NGINX反向代理websockets并启用SSL(wss://)?

问题描述 投票:105回答:7

我很遗憾和我自己建立NGINX的新手,但我希望能够启用安全的websockets,而无需额外的层。

我不想在websocket服务器本身上启用SSL,而是想使用NGINX为整个事物添加SSL层。

每个网页都说我做不到,但我知道我可以做到!感谢任何人(我自己)可以告诉我如何!

ssl tcp proxy nginx mod-proxy
7个回答
152
投票

请注意,nginx现在支持版本1.3.13上的Websockets。使用示例:

location /websocket/ {

    proxy_pass ​http://backend_host;
    proxy_http_version 1.1;
    proxy_set_header Upgrade $http_upgrade;
    proxy_set_header Connection "upgrade";
    proxy_read_timeout 86400;

}

您还可以查看nginx changelogWebSocket proxying文档。

53
投票

没有恐惧,因为一群勇敢的Ops程序员用一个品牌打击新的nginx_tcp_proxy_module解决了这个问题

写于2012年8月,所以如果你来自未来,你应该做你的功课。

先决条件

假设您使用的是CentOS:

  • 删除NGINX的当前实例(建议使用dev服务器)
  • 如果可能,保存旧的NGINX配置文件,以便您可以重复使用它们(包括您的init.d/nginx脚本)
  • yum install pcre pcre-devel openssl openssl-devel以及用于构建NGINX的任何其他必要的库
  • 从GitHub这里获取nginx_tcp_proxy_module https://github.com/yaoweibin/nginx_tcp_proxy_module并记住你放置它的文件夹(确保它没有压缩)

建立你的新NGINX

再次假设CentOS:

  • cd /usr/local/
  • wget 'http://nginx.org/download/nginx-1.2.1.tar.gz'
  • tar -xzvf nginx-1.2.1.tar.gz
  • cd nginx-1.2.1/
  • patch -p1 < /path/to/nginx_tcp_proxy_module/tcp.patch
  • ./configure --add-module=/path/to/nginx_tcp_proxy_module --with-http_ssl_module(如果需要,可以添加更多模块)
  • make
  • make install

可选的:

  • sudo /sbin/chkconfig nginx on

设置Nginx

如果要重新使用它们,请记住先复制旧配置文件。

重要提示:您需要在conf中的最高级别创建tcp {}指令。确保它不在你的http {}指令中。

下面的示例配置显示了单个上游websocket服务器,以及SSL和非SSL两个代理。

tcp {
    upstream websockets {
        ## webbit websocket server in background
        server 127.0.0.1:5501;

        ## server 127.0.0.1:5502; ## add another server if you like!

        check interval=3000 rise=2 fall=5 timeout=1000;
    }   

    server {
        server_name _;
        listen 7070;

        timeout 43200000;
        websocket_connect_timeout 43200000;
        proxy_connect_timeout 43200000;

        so_keepalive on;
        tcp_nodelay on;

        websocket_pass websockets;
        websocket_buffer 1k;
    }

    server {
        server_name _;
        listen 7080;

        ssl on;
        ssl_certificate      /path/to/cert.pem;
        ssl_certificate_key  /path/to/key.key;

        timeout 43200000;
        websocket_connect_timeout 43200000;
        proxy_connect_timeout 43200000;

        so_keepalive on;
        tcp_nodelay on;

        websocket_pass websockets;
        websocket_buffer 1k;
    }
}
30
投票

这对我有用:

location / {
    # redirect all HTTP traffic to localhost:8080
    proxy_pass http://localhost:8080;
    proxy_set_header X-Real-IP $remote_addr;
    proxy_set_header Host $host;
    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

    # WebSocket support
    proxy_http_version 1.1;
    proxy_set_header Upgrade $http_upgrade;
    proxy_set_header Connection "upgrade";
}

- 借来自:https://github.com/nicokaiser/nginx-websocket-proxy/blob/df67cd92f71bfcb513b343beaa89cb33ab09fb05/simple-wss.conf

16
投票

for .net core 2.0 Nginx with SSL

location / {
    # redirect all HTTP traffic to localhost:8080
    proxy_pass http://localhost:8080;
    proxy_set_header X-Real-IP $remote_addr;
    proxy_set_header Host $host;
    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

    # WebSocket support
    proxy_http_version 1.1;
    proxy_set_header Upgrade $http_upgrade;
    proxy_set_header Connection $http_connection;
}

这对我有用

7
投票

对我而言,它归结为proxy_pass位置设置。需要将http://nodeserver更改为https://nodeserver,并在节点服务器端设置有效的SSL证书。这样,当我引入外部节点服务器时,我只需要更改IP,其他一切都保持相同的配置。

我希望这可以帮助一路上的人......我一直盯着这个问题...叹息......

map $http_upgrade $connection_upgrade {
    default upgrade;
    ''      close;
}
upstream nodeserver {
        server 127.0.0.1:8080;
}
server {
        listen 443 default_server ssl http2;
        listen [::]:443 default_server ssl http2 ipv6only=on;
        server_name mysite.com;
        ssl_certificate ssl/site.crt;
        ssl_certificate_key ssl/site.key;
        location /horizon {
                proxy_pass https://nodeserver;
                proxy_set_header Upgrade $http_upgrade;
                proxy_set_header Connection $connection_upgrade;
                proxy_http_version 1.1;
                proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
                proxy_set_header Host $http_host;
                proxy_intercept_errors on;
                proxy_redirect off;
                proxy_cache_bypass $http_upgrade;
                proxy_set_header X-Real-IP $remote_addr;
                proxy_set_header X-NginX-Proxy true;
                proxy_ssl_session_reuse off;
            }
}
4
投票

Pankaj Malhotra撰写的一篇简短的文章讨论了如何使用NGINX进行此操作,并且可以使用here

基本的NGINX配置如下:

map $http_upgrade $connection_upgrade {
    default upgrade;
    '' close;
}

upstream appserver {
    server 192.168.100.10:9222; # appserver_ip:ws_port
}

server {
    listen 8888; // client_wss_port

    ssl on;
    ssl_certificate /path/to/crt;
    ssl_certificate_key /path/to/key;


    location / {
        proxy_pass http://appserver;
        proxy_http_version 1.1;
        proxy_set_header Upgrade $http_upgrade;
        proxy_set_header Connection $connection_upgrade;
    }
}
0
投票

使用nginx / 1.14.0

我有一个在端口8097上运行的websocket-server和用户从端口8098连接到wss,nginx只是解密内容并将其转发到websocket服务器

所以我有这个配置文件(在我的情况下/etc/nginx/conf.d/default.conf

server {
    listen   8098;
        ssl on;
        ssl_certificate      /etc/ssl/certs/combined.pem;
        ssl_certificate_key  /root/domain.key;
    location / {

        proxy_pass http://hostname:8097;
        proxy_http_version 1.1;
        proxy_set_header Upgrade $http_upgrade;
        proxy_set_header Connection "upgrade";
        proxy_read_timeout 86400;

    }
}
最新问题
© www.soinside.com 2019 - 2024. All rights reserved.