线上的一个海外充值接口(https)经常因我朝网络问题中断,想借助hk的机器做个https反向代理又没证书。
一开始
一开始想到的办法是借助NGINX的tcp转发进行代理:
编译NGINX时加入 --with-stream选项,
upstream backend { ??server xxxxxx.com:443 ;}server { ???listen 443; ???proxy_pass backend; ???proxy_connect_timeout 15s; ???proxy_timeout 15s; ???proxy_next_upstream_timeout 15s; ??error_log /data/logs/tcp_xxxxxx.com.log info;}服务器通过绑定host,将https://xxxxxx.com的访问请求到中转机再反向到实际的海外服务器确实也ok
不过这里也将面临一个问题:443端口只能被https://xxxxxx.com占用,无法给其他域名的代理提供作用
后来
如果我想https://xxxxxx.com和https://yyyyyy.com都借助这台机器代理呢?NGINX的stream_ssl_preread_module可以解决这个问题
NGINX(1.11+),编译时加入:--with-stream 和 --with-stream_ssl_preread_module 两个选项,
然后配置:
map $ssl_preread_server_name $backend_pool { ???xxxxxx.com ???xxx; ???yyyyyy.com ???yyy;}upstream xxx{ ???server xxxxxx.com :443;}upstream yyy{ ???server yyyyyy.com:443;}server { ???listen 443; ???ssl_preread on; ???resolver 8.8.8.8; ???proxy_pass $backend_pool; ???proxy_connect_timeout 15s; ???proxy_timeout 15s; ???proxy_next_upstream_timeout 15s; ???error_log /data/logs/tcp_xxxxxx-yyyyyy.com.log info;}这样就可以给https://xxxxxx.com 和https://yyyyyy.com两个域名做tcp层的代理了,其他域名如果也绑host过来就会被403掉。
这里其实是利用了NGINX的TCP转发做了SNI 反代,与普通的http/http的区别在于,TCP转发只是四层转发不需要证书:
- SNI 反代:tcp 镜像流复制
- 普通的 https 反向:需要挂证书二次加解密
在很多公司有内外网隔离得情况下,内网研发人员的一些开发工具需要访问https镜像仓库站点时(例如:Gradle Plugin),就可以借助SNI反向实现
参考:http://nginx.org/en/docs/stream/ngx_stream_ssl_preread_module.html