Openresty/nginx代理https踩坑记录一
背景
需求是这样的,客户在他们的服务器上部署了一个argocd服务。我们需要控制服务的入口,因此打算使用openresty做一层反向代理+一些其它的访问控制逻辑。
- 后台服务强制使用https,客户也要求需要https。
- 客户自己给服务绑定了B域名。
- 我们这边给客户定义了一个新的域名A。
最终效果是:客户访问https://A域名,实际展示https://B域名的内容。
Ps:虽然感觉这样很奇怪,毕竟我们之前nginx代理,都是转到同域名,或者是ip下,转到另一个域名还挺奇怪的。
部署途中遇到挺多坑的,也花费了很多时间,这里做一下记录。主要坑有二:
- 访问A域名,实际展示B域名的内容
- 代理https:即监听https服务,转发到https
踩坑
坑一:访问A域名,实际展示B域名的内容
这个研究了挺久的,各种rewrite指令什么的都试了一下,但是域名都会跳转到B域名上去,这与需要不符合。最后是看到这个博文Nginx结合腾讯云CLB完成请求头Host重写,才反应过来,只需要改一下header里面的Host字段的值,改成后台服务B的原始域名就行了。
解决方法:
? 在location中指定字段Host的值
proxy_set_header Host A_hostname;
Host字段的作用
The “Host” header field in a request provides the host and port information from the target URI, enabling the origin server to distinguish among resources while servicing requests for multiple host names on a single IP address.
A client MUST include a Host header field in all HTTP/1.1 request messages . If the requested URI does not include an Internet host name for the service being requested, then the Host header field MUST be given with an empty value. An HTTP/1.1 proxy MUST ensure that any request message it forwards does contain an appropriate Host header field that identifies the service being requested by the proxy. All Internet-based HTTP/1.1 servers MUST respond with a 400 (Bad Request) status code to any HTTP/1.1 request message which lacks a Host header field.
请求中的“Host”标头字段提供来自目标 URI 的主机和端口信息,使源服务器能够在为单个 IP 地址上的多个主机名的请求提供服务时区分资源。
简单来说,服务器通过Host字段来区分同一个ip机器上的不同服务,实现多个虚拟主机。可参考:HTTP请求头中host的作用
未完待续
|