NGINX повернути веб-розетки проксі і включити SSL (wss: //)?

Я настільки втрачена і новачка в створенні NGINX самостійно, але я хочу мати можливість ввімкнути захищені веб-розетки, не маючи додаткового шару.

Я не хочу вмикати SSL на самому сервері веб-сокетів, але замість цього я хочу використовувати NGINX для додання рівня SSL до всього.

Кожна веб-сторінка там говорить, що я не можу цього зробити, але я знаю, що можу! Завдяки тому, хто (я) може мені показати як!

Зауважимо лише, що nginx тепер підтримує Websockets при випуску 1.3.13. Приклад використання:

location /websocket/ {

    proxy_pass ​http://backend_host;
    proxy_http_version 1.1;
    proxy_set_header Upgrade $http_upgrade;
    proxy_set_header Connection "upgrade";
    proxy_read_timeout 86400;

}

Ви також можете перевірити журнал змін nginx та супутню документацію WebSocket .

Не бійтеся, тому що хоробра група програмістів Ops вирішила ситуацію, коли бренд виплескав новий nginx_tcp_proxy_module

Написано в серпні 2012 року, тому якщо ви з майбутнього, ви повинні робити домашні завдання.

Передумови

Припускаємо, що ви використовуєте CentOS:

• Видаліть поточний екземпляр NGINX (запропонуйте використовувати для цього сервер dev)
• Якщо можливо, збережіть старі конфігураційні файли NGINX, щоб ви могли повторно їх використовувати (що включає ваш init.d/nginxсценарій)
• yum install pcre pcre-devel openssl openssl-devel та будь-які інші необхідні для створення NGINX
• Отримайте nginx_tcp_proxy_module від GitHub тут https://github.com/yaoweibin/nginx_tcp_proxy_module і запам’ятайте папку, де ви розмістили її (переконайтеся, що вона не зафіксована)

Створіть свій новий NGINX

Знову припускає CentOS:

• cd /usr/local/
• wget 'http://nginx.org/download/nginx-1.2.1.tar.gz'
• tar -xzvf nginx-1.2.1.tar.gz
• cd nginx-1.2.1/
• patch -p1 < /path/to/nginx_tcp_proxy_module/tcp.patch
• ./configure --add-module=/path/to/nginx_tcp_proxy_module --with-http_ssl_module (ви можете додати більше модулів, якщо вони вам потрібні)
• make
• make install

Необов’язково:

• sudo /sbin/chkconfig nginx on

Налаштування Nginx

Не забудьте скопіювати спочатку свої старі файли конфігурації, якщо ви хочете їх повторно використовувати.

Важливо: вам потрібно буде створити tcp {}директиву на найвищому рівні у вашому конфлікті. Переконайтесь, що він не знаходиться в межах вашої http {}директиви.

Наведений нижче приклад конфігурації показує один сервер веб-розширень верхнього потоку та два проксі для SSL та Non-SSL.

tcp {
    upstream websockets {
        ## webbit websocket server in background
        server 127.0.0.1:5501;
        
        ## server 127.0.0.1:5502; ## add another server if you like!

        check interval=3000 rise=2 fall=5 timeout=1000;
    }   

    server {
        server_name _;
        listen 7070;

        timeout 43200000;
        websocket_connect_timeout 43200000;
        proxy_connect_timeout 43200000;

        so_keepalive on;
        tcp_nodelay on;

        websocket_pass websockets;
        websocket_buffer 1k;
    }

    server {
        server_name _;
        listen 7080;

        ssl on;
        ssl_certificate      /path/to/cert.pem;
        ssl_certificate_key  /path/to/key.key;

        timeout 43200000;
        websocket_connect_timeout 43200000;
        proxy_connect_timeout 43200000;

        so_keepalive on;
        tcp_nodelay on;

        websocket_pass websockets;
        websocket_buffer 1k;
    }
}

Це працювало для мене:

location / {
    # redirect all HTTP traffic to localhost:8080
    proxy_pass http://localhost:8080;
    proxy_set_header X-Real-IP $remote_addr;
    proxy_set_header Host $host;
    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

    # WebSocket support
    proxy_http_version 1.1;
    proxy_set_header Upgrade $http_upgrade;
    proxy_set_header Connection "upgrade";
}

- запозичено з: https://github.com/nicokaiser/nginx-websocket-proxy/blob/df67cd92f71bfcb513b343beaa89cb33ab09fb05/simple-wss.conf

для .net core 2.0 Nginx з SSL

location / {
    # redirect all HTTP traffic to localhost:8080
    proxy_pass http://localhost:8080;
    proxy_set_header X-Real-IP $remote_addr;
    proxy_set_header Host $host;
    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

    # WebSocket support
    proxy_http_version 1.1;
    proxy_set_header Upgrade $http_upgrade;
    proxy_set_header Connection $http_connection;
}

Це працювало для мене

Для мене це дійшло до proxy_passналаштування місцеположення. Мені потрібно було перейти на використання протоколу HTTPS і мати дійсний сертифікат SSL, встановлений на стороні сервера вузлів речей. Таким чином, коли я впроваджую зовнішній сервер вузлів, мені залишається лише змінити IP, і все інше залишається тим самим конфігурацією.

Я сподіваюсь, що це допомагає комусь по дорозі ... Я весь час дивився на проблему ... зітхати ...

map $http_upgrade $connection_upgrade {
    default upgrade;
    ''      close;
}
upstream nodeserver {
        server 127.0.0.1:8080;
}
server {
        listen 443 default_server ssl http2;
        listen [::]:443 default_server ssl http2 ipv6only=on;
        server_name mysite.com;
        ssl_certificate ssl/site.crt;
        ssl_certificate_key ssl/site.key;
        location /websocket { #replace /websocket with the path required by your application
                proxy_pass https://nodeserver;
                proxy_set_header Upgrade $http_upgrade;
                proxy_set_header Connection $connection_upgrade;
                proxy_http_version 1.1;
                proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
                proxy_set_header Host $http_host;
                proxy_intercept_errors on;
                proxy_redirect off;
                proxy_cache_bypass $http_upgrade;
                proxy_set_header X-Real-IP $remote_addr;
                proxy_set_header X-NginX-Proxy true;
                proxy_ssl_session_reuse off;
            }
}

Хороша, лаконічна стаття Панкая Малхотра розповідає про те, як це зробити з NGINX, і доступна тут .

Основна конфігурація NGINX відтворена нижче:

map $http_upgrade $connection_upgrade {
    default upgrade;
    '' close;
}

upstream appserver {
    server 192.168.100.10:9222; # appserver_ip:ws_port
}

server {
    listen 8888; // client_wss_port

    ssl on;
    ssl_certificate /path/to/crt;
    ssl_certificate_key /path/to/key;


    location / {
        proxy_pass http://appserver;
        proxy_http_version 1.1;
        proxy_set_header Upgrade $http_upgrade;
        proxy_set_header Connection $connection_upgrade;
    }
}

Використовуючи nginx / 1.14.0

У мене є сервер websocket, який працює на порт 8097, і користувачі підключаються до wss на порт 8098, nginx просто розшифровує вміст і пересилає його на сервер websocket

Отже, у мене є цей конфігураційний файл (у моєму випадку /etc/nginx/conf.d/default.conf)

server {
    listen   8098;
        ssl on;
        ssl_certificate      /etc/ssl/certs/combined.pem;
        ssl_certificate_key  /root/domain.key;
    location / {

        proxy_pass http://hostname:8097;
        proxy_http_version 1.1;
        proxy_set_header Upgrade $http_upgrade;
        proxy_set_header Connection "upgrade";
        proxy_read_timeout 86400;

    }
}