V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Distributions
Ubuntu
Fedora
CentOS
中文资源站
网易开源镜像站
krisbai
V2EX  ›  Linux

域名解析到 Nginx,再通过 Nginx 代理到 slb

  •  
  •   krisbai · 2017-11-27 23:47:20 +08:00 · 4003 次点击
    这是一个创建于 2313 天前的主题,其中的信息可能已经有所发展或是发生改变。
    域名解析到 Nginx,再通过 Nginx 代理到 slb,目前证书在 SLB 配置的。请问下如果通过 https 访问的话,Nginx 还需要配置证书吗?
    11 条回复    2017-12-04 17:23:12 +08:00
    broadliyn
        1
    broadliyn  
       2017-11-28 00:32:49 +08:00   ❤️ 1
    你的 SLB 是内网的还是公网的?
    一般都是把 SSL 证书丢到最外层的,
    最外层如果是公网 SLB,那直接证书挂上去就可以了。
    如果最外层是 NGINX,那就挂 nginx 上。

    不过 SLB 对 https 性能调优不太友好,如果想自己优化性能,可以自己做 HTTPS nginx 配置优化。不过应用规模不大的话,SLB 的 SSL 性能已经够用了。
    wekw
        2
    wekw  
       2017-11-28 01:04:57 +08:00   ❤️ 1
    在最外层配置 HTTPS,后面都用 http,这样最好
    likuku
        3
    likuku  
       2017-11-28 03:37:50 +08:00   ❤️ 1
    也可以最外层用 HAproxy,v1.5 开始它也可以直接绑 SSL 证书,提供 HTTPS,向后端继续打 http

    你要非要 nginx 到 slb,那么 看看 nginx 是否支持 裸 tcp 转发形式( HAproxy v1.5 之前想要走 https 唯有这样) 直接把 https 请求转给后段 https 的 slb
    zlfzy
        4
    zlfzy  
       2017-11-28 06:19:32 +08:00 via iPhone   ❤️ 1
    nginx 支持 tcp 负载均衡
    opengps
        5
    opengps  
       2017-11-28 08:16:44 +08:00
    没看懂为什么要多一层 NGINX
    tinyhill
        6
    tinyhill  
       2017-11-28 09:26:29 +08:00   ❤️ 1
    一般都是 slb 直接到机器吧?不需要统一接入,没必要有一层 nginx。
    krisbai
        7
    krisbai  
    OP
       2017-11-28 09:46:21 +08:00
    @opengps 因为这个 nginx 是第三方的,平时不用,作为备用来防止 DDOS
    gstqc
        8
    gstqc  
       2017-11-28 10:07:23 +08:00   ❤️ 1
    1. nginx + stream,不需要证书和私钥
    2. nginx + stream + sni proxy,不需要证书和私钥
    3. nginx + http proxy,需要证书和私钥
    4. nginx + http Proxy + keyless,需要证书不需要私钥

    就防 DDoS 来说,效果最好是第 3 种,对请求、连接的卸载比较好
    1, 2 两种,其实和 NAT 的技术差不多,两边的连接是对称的
    4 需要修改 OpenSSL,如果是第三方防 DDoS 的,得他们来支持,可能你的 key server 是瓶颈
    blueorange
        9
    blueorange  
       2017-11-28 14:48:29 +08:00
    按道理来说应该是域名解析到哪里哪里就配 https 证书
    yingfengi
        10
    yingfengi  
       2017-12-03 16:30:50 +08:00 via Android
    @wekw ssl 卸载,很多业务系统这样子,外网去访问是 https 的,他们自己内网前端设备解密了交给后面的服务器。
    ytlm
        11
    ytlm  
       2017-12-04 17:23:12 +08:00
    ngx_stream_core_module,或许有用
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   我们的愿景   ·   实用小工具   ·   2786 人在线   最高记录 6543   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 28ms · UTC 15:04 · PVG 23:04 · LAX 08:04 · JFK 11:04
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.