kn007的个人博客
♥ You are here: Home > > > 利用Nginx实现Varnish支持SSL访问

利用Nginx实现Varnish支持SSL访问

by | 10 Comments

nginx_varnish
之前博客其实是以Varnish=>Nginx=>PHP(FPM-FCGI)来访问的,但Varnish不支持SSL,也就是说无法使用https。好蛋疼。。。

所以耍点小聪明,以Nginx(443)=>Varnish(80)=>Nginx=>PHP(FPM-FCGI)来访问到博客。也就是说https走Nginx,反代回Varnish,Varnish反代后端Nginx反代PHP。

画了张简单的示意图:
varnish_using_ssl_with_nginx
如上,就很好解决了这个问题,虽说目前Nginx只支持h2、http/1.1,但算是够用了。什么时候也能同时支持h2、h2-15、h2-14、spdy/3.1、spdy/3、http/1.1就爽了,当然,这只是YY一下。

言归正传,编译Nginx相信大家都会了,使用 --with-http_v2_module 便可使用上http2。

在原有的Varnish+Nginx架构中,给Nginx添上规则:

server {
        listen 443 ssl http2;
        server_name kn007.net;
        keepalive_timeout 75s;
        include kn007_net_security.conf;

        location / {
            proxy_pass http://127.0.0.1:80;
            proxy_set_header X-Real-IP  $remote_addr;
            proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
            proxy_set_header Host $host;
            proxy_set_header X-SSL on;
            proxy_hide_header Vary;
            proxy_redirect off;
        }
}

这样https就被Nginx监听了,并且对处于http(80端口)的Varnish进行反代。其中kn007_net_security.conf里是诸如ssl_certificate一类ssl信息的配置,请大家自行替换为所需。

给Varnish添上规则:

sub vcl_recv {

	...

    if (req.http.X-SSL == "on") {
      set req.http.X-Forwarded-Proto = "https";
      set req.http.X-Forwarded-Port = "443";
    }

	...

}

这样就达到http访问Varnish,https访问Nginx。当然如果你想设定,http走Varnish时,跳转到Nginx的https,只要将上面Varnish配置,略微修改一下,大概如下:

sub vcl_recv {

	...

    if ( req.http.X-Forwarded-Proto !~ "(?i)https" && !req.http.X-SSL){
      set req.http.x-redir = "https://" + req.http.host + req.url;
      return(synth(700, ""));
    }

    if (req.http.X-SSL == "on") {
      set req.http.X-Forwarded-Proto = "https";
      set req.http.X-Forwarded-Port = "443";
    }

	...

}

	...

sub vcl_synth {

	...

    if (resp.status == 700) {
      set resp.status = 301;
      set resp.http.Location = req.http.x-redir;
      return (deliver);
    }

	...

}

现在Varnish对普通访客访问80端口的行为,跳转到443,对Nginx(443端口)的访问进行放行。

如果你也是使用Wordpress,那么可能需要替换下数据库的地址:

UPDATE wp_options SET option_value = replace( option_value, 'http://kn007.net', 'https://kn007.net' ) WHERE option_name = 'home' OR option_name = 'siteurl' ;
UPDATE wp_posts SET post_content = replace( post_content, 'http://kn007.net', 'https://kn007.net' ) ;
UPDATE wp_posts SET guid = replace( guid, 'http://kn007.net', 'https://kn007.net' ) ;
UPDATE wp_posts SET pinged = replace( pinged, 'http://kn007.net', 'https://kn007.net' ) ;
UPDATE wp_postmeta SET meta_value = replace(meta_value, 'http://kn007.net', 'https://kn007.net') ;
UPDATE wp_comments SET comment_content = replace(comment_content, 'http://kn007.net', 'https://kn007.net') ;
UPDATE wp_comments SET comment_author_url = replace(comment_author_url, 'http://kn007.net', 'https://kn007.net') ;

除了修改站点地址等,还应在wp-config.php添加:

if ($_SERVER['HTTP_X_SSL'] == 'on') $_SERVER['HTTPS']='on';

以上为大概的规则,请按照实际情况修改。

另外对于许多人说的为什么要使用https的疑问,除了网上搜得到的原因之外。最大的原因是我喜欢跟着趋势随波逐浪,就如我博客抬头所说的:人生是一种无法抗拒的前进。

毕竟Google都扁平化了,Baidu也https了,我跟在巨人的后面,应该也不算丢人吧。

还有扁平化了,自然会自适应,这并不冲突。。。

最后要说的是,其实百度收录对https并不完全支持,也不友好。
{"message":"HTTPS protocol is not supported.","siteurl":"https:\/\/kn007.net\/","status":2007}对这个有要求的,还是要再三考虑是否使用https。目前收录和索引在下降,我已经看淡了。

转载请注明转自:kn007的个人博客的《利用Nginx实现Varnish支持SSL访问

donate
有所帮助?

Comments

10 Comments立即评论
Loading...
  1. 沙发, :twisted: 又是一篇技术文,收藏先,以后用得着!百度收录什么的,从来不在乎它,放在以前可能还会在意一下

    1. MOD回复

      @World: 做了下小白鼠,实验了下。确实百度就是个渣,居然不收录。以前的收录能留下多少就不知道了,懒得想了。

  2. 你nginx1.9,mysql5.6,要不要那么浪

    1. MOD回复

      @尽欢: 就是这么浪,php是5.6.14。Varnish是4.0.3。。

  3. 这篇很不错,我得收藏,之后会用到

    1. MOD回复

      @张衡Henry: :cool: 好的

  4. LV1回复

    关于https,我在等待谷歌浏览器的小叉叉开始强制报警的时候,我再开始启用 :mrgreen:

    1. MOD回复

      @ian: 小叉叉? :o 哪里? :???:
      我是有野卡就用上了。。。前几天可以免费申请野卡啊,AlphaSSL的。你需要么?我可以找找那个地址。

    2. LV1回复

      @kn007: 我在hostloc上面看到的,申请一直pending,没有成功额。谷歌浏览器据说要以后强制使用https,不使用https的会报警告说这个网站不安全。

    3. MOD回复

      @ian: 哦,你找下80,他的应该可以。
      https://my.80host.com/cart.php?a=add&pid=188

icon_wink.gificon_neutral.gificon_mad.gificon_twisted.gificon_smile.gificon_eek.gificon_sad.gificon_rolleyes.gificon_razz.gificon_redface.gificon_surprised.gificon_mrgreen.gificon_lol.gificon_idea.gificon_biggrin.gificon_evil.gificon_cry.gificon_cool.gificon_arrow.gificon_confused.gificon_question.gificon_exclaim.gif