SSH隧道+Nginx：内网资源访问的绿色通道

问题背景

模拟生产环境，使用两层Nginx做反向代理，请求公网IP来访问内网服务器的网站。通过ssh隧道+反向代理来实现，重点分析一下nginx反代的基础配置。

实验环境

1、启动内网服务器的tomcat服务

使用docker，将tomcat容器的8080端口映射到物理机的8010端口，并测试访问。

2、在内网服务器上配置反向代理端口

使用ssh隧道，建立内网服务器8000端口与公网服务器8001端口之间的连接。这个端口只能用于公网服务器内部到内网服务器的访问，如果任意网络请求tomcat网页访问还需要再配置nginx的反代。

ssh -fCNR 8001:localhost:8000 \-o ServerAliveInterval=60 \[公网用户]@p[公网ip] -p 22

3、公网服务器的nginx反代配置

用户通过域名或IP访问时，将默认80端口的请求转发到本地8001端口，即内网服务器的8000端口。

server {    listen 80;    server_name www.testtomcat.com;
    location / {        proxy_pass http://127.0.0.1:8001;        proxy_redirect  off;        proxy_set_header  Host  $host;        proxy_set_header  X-Real-IP  $remote_addr;        proxy_set_header  X-Forwarded-For $proxy_add_x_forwarded_for;    }    }

4、内网服务器的nginx反代配置

监听8000端口，将请求转发到tomcat容器的8010端口，实现外网访问内网服务器资源。​​​​​​​

server {    listen 8000;    server_name 127.0.0.1;        location / {        proxy_pass http://127.0.0.1:8010;        proxy_redirect  off;        proxy_set_header  Host  $host;        proxy_set_header  X-Real-IP  $remote_addr;        proxy_set_header  X-Forwarded-For $proxy_add_x_forwarded_for;    }    }

反代配置的部分指令

1、upstream

定义一组上游服务器集群，便于proxy_pass使用，一般用在负载均衡中。

2、proxy_pass

设置代理服务器的协议和地址。协议可以指定 “http “或 “https”。地址可以指定为域名或IP地址，也可以配置为 upstream 定义的上游服务器。

3、proxy_set_header

在传递给上游服务器的请求头中，可以使用该指令重新定义或添加字段。

Host：使传递给上游服务器的 Host 字段，包含用户访问反代时使用的域名；

X-Real-IP：保留客户端IP；

X-Forwarded-For：多层反代时，保留客户端真实的IP地址信息。

4、proxy_cache

缓存上游服务器的请求，减轻压力。

5、proxy_ssl_session_reuse

配置是否使用基于SSL安全协议的会话连接，默认开启。

nginx配置更新流程

图源/流程：mazhen.tech

更新配置时，向master 进程发送信号并做处理：

1）检查配置文件语法；

2）master加载配置，启动一组新的worker进程。新的 worker 进程马上开始接收新连接和处理网络请求。子进程可以共享使用父进程已经打开的端口；

3）master向旧的worker发送信号，让旧的worker优雅退出；

4）旧的 worker 进程停止接收新连接，完成现有连接的处理后结束进程。