使用 Apache 反向代理的設置技巧

Posted on by

Apache 是一個多功能的 Web 服務器,它提供瞭完整的支持功能,其中一些是通過擴展來實現的。在本文中,我們將使用該mod_proxy模塊將 Apache 配置為反向代理角色。

雖然 Apache 可能不是您作為反向代理的首選,但 NGINX 等更現代的替代方案往往會引起註意,mod_proxy但對於已經在運行 Apache 並且現在需要將流量路由到另一個服務的服務器很有用。您可以設置 Apache 虛擬主機將給定域的請求傳遞到單獨的 Web 服務器。

出於本指南的目的,我們將 Apache 2.4 與基於 Debian 的系統一起使用。我們還將假設您想要代理流量的服務器已經可以從您的 Apache 主機通過網絡訪問。本文重點介紹基於唯一虛擬主機啟用代理,但mod_proxy也可全局配置,作為 Apache 服務器配置的一部分,或通過.htaccess文件在目錄級別進行配置。

啟用代理模塊

mod_proxy包含在默認的 Apache 安裝中。現在a2enmod用於激活模塊及其獨立的 HTTP 組件:

sudo a2enmod proxy
sudo a2enmod proxy_http

這將 Apache 設置為支持代理到其他主機的 HTTP 連接。該模塊使用ProxyApache 配置文件中的 -prefixed 指令進行配置。我們接下來會設置這些。

設置代理虛擬主機

讓我們設置一個轉發example.com到內部 IP 地址的虛擬主機192.168.0.1。您應該example.com將該點的 DNS 記錄添加到您的 Apache 主機。

在這種情況下,代理允許訪問者通過外部地址透明地訪問您的內部 Web 服務器。Apache 充當將流量路由到其最終目的地的看門人。用戶將看到example.com,即使 Apache 實際上是通過單獨的服務器解析請求。

在裡面添加一個新的虛擬主機文件/etc/apache2/sites-available,內容如下:

<VirtualHost *:80>
    ServerName example.com

    ProxyPass / http://192.168.0.1/ nocanon
    ProxyPassReverse / http://192.168.0.1/
</VirtualHost>

在ProxyPass與ProxyPassReverse指令指定的流量example.com應該被代理到192.168.0.1。可選nocanon關鍵字指示 Apache 將原始 URL 傳遞給遠程服務器。如果沒有這個關鍵字,Apache 會自動規范化 URL,這可能與某些服務器和框架不兼容。使用nocanon保證兼容性但會影響您的安全狀況,因為它會禁用 Apache 針對基於 URL 的代理攻擊的內置保護。

ProxyPassReverse必須提供以將您的配置區分為反向代理設置。Apache將使用所提供的URL重寫Location,Content-Location和URI由後端發出的響應頭。這確保瞭後續請求繼續命中反向代理,而不是嘗試直接到達內部服務器。

此配置將代理所有請求。您可以將代理限制到特定路徑,例如/media通過調整ProxyPass和ProxyPassReverse指令:

ProxyPass /media http://192.168.0.1/
ProxyPassReverse /media http://192.168.0.1/

添加多個ProxyPass規則可讓您使用一個虛擬主機在多個目標之間路由請求。規則按照它們編寫的順序進行匹配。如果您需要更復雜的路由行為,請改用該ProxyPassMatch指令。這等效於ProxyPass但將傳入的 URL 與正則表達式匹配:

ProxyPassMatch ^/client/(.*)/images$ http://192.168.0.1/

保存您的虛擬主機文件並使用a2ensite命令啟用它。這采用相對於sites-available目錄的文件的基本名稱:

sudo a2ensite example-proxy-vhost

重新啟動 Apache 以應用您的更改:

sudo service apache2 restart

您的簡單代理現在應該可以運行瞭。嘗試訪問example.com- 您應該會看到192.168.0.1. 該請求在您的 Apache 主機處終止,然後將其代理到您的內部服務器。

使用 SSL

上面的示例省略瞭 SSL。在生產工作負載中,您希望通過向 虛擬主機添加SSLCertificateFile和SSLCertificateKeyFile設置來進行設置。這些指定驗證 SSL 連接時要使用的 SSL 證書和密鑰。您還可以使用 Let’s Encrypt 的certbot 來自動設置。

以這種方式配置 SSL 意味著安全連接將在您的 Apache 主機上終止。Apache 和您的代理目標之間的連接將通過純 HTTP 進行。

如果您需要代理連接固定也一樣,你必須使用SSLProxy選項提供mod_ssl。SSLProxyEngine = On將作為最基本的配置工作,前提是 Apache 和您的代理目標服務器都可以訪問相同的證書。此選項指示通過代理連接提供 SSL 信息。

代理選項

Apache 反向代理有幾個可用於調整轉發行為的可選指令。以下是一些常用的選項:

  • ProxyAddHeaders–默認情況下,Apache將X-Forwarded-Host、XForwarded-For和X-Forwarded-Serverheaders傳遞給您的後端服務器。這些讓您的後端識別請求是通過 Apache 代理的。設置此標頭以Off防止 Apache 添加這些標頭。
  • ProxyErrorOverride– Apache 不會幹擾後端服務器發送的響應,除非有指示。如果您的後端提供 400、404、500 或任何其他錯誤代碼,用戶將按原樣接收該內容。設置ProxyErrorOverride改變瞭這一點,讓阿帕奇替換錯誤頁面的內容配置ErrorDocument來代替。在您希望通過集中在代理主機上的配置統一處理所有後端的錯誤的情況下,這可能是可取的。
  • ProxyPassReverseCookieDomain–此功能類似於強制(用於反向代理)ProxyPassReverse指令。它將重寫Set-Cookie標頭中的域以引用虛擬主機的名稱,而不是它們源自的後端服務器的主機名。
  • ProxyPreserveHost– Apache通常將其自己的主機名作為Host標頭的值發送到您的後端服務器。設置此指令意味著將發送原始 Host標頭。當您的後端軟件執行其自己的基於主機名的路由時,這可能是必要的。
  • ProxyTimeout– 使用此指令來調整 Apache 在後端服務器處理代理請求時等待的時間。如果超時,Apache將中止請求並向客戶端返回錯誤代碼。它默認為服務器級別的Timeout值。

您可以將這些指令設置為虛擬主機文件中的附加行。記住每次應用更改時都要重新啟動 Apache 服務。

負載均衡

Apache 的反向代理實現還支持多個不同後端之間的負載平衡。這允許請求訪問example.com平衡池中的任何服務器。

<Proxy balancer://example-balancer>
    BalancerMember http://192.168.0.1
    BalancerMember http://192.168.0.2
    ProxySet lbmethod=bytraffic
</Proxy>

ProxyPass / balancer://example-balancer
ProxyPassReverse / balancer://example-balancer

此示例將請求路由到example-balancer池中的兩臺服務器之一。的負載平衡算法是由定義的lbmethod設置; bytraffic此處使用的值試圖確保每個服務器處理相同數量的流量。

另一種方法 byrequests balancing method是更簡單的 bytraffic 版本,它為每個後端提供相等的傳入請求份額。該 bybusyness balancer軌道有多少要求每個後端是服務,然後分配新的到最“忙碌”的後端。

概括

該mod_proxy模塊可以將 Apache 變成一個反向代理主機,允許您使用基於名稱的路由來訪問多個獨立的服務。您也可以添加負載平衡,通過在您的服務器隊列中分配請求來確保穩定性和正常運行時間。

其他代理口味也可用。您可以代理 FTP、WebSocket 和 HTTP2 連接等,方法是在mod_proxy. 完整的模塊列表可在 Apache 文檔中找到。

到此這篇關於如何使用 Apache 設置反向代理的文章就介紹到這瞭,更多相關Apache 反向代理內容請搜索WalkonNet以前的文章或繼續瀏覽下面的相關文章希望大傢以後多多支持WalkonNet!

推薦閱讀: