Middleware / 奇淫技巧

Nginx 反向代理的另类应用案例

Einic Yeo · 6月1日 · 2019年 ·

最近又接到了一个需求: 场景是部门引进的第三方应用,部署在各个网络区域,从OA办公区域无法直接访问。目前,运营人员都需要登陆Windows跳板机,才能打开这些应用的WEB控制台。既不方便,而且还有一定Windows服务器的维护工作量,于是希望通过运维手段版权声明:本文遵循 CC 4.0 BY-SA 版权协议,若要转载请务必附上原文出处链接及本声明,谢谢合作!来解决。

拿到这个需求后,我先问了下各个应用的基本情况,得知每个应用的框架基本是一样的,都是通过IP+端口直接访问,页面path也基本一样,没有唯一性。然后拿到了一个应用WEB控制台地址看了下,发现html引用的地址都是相对路径。

乍一想,这用Nginx代理不好弄吧?页面path一样,没法根据 location 来反代到不同的后端,只能通过不同Nginx端口来区分,那就太麻烦了!每次他们新上一个应用,我们就得多加一个新端口来映射,这种的尾大不掉、绵绵不绝事情坚决不干,Say pass。

再一想,我就想到了上次那个正向代理另类应用方案,感觉可以拿过来改改做动态代理。原理也简单:先和用户约定一个访问形式,比如:

Nginx代理地址为myproxy.oa.com,需要代理到IP为 192.168.2.100:8080 的控制器,用户需要访问http://myproxy.oa.com/192.168.2.100:8080/path。

动态代理的原理及实现:

1、Nginx从$request_uri变量中,通过斜杠提取第一段作为要反向代理的对象,即proxy_pass,提取后面的作为需要反代的路径;

2、对于Html、JS、CSS等资源引用则需要通过Nginx的替换模块,将路径替换为上述约定形式,比如:Html里面的href=”/js/jquery.min.js”,需要替换为href=”http://my版权声明:本文遵循 CC 4.0 BY-SA 版权协议,若要转载请务必附上原文出处链接及本声明,谢谢合作!proxy.oa.com/192.168.2.100:8080/js/juqery.m版权声明:本文遵循 CC 4.0 BY-SA 版权协议,若要转载请务必附上原文出处链接及本声明,谢谢合作!in.js”,即所有资源地址都保证符合版权声明:本文遵循 CC 4.0 BY-SA 版权协议,若要转载请务必附上原文出处链接及本声明,谢谢合作!代理约定的形式,才能够正确走代理获取。

3、通过代理去访问,查看浏览器开发者工具中的Network和console,找到无法访问的地址,并分析引用的位置,写规则替换掉即可。

4、实际测试发现,他们的应用可能还会有https协议(…),而且是伪证书模式,只是开了https协议访问。上述设计模式下,https页面是无法打开的,这里需要兼容https后端才行,因此最后的约定形式简单修改为:如果是 http://myproxy.oa.com/https-192.168.2.101:8080/path,即:如果是https协议,需要在第一段path的IP前面加上https-来区分版权声明:本文遵循 CC 4.0 BY-SA 版权协议,若要转载请务必附上原文出处链接及本声明,谢谢合作!,而http协议则可加可不加。

基本通过上述几步,就完全搞定了,最终Nginx规则如下:

server {
        listen 80;
        server_name myproxy.oa.com;
        index index.html;
        root /html;
        # 初始化变量
        set $node "";      # 后端主机地址
        set $proxy_url ""; # 后端页面地址
        set $proxy_scheme http; # 后端协议,默认http
        set $proxy_scheme_url ""; # 改造后的代理path,这里会带上协议约定,如 https-
        # 通过正则提取约定协议、后端节点和后端节点url
        if ( $request_uri ~* "^/(https-|)([^/]+)/(.*)$" ) {
            set $proxy_scheme_url "$1";
            set $node "$2";
            set $proxy_url "$3";
        }
        # 当协议变量值是https-的时候,设置代理后端协议为https,此规则就兼容了后端https的情况
        if ( $proxy_scheme_url = "https-" ) {
            set $proxy_scheme https;
        }
        # 不带后端地址直接访问代理IP的时候,定向到/html路径,里面可以放index.html导航页面,方便用户点击访问
        location ~ ^/($|static|favicon.ico) {
            break;
        }
        # 当访问的路径没有命中上述规则,且存在字符串的时候,将会进入到这个location开始反向代理
        location ~ ^/(.+)/ {
            # 使用 subs_filter 模块进行替换(不了解的话,请自行百度这个关键词)
            # ======================== replace Url begin ========================
            # 替换支持所有类型
            subs_filter_types *;
            # 替换html里面的静态资源引用,即 src=、href=等引用形式,另外还考虑到可能存在 / 打头的相对路径或“http://节点”的绝对路径引用形式。
            subs_filter "(href|src)(\s*)=(\s*)('|\")($proxy_scheme://$node|)/" '$1="http://$host/$proxy_scheme_url$node/' igr;
# 替换js里面的一些ajax请求地址:
            subs_filter "url:(\s*)('|\")/([^'\"]*)('|\")" "url: 'http://$host/$proxy_scheme_url$node/$3'" igr;
 
            # 这里替换实际访问发现还有问题的路径(这里主要是用了xmlhttprequest导致上述正则没命中)
            subs_filter "/workerProxy\?ip=" "http://$host/$proxy_scheme_url$node/workerProxy?ip=" igr;
            # you can write replace rule with subs_filter if found more.
            # ======================== replace Url end ===========================
            # 代理到动态后端
            proxy_pass $proxy_scheme://$node/$proxy_url;
            # 关闭gzip,以防替换不了内容(不能解决后端强制了gip压缩的情况...)
            proxy_set_header Accept-Encoding "";
            # 其他proxy参数略.
        }
}

Tips:实际调试过程中,可以给Nginx集成一个echo模块,可以将变量打印出来,方便调试。

最后,在Nginx服务器的/html目录放一个index.html导航页面,用户只需要访问代理地址http://myproxy.oa.com/,就能看到全部的后端节点,点击访问即可,真的不要太爽哦!

0 条回应