NGINX proxy web yuvalarını ters çevirecek VE SSL'yi etkinleştirecek (wss: //)?

NGINX'i kendi başıma oluşturmada çok kayboldum ve yeniyim, ancak ek bir katmana sahip olmadan güvenli web soketlerini etkinleştirebilmek istiyorum.

Websocket sunucusunda SSL'yi etkinleştirmek istemiyorum, bunun yerine her şeye bir SSL katmanı eklemek için NGINX kullanmak istiyorum.

Dışarıdaki her web sayfası bunu yapamayacağımı söylüyor, ama yapabileceğimi biliyorum! (Kendim) bana nasıl olduğunu gösterebilecek kişi sayesinde!

Sadece nginx'in 1.3.13 sürümünde Websockets'ı desteklediğini belirtmek isterim. Kullanım örneği:

location /websocket/ {

    proxy_pass ​http://backend_host;
    proxy_http_version 1.1;
    proxy_set_header Upgrade $http_upgrade;
    proxy_set_header Connection "upgrade";
    proxy_read_timeout 86400;

}

Ayrıca nginx değişiklik günlüğünü ve WebSocket proxy oluşturma belgelerini de kontrol edebilirsiniz .

Korkmayın, çünkü cesur bir Operasyon Programcısı grubu durumu yeni nginx_tcp_proxy_module şaplak atan bir markayla çözdü

Ağustos 2012'de yazıldı, bu yüzden gelecekten iseniz ev ödevinizi yapmalısınız.

Ön şartlar

CentOS kullandığınızı varsayar:

• Mevcut NGINX örneğini kaldırın (bunun için geliştirme sunucusu kullanmanızı öneririz)
• Mümkünse, eski NGINX yapılandırma dosyalarınızı kaydedin, böylece onları yeniden kullanabilirsiniz ( init.d/nginxbetiğiniz dahil)
• yum install pcre pcre-devel openssl openssl-devel ve NGINX'i oluşturmak için gerekli diğer kitaplıklar
• GitHub'dan nginx_tcp_proxy_module dosyasını buradan alın https://github.com/yaoweibin/nginx_tcp_proxy_module ve yerleştirdiğiniz klasörü hatırlayın (sıkıştırılmadığından emin olun)

Yeni NGINX'inizi Oluşturun

Yine, CentOS varsayar:

• cd /usr/local/
• wget 'http://nginx.org/download/nginx-1.2.1.tar.gz'
• tar -xzvf nginx-1.2.1.tar.gz
• cd nginx-1.2.1/
• patch -p1 < /path/to/nginx_tcp_proxy_module/tcp.patch
• ./configure --add-module=/path/to/nginx_tcp_proxy_module --with-http_ssl_module (ihtiyacınız olursa daha fazla modül ekleyebilirsiniz)
• make
• make install

İsteğe bağlı:

• sudo /sbin/chkconfig nginx on

Nginx'i Kurun

Yeniden kullanmak istiyorsanız, önce eski yapılandırma dosyalarınızı kopyalamayı unutmayın.

Önemli:tcp {} conf'inizde en üst düzeyde bir yönerge oluşturmanız gerekecektir . Direktifinizin içinde olmadığından emin olun http {}.

Aşağıdaki örnek yapılandırma, tek bir yukarı akış web soket sunucusunu ve hem SSL hem de SSL olmayan için iki proxy gösterir.

tcp {
    upstream websockets {
        ## webbit websocket server in background
        server 127.0.0.1:5501;
        
        ## server 127.0.0.1:5502; ## add another server if you like!

        check interval=3000 rise=2 fall=5 timeout=1000;
    }   

    server {
        server_name _;
        listen 7070;

        timeout 43200000;
        websocket_connect_timeout 43200000;
        proxy_connect_timeout 43200000;

        so_keepalive on;
        tcp_nodelay on;

        websocket_pass websockets;
        websocket_buffer 1k;
    }

    server {
        server_name _;
        listen 7080;

        ssl on;
        ssl_certificate      /path/to/cert.pem;
        ssl_certificate_key  /path/to/key.key;

        timeout 43200000;
        websocket_connect_timeout 43200000;
        proxy_connect_timeout 43200000;

        so_keepalive on;
        tcp_nodelay on;

        websocket_pass websockets;
        websocket_buffer 1k;
    }
}

Bu benim için çalıştı:

location / {
    # redirect all HTTP traffic to localhost:8080
    proxy_pass http://localhost:8080;
    proxy_set_header X-Real-IP $remote_addr;
    proxy_set_header Host $host;
    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

    # WebSocket support
    proxy_http_version 1.1;
    proxy_set_header Upgrade $http_upgrade;
    proxy_set_header Connection "upgrade";
}

- ödünç alınmıştır: https://github.com/nicokaiser/nginx-websocket-proxy/blob/df67cd92f71bfcb513b343beaa89cb33ab09fb05/simple-wss.conf

.net core 2.0 Nginx için SSL ile

location / {
    # redirect all HTTP traffic to localhost:8080
    proxy_pass http://localhost:8080;
    proxy_set_header X-Real-IP $remote_addr;
    proxy_set_header Host $host;
    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

    # WebSocket support
    proxy_http_version 1.1;
    proxy_set_header Upgrade $http_upgrade;
    proxy_set_header Connection $http_connection;
}

Bu benim için çalıştı

Benim için proxy_passkonum ayarına geldi . HTTPS protokolünü kullanmaya geçmem ve nesnelerin düğüm sunucusu tarafında geçerli bir SSL sertifikasına sahip olmam gerekiyordu. Bu şekilde, harici bir düğüm sunucusu sunduğumda, yalnızca IP'yi değiştirmem gerekir ve diğer her şey aynı yapılandırma olarak kalır.

Umarım bu yol boyunca birine yardımcı olur ... Ben her zaman soruna bakıyordum ... ah ...

map $http_upgrade $connection_upgrade {
    default upgrade;
    ''      close;
}
upstream nodeserver {
        server 127.0.0.1:8080;
}
server {
        listen 443 default_server ssl http2;
        listen [::]:443 default_server ssl http2 ipv6only=on;
        server_name mysite.com;
        ssl_certificate ssl/site.crt;
        ssl_certificate_key ssl/site.key;
        location /websocket { #replace /websocket with the path required by your application
                proxy_pass https://nodeserver;
                proxy_set_header Upgrade $http_upgrade;
                proxy_set_header Connection $connection_upgrade;
                proxy_http_version 1.1;
                proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
                proxy_set_header Host $http_host;
                proxy_intercept_errors on;
                proxy_redirect off;
                proxy_cache_bypass $http_upgrade;
                proxy_set_header X-Real-IP $remote_addr;
                proxy_set_header X-NginX-Proxy true;
                proxy_ssl_session_reuse off;
            }
}

Pankaj Malhotra tarafından yazılan güzel, kısa ve öz bir makale bunun NGINX ile nasıl yapılacağını tartışıyor ve buradan ulaşılabilir .

Temel NGINX yapılandırması aşağıda yeniden üretilmiştir:

map $http_upgrade $connection_upgrade {
    default upgrade;
    '' close;
}

upstream appserver {
    server 192.168.100.10:9222; # appserver_ip:ws_port
}

server {
    listen 8888; // client_wss_port

    ssl on;
    ssl_certificate /path/to/crt;
    ssl_certificate_key /path/to/key;


    location / {
        proxy_pass http://appserver;
        proxy_http_version 1.1;
        proxy_set_header Upgrade $http_upgrade;
        proxy_set_header Connection $connection_upgrade;
    }
}

Nginx / 1.14.0 kullanma

8097 numaralı bağlantı noktasında çalışan bir web soket sunucum var ve kullanıcılar 8098 numaralı bağlantı noktasından wss'e bağlanıyor, nginx yalnızca içeriğin şifresini çözüyor ve websocket sunucusuna iletiyor

Bu yüzden bu yapılandırma dosyasına sahibim (benim durumumda /etc/nginx/conf.d/default.conf)

server {
    listen   8098;
        ssl on;
        ssl_certificate      /etc/ssl/certs/combined.pem;
        ssl_certificate_key  /root/domain.key;
    location / {

        proxy_pass http://hostname:8097;
        proxy_http_version 1.1;
        proxy_set_header Upgrade $http_upgrade;
        proxy_set_header Connection "upgrade";
        proxy_read_timeout 86400;

    }
}