通常在一个集群会有一个统一的API入口，一般都是使用nginx来做统一的入口代理，然后到后端再转发到对应的服务API上。

今天就整合之前的一些代理的配置，方便后续使用。

1.nginx代理http/https请求

http {
    server {
        listen 80;       # 监听端口
        server_name _;   # 绑定域名，如果要用IP访问直接配置“_”即可。
 
        location / {
            proxy_pass http://192.168.1.75:8080;     # 后端服务器地址与端口
            proxy_set_header Host $host;             # 保留原始Host头
            proxy_set_header X-Real-IP $remote_addr; # 传递真实客户端IP
            proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
            proxy_set_header X-Forwarded-Proto $scheme;  # 传递请求协议（http/https）
        }
    }
}

如果是https请求则稍微对以上进行修改即可，且中间只是多了一些ssl相关配置

http {
    server {
        listen 443 ssl;
        server_name sulao.cn;
        ssl_certificate   /data/www/sulao.cn/sslkey/sulao.cn.pem;
        ssl_certificate_key  /data/www/sulao.cn/sslkey/sulao.cn.key;
        ssl_session_timeout 5m;
        ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4:!DH:!DHE;
        ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
        ssl_prefer_server_ciphers on;
        location / {
            proxy_pass http://192.168.1.75:8080;     # 后端服务器地址与端口
            proxy_set_header Host $host;             # 保留原始Host头
            proxy_set_header X-Real-IP $remote_addr; # 传递真实客户端IP
            proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
            proxy_set_header X-Forwarded-Proto $scheme;  # 传递请求协议（http/https）
        }
    }
}

2.nginx代理grpc请求

nginx从1.13.10版本开始提供对gRPC代理的支持。由于grpc基于http2，因此编译nginx时需要添加参数--with-http_v2_module来启用对http2协议的支持。

http {
    server {
        listen 80 http2;       # 监听端口 开启http2协议
        server_name _;         # 绑定域名，如果要用IP访问直接配置“_”即可。
        
        grpc_ssl_verify off;        #关闭对gRPC服务器的SSL证书验证
        grpc_ssl_session_reuse on;  #设置gRPC服务器
        location / {
            grpc_pass grpcs://192.168.1.75:50051; #设置SSL gRPC服务器
        }
    }
}

和http请求基本区别不大，主要是在监听部分需要启用http2协议支持，另外由于没有支持rpc，如果需要代理rpc则需要从四层上进行代理

3.nginx代理ws/wss请求

ws的代理配置如下：

http {
    map $http_upgrade $connection_upgrade {
        default upgrade;
        '' close;
    }
    server {
        listen 80;         # 监听端口
        server_name _;     # 绑定域名，如果要用IP访问直接配置“_”即可。
        location /ws {
            proxy_pass http://192.168.1.75:3000; 
            proxy_http_version 1.1;
            proxy_set_header Upgrade $http_upgrade;
            proxy_set_header Connection $connection_upgrade;
        }
    }
}

wss相对于ws就是多了证书方面的配置

http {
    map $http_upgrade $connection_upgrade {
        default upgrade;
        '' close;
    }
    server {
        listen 443 ssl;
        server_name sulao.cn;
        ssl_certificate   /data/www/sulao.cn/sslkey/sulao.cn.pem;
        ssl_certificate_key  /data/www/sulao.cn/sslkey/sulao.cn.key;
        ssl_session_timeout 5m;
        ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4:!DH:!DHE;
        ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
        ssl_prefer_server_ciphers on;
        location /wss {
            proxy_pass http://192.168.1.75:3000; 
            proxy_http_version 1.1;
            proxy_set_header Upgrade $http_upgrade;
            proxy_set_header Connection $connection_upgrade;
        }
    }
}

4.nginx四层负载均衡和代理

需要使用四层代理时，编译nginx的时候需要开启模块，编译的时候需要带上--with-stream参数，配置的时候另起stream模块

stream {
    log_format  main  '$remote_addr [$time_local] $status $session_time $upstream_addr $upstream_bytes_sent $upstream_bytes_received $upstream_connect_time';
    access_log  /var/log/nginx/k8s-access.log  main;
    upstream k8s-proxy {
        server   192.168.1.72:6443 weight=5 max_fails=2 fail_timeout=300s;
        server   192.168.1.73:6443 weight=5 max_fails=2 fail_timeout=300s;
        server   192.168.1.74:6443 weight=5 max_fails=2 fail_timeout=300s;
    }
    server {
        listen       16443;
        proxy_pass k8s-proxy;
    }
}