摘要:同時(shí)若不想破壞已經(jīng)做好的的話(huà),也可以不使用�,直接轉(zhuǎn)發(fā)到服務(wù)器的內(nèi)網(wǎng)應(yīng)該也是可以的。這樣在安全和效率高上就都能得到一定的提升�����。
之前寫(xiě)了一些nginx的東西����,這次繼續(xù)����,主要使用upstream針對(duì)proxy_pass轉(zhuǎn)發(fā)做個(gè)處理
一般情況下我們?cè)谑褂胣ginx反向代理的時(shí)候����,都是如下配置,
...
location /api {
proxy_pass https://b.test.com; # 設(shè)置代理服務(wù)器的協(xié)議和地址
proxy_cookie_domain b.test.com a.test.com; # 修改cookie�,針對(duì)request和response互相寫(xiě)入cookie
}
...
這樣就實(shí)現(xiàn)了"/api"目錄接口的轉(zhuǎn)發(fā)。功能是實(shí)現(xiàn)了���,但是有什么問(wèn)題么�����?還真有�!
如果我們可以反向代理�����,如果別人也知道了我們的接口域名也不是可以自己搭一個(gè)nginx服務(wù)器就可以代理到我們的接口服務(wù)器上去����?�?���?是不是感覺(jué)很危險(xiǎn),是的�����。�����。����。對(duì)此當(dāng)時(shí)做的時(shí)候就加了一個(gè)臨時(shí)方案,在接口服務(wù)中添加一個(gè)ip白名單���,白名單中的ip都是nginx服務(wù)器的ip��,然后就項(xiàng)目上線(xiàn)了���。這樣也實(shí)現(xiàn)了需求,但ip如果被偽造了怎么辦���?于是我們想到了另一個(gè)方案�����,使用內(nèi)網(wǎng)IP代替對(duì)外開(kāi)放的域名��,這樣在一定程度上就直接攔截了外部的直接訪問(wèn)����,具體實(shí)現(xiàn)如下,
upstream apiServer {
server 10.10.10.10.:8888
}
...
location /api {
proxy_pass http://apiServer;
proxy_cookie_domain apiServer a.test.com;
}
...
我們使用upstream定義了一個(gè)apiServer的組�,將轉(zhuǎn)發(fā)都指向這里,這時(shí)相當(dāng)于我們把可能存在的用戶(hù)直接訪問(wèn)接口服務(wù)器的可能給關(guān)閉了���,也就是途中紅色的那部分危險(xiǎn)操作~~
可能你會(huì)想upstream的使用純屬多余�,的確當(dāng)apiServer只有一臺(tái)機(jī)器的時(shí)候����,這個(gè)的確可以不用,但是多臺(tái)機(jī)器的時(shí)候����,雖然proxy_pass雖然可以定義多條但是太麻煩了。����。���。使用upstream組統(tǒng)一管理即可,同時(shí)使用upstream還有一些優(yōu)勢(shì)比如給多個(gè)server設(shè)置負(fù)載均衡�����,upstream組中支持通過(guò)weight參數(shù)來(lái)設(shè)置當(dāng)前server在負(fù)載均衡中所占的比重���,此外還可以通過(guò)設(shè)置backup參數(shù)指定某些服務(wù)器作為備份機(jī)等等。詳細(xì)的配置內(nèi)容還是建議大家參考Nginx upstream官方文檔����。
此外,除了安全性方面���,使用內(nèi)網(wǎng)ip進(jìn)行接口轉(zhuǎn)發(fā)也省去了轉(zhuǎn)發(fā)中的DNS重新解析的過(guò)程�����,有利于大幅提升接口轉(zhuǎn)發(fā)效率����。同時(shí)若不想破壞已經(jīng)做好的SLB的話(huà),也可以不使用upstream�,直接轉(zhuǎn)發(fā)到SLB服務(wù)器的內(nèi)網(wǎng)ip應(yīng)該也是可以的。
綜上�,在proxy_pass轉(zhuǎn)發(fā)中我們使用了兩種方案來(lái)對(duì)安全性做一些提升
proxy_pass轉(zhuǎn)發(fā)到外網(wǎng)域名,同時(shí)在接口服務(wù)器上添加訪問(wèn)來(lái)源白名單���,把nginx服務(wù)器的ip寫(xiě)進(jìn)去
proxy_pass轉(zhuǎn)發(fā)到內(nèi)網(wǎng)域名�,多服務(wù)器的話(huà)使用upstream統(tǒng)一管理并實(shí)現(xiàn)負(fù)載均衡���,也能提升轉(zhuǎn)發(fā)效率
第二種方案是不是通用的呢�?這樣可行的話(huà)�,我們的接口服務(wù)器是不是都不用設(shè)置外網(wǎng)可訪問(wèn)的域名了呢?
第二種方案是可以通用的����,但是這不意味著我們就可以?huà)仐壨獠靠稍L問(wèn)的域名,因?yàn)樵谝粋€(gè)落地業(yè)務(wù)中�����,比如第三方授權(quán)�����、微信支付等情況下外部可訪問(wèn)域名還是必須要有的。因此只有那些不需要與第三方進(jìn)行通信��,比如僅供公司內(nèi)部使用的管理系統(tǒng)等�����,就可以直接拋棄外網(wǎng)域名了��。此時(shí)個(gè)人建議就是上面兩種方案結(jié)合一下:
proxy_pass的轉(zhuǎn)發(fā)使用內(nèi)網(wǎng)ip��,來(lái)提升轉(zhuǎn)發(fā)效率���,同時(shí)對(duì)外部訪問(wèn)添加白名單,只暴露需要和第三方通信的接口即可�����。
這樣在安全和效率高上就都能得到一定的提升�。
如有錯(cuò)誤,歡迎大家指正
好好學(xué)習(xí)�����,天天向上~~
此處添加一個(gè)修正,最初版原文中在proxy_pass后面我們使用了https+upstream的方式進(jìn)行轉(zhuǎn)發(fā)�����,但是在生產(chǎn)環(huán)境上發(fā)現(xiàn)使用https出現(xiàn)服務(wù)器502網(wǎng)關(guān)問(wèn)題����。
...
location /api {
proxy_pass https://apiServer;
proxy_cookie_domain apiServer a.test.com;
}
...
upstream不用寫(xiě)https,把https換成了http�,問(wèn)題解決。
文章版權(quán)歸作者所有��,未經(jīng)允許請(qǐng)勿轉(zhuǎn)載,若此文章存在違規(guī)行為�,您可以聯(lián)系管理員刪除。
轉(zhuǎn)載請(qǐng)注明本文地址:http://systransis.cn/yun/40209.html
