다음을 설정하려고 합니다.
┌──────────────────┐ ┌────────────────────┐ ┌─────────┐
│ │ │ │ │ │
│ Router │ │ │ │Server 1 │
│ NAT │Port forward│ │ │ │
│ │ ────────► │ Server 0 │ │HTTP > │
│ │ │ │ │HTTPS │
│ │ │ 1.example.com ───────────► │redirect │
│ │ │ 2.example.com ────┐ └─────────┘
└──────────────────┘ └────────────────────┘ │ 192.168.178.8
192.168.178.4 │
│ ┌─────────┐
│ │ │
│ │ │
│ │Server 2 │
└─► │ │
│HTTP only│
│ │
└─────────┘
192.168.178.7
나는 서버 0이 트래픽만 전달하는 완전히 투명한 프록시 역할을 하길 원합니다. 따라서 클라이언트는 서버 0과 TLS 연결을 설정하지 않고 서버 1/2와 직접 연결하며 서버 1/2에서 HTTP-01 챌린지 기반 자동 인증서 생성 및 갱신은 계속 작동합니다.
답변1
편집: 역방향 프록시(SSL 터널을 종료함)와 콘텐츠 서버 간의 연결이 안전하지 않은 것이 우려되는 경우 비록 이것이 작동하고 안전하더라도 업스트림 SSL 또는 SSH와 같은 보안 터널을 구성하는 것이 더 나을 수 있습니다. 콘텐츠 서버와 역방향 프록시 간의 IPSEC.
나는 그것을 작동시켰다:
파일 구조:
ngnix/
config/
nginx.conf
http_server_name.js
docker-compose.yml
nginx.conf
load_module modules/ngx_stream_js_module.so;
events {}
stream {
js_import main from http_server_name.js;
js_set $preread_server_name main.get_server_name;
map $preread_server_name $http {
1.example.com server1_backend_http;
2.example.com server2_backend_http;
}
map $ssl_preread_server_name $https {
1.example.com server1_backend_https;
2.example.com server2_backend_https;
}
upstream server1_backend_http {
server 192.168.178.8:80;
}
upstream server1_backend_https {
server 192.168.178.8:443;
}
upstream server2_backend_http {
server 192.168.178.7:80;
}
server {
listen 443;
ssl_preread on;
proxy_pass $https;
}
server {
listen 80;
js_preread main.read_server_name;
proxy_pass $http;
}
}
docker-compose.yml
version: '3'
services:
ngnix:
image: nginx
container_name: ngnix
restart: unless-stopped
volumes:
- ./config/ngnix.conf:/etc/nginx/nginx.conf:ro
- ./config/http_server_name.js:/etc/nginx/http_server_name.js:ro
ports:
- "192.168.178.4:80:80"
- "192.168.178.4:443:443"
var server_name = '-';
/**
* Read the server name from the HTTP stream.
*
* @param s
* Stream.
*/
function read_server_name(s) {
s.on('upload', function (data, flags) {
if (data.length || flags.last) {
s.done();
}
// If we can find the Host header.
var n = data.indexOf('\r\nHost: ');
if (n != -1) {
// Determine the start of the Host header value and of the next header.
var start_host = n + 8;
var next_header = data.indexOf('\r\n', start_host);
// Extract the Host header value.
server_name = data.substr(start_host, next_header - start_host);
// Remove the port if given.
var port_start = server_name.indexOf(':');
if (port_start != -1) {
server_name = server_name.substr(0, port_start);
}
}
});
}
function get_server_name(s) {
return server_name;
}
export default {read_server_name, get_server_name}
선적 서류 비치:
ngx_http_upstream_module
ngx_http_map_module
ngx_stream_proxy_module
편집 #1:
읽기이 블로그 게시물더 많은 정보를 위해서
편집 #2:
정규식을 사용하여 다른 도메인에 대한 기본 백엔드 및 예외를 설정하거나 도메인의 매개변수에 따라 백엔드를 동적으로 선택할 수도 있습니다.
읽다이 요점더 많은 정보를 위해서