今天,我將演示如何在 OpenResty Edge 中為帶有 SNI 擴充套件的 TLS 連線設定一個反向代理。Edge 伺服器將監聽 4003 埠,根據請求的 SNI 名,將請求代理到 google.com 或 ebay.com。

Embeded image

建立一個 SNI Proxy 型別的應用

首先讓我們進入 OpenResty Edge 的 Admin Web 控制檯。這是我們的控制檯的樣本部署。每個使用者都有自己的本地部署。

Screenshot

我們將建立一個 Stream 型別的應用。

選擇 Stream 應用列表頁。

Screenshot

建立一個新的應用。

Screenshot

可以看到有兩種型別的 Stream 應用: SNI Proxy 和 TCP。

Screenshot

預設選擇的是 SNI Proxy 型別,也就是今天的主題。

Screenshot

TCP 應用在另一個教程中有介紹。

Screenshot

輸入 “www.google.com” 作為域名。

Screenshot

在這個影片中,我們要處理具有不同 SNI 名的請求。因此需要多個域名。

點選這個按鈕,新增第二個域名:www.ebay.com。

Screenshot

Screenshot

建立這個應用。

Screenshot

為這個應用建立上游和頁面規則

轉到上游頁面。

Screenshot

建立一個新的上游。

Screenshot

給這個上游取一個名字,比如,“google”。

Screenshot

這裡我們輸入 google 的主機名。

Screenshot

輸入埠號 443。

Screenshot

點選儲存這個上游。

Screenshot

現在來建立第二個上游。

Screenshot

將這個上游命名為 “eBay”。

Screenshot

這裡輸入 eBay 的主機名。

Screenshot

輸入埠號 443。

Screenshot

點選儲存此上游。

Screenshot

可以看到這兩個上游,“google” 和 “eBay” 已經出現在上游列表頁。

Screenshot

現在建立頁面規則來使用這些上游。

Screenshot

建立第一個頁面規則。

Screenshot

對於這個頁面規則,我們需要指定一個條件。

Screenshot

可以在這裡選擇條件的變數名。

Screenshot

我們將根據請求的 SNI 名選擇代理的上游,所以變數名應該是 SNI 伺服器名。

搜尋 SNI。

Screenshot

選擇 SNI 伺服器名。

Screenshot

運算子這裡保持預設選擇 String= 不要變。

Screenshot

值的型別應該是 String。

Screenshot

輸入 “www.google.com” 作為值。

Screenshot

新增一個代理目標。

Screenshot

選擇我們剛剛建立的第一個上游。

Screenshot

Screenshot

這裡有幾個均衡策略可供選擇。

Screenshot

由於我們的上游只有一個伺服器。所以選擇甚麼均衡策略並不重要。

Screenshot

保持預設的輪詢策略就好。

Screenshot

因為要透過公共網路訪問這個上游。所以我們在這裡將所有的超時時間設定為 60 秒。

Screenshot

建立這個頁面規則。

Screenshot

現在來建立另一個頁面規則。

Screenshot

為這個規則也指定一個條件。

Screenshot

條件的變數名仍然是 SNI 伺服器名。

Screenshot

Screenshot

Screenshot

輸入 “www.ebay.com” 作為值。

Screenshot

新增一個代理目標。

Screenshot

選擇我們剛剛建立的第二個上游。

Screenshot

Screenshot

將所有超時時間改為 60 秒。

Screenshot

建立這個頁面規則。

Screenshot

可以看到代理頁面規則已經出現在頁面規則列表頁。

Screenshot

最後一步是做一個新配置的釋出。把我們剛才的改動推送到所有的閘道器伺服器上。

Screenshot

點選這個按鈕做一個新的釋出。

Screenshot

釋出。

Screenshot

改動現在已經同步到所有的閘道器伺服器上了。可以看到,這個樣本部署在閘道器網路中有 14 臺伺服器。

Screenshot

我們在整個網路中進行增量的配置同步。

Embeded video

Embeded video

Embeded video

我們在請求粒度上實時更新配置。應用級別的配置更改都不需要伺服器過載、重啟或二進位制升級。所以,即使你有很多不同的使用者進行頻繁的釋出,它的可擴充套件性也很強。

Embeded image

如圖所示,我們將使用 4003 作為監聽埠。先把這個埠新增到該應用的分割槽中。

Embeded image

跳轉到閘道器分割槽頁面。

Screenshot

開啟閘道器分割槽頁面。我們現在是在分割槽列表頁。可以看到已經有很多分割槽存在。

Screenshot

我們將在分割槽 “default” 中新增一個 SNI Proxy 型別的埠。

Screenshot

點選這個按鈕。

Screenshot

來新增埠。

Screenshot

可以看到列表頂部出現了新的一行。

Screenshot

輸入 4003 作為埠號。

Screenshot

型別選擇 SNI Proxy。

Screenshot

點選儲存。

Screenshot

可以看到,新的埠已經成功地被新增到預設分割槽中。

Screenshot

關閉這個面板。

Screenshot

測試 SNI Proxy 型別的應用

現在讓我們轉到閘道器叢集頁面,選擇一個 Edge 伺服器來做測試。

Screenshot

選擇一個位於美國的節點,注意其 IP 地址是以 .84 結尾的。

Screenshot

我們將使用這個伺服器測試剛才新增的頁面規則。

用 SNI 名 www.google.com,傳送一個 curl 請求。

curl -I --resolve www.google.com:4003:3.131.85.84 https://www.google.com:4003

Screenshot

可以看到,伺服器確實是 google。這意味著我們剛剛新增的頁面規則生效了。SNI 名為 “www.google.com” 的請求被代理到了正確的上游。

Screenshot

現在來傳送另一個 SNI 名為 “www.ebay.com” 的 curl 請求。

curl -I --resolve www.ebay.com:4003:3.131.85.84 https://www.ebay.com:4003

Screenshot

可以看到伺服器是 ebay。第二個頁面規則也生效了。

Screenshot

現在用瀏覽器來做測試。首先來看一下機器上的 Host 繫結。

cat /etc/hosts

Screenshot

可以看到 Host 繫結是正確的。

Screenshot

然後用瀏覽器訪問 google。

Screenshot

訪問 eBay。

Screenshot

關於 OpenResty Edge

OpenResty Edge 是一款專為微服務和分散式流量架構設計的全能型閘道器軟體,由我們自主研發。它集流量管理、私有 CDN 構建、API 閘道器、安全防護等功能於一體,幫助您輕鬆構建、管理和保護現代應用程式。OpenResty Edge 擁有業界領先的效能和可擴充套件性,能夠滿足高併發、高負載場景下的苛刻需求。它支援排程 K8s 等容器應用流量,並可管理海量域名,輕鬆滿足大型網站和複雜應用的需求。

如果你喜歡這個教程,請訂閱這個部落格網站和我們的 YouTube 頻道B 站頻道。謝謝!

關於作者

章亦春是開源 OpenResty® 專案創始人兼 OpenResty Inc. 公司 CEO 和創始人。

章亦春(Github ID: agentzh),生於中國江蘇,現定居美國灣區。他是中國早期開源技術和文化的倡導者和領軍人物,曾供職於多家國際知名的高科技企業,如 Cloudflare、雅虎、阿里巴巴, 是 “邊緣計算“、”動態追蹤 “和 “機器程式設計 “的先驅,擁有超過 22 年的程式設計及 16 年的開源經驗。作為擁有超過 4000 萬全球域名使用者的開源專案的領導者。他基於其 OpenResty® 開源專案打造的高科技企業 OpenResty Inc. 位於美國矽谷中心。其主打的兩個產品 OpenResty XRay(利用動態追蹤技術的非侵入式的故障剖析和排除工具)和 OpenResty Edge(最適合微服務和分散式流量的全能型閘道器軟體),廣受全球眾多上市及大型企業青睞。在 OpenResty 以外,章亦春為多個開源專案貢獻了累計超過百萬行程式碼,其中包括,Linux 核心、Nginx、LuaJITGDBSystemTapLLVM、Perl 等,並編寫過 60 多個開源軟體庫。

關注我們

如果您喜歡本文,歡迎關注我們 OpenResty Inc. 公司的部落格網站 。也歡迎掃碼關注我們的微信公眾號:

我們的微信公眾號

翻譯

我們提供了英文版原文和中譯版(本文)。我們也歡迎讀者提供其他語言的翻譯版本,只要是全文翻譯不帶省略,我們都將會考慮採用,非常感謝!