結(jié)一下https的過程

HTTPS要使客戶端與服務(wù)器端的通信過程得到安全保證,必須使用的對稱加密算法,但是協(xié)商對稱加密算法的過程,需要使用非對稱加密算法來保證安全,然而直接使用非對稱加密的過程本身也不安全,會有中間人篡改公鑰的可能性,所以客戶端與服務(wù)器不直接使用公鑰,而是使用數(shù)字證書簽發(fā)機構(gòu)頒發(fā)的證書來保證非對稱加密過程本身的安全。這樣通過這些機制協(xié)商出一個對稱加密算法,就此雙方使用該算法進行加密解密。從而解決了客戶端與服務(wù)器端之間的通信安全問題。

先使用非對稱加密方式通信,驗證網(wǎng)站身份以及取得公鑰。然后雙方協(xié)商對稱加密的密文。后面雙方的http通信就使用密文進行對稱加密。

下面是參考的博文。

https博文列表:

1.也許,這樣理解HTTPS更容易

2.圖解 HTTPS:Charles 捕獲 HTTPS 的原理

3.阿里云技術(shù)專家金九:Tengine HTTPS原理解析、實踐與調(diào)試

4.HTTPS 原理詳解

5.HTTPS工作原理

6.HTTPS 原理詳解

3、tcp的3次握手4次揮手

HTTPS工作原理和TCP握手機制

四、nginx的學(xué)習書籍

《精通nginx》、《實戰(zhàn)nginx,取代apache的高性能服務(wù)器》

文章版權(quán)歸作者所有,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除。

轉(zhuǎn)載請注明本文地址:http://systransis.cn/yun/40131.html

相關(guān)文章

  • 服務(wù)端高并發(fā)分布式架構(gòu)演進之路

    摘要:架構(gòu)演進單機架構(gòu)以淘寶作為例子。隨著用戶數(shù)的增長,并發(fā)讀寫數(shù)據(jù)庫成為瓶頸第二次演進引入本地緩存和分布式緩存在同服務(wù)器上或同中增加本地緩存,并在外部增加分布式緩存,緩存熱門商品信息或熱門商品的頁面等。 1. 概述 本文以淘寶作為例子,介紹從一百個并發(fā)到千萬級并發(fā)情況下服務(wù)端的架構(gòu)的演進過程,同時列舉出每個演進階段會遇到的相關(guān)技術(shù),讓大家對架構(gòu)的演進有一個整體的認知,文章最后匯總了一些架構(gòu)...

    FrancisSoung 評論0 收藏0

發(fā)表評論

0條評論

aikin

|高級講師

TA的文章

閱讀更多
最新活動
閱讀需要支付1元查看
<