笔记

1、晨考

1、说明反向代理跟负载均衡有哪些区别?

2、负载均衡分配流量的几种方式?

	1、轮询

	2、权重

	3、ip_hash

3、负载均衡部署BBS的步骤

2、昨日问题

3、今日内容

1、资源分离

2、Nginx的Rewrite重写

3、HTTPS

4、动静分离

1、创建NFS挂载点

mkdir /static

vim /etc/exports

/static      172.16.1.0/20(rw,sync,all_squash,anonuid=666,anongid=666)

systemctl restart nfs-server

chown -R www.www /static/

2、将静态资源放置于挂载点内

mkdir /opt/static/s

[root@web01 static]# cp -r /opt/bbs/static/* /opt/static/s/

3、挂载到lb

yum install nfs-utils -y

mount -t nfs 172.16.1.31:/static /opt/static/

4、测试

5、Rewrite基本概述

Rewrite主要实现url地址重写,以及重定向,就是把传入web的请求重定向到其他url的过程。

5.1、Rewrite基本概述

1.地址跳转,用户访问www.linux.com这个URL是,将其定向至一个新的域名www.baidu.com。

2.协议跳转,用户通过http协议请求网站时,将其重新跳转至https协议方式。

3.伪静态,将动态页面显示为静态页面方式的一种技术,便于搜索引擎的录入,同时建上动态URL地址对外暴露过多的参数,提升更高的安全性。

4.搜索引擎,SEO优化依赖于url路径,好记的url便于搜索引擎录入。

5.2、rewrite语法

Syntax: rewrite regex replacement [flag];

Default:    —

Context:    server, location, if

rewrite         # 模块命令

regex           # 请求的链接(支持正则表达式)

replacement     # 跳转的链接

[flag];         # 标签

location /download/ {

    rewrite ^(/download/.*)/media/(.*)\..*$ $1/mp3/$2.mp3 break;

    rewrite ^(/download/.*)/audio/(.*)\..*$ $1/mp3/$2.ra  break;

    return  403;

}

5.3、Rewrite标记Flag

rewrite指令根据表达式来重定向URL,或者修改字符串,可以应用于server,location,if环境下,每行rewrite指令最后跟一个flag标记,支持的flag标记有如下表格所示:

flag 作用
last 本条规则匹配完成后,停止匹配,不再匹配后面的规则
break 本条规则匹配完成后,停止匹配,不再匹配后面的规则
redirect 返回302临时重定向,地址栏会显示跳转后的地址
permanent 返回301永久重定向,地址栏会显示跳转后的地址
5.3.1、last和break的区别
server {

    server_name _;

    listen 80;

    location ~ ^/break {

        rewrite (.*) /test break;

    }

    location ~ ^/last {

        rewrite (.*) /test last;

    }

    location /test {

        default_type text/html;

        return 200 "test";

    }

}

break请求:

1.请求linux.rewrite.com/break

2.匹配 location ~ ^/break 会跳转到 linux.rewrite.com/test

3.请求跳转后,回去查找本地站点目录下的 /test

4.如果找到了,则返回/code/test/index.html的内容;

5.如果没找到该目录则报错404,如果找到该目录没找到对应的文件则403

last请求:

1.请求linux.rewrite.com/last

2.匹配 location ~ ^/last 会跳转到 linux.rewrite.com/test

3.如果找到了,则返回/code/test/index.html的内容;

4.如果没有找到,会重新对当前server发起请求,这个时候访问地址就变成 linux.rewrite.com/test

5.重新请求server会匹配到 location /test/ 直接返回该location的内容

6.如果也没有location匹配,再返回404;
5.3.2、redirect和permanent的区别
重定向

location /redirect {

	rewrite (.*) http://www.baidu.com redirect;

}

location /permanent {

    rewrite (.*) http://www.baidu.com permanent;

}

redirect: 每次请求都会询问服务器,如果当服务器不可用时,则会跳转失败。

permanent: 第一次请求会询问,浏览器会记录跳转的地址,第二次则不再询问服务器,直接通过浏览器缓存的地址跳转。
5.3.3、案例
在负载均衡中,将小游戏动静分离。

6、HTTPS

为什么需要使用HTTPS,因为HTTP不安全,当我们使用http网站时,会遭到劫持和篡改,如果采用https协议,那么数据在传输过程中是加密的,所以黑客无法窃取或者篡改数据报文信息,同时也避免网站传输时信息泄露。

那么我们在实现https时,需要了解ssl协议,但我们现在使用的更多的是TLS加密协议。

那么TLS是怎么保证明文消息被加密的呢?在OSI七层模型中,应用层是http协议,那么在应用层协议之下,我们的表示层,是ssl协议所发挥作用的一层,他通过(握手、交换秘钥、告警、加密)等方式,是应用层http协议没有感知的情况下做到了数据的安全加密

6.1、模拟网站劫持

6.1.1、正常的页面
[root@web01 ~]# vim /code/index.html

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">

<html xmlns="http://www.w3.org/1999/xhtml">

<head>

<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />

<title>学生信息注册页面</title>

</head>

<body>

<h3 align="center">学生信息注册</h3>

<form  name="stu"action="">

<table>

  <tr><td>姓名:</td><td><input type="text"name="stuName"/></td></tr>

  <tr><td>性别:</td>

      <td><input type="radio"name="stuSex"checked="checked">男

          <input type="radio"name="stuSex">女

          </td>

          </tr>

   <tr><td>出生日期</td>

       <td><input type="text"name="stuBirthday"></td>

       <td>按格式yyyy-mm-dd</td>

       </tr>

       <tr><td>学校:</td><td><input type="text"name="stuSchool"></td></tr>

       <tr><td>专业:</td>

           <td><select name="stuSelect2">

               <option selected>计算机科学与技术</option>

               <option>网络工程</option>

               <option>物联网工程</option>

               <option>应用数学</option>

               </select>

               </td>

               </tr>

               <tr><td>体育特长:</td>

                   <td colspan="2">

                      <input type="checkbox"name="stuCheck" >篮球

                      <input type="checkbox"name="stuCheck" >足球

                      <input type="checkbox"name="stuCheck" >排球

                      <input type="checkbox"name="stuCheck" >游泳

                   </td>

               </tr>

               <tr><td>上传照片:</td><td colspan="2"><input type="file" ></td></tr>

               <tr><td>密码:</td><td><input type="password"name="stuPwd" ></td></tr>

               <tr><td>个人介绍:</td>

                   <td colspan="2"><textarea name="Letter"rows="4"cols="40"></textarea></td>

               </tr>

               <tr>

                 <td><input type="submit"value="提交" ><input type="reset"value="取消" ></td>

                 </tr>

                 </table>

                 </form>

</body>

</html>

[root@web01 ~]# chown -R www.www /code/index.html
6.1.2、网站劫持
[root@lb01 ~]# vim /etc/nginx/conf.d/linux.jc.com.conf

server {

    listen 80;

    server_name linux.jc.com;

    location / {

        proxy_pass http://10.0.0.7:80;

        include proxy_params;

        sub_filter '<title>学生信息注册页面</title>' '<title>澳门首家线上赌场</title>';

        sub_filter '<h3 align="center">学生信息注册</h3>' '<h3 align="center">VIP用户信息注册</h3>';

        sub_filter '<tr><td>性别:</td>' '<tr><td>爱好:</td>';

        sub_filter '<option selected>计算机科学与技术</option>' '<option selected>按摩</option>';

        sub_filter '<option>网络工程</option>' '<option>抽烟</option>';

        sub_filter '<option>物联网工程</option>' '<option>喝酒</option>';

        sub_filter '<option>应用数学</option>' '<option>烫头</option>';

        sub_filter '<tr><td>上传照片:</td><td colspan="2"><input type="file" ></td></tr>' '<img src="https://blog.driverzeng.com/zenglaoshi/xingganheguan.gif">';

    }

}

[root@lb01 ~]# systemctl restart nginx

6.2、加密流程

1、浏览器发起往服务器的443端口发起请求,请求携带了浏览器支持的加密算法和哈希算法。

2、服务器收到请求,选择浏览器支持的加密算法和哈希算法。

3、服务器下将数字证书返回给浏览器,这里的数字证书可以是向某个可靠机构申请的,也可以是自制的。

4、浏览器进入数字证书认证环节,这一部分是浏览器内置的TLS完成的:

    4.1 首先浏览器会从内置的证书列表中索引,找到服务器下发证书对应的机构,如果没有找到,此时就会提示用户该证书是不是由权威机构颁发,是不可信任的。如果查到了对应的机构,则取出该机构颁发的公钥。

    4.2 用机构的证书公钥解密得到证书的内容和证书签名,内容包括网站的网址、网站的公钥、证书的有效期等。浏览器会先验证证书签名的合法性(验证过程类似上面Bob和Susan的通信)。签名通过后,浏览器验证证书记录的网址是否和当前网址是一致的,不一致会提示用户。如果网址一致会检查证书有效期,证书过期了也会提示用户。这些都通过认证时,浏览器就可以安全使用证书中的网站公钥了。

    4.3 浏览器生成一个随机数R,并使用网站公钥对R进行加密。

5、浏览器将加密的R传送给服务器。

6、服务器用自己的私钥解密得到R。

7、服务器以R为密钥使用了对称加密算法加密网页内容并传输给浏览器。

8、浏览器以R为密钥使用之前约定好的解密算法获取网页内容。

6.3、证书对比

对比 域名型 DV 企业型 OV 增强型 EV
绿色地址栏 小锁标记+https 小锁标记+https 小锁标记+企业名称+https
一般用途 个人站点和应用; 简单的https加密需求 电子商务站点和应用; 中小型企业站点 大型金融平台; 大型企业和政府机构站点
审核内容 域名所有权验证 全面的企业身份验证; 域名所有权验证 最高等级的企业身份验证; 域名所有权验证
颁发时长 10分钟-24小时 3-5个工作日 5-7个工作日
单次申请年限 1年 1-2年 1-2年
赔付保障金 —— 125-175万美金 150-175万美金

6.4、自签证书

#使用openssl命令充当CA权威机构创建证书(生产不使用此方式生成证书,不被互联网认可的黑户证书)

[root@web01 ssl_key]# openssl genrsa -idea -out server.key 2048

Generating RSA private key, 2048 bit long modulus

...............................+++

........+++

e is 65537 (0x10001)

Enter pass phrase for server.key: 123456

Verifying - Enter pass phrase for server.key: 123456

[root@web01 ssl_key]# ll

total 4

-rw-r--r--. 1 root root 1739 Dec  9 11:27 server.key

#生成自签证书(公钥),同时去掉私钥的密码

[root@web01 ssl_key]# openssl req -days 36500 -x509 -sha256 -nodes -newkey rsa:2048 -keyout server.key -out server.crt

Generating a 2048 bit RSA private key

.....................................+++

............+++

writing new private key to 'server.key'

-----

You are about to be asked to enter information that will be incorporated

into your certificate request.

What you are about to enter is what is called a Distinguished Name or a DN.

There are quite a few fields but you can leave some blank

For some fields there will be a default value,

If you enter '.', the field will be left blank.

-----

Country Name (2 letter code) [XX]:china

string is too long, it needs to be less than  2 bytes long

Country Name (2 letter code) [XX]:CN

State or Province Name (full name) []:meiguo

Locality Name (eg, city) [Default City]:riben

Organization Name (eg, company) [Default Company Ltd]:heishoudang

Organizational Unit Name (eg, section) []:oldboy

Common Name (eg, your name or your server's hostname) []:oldboy

Email Address []:123@qq.com

# req  --> 用于创建新的证书

# new  --> 表示创建的是新证书

# x509 --> 表示定义证书的格式为标准格式

# key  --> 表示调用的私钥文件信息

# out  --> 表示输出证书文件信息

# days --> 表示证书的有效期

# sha256 --> 加密方式

#1.开启证书

Syntax: ssl on | off;

Default:    ssl off;

Context:    http, server

#2.指定证书文件

Syntax: ssl_certificate file;

Default:    —

Context:    http, server

#3.指定私钥文件

Syntax: ssl_certificate_key file;

Default:    —

Context:    http, server

[root@lb01 conf.d]# cat https.conf

upstream ssl {

    server 172.16.1.7;

    server 172.16.1.8;

    server 172.16.1.9;

}

server {

    listen 443 ssl;

    server_name _;

    ssl_certificate /etc/nginx/ssl/server.crt;

    ssl_certificate_key /etc/nginx/ssl/server.key;

    location / {

        proxy_pass http://ssl;

        include /etc/nginx/proxy_params;

    }

}

server {

    listen 80;

    server_name _;

    rewrite (.*) https://192.168.15.5 permanent;

}

9、架构--动静分离、rewrite、HTTPS的更多相关文章

  1. 15.Nginx动静分离Rewrite

    1.什么是动静分离? 将动态请求和静态请求区分访问, 2.为什么要做动静分离? 静态由Nginx处理, 动态由PHP处理或Tomcat处理.... 因为Tomcat程序本身是用来处理jsp代码的,但t ...

  2. Lnamp的高级网站架构+动静分离+反向代理

    Lnamp的架构 环境: 图上面是5台服务器 192.168.1.116 是nginx负载均衡+动静分离 192.168.1.117:linux+apache+php 192.168.1.118:li ...

  3. Nginx入门教程-简介、安装、反向代理、负载均衡、动静分离使用实例

    场景 Nginx入门简介和反向代理.负载均衡.动静分离理解 https://blog.csdn.net/BADAO_LIUMANG_QIZHI/article/details/102790862 Ub ...

  4. keepalived高可用haproxy负载均衡varnish缓存wordpress的动静分离(第一次配置成功)

    haproxy和nginx都可以作为七层和四层反代服务器对外提供服务,此文通过haproxy和keealived配置varnish搭建wordpress的动静分离站点 一.实验环境 五台虚拟机: ha ...

  5. Nginx系列二:(Nginx Rewrite 规则、Nginx 防盗链、Nginx 动静分离、Nginx+keepalived 实现高可用)

    一.Nginx Rewrite 规则 1. Nginx rewrite规则 Rewrite规则含义就是某个URL重写成特定的URL(类似于Redirect),从某种意义上说为了美观或者对搜索引擎友好, ...

  6. nginx反向代理,负载均衡,动静分离,rewrite地址重写介绍

    一.rewrite地址重写 地址转发后客户端浏览器地址栏中的地址显示是不变的,而地址重写后地址栏中的地址会变成正确的地址. 在一次地址转发过程中只会产生一次网络请求,而一次地址重写产生两次请求. 地址 ...

  7. SpringBoot 2.0整合阿里云OSS,实现动静分离架构

    前言 相信大部分开发者对下面这张架构图并不陌生吧,现在很多网站/应用都采用了动静分离的架构进行部署.博主的博客也不例外,主机采用的是阿里云的 ECS,使用 CDN 做静态内容分发,不过静态文件还是存储 ...

  8. 第十七章 nginx动静分离和rewrite重写

    一.动静分离 动静分离,通过中间件将动静分离和静态请求进行分离:通过中间件将动态请求和静态请求分离,可以减少不必要的请求消耗,同时能减少请求的延时.通过中间件将动态请求和静态请求分离,逻辑图如下: 1 ...

  9. 动静分离、Rewirte、HTTPS

    目录 Nginx动静分离技术 示例搭建步骤 部署NFS 静态资源共享 部署代理服务器 Rewrite(重点) Rewrite基本概述 rewrite语法 rewrite标记Flag last和brea ...

随机推荐

  1. 查询Oracle数据库的字符集

    How do you check the Oracle database character set? SQL> select value from nls_database_parameter ...

  2. java如何对接企业微信

    前言 最近实现社群对接企业微信,对接的过程遇到一些点,在此记录. 企业微信介绍 企业微信具有和微信一样的体验,用于企业内部成员和外部客户的管理,可以由此构建出社群生态. 企业微信提供了丰富的api进行 ...

  3. 金融云原生漫谈(三)|银行云原生基础设施构建:裸金属VS虚拟机

    在金融行业数字化转型的驱动下,国有银行.股份制银行和各级商业银行也纷纷步入容器化的进程.   如果以容器云上生产为目标,那么整个容器云平台的设计.建设和优化对于银行来说是一个巨大的挑战.如何更好地利用 ...

  4. SpringBoot整合Elasticsearch+ik分词器+kibana

    话不多说直接开整 首先是版本对应,SpringBoot和ES之间的版本必须要按照官方给的对照表进行安装,最新版本对照表如下: (官网链接:https://docs.spring.io/spring-d ...

  5. 如何让 Hexo 在服务器稳定运行

    声明 本文地址:如何让 Hexo 在服务器稳定运行 背景 博客系统终于又搭建起来了(好一个又),但是每隔一段时间去访问自己的网站总是访问不到,去服务器查询 ps aux | grep hexo,发现 ...

  6. JQuery选择器的使用和分类

    jQuery选择器 id选择器格式 $("#box") //获取标签里的id是box的标签 类选择器格式 $(".a") //获取标签里的类名是a的标签 标签选 ...

  7. Java打印空心三角

    Java打印空心三角 public static void main(String[] args) { int n=5; //n表示输出空心三角形行数,这里以5行为例 for(int i=1;i< ...

  8. Sentry 开发者贡献指南 - 测试技巧

    作为 CI 流程的一部分,我们在 Sentry 运行了多种测试. 本节旨在记录一些 sentry 特定的帮助程序, 并提供有关在构建新功能时应考虑包括哪些类型的测试的指南. 获取设置 验收和 pyth ...

  9. 【刷题-LeeetCode】260. Single Number III

    Single Number III Given an array of numbers nums, in which exactly two elements appear only once and ...

  10. 乡亲们,我们创建了 Dapr 中文交流频道

    我们创建了 Dapr 中文交流 QQ 频道,欢迎大家加入!加入方式在文章最后一节. 为什么要创建频道? 解决什么问题 专业性,"你可以在我们群里面钓鱼,因为都是水" 你肯定加过非常 ...