域名解析到 Nginx,再通过 Nginx 代理到 slb

2017-11-27 23:47:20 +08:00
 krisbai
域名解析到 Nginx,再通过 Nginx 代理到 slb,目前证书在 SLB 配置的。请问下如果通过 https 访问的话,Nginx 还需要配置证书吗?
4150 次点击
所在节点    Linux
11 条回复
broadliyn
2017-11-28 00:32:49 +08:00
你的 SLB 是内网的还是公网的?
一般都是把 SSL 证书丢到最外层的,
最外层如果是公网 SLB,那直接证书挂上去就可以了。
如果最外层是 NGINX,那就挂 nginx 上。

不过 SLB 对 https 性能调优不太友好,如果想自己优化性能,可以自己做 HTTPS nginx 配置优化。不过应用规模不大的话,SLB 的 SSL 性能已经够用了。
wekw
2017-11-28 01:04:57 +08:00
在最外层配置 HTTPS,后面都用 http,这样最好
likuku
2017-11-28 03:37:50 +08:00
也可以最外层用 HAproxy,v1.5 开始它也可以直接绑 SSL 证书,提供 HTTPS,向后端继续打 http

你要非要 nginx 到 slb,那么 看看 nginx 是否支持 裸 tcp 转发形式( HAproxy v1.5 之前想要走 https 唯有这样) 直接把 https 请求转给后段 https 的 slb
zlfzy
2017-11-28 06:19:32 +08:00
nginx 支持 tcp 负载均衡
opengps
2017-11-28 08:16:44 +08:00
没看懂为什么要多一层 NGINX
tinyhill
2017-11-28 09:26:29 +08:00
一般都是 slb 直接到机器吧?不需要统一接入,没必要有一层 nginx。
krisbai
2017-11-28 09:46:21 +08:00
@opengps 因为这个 nginx 是第三方的,平时不用,作为备用来防止 DDOS
0ZXYDDu796nVCFxq
2017-11-28 10:07:23 +08:00
1. nginx + stream,不需要证书和私钥
2. nginx + stream + sni proxy,不需要证书和私钥
3. nginx + http proxy,需要证书和私钥
4. nginx + http Proxy + keyless,需要证书不需要私钥

就防 DDoS 来说,效果最好是第 3 种,对请求、连接的卸载比较好
1, 2 两种,其实和 NAT 的技术差不多,两边的连接是对称的
4 需要修改 OpenSSL,如果是第三方防 DDoS 的,得他们来支持,可能你的 key server 是瓶颈
blueorange
2017-11-28 14:48:29 +08:00
按道理来说应该是域名解析到哪里哪里就配 https 证书
yingfengi
2017-12-03 16:30:50 +08:00
@wekw ssl 卸载,很多业务系统这样子,外网去访问是 https 的,他们自己内网前端设备解密了交给后面的服务器。
ytlm
2017-12-04 17:23:12 +08:00
ngx_stream_core_module,或许有用

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/410063

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX