最近又接到了一个需求: 场景是部门引进的第三方应用,部署在各个网络区域,从OA办公区域无法直接访问。目前,运营人员都需要登陆Windows跳板机,才能打开这些应用的WEB控制台。既不方便,而且还有一定Windows服务器的维护工作量,于是希望通过运维手段来解决。
拿到这个需求后,我先问了下各个应用的基本情况,得知每个应用的框架基本是一样的,都是通过IP+端口直接访问,页面path也基本一样,没有唯一性。然后拿到了一个应用WEB控制台地址看了下,发现html引用的地址都是相对路径。
乍一想,这用Nginx代理不好弄吧?页面path一样,没法根据 location 来反代到不同的后端,只能通过不同Nginx端口来区分,那就太麻烦了!每次他们新上一个应用,我们就得多加一个新端口来映射,这种的尾大不掉、绵绵不绝事情坚决不干,Say pass。
再一想,我就想到了上次那个正向代理另类应用方案,感觉可以拿过来改改做动态代理。原理也简单:先和用户约定一个访问形式,比如:
Nginx代理地址为myproxy.oa.com,需要代理到IP为 192.168.2.100:8080 的控制器,用户需要访问http://myproxy.oa.com/192.168.2.100:8080/path。
动态代理的原理及实现:
1、Nginx从$request_uri变量中,通过斜杠提取第一段作为要反向代理的对象,即proxy_pass,提取后面的作为需要反代的路径;
2、对于Html、JS、CSS等资源引用则需要通过Nginx的替换模块,将路径替换为上述约定形式,比如:Html里面的href=”/js/jquery.min.js”,需要替换为href=”http://myproxy.oa.com/192.168.2.100:8080/js/juqery.min.js”,即所有资源地址都保证符合代理约定的形式,才能够正确走代理获取。
3、通过代理去访问,查看浏览器开发者工具中的Network和console,找到无法访问的地址,并分析引用的位置,写规则替换掉即可。
4、实际测试发现,他们的应用可能还会有https协议(…),而且是伪证书模式,只是开了https协议访问。上述设计模式下,https页面是无法打开的,这里需要兼容https后端才行,因此最后的约定形式简单修改为:如果是 http://myproxy.oa.com/https-192.168.2.101:8080/path,即:如果是https协议,需要在第一段path的IP前面加上https-来区分,而http协议则可加可不加。
基本通过上述几步,就完全搞定了,最终Nginx规则如下:
server {
listen 80;
server_name myproxy.oa.com;
index index.html;
root /html;
# 初始化变量
set $node ""; # 后端主机地址
set $proxy_url ""; # 后端页面地址
set $proxy_scheme http; # 后端协议,默认http
set $proxy_scheme_url ""; # 改造后的代理path,这里会带上协议约定,如 https-
# 通过正则提取约定协议、后端节点和后端节点url
if ( $request_uri ~* "^/(https-|)([^/]+)/(.*)$" ) {
set $proxy_scheme_url "$1";
set $node "$2";
set $proxy_url "$3";
}
# 当协议变量值是https-的时候,设置代理后端协议为https,此规则就兼容了后端https的情况
if ( $proxy_scheme_url = "https-" ) {
set $proxy_scheme https;
}
# 不带后端地址直接访问代理IP的时候,定向到/html路径,里面可以放index.html导航页面,方便用户点击访问
location ~ ^/($|static|favicon.ico) {
break;
}
# 当访问的路径没有命中上述规则,且存在字符串的时候,将会进入到这个location开始反向代理
location ~ ^/(.+)/ {
# 使用 subs_filter 模块进行替换(不了解的话,请自行百度这个关键词)
# ======================== replace Url begin ========================
# 替换支持所有类型
subs_filter_types *;
# 替换html里面的静态资源引用,即 src=、href=等引用形式,另外还考虑到可能存在 / 打头的相对路径或“http://节点”的绝对路径引用形式。
subs_filter "(href|src)(\s*)=(\s*)('|\")($proxy_scheme://$node|)/" '$1="http://$host/$proxy_scheme_url$node/' igr;
# 替换js里面的一些ajax请求地址:
subs_filter "url:(\s*)('|\")/([^'\"]*)('|\")" "url: 'http://$host/$proxy_scheme_url$node/$3'" igr;
# 这里替换实际访问发现还有问题的路径(这里主要是用了xmlhttprequest导致上述正则没命中)
subs_filter "/workerProxy\?ip=" "http://$host/$proxy_scheme_url$node/workerProxy?ip=" igr;
# you can write replace rule with subs_filter if found more.
# ======================== replace Url end ===========================
# 代理到动态后端
proxy_pass $proxy_scheme://$node/$proxy_url;
# 关闭gzip,以防替换不了内容(不能解决后端强制了gip压缩的情况...)
proxy_set_header Accept-Encoding "";
# 其他proxy参数略.
}
}
Tips:实际调试过程中,可以给Nginx集成一个echo模块,可以将变量打印出来,方便调试。
最后,在Nginx服务器的/html目录放一个index.html导航页面,用户只需要访问代理地址http://myproxy.oa.com/,就能看到全部的后端节点,点击访问即可,真的不要太爽哦!