1. 介绍
本文主要介绍一下用Nginx代理来转发https和wss请求。
2.使用场景
什么情况下需要这种操作?
比如,后台多台服务器做反向代理;
比如,微信小程序,建立微信小程序的websocket连接,必须要使用wss,但是目前不支持自定义端口,在调用的时候会使用默认端口,这个时候就需要做个代理。
3. 实现
Nginx配置如下:
server {
listen 443; #https和wss协议默认端口
# ssl的相关配置
ssl on;
ssl_certificate /usr/local/nginx/conf/ssl/***.pem; // ssl pem文件
ssl_certificate_key /usr/local/nginx/conf/ssl/***.key; // ssl key文件
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;
ssl_prefer_server_ciphers on;
ssl_buffer_size 1400;
add_header Strict-Transport-Security max-age=15768000;
add_header Cache-Control no-store;
ssl_stapling on;
ssl_stapling_verify on;
server_name www.goozp.com;
# 转发wss协议
location /wss {
proxy_pass http://127.0.0.1:2346;
proxy_http_version 1.1;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection "Upgrade";
proxy_set_header X-Real-IP $remote_addr;
}
# 转发https协议
location /{
proxy_pass http://127.0.0.1:2345;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
# add_header Access-Control-Allow-Origin *;
}
}
这样,当我们访问 https://www.goozp.com 的时候实际上就转发到了内部的2345端口的http服务,而不需要 https://www.goozp.com:2345 。建立websocket连接时直接与 wss://www.goozp.com/wss 建立连接,会转发到内部2346端口的服务。
4. 通讯原理
假设服务端我们用workerman实现,因为最近我用workerman用得比较多。
通讯原理及流程是:
- 客户端发起 wss/https 连接到 Nginx。
- Nginx 将 wss/https 协议的数据转换成 ws/http 协议并转发到 Workerman 的 websocket 协议端口。
- Workerman 收到数据后做业务逻辑处理。
- Workerman 给客户端发送消息时,则是反过来,数据经 Nginx 转换成 wss/https 协议然后发给客户端。
这样就实现了 Nginx 代理 ssl 请求。
0 条评论
来做第一个留言的人吧!