Nginx 与 Apache 代理通行证

Question

我正在尝试将我的 apache 配置转换为 nginx。对于 apache 我有以下几点:

<VirtualHost *:443>
    ServerName loc.goout.net
    <Location />
        ProxyPass http://localhost:8080/ retry=0
        ProxyPreserveHost On
    </Location>
    <Location /i/>
        ProxyPass https://dev.goout.net/i/ retry=0
        ProxyPreserveHost Off
    </Location>
    ...

像这样，如果我取:

https://loc.goout.net/i/user/606456_001_min.jpg

它正确地从以下位置获取内容:

https://dev.goout.net/i/user/606456_001_min.jpg

所以对于 nginx 我正在尝试这个:

server {
    listen                  443 ssl;
    server_name             loc.goout.net;

    proxy_buffering         off;
    proxy_ssl_session_reuse off;

    proxy_redirect              off;
    proxy_set_header            Host            dev.goout.net;

    location /i/ {
        proxy_pass          https://dev.goout.net:443;
    }

但是当我获取内容时，我总是会得到 502 。

在 nginx 日志中，我看到以下内容:

[error] 7#7: *5 no live upstreams while connecting to upstream, client: 127.0.0.1, server: loc.goout.net, request: "GET /i/user/606456_001_min.jpg HTTP/1.1", upstream: "https://dev.goout.net/i/user/606456_001_min.jpg", host: "loc.goout.net"

注意链接:https://dev.goout.net/i/user/606456_001_min.jpg
- 工作正常。在我看来，它仍然无法与 SSL 连接。我还尝试将上游部分定义为:

upstream backend {
    server dev.goout.net:443;
}

但它没有效果。

注意服务器在 CloudFlare 网关后面，我希望它不会阻止正确的连接，但我想这在 apache 中也不起作用。

Answer 1

tl;dr:SNI 在 nginx 中默认关闭，根据 http://nginx.org/r/proxy_ssl_server_name ，但 Cloudflare 需要。

在 Cloudflare 之上使用自制代理通常不是最好的主意——它应该是相反的。

但是，您忽略的是由发出像 curl -v localhost:3227/i/user/606456_001_min.jpg 这样的请求而产生的实际错误消息——当然它与 TLS 相关:
2018/07/07 23:18:39 [error] 33345#33345: *3 SSL_do_handshake() failed (SSL: error:14077410:SSL routines:SSL23_GET_SERVER_HELLO:sslv3 alert handshake failure) while SSL handshaking to upstream, client: 127.0.0.1, server: loc.goout.net, request: "GET /i/user/606456_001_min.jpg HTTP/1.1", upstream: "https://[2400:cb00:2048:1::6818:7303]:443/i/user/606456_001_min.jpg", host: "localhost:3227"
这是因为 nginx 并不是真的打算用来通过 proxy_pass 窃取其他人的站点，因此，Cloudflare 确实需要的某些功能在 nginx 中默认关闭以供一般使用；具体来说，它是 SNI, Server Name Indication extension to TLS ，这在这里有所不同。

根据 http://nginx.org/r/proxy_ssl_server_name ，将额外的 proxy_ssl_server_name on; 添加到您的确切配置中确实可以解决问题(我自己测试过 - 它有效) - 请注意，这需要 nginx 1.7.0 或更高版本。

+   proxy_ssl_server_name   on;     # SNI is off by default

此外，请注意，您还必须确保在运行时更新域名解析，因为默认情况下，只有在加载或重新加载配置时才会解析；您可以在 trick 中使用变量的 http://nginx.org/r/proxy_pass 使其更新主机的适当解析，但这也要求您使用 http://nginx.org/r/resolver 指令指定用于 DNS 解析的服务器(在运行时，加载后配置)，因此，您的 MVP 将是:

location /i/ {
    resolver                1dot1dot1dot1.cloudflare-dns.com.;
    proxy_ssl_server_name   on;     # SNI is off by default
    proxy_pass              https://dev.goout.net:443$request_uri;
}