• Nginx負載均衡和Nginx代理本質其實是一樣的,只不過是當Nginx代理服務器連接有多個Web服務器時,它就可實現負載均衡的作用(借助upstream模塊來實現).

  
  

• Nginx負載均衡配置:
  vim /usr/local/nginx/conf/vhost/load.conf

• 寫入如下內容:
  upstream qq_com
  {
  ip_hash;
  server 14.17.32.211:80;
  server 14.17.42.40:80;
  }
  server
  {
  listen 80;
  server_name www.qq.com;
  location /
  {
  proxy_pass http://qq_com;
  

  proxy_set_header Host $host;
  proxy_set_header X-Real-IP $remote_addr;
  proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
  }
  }

(1)upstream來指定多個web server.
(2)ip_hash的作用是讓同一個用戶始終保持連接到同一臺web服務器上,避免服務中斷.
(3)其中server的IP地址可通過dig qq.com來獲得.

測試

nginx不支持代理https(443端口),只支持代理http(80端口).

12.18 ssl原理

• (1)瀏覽器發送一個https的請求給服務器；
  

  服務器要有一套數字證書，可以自己制作（後面的操作就是以自己制作的證書為例），也可以向組織申請，區別就是自己頒發的證書需要客戶端驗證通過，才可以繼續訪問，而使用受信任的公司申請的證書則不會彈出>提示頁面，這套證書其實就是一對公鑰和私鑰；

• (2)服務器會把公鑰傳輸給客戶端；
  客戶端（瀏覽器）收到公鑰後，會驗證其是否合法有效，無效會有警告提醒，有效則會生成一串隨機數，並用收到的公鑰加密；

• (3)客戶端把加密後的隨機字符串傳輸給服務器；
  服務器收到加密隨機字符串後，先用私鑰解密（公鑰加密，私鑰解密），獲取到這一串隨機數後，再用這串隨機字符串加密傳輸的數據（該加密為對稱加密，所謂對稱加密，就是將數據和私鑰也就是這個隨機字符串通過某種算法混合在一起，這樣除非知道私鑰，否則無法獲取數據內容）；

• (4)服務器把加密後的數據傳輸給客戶端；
  客戶端收到數據後，再用自己的私鑰也就是那個隨機字符串解密；

12.19 生成ssl密鑰對

• 生成ssl密鑰對的步驟:
  cd /usr/local/nginx/conf

• (1) 生成私鑰tmp.key
  openssl genrsa -des3 -out tmp.key 2048

• (2) 將tmp.key轉換成testssl.key(兩者其實是同一個,轉換只是為了取消自帶的密碼方便實際應用),轉換後的testssl.key不用密碼.
  openssl rsa -in tmp.key -out testssl.key

• (3) 刪除帶密碼的tmp.key(因為已用不到)
  rm -f tmp.key

• (4) 生成證書請求文件testssl.csr
  openssl req -new -key testssl.key -out testssl.csr

• (5) 用證書請求文件testssl.csr和私鑰testssl.key生產公鑰文件testssl.crt
  openssl x509 -req -days 365 -in testssl.csr -signkey testssl.key -out testssl.crt

通常.key文件為私鑰,而.crt文件為公鑰.

12.20 Nginx配置ssl

• Nginx配置ssl的步驟:

• 生成一個新的配置文件ssl.conf
  vim /usr/local/nginx/conf/vhost/ssl.conf

• 加入如下內容
  server
  {
  listen 443;
  server_name testssl.com;
  index index.html index.php;
  root /data/wwwroot/testssl.com;
  ssl on;
  ssl_certificate testssl.crt;
  ssl_certificate_key testssl.key;
  ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
  }
  /usr/local/nginx/sbin/nginx -t
  /etc/init.d/nginx restart #重啟nginx
  netstat -lntp #查看是否已監聽443端口

make install

測試

提示證書不合法，因為是自己頒發的

證書機構及政府網站

擴展
針對請求的uri來代理 http://ask.apelearn.com/question/1049
根據訪問的目錄來區分後端的web http://ask.apelearn.com/question/920
nginx長連接 http://www.apelearn.com/bbs/thread-6545-1-1.html
nginx算法分析 http://blog.sina.com.cn/s/blog_72995dcc01016msi.html

十二周五次課（3月16日）