说在前面的话:
突然接到这么一个任务,将多个域名的访问必须使用https的转发访问,其实对Niginx的使用很简单,文档也很齐全(不管是腾讯云还是阿里云),入坑的原因是对Niginx服务器的陌生和走的弯路。
1.弯路:Tomcat支持SSL
腾讯云Tomcat服务器证书配置
修改server.xml文件
<Connector port="443" protocol="org.apache.coyote.http11.Http11NioProtocol" SSLEnabled="true" scheme="https" secure="true" keystoreFile="conf\ssl\生产的证书名称我使用相对路径.jks" keystoreType="JKS" keystorePass="证书对应的密码" clientAuth="false" sslProtocol="TLSv1+TLSv1.1+TLSv1.2" maxThreads="150" ciphers="TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA256"> </Connector> <!-- Define an AJP 1.3 Connector on port 8009 --> <Connector port="8209" protocol="AJP/1.3" redirectPort="8443" secretRequired="" useBodyEncodingForURI="true" URIEncoding="UTF-8"/>
keystoreType="JKS":请注意该配置跟阿里云的不一样,记得修改
<Engine defaultHost="我的域名" name="Catalina" jvmRoute="tomcat1" URIEncoding="UTF-8"> <Cluster className="org.apache.catalina.ha.tcp.SimpleTcpCluster"/> <Realm className="org.apache.catalina.realm.LockOutRealm"> <Realm className="org.apache.catalina.realm.UserDatabaseRealm" resourceName="UserDatabase"/> </Realm> <Host name="我的域名" appBase="webapps" unpackWARs="true" autoDeploy="true"> <Valve className="org.apache.catalina.valves.AccessLogValve" directory="logs" prefix="localhost_access_log" suffix=".txt" pattern="%h %l %u %t "%r" %s %b" /> </Host> </Engine>
听同事说,配置就好了,入坑的地方也是,服务器启动完毕之后443端口也被占用了,真的好坑好坑,如果不需要转发的时候,可以使用改配置。
启动nginx 不成功bind() to 0.0.0.0:443 failed (10013: An attempt was made to access a socket in a way forbidden by its access permissions
2.言归正传
2.1 需求概述
当在一个服务器(腾讯云的服务器的IP地址)部署多个服务,不同服务需要通过不同域名访问时,可以通过Nginx代理进行域名转发,同时还可以通过配置SSL模块实现https访问。(我的服务器使用window系统,如果没有SSL模块需要自行开启,默认是支持的)
在一个服务器同时部署3个服务:服务A,服务B和服务C,服务需配置以下域名:
- pangsir01.domain.com域名对应服务A;
- pangsir02.domain.com域名对应服务B;
- pangsir03.domain.com域名对应服务C;
服务通过https访问,http请求重定向至https。
2.2 服务代理设置
配置Nginx监听443端口(==我因为Tomcat的配置,在这里卡了半天,不成功==),实现域名转发和https访问,本示例使用的证书是crt格式证书
(1)服务A的配置
server { listen 443 ssl; #监听端口,Nginx1.5后推荐使用 server_name pangsir01.domain.com; #请求域名 ssl_certificate ssl/证书名称A.crt; #crt证书路径,存放位置Nginx的conf/ssl文件夹下,可以使用绝对路径 ssl_certificate_key ssl/证书名称A.key; #crt证书key路径 ssl_session_timeout 5m; #会话超时时间 ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4; #加密算法 ssl_protocols TLSv1 TLSv1.1 TLSv1.2; #SSL协议 # 拦截所有请求 location / { proxy_http_version 1.1; #代理使用的http协议 proxy_set_header Host $host; #header添加请求host信息 proxy_set_header X-Real-IP $remote_addr; # header增加请求来源IP信息 proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; # 增加代理记录 proxy_pass http://127.0.0.1:8001; #服务A访问地址 } }
(2)服务B的配置
server { listen 443 ssl; #监听端口,Nginx1.5后推荐使用 server_name pangsir02.domain.com; #请求域名 ssl_certificate ssl/证书名称B.crt; #crt证书路径,存放位置Nginx的conf/ssl文件夹下,可以使用绝对路径 ssl_certificate_key ssl/证书名称B.key; #crt证书key路径 ssl_session_timeout 5m; #会话超时时间 ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4; #加密算法 ssl_protocols TLSv1 TLSv1.1 TLSv1.2; #SSL协议 # 拦截所有请求 location / { proxy_http_version 1.1; #代理使用的http协议 proxy_set_header Host $host; #header添加请求host信息 proxy_set_header X-Real-IP $remote_addr; # header增加请求来源IP信息 proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; # 增加代理记录 proxy_pass http://127.0.0.1:8002; #服务B访问地址 } }
(3)服务C的配置
server { listen 443 ssl; #监听端口,Nginx1.5后推荐使用 server_name pangsir03.domain.com; #请求域名 ssl_certificate ssl/证书名称C.crt; #crt证书路径,存放位置Nginx的conf/ssl文件夹下,可以使用绝对路径 ssl_certificate_key ssl/证书名称C.key; #crt证书key路径 ssl_session_timeout 5m; #会话超时时间 ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4; #加密算法 ssl_protocols TLSv1 TLSv1.1 TLSv1.2; #SSL协议 # 拦截所有请求 location / { proxy_http_version 1.1; #代理使用的http协议 proxy_set_header Host $host; #header添加请求host信息 proxy_set_header X-Real-IP $remote_addr; # header增加请求来源IP信息 proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; # 增加代理记录 proxy_pass http://127.0.0.1:8003; #服务B访问地址 } }
2.3 http请求自动转发
增加server配置,监听80端口,对所有域名进行https重定向
server { listen 80; #监听端口 server_name a.domain.com b.domain.com c.domain.com; #请求域名 return 301 https://$host$request_uri; #重定向至https访问。 }
我的需求到这里就搞定了,下面的内容属于扩展内容,记录一下
3.WebSocket的SSL配置
假如服务A中使用到websocket(访问接口为:/websocket),需要将ws协议更换为wss协议,可在服务A的server配置中增加一个location配置,拦截websocket进行单独代理。
服务A的配置,修改后:
server { listen 443 ssl; #监听端口 server_name pangsir01.domain.com; #请求域名 ssl_certificate ssl/证书名称A.crt; #crt证书路径 ssl_certificate_key ssl/证书名称A.key; #crt证书key路径 ssl_session_timeout 5m; #会话超时时间 ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4; #加密算法 ssl_protocols TLSv1 TLSv1.1 TLSv1.2; #SSL协议 # 拦截所有请求 location / { proxy_http_version 1.1; #代理使用的http协议 proxy_set_header Host $host; #header添加请求host信息 proxy_set_header X-Real-IP $remote_addr; # header增加请求来源IP信息 proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; # 增加代理记录 proxy_pass http://127.0.0.1:8001; #服务A访问地址 } # 拦截websocket请求 location /websocket { proxy_pass http://127.0.0.1:8001; proxy_http_version 1.1; proxy_set_header Upgrade $http_upgrade; proxy_set_header Connection "upgrade"; } }
RTX 5090要首发 性能要翻倍!三星展示GDDR7显存
三星在GTC上展示了专为下一代游戏GPU设计的GDDR7内存。
首次推出的GDDR7内存模块密度为16GB,每个模块容量为2GB。其速度预设为32 Gbps(PAM3),但也可以降至28 Gbps,以提高产量和初始阶段的整体性能和成本效益。
据三星表示,GDDR7内存的能效将提高20%,同时工作电压仅为1.1V,低于标准的1.2V。通过采用更新的封装材料和优化的电路设计,使得在高速运行时的发热量降低,GDDR7的热阻比GDDR6降低了70%。
更新动态
- 凤飞飞《我们的主题曲》飞跃制作[正版原抓WAV+CUE]
- 刘嘉亮《亮情歌2》[WAV+CUE][1G]
- 红馆40·谭咏麟《歌者恋歌浓情30年演唱会》3CD[低速原抓WAV+CUE][1.8G]
- 刘纬武《睡眠宝宝竖琴童谣 吉卜力工作室 白噪音安抚》[320K/MP3][193.25MB]
- 【轻音乐】曼托凡尼乐团《精选辑》2CD.1998[FLAC+CUE整轨]
- 邝美云《心中有爱》1989年香港DMIJP版1MTO东芝首版[WAV+CUE]
- 群星《情叹-发烧女声DSD》天籁女声发烧碟[WAV+CUE]
- 刘纬武《睡眠宝宝竖琴童谣 吉卜力工作室 白噪音安抚》[FLAC/分轨][748.03MB]
- 理想混蛋《Origin Sessions》[320K/MP3][37.47MB]
- 公馆青少年《我其实一点都不酷》[320K/MP3][78.78MB]
- 群星《情叹-发烧男声DSD》最值得珍藏的完美男声[WAV+CUE]
- 群星《国韵飘香·贵妃醉酒HQCD黑胶王》2CD[WAV]
- 卫兰《DAUGHTER》【低速原抓WAV+CUE】
- 公馆青少年《我其实一点都不酷》[FLAC/分轨][398.22MB]
- ZWEI《迟暮的花 (Explicit)》[320K/MP3][57.16MB]