Apache反向代理配置

反向代理简言之就是通过一台代理服务器,让Internet用户可以访问到内部网络上的服务器。

实验环境:一台带有两块网卡的OB服务器,一块连接外网1.1.1.1,一块连接内网192.168.100.1
1、开启apache的代理模块。修改httpd.conf文件,去掉下面的注释
  1. #LoadModule proxy_module /usr/lib/apache/modules/libproxy.so
  2. LoadModule proxy_module /usr/lib/apache/modules/libproxy.so
2、启用请求转发功能。找到<IfModule mod_proxy.c>模块,修改如下
  1. <IfModule mod_proxy.c>
  2. ProxyRequests Off
  3. <Directory proxy:*>
  4. Order deny,allow
  5. Allow from all
  6. </Directory>
  7. </IfModule>
3、配置反向代理。在httpd.conf文件中的Section 3: Virtual Hosts中进行virtualhost配置
  1. NameVirtualHost 1.1.1.1
  2. <VirtualHost 1.1.1.1>
  3. ServerName www.abc.com
  4. ProxyPass / http://192.168.100.2/
  5. ProxyPassReverse / http://192.168.100.2/
  6. SetEnv force-proxy-request-1.0 1
  7. SetEnv proxy-nokeepalive 1
  8. </VirtualHost>
还可以重定向到https协议的网址,前提是服务器上要先配置apache的ssl证书
  1. <VirtualHost 1.1.1.1>
  2. ServerName it.abc.com
  3. ProxyPass / https://192.168.100.3/
  4. ProxyPassReverse / https://192.168.100.3/
  5. SetEnv force-proxy-request-1.0 1
  6. SetEnv proxy-nokeepalive 1
  7. SSLEngine on
  8. SSLCertificateFile /etc/ssl/server.crt
  9. SSLCertificateKeyFile /etc/ssl/private/server.key
  10. </VirtualHost>
4、进行测试。对部署的内部服务进行访问时,要对DNS做相应的设置,即DNS可以正常解析到外网网卡上提供的域名
  1. www.abc.com 1.1.1.1
  2. it.abc.com 1.1.1.1
这时就可以通过域名对多台内部服务器进行映射访问了
apache做反向代理服务器
apache代理分为正向代理和反向代理:
1 正向代理: 客户端无法直接访问外部的web,需要在客户端所在的网络内架设一台代理服务器,客户端通过代理服务器访问外部的web(需要在客户端的浏览器中设置代理服务器)
适用于: ①局域网的代理服务器(一般是网关,相当于squid的一般用法)
②访问某个受限网络的代理服务器,如教育网访问某些国外网站需要找代理
2 反向代理: 客户端能访问外部的web,但是不能访问目标web,目标web所在的网络内一台机器充当目标web的代理,客户端直接访问代理就像访问目标web一样(此代理对客户端透明,即客户端不用做如何设置,并不知道实际访问的只是代理而已,以为就是访问的目标)
适用于: ①idc的某台目标机器只对内开放web,外部的客户端要访问,就让另一台机器做proxy,外部直接访问proxy即相当于访问目标
②idc的目标机器的某个特殊的web服务跑在非正常端口如9000,而防火墙上只对外开放了80,此时可在80上做proxy映射到9000,外部访问80即相当于9000
简单示意图如下
clip_image005
clip_image006
本例中
机器192.168.0.114是我们的reverse proxy server
apache/2.0.63运行在其80端口
上面有两个域名的虚拟主机
www.a.org
www.b.org
要实现的效果是:
访问 www.a.org 即相当于访问另一台机器192.168.0.115
访问 www.b.org 即相当于访问本机的9000端口
apache的proxy功能由其proxy模块实现.加载模块有两种方式:静态和动态,现分别说明:
一 静态加载
静态加载,在编译apache时候编译进去,编译参数如下:
“./configure” \
“-prefix=/usr/local/apache3” \
“–enable-so” \
“–enable-rewrite” \
“–with-mpm=prefork” \
“–enable-proxy” \ (这个参数即是代理模块启用)
安装完成后查看模块列表
/usr/local/apache3/bin/httpd -l
显示
Compiled in modules:
core.c
mod_access.c
mod_auth.c
mod_include.c
mod_log_config.c
mod_env.c
mod_setenvif.c
mod_proxy.c
proxy_connect.c
proxy_ftp.c
proxy_http.c
prefork.c
http_core.c
…….
编辑配置文件 httpd.conf
在虚拟主机部分
NameVirtualHost *:80
<VirtualHost *:80>
ServerAdmin webmaster@dummy-host.example.com
ServerName www.a.org
ProxyRequests Off
<Proxy *>
Order deny,allow
Allow from all
</Proxy>
ProxyPass / http://192.168.0.115/
ProxyPassReverse / http://192.168.0.115/
</VirtualHost>
<VirtualHost *:80>
ServerAdmin webmaster@dummy-host.example.com
ServerName www.b.org
ProxyRequests Off
<Proxy *>
Order deny,allow
Allow from all
</Proxy>
ProxyPass / http://127.0.0.1:9000/
ProxyPassReverse / http://127.0.0.1:9000/
</VirtualHost>
二 动态加载
动态加载:编译进一个已经装好了的apache中(编译为dso模块)
已经装好的apache在 /usr/local/apache2
进入apache源码的模块目录进行编译
cd httpd-2.0.63/modules/proxy/
/usr/local/apache2/bin/apxs -c -i -a mod_proxy.c proxy_connect.c proxy_http.c proxy_util.c
从输出里面看到apache的modules目录下已经产生了mod_proxy.so,且已经在httpd.conf中激活了
cd /usr/local/apache2/conf/
ls ../modules/ 看到确实有mod_prxoy.so
编辑配置文件
vi httpd.conf
修改如下
加载模块
LoadModule proxy_module modules/mod_proxy.so (这句是编译激活时产生的)
LoadModule proxy_http_module modules/mod_proxy.so (这句是要手动添加的)
虚拟主机的部分加上
NameVirtualHost *:80
<VirtualHost *:80>
ServerAdmin webmaster@dummy-host.example.com
ServerName www.a.org
ProxyRequests Off
<Proxy *>
Order deny,allow
Allow from all
</Proxy>
ProxyPass / http://192.168.0.115/
ProxyPassReverse / http://192.168.0.115/
</VirtualHost>
<VirtualHost *:80>
ServerAdmin webmaster@dummy-host.example.com
ServerName www.b.org
ProxyRequests Off
<Proxy *>
Order deny,allow
Allow from all
</Proxy>
ProxyPass / http://127.0.0.1:9000/
ProxyPassReverse / http://127.0.0.1:9000/
</VirtualHost>
重启apache生效
注:
如果不加LoadModule proxy_http_module modules/mod_proxy.so,则浏览器页面打不开,页面显示
Forbidden
You don’t have permission to access / on this server.
日志acess_log里面显示
192.168.0.28 – – [03/Jun/2009:16:16:27 +0800] “GET /?sessionId=4293567494722637330&rand=1244014624405&CONTEXT=0&page=com.othe
r.AjaxWhoWhatUpdate&xrand=1244016991554&wwRandId=1244014624405&wwBugId=2341&wwType=View HTTP/1.1″ 403 315
或者
192.168.0.28 – – [03/Jun/2009:17:10:32 +0800] “GET / HTTP/1.1” 403 315
即403错误
日志error_log里面显示
[Wed Jun 03 17:08:46 2009] [warn] proxy: No protocol handler was valid for the URL /. If you are using a DSO version of mod_p
roxy, make sure the proxy submodules are included in the configuration using LoadModule.
Linux下Apache Proxy与Cache功能的配置
1. 安 装:
随REDHAT5.2 安 装 盘 携 带 有APACHE HTTP SERVER, 在 安 装 时 选 择 安 装 即可,REDHAT5.2 还 有 一 个XWINDOWS 界 面 下 的APACHE 管 理 器(CAMANCHE), 愿 意 的话 也可 以 一 并 安 装。
2. 设 置:
一 . 设 置PROXY:
进 入XWINDOWS, 启 动CONTRAL PANAL, 有 一 个 图 标 是 大 写 的W, 那 就是CAMANCHE, 点 击 图 标, 出 现 配 置 界 面, 在MAIN 里 面 找 到PROXY 选 项, 把UNSET 改为ON 即 可, 这 样 只 是 开 启 了PROXY 功 能, 如 果 需 要 是 进 行 一 些 其 它 配置, 就 要 修 改位 于\ETC\HTTPD\CONF\HTTPD.CONF 去 掉 下 列 命 令 前 面 的 注 释, 并 根 据 需 要调 整 相关 参 数
a. ProxyRequests on
b. ProxyRemote 定 义 此SERVER 的 远 程 代 理。
比 如ProxyRemote * http://proxy.where.com:8080 * 表 示 对 所 有 请 求 都使 用 远 程PROXYhttp://proxy.where.com:8080
c. ProxyBlock 定 义 到 哪 些 站 点 的 请 求 被PROXY 阻 断。
比 如ProxyBlock 123.com www.ftt.net ffff 表 示 凡 是 在 域 名 中 出 现ffff,123.com 以 及 域 名是www.ftt.net 的 站 点 都 会 被PROXY 阻 断, 无 法 访 问。
至 此,PROXY 设 置 完 成, 其 地 址 就 是 该 机 器 的 内 部IP, 端 口 缺 省是80, 如 需 要改 变, 修 改 位 于\ETC\HTTPD\CONF\HTTPD.CONF , 把Port 80 改 为 相 应 端 口。
二 . 设 置CACHE
修 改 位 于\ETC\HTTPD\CONF\HTTPD.CONF
去 掉 下 列 命 令 前 面 的 注 释, 并 根 据 需 要 调 整 相 关 参 数
d. CacheRoot < diretectory >
比 如CacheRoot /var/cache/httpd 就 是 说 所 有 的CACHE 都 会 放 在 此 目 录下面。
f. CacheSize < size > 定 义 缓 存 区 大 小, 以KB 为 单 位。
可 以 根 据 需 要, 硬 盘 空 间 大 小 进 行 设 置。
h. CacheGcInterval < time > 每 隔< time > 小 时 检 查 缓 存 区, 如 果 已 经超 过CacheSize 就 删 除 文 件。 缺 省 是4
i. CacheMaxExpire < time > HTTP 文 件 最 多 被 保 持< time > 小 时。 缺 省是24
j. CacheLastModifiedFactor < factor > 定 义HTTP 文 件 失 效 期, 缺 省是0.1 意 思 是 说 失 效 期= 离 最 近 一 次 修 改 的 时 间X< factor >, 比 如 离 最近 一 次 修改 的 时 间 是5 小 时, 那 么 失 效 期 就 是5X0.1=0.5 小 时。
k. CacheDirLevels 定 义 缓 存 子 目 录 层 数, 缺 省 是1
l. CacheDirlength 设 置 缓 存 子 目 录 名 字 的 长 度, 缺 省 是1。 即 所 有子 目 录
的 名 字 都 是 由 一 个 字 母 组 成。
m. NoCache < word/host/domain list > 定 义 哪 些 站 点 不 要 缓 存。
比 如NoCache 123.com www.ftt.net ffff 表 示 凡 是 在 域 名 中 出现ffff,123.com 以 及 域 名 是www.ftt.net 的 站 点 都 会 不 被PROXY 缓 存。
下 面 是 我 在 本 地SERVER 上 的HTTPD。CONF 的 相 关 部 分。
ProxyRequests on
CacheRoot /var/cache/httpd
CacheSize 5000
CacheGcInterval 4
CacheMaxExpire 24
CacheLastModifiedFactor 0.1
CacheDefaultExpire 1
3 . 然 后 可 以 规 定 哪 些IP 地 址 可 以 使 用PROXY SERVER, 哪 些 不 可 以修 改 位
于\ETC\HTTPD\CONF\HTTPD.CONF
< Directory proxy : * >
< limit GET PUT DELETE CONNECT OPTIONS >
order deny allow
deny from [不可以使用PROXY SERVER的IP地址或者节点名]
allow from[可以使用PROXY SERVER的IP地址或者节点名]
< /limit >
< /directory >
4 . 设 置 用 户 的 浏 览 器 使 用PROXY
A . INTERNET EXPLORER
查 看—-》internet 选 项—–》 连 接——》 代 理 服 务 器, 假 定PROXY SERVER 的IP 是172。16。1。100, 端 口 是80, 那 么 将 其 输 入 即 可
B . NETSCAPE
EDIT—–》 PREFERENCES —-》ADVANCED—–》PROXYES 选 择MANUAL
PROXY CONFIGURATION —–》VIEW 输 入172.16.1.100:80
““““““““““““““““““““““““““““““““““““““““““““““““““““““““““

Apache的ProxyPass指令详解

原文地址:http://httpd.apache.org/docs/2.2/mod/mod_proxy.html#proxypass
翻译:ShiningRay

描述:将远程服务器映射到本地服务器的URL空间
语法:ProxyPass [路径] !|url [键=值 键=值 …]] [nocanon]
上下文: server config, virtual host, directory
状态:扩展
模块:mod_proxy

该指令可以将远程服务器映射到本地服务器的URL空间;本地的服务器并不是扮演传统意义上的代理服务器的角色,而是表现为远程服务器的一个镜像。此本地服务器常被成为反向代理(reversed proxy)或者是网关(gateway)。路径是指本地虚拟路径的名字;url指远程服务器的一个部分URL,不能包含查询字符串。

注意:在使用ProxyPass指令的时候,ProxyRequests指令通常都应该是关闭的。

假设本地服务器的地址是 http://example.com/,那么

ProxyPass /mirror/foo/ http://backend.example.com/

将会把对http://example.com/mirror/foo/bar的本地请求内部转换成到http://backend.example.com/bar的代理请求。

其中,!指令当你不想对某个子目录进行反向代理的时候就有用了,例如:

ProxyPass /mirror/foo/i !  ProxyPass /mirror/foo http://backend.example.com

将会把所有的/mirror/foo请求重定向到backend.example.com除了对/mirror/foo/i的请求。

注意:

顺序很重要:排除的指令必须在一般的ProxyPass指令之前。

和Apache 2.1一样,具备了使用到后端服务器的线程池的能力。使用“键=值”的参数便可调节线程池的分配。硬性最大值(Hard Maximum)的默认值为当前MPM中每个进程的线程数量。在Prefork MPM中,该值总是为1,在Worker MPM中,该值受ThreadsPerChild控制。

设置min可以决定有多少到后端服务器的链接始终打开。根据需要最多创建数量为柔性最大值(Soft Maximum),也就是smax的链接。任何超出smax数量的链接都会指定一个生存时间也就是ttl。Apache不会同时创建超过硬性最大值(或max)数量的到后端服务器的链接。

ProxyPass /example http://backend.example.com smax=5 max=20 ttl=120 retry=300
参数 默认值 描述
min 0 到后端服务器的总是打开的链接最小数。
max 1…n 允许连接到后端服务器的硬性最大链接数。硬性最大值的默认值为当前MPM中每个进程的线程数量。在Prefork MPM中,该值总是为1,在Worker MPM中,该值受ThreadsPerChild控制。
smax max 根据需要最多创建数量为柔性最大值(Soft Maximum),也就是smax的链接。任何超出smax数量的链接都会指定一个生存时间也就是ttl
acquire 如果设置了该参数,它就会成为等待链接池中空闲链接的最大时间。如果链接池中没有任何空闲链接,那么Apache将会给客户端返回SERVER_BUSY状态。
flushpackets off 决定代理模块是否要在接受到每段数据的时候自动冲掉输出缓冲。‘off’表示只有当需要的时候才冲掉,‘on’表示每段数据后都冲,‘auto’表示轮询/等待一段长度为‘flushwait’毫秒的时间后如果没有输入便冲掉。目前该参数仅对AJP有效。
flushwait 10 表示如果‘flushpackets’为‘auto’,在冲掉输出组前等待额外输入的时间,单位毫秒。
keepalive Off 该参数应该在你的Apache和后端服务器之间有防火墙的时候时候,因为防火墙有可能会丢弃不活动的链接。该标志将会告诉操作系统在不活动的链接中发送KEEP_ALIVE消息(时间间隔由全局的OS设置决定,一般为120ms),这样避免防火墙丢弃该链接。要启用keepalive可以将该属性设置为On
lbset 0 对该工作单元所属的负载均衡集群进行设置。负载均衡器会先尝试较小的lbset,然后尝试大的。
ping 0 Ping数据告诉Web服务器在对ajp13链接递交请求前发送一个CPING请求。参数为等待CPONG响应的延迟,单位为秒。添加该功能是为 了避免挂起和忙碌的Tomcat的一些问题。该功能需要ajp13 的ping/pong支持,已经在Tomcat 3.3.2+、4.1.28+、5.0.13+中实现。它会增加普通操作中的网络流量,有可能是个问题,但是它在集群节点失效或者繁忙的时候减少网络流 量。目前该参数只对AJP有效。
loadfactor 1 工作单元负载系数。用于BalancerMember。它是一个1到100之间的数字,用于定义应用于该工作单元的正规化权重负载。
redirect 工作单元的重定向路由(Redirection Route)。该值通常被动态设置用于从集群中安全地移除某个节点。如果被设置了,所有不包含会话ID的请求都会被重定向到有等值route参数的BalancerMember中。
retry 60 线程池工作单元重试的超时时间,以秒为单位。如果到后端服务器的线程池工作单元状态是出错,Apache将不会递交任何请求到该服务器,直到超时结束。这可以令后端服务器关闭进行维护,并稍后上线。如果值为0则表示总是重试错误状态的工作单元不等待任何时间。
route 工作单元的路由,用于负载均衡器中。该路由是附加给会话ID的一个值。
status 用一个字符定义该工作单元的初始状态:‘D’表示禁用,‘S’表示已停止,‘I’表示忽略错误,‘H’表示热备,‘E’表示出错。状态可以通过前置‘+’表示设置或者‘-’表示清楚。这样,‘S-E’表示设置该工作单元为已停止并清除出错标志。
timeout Timeout 链接超时时间,单位为秒。如果未设置,那么Apache会一直等到有可用的链接位置。该指令常和max参数一起使用来限制到后端服务器的链接。
ttl 超出smax连接数的非活动链接的生存时间(Time To Live),单位为秒。Apache会关闭在这段时间内没有被用过的所有链接。

如果代理的指令类型以balancer://开头那么会创建一个虚拟工作单元,并不直接和后端服务器通讯。它负责对一些“真正”的工作单元进行管理。这种情况下可以给虚拟工作单元添加一系列额外参数。更多关于均衡器如何工作的信息请查看mod_proxy_balancer

参数 默认值 描述
lbmethod byrequests 选择均衡器的负载均衡方式。可以是byrequests,进行加权请求计数,或者是bytraffic,进行加权流量字节计数均衡。默认按请求数。
maxattempts 1 在放弃之前的故障转移的最大尝试次数。
nofailover Off 如果设为‘On’,当工作单元被禁用或者出错时,会话则立即中断。可以将该值设为On如果后端服务器不支持会话复制(Session replication)。
stickysession 均衡器粘连会话名称。该值常常会被设置为类似JSESSIONID或者PHPSESSIONID之类的值,他依赖于支持会话的后端应用服务器。如果后端服务器使用不同的cookie名称或者URL编码的ID(像servlet容器),使用|来分开他们。第一个部分针对cookie,第二个针对路径。
timeout 0 均衡器超时时间,单位为秒。如果设置了,那么就是等待空闲工作单元的最大时间。默认是不等。

均衡器设置范例

ProxyPass /special-area http://special.example.com/ smax=5 max=10  ProxyPass / balancer://mycluster stickysession=JSESSIONID|jsessionid nofailover=On  <Proxy balancer://mycluster>  BalancerMember http://1.2.3.4:8009  BalancerMember http://1.2.3.5:8009 smax=10  # 性能较弱的服务器,不要给他发送太多请求  BalancerMember http://1.2.3.6:8009 smax=1 loadfactor=20  </Proxy>

设置一个热备份,也就是只有当没有其他成员可用的时候才使用:

ProxyPass / balancer://hotcluster/  <Proxy balancer://hotcluster>  BalancerMember http://1.2.3.4:8009 loadfactor=1  BalancerMember http://1.2.3.5:8009 loadfactor=2  # 以下是热备份  BalancerMember http://1.2.3.6:8009 status=+H  ProxySet lbmethod=bytraffic </Proxy>

正常情况下,mod_proxy会标准化被ProxyPass的URL。但它可能会和某些后端不兼容,尤其是那些利用了PATH_INFO的。可选的nocanon关键词可以禁止它,并不动地直接将URL路径传递给后端。注意它可能会影响到后端的安全性,因为它跳过了由代理提供的对常见的基于URL的攻击的保护。

当用在<Location>节中的时候,第一个参数应被忽略,并且本地的路径将从<Location>取得。

如果你需要更加有弹性的反向代理配置,参见是用[P]标志的RewriteRule指令。

““““““““““““““““
上一篇中讲了apache的安装配置参数,生成了我想要的代理、rewrite相关模块,对于代理的配置规则,在这里进行一个概述。
mod_proxy代理的作用主要就是进行url的转发,而应用转发功能,可以实现同tomcat等应用服务器的整合,同时也可以实现web集群负载均衡的功能。以下先介绍大致的规则:
proxy是位于客户端与实际的服务器之间的服务器,一般称为facade server,负责将外部的请求分流,也负责对内部的响应做一些必要的处理。如果结合mod_cache,则可提高访问速度,适当的减轻网络流量压力。闲话少说,直接拿个例子来:
设本站地址为 www.test.com
ProxyPass /images/ !
ProxyPass /js/ !
ProxyPass /css/ !
ProxyPass /example http://www.example.com/
ProxyPassReverse /example http://www.example.com/
ProxyPass / ajp://127.0.0.1:8009/
ProxyPassReverse / ajp://127.0.0.1:8009/
还是上一篇的例子,ProxyPass易理解,就是转发url上的请求,而其中的配置顺序也是需要遵守 。要禁止转发的url需要放在一般的请求之前。对于http://www.test.com/images/  http://www.test.com/js/ http://www.test.com/css/的请求是不予转发的,对于http://www.test.com/example/的请求,会转发到 http://www.example.com。
值得注意的就是ProxyPassReverse的配置了,这是反向代理。为什么要在这里加上这样的配置?我们来看个例子:
在没有加这样的反向代理设置的情况下,访问http://www.test.com/example/a,如果www.example.com对请求进行 了redirect至http://www.example.com/b,那么,客户端就会绕过反向代理,进而访问http: //www.test.com/example/b。如果设置了反向代理,则会在转交HTTP重定向应答到客户端之前调整它为http: //www.test.com/example/a/b,即是在原请求之后追加上了redirect的路径。
更多更详细的关于mod_proxy的描述可以参见手册:
http://yahoon.blog.51cto.com/13184/162922/

<VirtualHost 158.29.33.248>
ProxyPreserveHost On
ProxyPass /foo/no !
ProxyPass /foo http://192.168.111.2
ProxyPassReverse /foo http://192.168.111.2
ServerName hostname.example.com
</VirtualHost>
一、首先这是一个基于IP的虚拟主机,它接收并处理对IP地址158.29.33.248的请求。
二、ProxyPass /foo http://192.168.111.2 将把对http://158.29.33.248/foo的请求转换为一个代理请求,该请求指向http://192.168.111.2
三、ProxyPass /foo/no ! 不代理针对/foo/no的请求。这个必须放在正常代理指令之前。
四、ProxyPreserveHost On 意思是传送原始请求的Host信息给被代理的机器。
五、ProxyPassReverse /foo http://192.168.111.2 可以保证请求URL在其它机器上被重定向后,本机处理时也可以保持一致。具体看手册关于反向代理的部分。

from http://blog.csdn.net/chclvzxx/article/details/7438639




coded by nessus
发表评论?

0 条评论。

发表评论