上线 HTTPS 服务 / 反向代理 LB / 隐藏业务IP
ssl 证书免费申请
ssl for free 可以免费为我们提供三个月的 ssl 证书及续签服务,填写业务域名,上传验证文件到业务服务器,验证成功后便会生成相应的证书.crt和私钥.key,提供一次性下载,重新生成,销毁及续签服务。
Nginx 配置 HTTPS / 负载均衡
配置如下
注意:在upstream中加入hash语句。server语句中不能写入weight等其他的參数,hash_method是使用的hash算法。
upstream upstream_server_api { #ip_hash; 同一请求ip发往同一负载 #fair; 按后端服务器的响应时间来分配请求,响应时间短的优先分配 #--url_hash-- 按訪问url的hash结果来分配请求,使每一个url定向到同一个后端服务器 #hash $request_uri; #hash_method crc32; #--url_hash-- server 127.0.0.1:8081 weight=1 max_fails=3 fail_timeout=30s;#权重1 失败3此后暂停30s server 127.0.0.1:8082 weight=2 max_fails=3 fail_timeout=30s;#权重2 失败3此后暂停30s server 127.0.0.1:8083 backup;# 当其他服务器不可用或全忙时启用 server 127.0.0.1:8084 down;# 服务下线 } server { listen 443 ssl default; server_name api.foo.com; index index.html index.htm index.php; root /home/wwwroot/web; ... ssl on; ssl_certificate /opt/nginx_ssl/certificate.crt; ssl_certificate_key /opt/nginx_ssl/private.key; ssl_session_timeout 5m; ssl_protocols SSLv3 TLSv1; ssl_ciphers ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP; ssl_prefer_server_ciphers on; ... # 如果是静态请求 nginx 负责处理 否则转发给后端服务器location 处理动态请求 # 你可以根据自己的业务定义相应的转发规则 location / { try_files $uri $uri/ @loc_server_api; } # 后端服务器location则反向代理给后端服务 location @loc_server_api { proxy_set_header Host $proxy_host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $remote_addr; proxy_pass http://upstream_server_api; } location ~ .*\.(gif|jpg|jpeg|png|bmp|swf)$ { expires 30d; } location ~ .*\.(js|css)?$ { expires 12h; } location ~ /\. { deny all; } }
如果需要重定向 http 到 https 可使用如下配置
server { listen 80 default; server_name api.foo.com; #重定向http至https return 301 https://api.foo.com; }
检查配置后重启服务即可
nginx -t systemctl restart nginx.service
利用阿里云 SCDN 全站加速隐藏业务服务器 IP
全站加速 SCDN 并不能对抗 DDOS/CC 攻击,它只是在 CDN 的基础上同时加速上行请求:选用更为畅通和高速的网络通道传输客户端向服务器端发送的请求,适合动态类数据的请求(web service)。
1、创建业务域名 api.foo.com 下的 SCDN 规则,获得加速域名。
2、CNAME 解析业务域名到相应的 SCDN 规则提供的加速域名。
3、配置回源方式(业务域名|源站域名|自定义域名),这里我们选业务域名,我们业务服务器也应一致监听此业务域名。
4、配置 HTTPS 填写申请的证书及私钥开启 HTTPS 访问,可配置是否重定向 HTTP 请求至 HTTPS。
5、保存生效
如此业务域名将被解析至全站加速CDN,而后 SCDN 回源请求给隐藏在后方的业务服务器,攻击者无法发现真实的业务服务器IP。
相关推荐
某些公司会墙特定网站,如果你有一个可访问的域名和服务器,就可以通过nginx反向代理来来解决这些问题。比如现在我们用mirror.example.com镜像www.baidu.com,以下是详细操作。