ReSQL.ru
     
powered by simpleCommunicator - 2.0.38     © 2025 Programmizd 02
Мобильная версия    Контакт    Правила    FAQ    Помощь
Доб. в избранное | Игнор. тему | Прикреп. тему | Пометить прочит. / непрочит. | Фильтр
Форумы / Unix-системы [игнор отключен] [закрыт для гостей] / Поговорим про nginx?
25 сообщений из 55, страница 1 из 3
  1  все
Поговорим про nginx?
    #39464339
Вячеслав Любомудров
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Вячеслав Любомудров
Участник
Вот прочитал комментарий, типамимопроходилтреднечиталэто всё потому, что у апаче убогие конфиги и документация, поэтому и нжинкс набирает обороты: документация людская, конфиги людскиепро апача ничего не скажу, а вот с nginx-ом возникают многие недопонимания (ну таки пришлось и его подкручивать) Например, из наступленных граблей (за неделю знакомства):
    Проксирование SSL траффика (причем используется TRANSPARENT-прокси) на Tomcat -- новый хром (и все, что на его движке построено) -- если идет расшифровка на nginx и на Tomcat пробрасывается на HTTP точку доступа -- ошибка (там приложение такое, что кроме 401, 403 ничего и не видно, причем если 401 еще нормально, юзер не успел авторизоваться, то 403 не знаю на каком основании отдается). Похоже из-за того, что отключили SPDY , других оснований не вижу, более старые версии работают Проксирование SSL траффика (уже не расшифровыванного, на HTTPS) при настройке KEEPALIVE в UPSTREAM -- приложение (иногда!!!) получает какой-то левый клиентский адрес (а в приложении проверка на него) ERROR_PAGE, будучи объявленным на уровне SERVER, через IF корректно отрабатывает только на уровне LOCATION, если IF будет внутри SERVER -- отдается нативная страница ошибка
В принципе, вот конфиги -- если кто покритикует, буду признателенnginx.conf
Код: plaintext
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
21.
22.
23.
24.
25.
26.
27.
28.
29.
30.
31.
32.
33.
34.
35.
36.
37.
38.
39.
40.
41.
42.
43.
44.
45.
46.
47.
48.
49.
50.
51.
52.
53.
54.
55.
56.
57.
58.
59.
60.
61.
62.
63.
64.
65.
66.
67.
68.
69.
70.
71.
72.
73.
74.
75.
76.
77.
78.
79.
80.
81.
82.
83.
84.
85.
86.
87.
88.
89.

user                    root;
worker_processes        auto;

error_log               /var/log/nginx/error.log warn;
#error_log              /var/log/nginx/error.log debug;
pid                     /var/run/nginx.pid;

events {
    worker_connections  1024;
}


http {
    include             mime.types;
    default_type        application/octet-stream;

    server_tokens       off;
    ignore_invalid_headers      on;
    open_log_file_cache max=1000;

    log_format          main
                        '$remote_addr [$time_iso8601] ($host) "$request" '
                        '$status $body_bytes_sent bytes ($request_time secs) '
                        '"$http_referer" "$http_user_agent" "$upstream_addr"';

    log_format          error_access_format
                        '$remote_addr [$time_iso8601] "$request" '
                        '$status "$http_referer" '
                        '"$http_user_agent" "$request_uri" ($error_access)';

    log_format          deny_log_format
                        '$remote_addr 1;';

    access_log          /var/log/nginx/access.log main;

    ssl_ciphers                 "-ALL:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:DES-CBC3-SHA";
    ssl_protocols               TLSv1 TLSv1.1 TLSv1.2;
    ssl_prefer_server_ciphers   on;
    ssl_session_timeout         10m;


    client_max_body_size        0;
    client_body_buffer_size     128m;

    proxy_send_timeout  150;
    proxy_read_timeout  150;

    proxy_buffer_size   4k;
    proxy_buffers       8192 4k;
    proxy_busy_buffers_size 4m;

    proxy_cache_bypass  $http_cache_control;
    proxy_no_cache      $http_cache_control;

    proxy_http_version  1.1;
#    proxy_set_header   Connection "";
    proxy_set_header    Host $host;
    proxy_set_header    X-Forwarded-Proto $scheme;
    proxy_set_header    X-Real-IP $remote_addr;
    proxy_set_header    X-Forwarded-For $proxy_add_x_forwarded_for;

    keepalive_timeout   120 100;
    keepalive_requests  100;
    reset_timedout_connection on;

    sendfile            on;
    tcp_nodelay         on;
    tcp_nopush          on;

    gzip                on;
    gzip_disable        "msie6";
    gzip_types          text/plain text/csstext/xml text/javascript application/x-javascript application/xml;
    gzip_proxied        expired no-cache no-store private auth;

    include             checks/*.conf;
    include             conf.d/*.conf;
}

stream  {
    open_log_file_cache max=1000;

    log_format          stream
                        '$remote_addr [$time_iso8601] '
                        '$protocol $status $bytes_sent sent $bytes_received recv '
                        '($session_time secs) "$upstream_addr" ';

    include             stream/*.conf;
}
conf.d/morpheus.conf
Код: plaintext
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
21.
22.
23.
24.
25.
26.
27.
28.
29.
30.
31.
32.
33.
34.
35.
36.
37.
38.
39.
40.
41.
42.
43.
44.
45.
46.
47.
48.
49.
50.
51.
52.
53.
54.
55.
56.
57.
58.
59.
60.
61.
62.
63.
64.
65.
66.
67.
68.
upstream morpheus_http  {
    ip_hash;
    server 192.168.213.13:8080;
#    keepalive  4;
}

upstream morpheus_https {
    ip_hash;
    server 192.168.213.13:443;
#    keepalive  4;
}

map     $host:$request_uri $bad_request {
    default                                     0;
    "~*^195\.x\.x\.x:/app3/.*"       0;
    "~*^195\.x\.x\.x:.*"                  1;
}

server  {
    listen              80;
    server_name         morpheus.xxx.ru 195.xxx.xxx.xxx;

    rewrite             ^  https://$host$request_uri  permanent;
}

limit_conn_zone         $binary_remote_addr zone=limit_conn_morpheus:5m;
limit_req_zone          $binary_remote_addr zone=limit_req_morpheus:10m rate=20r/s;

proxy_cache_path        /var/cache/nginx/morpheus levels=1:2 use_temp_path=off keys_zone=morpheus_cache:20m max_size=256m;

server  {
    listen              443 ssl;
    server_name         morpheus.xxx.ru 195.xxx.xxx.xxx;

    include             err_page/*.conf;
    include             checks/log_bad_access;

    limit_conn          limit_conn_morpheus 50;
    limit_req           zone=limit_req_morpheus burst=80;
    limit_conn_log_level error;
    limit_req_log_level  warn;

    access_log          /var/log/nginx/morpheus_access.log main;
    error_log           /var/log/nginx/morpheus_error.log warn;

    ssl_certificate     ssl/morpheus-cert.pem;
    ssl_certificate_key ssl/morpheus-key.pem;
    ssl_dhparam         ssl/dh2048.pem;

    ssl_session_cache   shared:SSL_morpheus:2m;

    proxy_bind          $remote_addr transparent;

    proxy_cache         morpheus_cache;

    location ^~ /app2/        {
        include         checks/ret_bad_access;
        proxy_pass       https://morpheus_https; 
    }

    location /  {
        if ($bad_request)       {
            return      403;
        }
        include         checks/ret_bad_access;
        proxy_pass       http://morpheus_http; 
    }
}
err_page/error_page.conf
Код: plaintext
1.
2.
3.
4.
5.
6.
7.
8.
9.
error_page      502 504 /errors/temp_unavail.html;

error_page      403 /errors/forbidden.html;

location ~ ^/errors/([^/]*\.html)$      {
    alias       err_page/$1;
    allow all;
    internal;
}
checks/check.conf (сперто с http://www.gofuckbiz.com/showthread.php?t=39716 )
Код: plaintext
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
21.
22.
23.
24.
25.
include checks/*.map;

map $bad_ip             $bad_ip_str     {
    "1"                 "Bad IP";
}
map $bad_ua             $bad_ua_str     {
    "1"                 "Bad User Agent";
}
map $bad_location       $bad_location_str       {
    "1"                 "Bad Location";
}
map $bad_referer        $bad_referer_str        {
    "1"                 "Bad Referer";
}
map "$bad_ip:$bad_ua:$bad_location:$bad_referer"        $error_access   {
    "~^1"               $bad_ip_str;
    "~^.:1"             $bad_ua_str;
    "~^.:.:1"           $bad_location_str;
    "~^.:.:.:1"         $bad_referer_str;
}
map $bad_ip:$error_access       $add_bad_ip     {
    default             "1";
    "0:"                "0";
#    "~^1:"             "0";
}
checks/log_bad_access
Код: plaintext
1.
2.
access_log      /var/log/nginx/access_error.log error_access_format if=$error_access;
access_log      checks/bad_ip.list deny_log_format if=$add_bad_ip;
checks/ret_bad_access (пришлось отделить от предыдущего, чтоб встраивать отдельно в LOCATION, иначе отдается нативная страница ошибки)
Код: plaintext
1.
2.
3.
if ($error_access)      {
    return      403;
}
stream/9094.conf
Код: plaintext
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
upstream morpheus_xxx      {
    hash $remote_addr consistent;
    server  192.168.213.13:9094;
}

limit_conn_zone $binary_remote_addr zone=limit_conn_stream_9094:10m;

server      {
    listen          9094;

    limit_conn      limit_conn_stream_9094 20;
    limit_conn_log_level error;

    access_log      /var/log/nginx/stream_9094_access.log stream;
    error_log       /var/log/nginx/stream_9094_error.log warn;

    proxy_bind      $remote_addr transparent;

    proxy_pass      morpheus_xxx;
}
PS. Для Tomcat <Valve className="org.apache.catalina.valves.RemoteIpValve" настроен PPS. TRANSPARENT-прокси выбран именно для того, чтоб по TCP протоколу получать адрес клиента в логе. В принципе, для HTTP/HTTPS пробовался и не транспарентный (чисто через заголовки) -- рояли не играет -- первые две проблемы стреляют PPPS. И самое обидное, что это проявляется только под нагрузкой
...
Рейтинг: 0 / 0
02.06.2017, 10:36
| Ответить | Цитировать | Написать  
Поговорим про nginx?
    #39464761
Фотография Scott Tiger
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Scott Tiger
Участник
nginx хорошая вещь, но выставлять томкат через апач и mod_jk как-то сподручнее и обкатаннее.
...
Рейтинг: 0 / 0
02.06.2017, 15:12
| Ответить | Цитировать | Написать  
Поговорим про nginx?
    #39464777
Вячеслав Любомудров
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Вячеслав Любомудров
Участник
Ну это вы, ребята, разбираетесь
Для меня была команда -- балансировщик нагрузки (планируется несколько UPSTREAM серверов) + возможная (именно возможная, потому как все понимают, что без "пылесоса" от провайдера -- это пшик) от DDoS
...
Рейтинг: 0 / 0
02.06.2017, 15:20
| Ответить | Цитировать | Написать  
Поговорим про nginx?
    #39464887
Фотография bga83
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
bga83
Участник
Вячеслав ЛюбомудровДля меня была команда -- балансировщик нагрузки (планируется несколько UPSTREAM серверов)в качестве балансировщина именно можно и haproxy рассмотреть
...
Рейтинг: 0 / 0
02.06.2017, 17:11
| Ответить | Цитировать | Написать  
Поговорим про nginx?
    #39464927
Понимаю в этом деле
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Понимаю в этом деле
Гость
У nginx есть отличный список рассылки, на русском, в котором отвечают гораздо более понимающие люди
http://mailman.nginx.org/mailman/listinfo/nginx-ru
...
Рейтинг: 0 / 0
02.06.2017, 17:57
| Ответить | Цитировать | Написать  
Поговорим про nginx?
    #39464940
Андрей Панфилов
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Андрей Панфилов
Участник
Вячеслав ЛюбомудровВот прочитал комментарий, типамимопроходилтреднечиталэто всё потому, что у апаче убогие конфиги и документация, поэтому и нжинкс набирает обороты: документация людская, конфиги людскиепро апача ничего не скажу, а вот с nginx-ом возникают многие недопонимания

"нормальные" sticky sessions (или session persistence) есть только в nginx plus, который за бабки, а в том же httpd оно из коробки, так что выбор бесплатного nginx в качестве reverse proxy довольно сомнителен.

Scott Tigernginx хорошая вещь, но выставлять томкат через апач и mod_jk как-то сподручнее и обкатаннее.
вроде как mod_proxy_ajp попроще будет, а возможности те же самые, да и вообще ajp вебсокеты не поддерживает, что огорчает.
...
Рейтинг: 0 / 0
02.06.2017, 18:11
| Ответить | Цитировать | Написать  
Поговорим про nginx?
    #39464942
Фотография bga83
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
bga83
Участник
Андрей Панфилов"нормальные" sticky sessions (или session persistence) есть только в nginx plus, который за бабки, а в том же httpd оно из коробки, так что выбор бесплатного nginx в качестве reverse proxy довольно сомнителен.ip_hash для обеспечения sticky sessions в преобладающем числе случеав вполне достаточно , и платная версия не требуется для этого
...
Рейтинг: 0 / 0
02.06.2017, 18:15
| Ответить | Цитировать | Написать  
Поговорим про nginx?
    #39464945
Андрей Панфилов
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Андрей Панфилов
Участник
bga83ip_hash для обеспечения sticky sessions в преобладающем числе случеав вполне достаточно , и платная версия не требуется для этогоособенно в восторге от этой достаточности удаленные сотрудники, ходящие через vpn
...
Рейтинг: 0 / 0
02.06.2017, 18:20
| Ответить | Цитировать | Написать  
Поговорим про nginx?
    #39464971
Фотография bga83
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
bga83
Участник
Андрей Панфиловbga83ip_hash для обеспечения sticky sessions в преобладающем числе случеав вполне достаточно , и платная версия не требуется для этогоособенно в восторге от этой достаточности удаленные сотрудники, ходящие через vpnа в чем проблема с доступом через VPN?
...
Рейтинг: 0 / 0
02.06.2017, 19:16
| Ответить | Цитировать | Написать  
Поговорим про nginx?
    #39465091
неТолик1
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
неТолик1
Гость
Вячеслав ЛюбомудровPPPS. И самое обидное, что это проявляется только под нагрузкой

Возможно проблема чуть ниже уровня http

Приведите вывод
Код: coco
1.
sysctl -a | grep net.
...
Рейтинг: 0 / 0
03.06.2017, 09:27
| Ответить | Цитировать | Написать  
Поговорим про nginx?
    #39465099
Вячеслав Любомудров
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Вячеслав Любомудров
Участник
Весь?
Или только измененные параметры?
И с какой машинки, с nginx-ом или с Tomcat-ом?
Вот недефолтовые на nginx-е
Код: plaintext
1.
2.
3.
4.
5.
[root@nginx-1 ~]# egrep -v '^(#|$)' /etc/sysctl.conf
net.ipv6.conf.all.disable_ipv6 = 1
net.ipv6.conf.default.disable_ipv6 = 1
net.ipv4.tcp_keepalive_time = 1200
net.ipv4.ip_forward = 1
...
Рейтинг: 0 / 0
03.06.2017, 10:15
| Ответить | Цитировать | Написать  
Поговорим про nginx?
    #39465100
Вячеслав Любомудров
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Вячеслав Любомудров
Участник
Андрей Панфилов"нормальные" sticky sessions (или session persistence) есть только в nginx plus, который за бабки, а в том же httpd оно из коробки, так что выбор бесплатного nginx в качестве reverse proxy довольно сомнителен.Пока UPSTREAM-сервер только один, так что это неактуально
Да и как уже сказали, ip_hash вполне нормальный вариант

Андрей ПанфиловScott Tigernginx хорошая вещь, но выставлять томкат через апач и mod_jk как-то сподручнее и обкатаннее.
вроде как mod_proxy_ajp попроще будет, а возможности те же самые, да и вообще ajp вебсокеты не поддерживает, что огорчает.Странно, что в большинстве своем в интернетах упоминается, что именно апач прячется за nginx

И еще немаловажная вещь -- для чистого TCP траффика необходимо определять IP-адрес клиента за reverse proxy. Тут заголовками, как в HTTP, не отделаешься
Nginx умеет биндить сокеты от имени клиентских адресов на своей машинке и с них уже связываться с UPSTREAM. Т.е. для Tomcat в этом случае nginx полностью прозрачен (TRANSPARENT reverse proxy). Умеет ли такое Apache "из коробки" -- не знаю

Ну и в планах конторский Web-сервер на Apache надо будет спрятать все за тот же nginx
...
Рейтинг: 0 / 0
03.06.2017, 10:29
| Ответить | Цитировать | Написать  
Поговорим про nginx?
    #39465101
Вячеслав Любомудров
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Вячеслав Любомудров
Участник
Понимаю в этом делеУ nginx есть отличный список рассылки, на русском, в котором отвечают гораздо более понимающие люди
http://mailman.nginx.org/mailman/listinfo/nginx-ru Да, спасибо
Надо будет попробовать пообщаться
...
Рейтинг: 0 / 0
03.06.2017, 10:31
| Ответить | Цитировать | Написать  
Поговорим про nginx?
    #39465109
Basil A. Sidorov
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Basil A. Sidorov
Участник
Вячеслав ЛюбомудровСтранно, что в большинстве своем в интернетах упоминается, что именно апач прячется за nginx
...
Ну и в планах конторский Web-сервер на Apache надо будет спрятать все за тот же nginxИ как всё это мешает разместить котяру за индейцем прямщас???
...
Рейтинг: 0 / 0
03.06.2017, 11:02
| Ответить | Цитировать | Написать  
Поговорим про nginx?
    #39465112
Андрей Панфилов
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Андрей Панфилов
Участник
bga83а в чем проблема с доступом через VPN?В том что это самый тривиальный случай, когда у клиента за время сессии меняется ip-адрес, а есть еще пользаки, сидящие одновременно и по wifi и по проводу, а еще бывают случаи когда нужно переконфигурировать количество бэкендов - и во всех этих случаях использование ip_hash приводит к тому, что пользаков перекидывает на другой бэкенд, да, можно заморочиться с репликацией сессий или общим сторажем, но зачем? только ради того чтобы использовать nginx?
...
Рейтинг: 0 / 0
03.06.2017, 11:11
| Ответить | Цитировать | Написать  
Поговорим про nginx?
    #39465116
Вячеслав Любомудров
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Вячеслав Любомудров
Участник
Basil A. SidorovВячеслав ЛюбомудровСтранно, что в большинстве своем в интернетах упоминается, что именно апач прячется за nginx
...
Ну и в планах конторский Web-сервер на Apache надо будет спрятать все за тот же nginxИ как всё это мешает разместить котяру за индейцем прямщас???Не очень понятно, зачем
Ну и опять же вопрос с определением адреса клиента в чистом TCP траффике
...
Рейтинг: 0 / 0
03.06.2017, 11:22
| Ответить | Цитировать | Написать  
Поговорим про nginx?
    #39465117
Вячеслав Любомудров
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Вячеслав Любомудров
Участник
Андрей Панфиловbga83а в чем проблема с доступом через VPN?В том что это самый тривиальный случай, когда у клиента за время сессии меняется ip-адрес, а есть еще пользаки, сидящие одновременно и по wifi и по проводу, а еще бывают случаи когда нужно переконфигурировать количество бэкендов - и во всех этих случаях использование ip_hash приводит к тому, что пользаков перекидывает на другой бэкенд, да, можно заморочиться с репликацией сессий или общим сторажем, но зачем? только ради того чтобы использовать nginx?Странный какой-то VPN, меняющий адрес клиенту в течении сессии и таки надеюсь, это не каждую минуту происходит?

Ну и переконфигурация бэкендов тоже вещи не частая, тем более указав выбывшему DOWN (а не просто удалив его из конфигурации) вроде как перераспределятся сессии только данного узла, а на всех остальных останутся на месте
...
Рейтинг: 0 / 0
03.06.2017, 11:25
| Ответить | Цитировать | Написать  
Поговорим про nginx?
    #39465118
Андрей Панфилов
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Андрей Панфилов
Участник
Вячеслав ЛюбомудровСтранный какой-то VPN, меняющий адрес клиенту в течении сессии и таки надеюсь, это не каждую минуту происходит?Сессия - она http, а vpn у пользователя - пользователь постоянно держат подключение не обязан: отключился, подключился обратно - адрес уже другой.
...
Рейтинг: 0 / 0
03.06.2017, 11:37
| Ответить | Цитировать | Написать  
Поговорим про nginx?
    #39465122
Вячеслав Любомудров
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Вячеслав Любомудров
Участник
А, ну так пожалуйста, переподключился -- переавторизовался в приложении Tomcat-а
Там работа с деньгами, поэтому авторизация все равно необходима

И вообще, вопрос не столько в том, стоит или не стоит юзать nginx (хотя, конечно, мнения послушать интересно).

Тут больше вопрос, сталкивался ли кто-нибудь с озвученными проблемами. А то мож это я накосячил с настройками
...
Рейтинг: 0 / 0
03.06.2017, 11:47
| Ответить | Цитировать | Написать  
Поговорим про nginx?
    #39465124
Basil A. Sidorov
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Basil A. Sidorov
Участник
Вячеслав ЛюбомудровНу и опять же вопрос с определением адреса клиента в чистом TCP траффикеКаким боком в API сервлет-контейнера появляется "адрес клиента в чистом TCP траффике"?
Результат вызова getRemoteAddr не зависит от использования кошерного реверс-прокси.

P.S. С моей кочки зрения нет ничего проще, чем использование связки mod_proxy , mod_proxy_ajp и mod_proxy_balancer .
Можно и mod_jk - он один за троих справляется.
Уж всяко проще, чем объяснять nginx-у, какие заголовки ему надо дописать, чтобы всё работало.
...
Рейтинг: 0 / 0
03.06.2017, 12:20
| Ответить | Цитировать | Написать  
Поговорим про nginx?
    #39465136
Андрей Панфилов
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Андрей Панфилов
Участник
Basil A. SidorovКаким боком в API сервлет-контейнера появляется "адрес клиента в чистом TCP траффике"?
Результат вызова getRemoteAddr
в линуксах есть возможность создавать сокеты с опцией IP_TRANSPARENT:
ip(7) Setting this boolean option enables transparent proxying on
this socket. This socket option allows the calling
application to bind to a nonlocal IP address and operate both
as a client and a server with the foreign address as the local
endpoint. NOTE: this requires that routing be set up in a way
that packets going to the foreign address are routed through
the TProxy box (i.e., the system hosting the application that
employs the IP_TRANSPARENT socket option). Enabling this
socket option requires superuser privileges (the CAP_NET_ADMIN
capability).
,используя divert-сокеты можно пакеты из iptables поднимать в userspace,
ну а если на бэкендах как default gw указать reverse-proxy, то можно ответы эт бэкенда разбирать и отправлять обратно клиенту.

Собственно сама конфигурация выглядит довольно замороченной (reverse-proxy от рута работает, шлет в сеть "кривые" пакеты, да еще и на бэкендах роутинг кривой), так что:
Basil A. SidorovС моей кочки зрения нет ничего проще, чем использование связки mod_proxy, mod_proxy_ajp и mod_proxy_balancer.
Можно и mod_jk - он один за троих справляется.
Уж всяко проще, чем объяснять nginx-у, какие заголовки ему надо дописать, чтобы всё работало
выглядит более чем разумно (в документации точно также рекомендуют оставаться на уровне http если это возможно, а если не повезло, то отлаживаться при помощи tcpdump )
...
Рейтинг: 0 / 0
03.06.2017, 13:02
| Ответить | Цитировать | Написать  
Поговорим про nginx?
    #39465183
Вячеслав Любомудров
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Вячеслав Любомудров
Участник
Андрей ПанфиловСобственно сама конфигурация выглядит довольно замороченной (reverse-proxy от рута работает, шлет в сеть "кривые" пакеты, да еще и на бэкендах роутинг кривой), так что:
Basil A. SidorovС моей кочки зрения нет ничего проще, чем использование связки mod_proxy, mod_proxy_ajp и mod_proxy_balancer.
Можно и mod_jk - он один за троих справляется.
Уж всяко проще, чем объяснять nginx-у, какие заголовки ему надо дописать, чтобы всё работало
выглядит более чем разумно (в документации точно также рекомендуют оставаться на уровне http если это возможно, а если не повезло, то отлаживаться при помощи tcpdump )Еще раз -- в чистом TCP траффике нет никаких заголовков (типа Host:, X-Forwarded-For: и т.п.) это не HTTP
Адрес определяется только по адресу IP пакета

Поэтому да, биндится сокет на адрес клиента, а на стороне томката настраивается правило, что для всех пакетов пришедших с определенного интерфейса, дефолтовым шлюзом является NGINX через этот же интерфейс

С iproute2 все решается просто и элегантно: rule add, route add
Со стороны NGINX через iptables пакеты маркируются и обрабатываются именно NGINX-ом
...
Рейтинг: 0 / 0
03.06.2017, 14:52
| Ответить | Цитировать | Написать  
Поговорим про nginx?
    #39465332
Basil A. Sidorov
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Basil A. Sidorov
Участник
Вячеслав ЛюбомудровЕще раз -- в чистом TCP траффике нет никаких заголовковА, б-муха, не знал.

P.S. Как уже задолбали любители извратов на ровном месте ...
...
Рейтинг: 0 / 0
03.06.2017, 21:19
| Ответить | Цитировать | Написать  
Поговорим про nginx?
    #39465397
netwind
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
netwind
Участник
Basil A. Sidorov
P.S. С моей кочки зрения нет ничего проще, чем использование связки
Уж всяко проще, чем объяснять nginx-у, какие заголовки ему надо дописать, чтобы всё работало.

Так попробуйте включать в nginx debug log. Или даже директиву debug_connection, если действие происходит на живых нагруженных серверах.
Обычно снимаются все вопросы и не нужно писать ни в какие списки рассылки.
...
Рейтинг: 0 / 0
04.06.2017, 03:41
| Ответить | Цитировать | Написать  
Поговорим про nginx?
    #39465400
Вячеслав Любомудров
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Вячеслав Любомудров
Участник
Basil A. SidorovВячеслав ЛюбомудровЕще раз -- в чистом TCP траффике нет никаких заголовковА, б-муха, не знал.

P.S. Как уже задолбали любители извратов на ровном месте ...Можешь предложить вариант без извратов?
...
Рейтинг: 0 / 0
04.06.2017, 04:09
| Ответить | Цитировать | Написать  
25 сообщений из 55, страница 1 из 3
  1  все
Форумы / Unix-системы [игнор отключен] [закрыт для гостей] / Поговорим про nginx?
Целевая тема:
Создать новую тему:
Автор:
Закрыть
Цитировать
Найденые пользователи ...
Разблокировать пользователей ...
Читали тему (0):
Читали форум (0):
Пользователи онлайн (0):
Польз. соглашение
NoSQL.ru             Фотоальбом: Участники, Встречи
Закрыть
start [/forum/topic.php?fid=25&msg=39464761&tid=1481537]:
 0ms
get settings:
 12ms
get forum list:
 14ms
check forum access:
 4ms
check topic access:
 4ms
track hit:
 32ms
get topic data:
 12ms
get forum data:
 3ms
get page messages:
 60ms
get tp. blocked users:
 2ms
others: 269ms
total:  412ms
созд. / загр.: 412ms
x
x
Закрыть


Просмотр
0 / 0
Close
Debug Console [Select Text]