翻译自:https://httpd.apache.org/docs/2.4/en/howto/reverse_proxy.html
除了充当"basic"服务器向用户提供静态及动态的内容之外,Apache服务器跟大多数服务器一样,能够提供反向代理服务方案,也被称为"gateway"服务器
在这样的场景中,httpd自己不生成或托管数据,而是从一个或多个后端服务器(通常没有直接与外部网络连接)获取内容。当httpd从客户端接收一个请求,这个请求自身被代理到其中一个后端服务器,这个后端服务器处理请求,生成内容并把内容发送至httpd,然后httpd生成实际的HTTP响应到客户端。
这样实现有众多的原因,但是典型的原因是为了安全、高可用、负载均衡和集中认证授权。在反向代理中,关键在于布局、设计和建设后端基础设施(即实际处理请求的服务器)使得其对外界隔离和保护。对于客户端而言,反向代理服务器是唯一的内容来源。
典型的实现如下:
反向代理
有关Modules
- mod_proxy
- mod_proxy_balancer
- mod_proxy_hcheck
有关指令
- ProxyPass
- BalancerMember
反向代理简例
ProxyPass指定传入的映射到后端服务器或一个负载均衡的服务器集群。例如将所有请求("/")代理到一个后端服务器:
ProxyPass "/" "http://www.example.com/"
为了代理和代理的位置:来自后端生成的头部被更改到指向反向代理,而不是指向自身,ProxyPassReverse是最常用的指令:
ProxyPass "/" "http://www.example.com/"
ProxyPassReverse "/" "http://www.example.com/"
之后确定的URIs能够被代理,如下例:
ProxyPass "/images" "http://www.example.com/"
ProxyPassReverse "/images" "http://www.example.com/"
在上例中,任何以/images的路径会被代理到指定的后端服务器,其他的会在本地被处理
集群及负载均衡
反向代理是很有用的,但是仍有缺点,如单一后端节点的衰减和大负载(算力不足),使得代理这些请求不能提供真正的优势。所以需要定义一个强力的后端服务集合或组群,一个能够处理这样的请求 和 反向代理能够在组间进行负载均衡和故障转移。这样的组被称为集群在Apache httpd中的术语是负载均衡,一个负载均衡的定义使用< Proxy >和BalancerMember:
<Proxy balancer://myset>
BalancerMember http://www2.example.com:8080
BalancerMember http://www3.example.com:8080
ProxySet lbmethod=bytraffic
</Proxy>
ProxyPass "/images/" "balancer://myset/"
ProxyPassReverse "/images/" "balancer://myset/"
balancer://<方案名>告诉httpd我们正在创建一个名为< 方案名 >的均衡集。集合包括2个后端服务器,httpd命名为BalancerMembers。在本案例中,任何来自于/images的请求将被代理到2个后端中的一个,ProxySet指定该均衡器使用一个给予I/O的负载均衡算法
均衡器及均衡器成员配置
你可以通过ProxyPass中定义的各种参数调整均衡器和工作程序的大量配置信息。例如,假设我们想要 http://www3.example.com:8080 处理3倍流量并且超时为1s,我们可以调整配置如下:
<Proxy balancer://myset>
BalancerMember http://www2.example.com:8080
BalancerMember http://www3.example.com:8080 loadfactor=3 timeout=1
ProxySet lbmethod=bytraffic
</Proxy>
ProxyPass "/images" "balancer://myset/"
ProxyPassReverse "/images" "balancer://myset/"
故障转移
你也可以微调各种故障转移方案,可以详细说明在这个方案中,那个均衡器成员甚至是均衡器应该被访问。例如,以下实现的2个故障转移方案:1、如果其他所有在集合中的均衡器成员不工作,http://hstandby.example.com:8080 是唯一的流量接收服务器;2、如果该工作程序本身失效,http://bkup1.example.com:8080 和 http://bkup2.example.com:8080 这2个均衡器成员进行轮换
<Proxy balancer://myset>
BalancerMember http://www2.example.com:8080
BalancerMember http://www3.example.com:8080 loadfactor=3 timeout=1
BalancerMember http://hstandby.example.com:8080 status=+H
BalancerMember http://bkup1.example.com:8080 lbset=1
BalancerMember http://bkup2.example.com:8080 lbset=1
ProxySet lbmethod=byrequests
</Proxy>
ProxyPass "/images/" "balancer://myset/"
ProxyPassReverse "/images/" "balancer://myset/"
这个故障转移设置的魔法在于 http://hstandby.example.com:8080 带有+H 状态标志,这使得该服务器处于 热备 模式。设置2个bkup# 服务器的组为 #1 负载均衡集合(默认集合为0);一旦故障转移,热备将在第一时间启用,当所有常规的均衡器成员不可用时,负载均衡器将尝试最小的集合(#0,#1,#2...)
均衡器管理
Apache httpd的逆向代理最独特和有用的特性之一是嵌入式平衡器管理器(balancer-manager)应用程序。与mod_status类似,balancer-manager展示当前启用的均衡器和均衡器成员正工作中的配置和状态。但是,他不仅显示这些参数,还允许大多数参数的动态,运行时,即时重新配置,包括添加新的均衡器成员(BalancerMembers)到一个存在的均衡器中。开启这个功能,需要添加以下代码到配置中:
<Location "/balancer-manager">
SetHandler balancer-manager
Require host localhost
</Location>
在反向代理服务器访问url(http://rproxy.example.com/balancer-manager/)你将看到如下页面
这种形式允许开发管理员调整各种参数,关闭均衡器成员,修改负载均衡模式以及添加新的均衡器成员。例如,点击均衡器本身,你讲看到如下页面
单击一个均衡器成员,显示如下页面
要使更改持续,需重启反向代理,并确保BalancerPersist可用
动态健康检查
在httpd将请求代理给均衡器成员之前,可以通过使用ProxyPass设置该均衡器成员的ping参数来测试该均衡器成员是否可用。通常,以动态的方式检查均衡器成员的健康状态是很有益处的。通过mod_proxy_hcheck实现
均衡器成员状态标志
在均衡器管理中,显示当前均衡器成员的状态并且可以set/reset。这些状态的含义如下:
