阿里云反向代理（阿里云反向代理服务）

本文目录一览：

• 1、如何在阿里云上部署Nginx实现反向代理
• 2、阿里云服务器部署flask项目
• 3、2020-06-09【阿里云ECS搭建minikube和Istio1.6】(2)
• 4、阿里与的虚拟主机可以设置nginx反向代理么
• 5、电信ADSL光纤下自建centos服务器 阿里云服务器反向代理 外面再加个CDN 该如何操作呢？
• 6、阿里云被攻击多久解封？云服务器被攻击了怎么解决？

如何在阿里云上部署Nginx实现反向代理

与80端口冲突，需将listen端口修改为其他端口。

域名未解析、防火墙端口配置等原因。

/etc/nginx/nginx.conf文件中没有配置”include       /etc/nginx/conf.d/*.conf;”，我们刚才配置的default.conf需要包含在nginx.conf中才会生效。

阿里云服务器部署flask项目

当我们执行下面的hello.py时，使用的flask自带的服务器，完成了web服务的启动。在生产环境中，flask自带的服务器，无法满足性能要求，我们这里采用Gunicorn做wsgi容器，来部署flask程序。Gunicorn（绿色独角兽）是一个Python WSGI的HTTP服务器。从Ruby的独角兽（Unicorn ）项目移植。该Gunicorn服务器与各种Web框架兼容，实现非常简单，轻量级的资源消耗。Gunicorn直接用命令启动，不需要编写配置文件，相对uWSGI要容易很多。

区分几个概念 ：

WSGI：全称是Web Server Gateway Interface（web服务器网关接口），它是一种规范，它是web服务器和web应用程序之间的接口。它的作用就像是桥梁，连接在web服务器和web应用框架之间。

uwsgi：是一种传输协议，用于定义传输信息的类型。

uWSGI：是实现了uwsgi协议WSGI的web服务器。

我们的部署方式： nginx + gunicorn + flask

web开发中，部署方式大致类似。简单来说，前端代理使用Nginx主要是为了实现分流、转发、负载均衡，以及分担服务器的压力。Nginx部署简单，内存消耗少，成本低。Nginx既可以做正向代理，也可以做反向代理。

正向代理 ：请求经过代理服务器从局域网发出，然后到达互联网上的服务器。

特点 ：服务端并不知道真正的客户端是谁。

反向代理 ：请求从互联网发出，先进入代理服务器，再转发给局域网内的服务器。

特点 ：客户端并不知道真正的服务端是谁。

区别 ：正向代理的对象是客户端。反向代理的对象是服务端。

查看命令行选项 ： 安装gunicorn成功后，通过命令行的方式可以查看gunicorn的使用信息。

直接运行 ：

指定进程和端口号 ： -w: 表示进程(worker)。 -b：表示绑定ip地址和端口号(bind)。--access-logfile：表示指定log文件的路径

作为守护进程后台运行 ：

阿里云服务器默认安装到 /user/sbin/ 目录，进入目录，启动 ngnix:

Ubuntu 上配置 Nginx 也是很简单，不要去改动默认的 nginx.conf 只需要将/etc/nginx/sites-available/default文件替换掉就可以了。

新建一个 default 文件，添加以下内容:

修改完成后重启nginx即可。

Ubuntu 上配置 Nginx 另一种方法，cd 到 /etc/nginx/conf.d 文件夹，新建 xxx.conf 文件(xxx 可以是项目名，只要是 .conf 文件即可)，写入以下内容：

需要监听 https 请求时，写入以下内容：

2020-06-09【阿里云ECS搭建minikube和Istio1.6】(2)

愿每天太阳升起的时候，你都对这个世界存有爱意。

最近在研究Istio1.6新特性，于是想自己搭一个试试看。计划是这样的：

1）买一台阿里云ECS，用CentOS系统；

2）装一个minikube，跑一个Guestbook应用验证成功；

3）再装一个Istio1.6，跑一个Bookinfo应用验证成功。

计划是一天弄好，但是看起来很简单的事情，还是遇到了很多问题，花了两天的时间才终于弄好，分享给各位。本文是第二篇，介绍Kubernetes示例程序验证和反向代理Ngnix的配置。

Guestbook是一个PHP Web应用，包括frontend、redis-master和redis-slave三个微服务。

其中，redis-master服务处理写请求，redis-slave服务处理读请求。

具体配置参考 Kubernetes官方文档 。

pod：按照replica，部署了1个redis-master、2个redis-slave、3个frontend，可以看到他们都在 Running状态。

service：

可以看到frontend是通过NodePort起来的，可以通过命令获得访问地址：

或者直接使用;ECS 私有ip: 80映射端口(30004）访问即可。

由于用ECS的公网IP一直访问不到服务，于是想到用nginx做一个转发，不知道官方正解是什么，感觉每个服务都要配转发规则实在是有点儿原始。

首先想到用docker起一个nginx container，在里面配置转发规则。

还是访问不到，我猜是请求直接转发到container内部，但是想要访问的服务并不是起在容器内部，所以访问不到（不知道我的猜测对不对）。

于是放弃docker的方式，选择直接在ECS里安装nginx。

下一篇将介绍Istio1.6安装和示例程序Bookinfo的配置。

使用官方命令启动k8s应用一直卡在init阶段，查看event发现拉镜像失败。

原因：

k8s的镜像默认都是从谷歌拉，由于科学上网，只能借助开源项目 拉镜像，再手动tag。

解决办法：

参照

1）添加pull-google-container工具脚本 pull-google.sh:

2）放到/usr/local/bin下面：

3）使用pull-google-container命令，他直接做好image名称替换-拉image-打标签，非常省心。

如果想将LoadBalancer的类型切换到nodeport，可通过这个命令设置：

kubectl patch service istio-ingressgateway -n istio-system -p '{"spec":{"type":"NodePort"}}'

之后通过私有IP+80端口的形式使用HTTP访问。

HTTP/1.1 426 Upgrade Required

Upgrade: HTTP/2.0

Connection: Upgrade

原因：

nginx反向代理默认走http 1.0版本，但是被反向代理的container走的是1.1版本

解决办法：

转发处配置支持http1.1

原因：

只对/productpage路径下的资源进行了转发，css、js等资源不在该路径下就找不到了。

解决办法：

配置 proxy_set_header 增加对css和js等资源的转发。

istiod 是一个单体应用，它用较低的复杂性提供了和之前版本一致的功能。组成旧版控制平面的服务都还以子模块的方式存在于项目之中，但提供了更好的运维体验。操作者只需关注单一二进制文件的运行和升级了。简言之，把之前复杂的控制面组件（Pilot、Gallery、Injector、Mixer和Citadel）作为内部子模块放到istiod里。

有两篇文章对istiod的内容作了介绍，讲的挺好，推荐看一下：

（译）Istiod——回到单体的理由

Service Mesh 化繁为简: 基于 Istiod 回归单体设计

阿里与的虚拟主机可以设置nginx反向代理么

可以的,nginx的反向代理可以是域名,也可以是IP+端口的形式。

请保证阿里云虚拟主机的网站上已经有内容,而且可以正常访问。

设置好nginx反向代理,用户可以通过访问nginx绑定的域名跳转到阿里云虚拟主机网站。

电信ADSL光纤下自建centos服务器 阿里云服务器反向代理 外面再加个CDN 该如何操作呢？

配置方法：

1、WEB服务器

域名：

IP：10.10.10.10

2、Nginx反向代理服务器

IP：192.168.0.1

操作系统：Centos

3、客户端

IP：192.168.0.2

操作系统：win7

C:\Windows\System32\drivers\etc\hosts #用记事本打开，在文件最后添加下面一行

192.168.0.1

配置步骤--Nginx反向代理服务器

1、关闭SELinux

vi /etc/selinux/config#SELINUX=enforcing #注释掉#SELINUXTYPE=targeted #注释掉SELINUX=disabled #增加:wq #保存，关闭。shutdown -r now #重启系统

2、防火墙开启80端口

vi /etc/sysconfig/iptables-A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT #添加内容/etc/init.d/iptables restart #重启防火墙使配置生效

3、安装编译工具

yum install wget make gcc gcc-c++ zlib-devel openssl openssl-devel pcre-devel gd kernel keyutils patch perl

4、系统约定

软件源代码包存放位置： /usr/local/src源码包编译安装位置： /usr/local/软件名字

5、下载软件

cd /usr/local/src #进入目录(一)、下载nginx(目前稳定版) wget (二)、下载pcre (支持nginx伪静态) wget #这一命令我没有获取到文件，是在本地下载好后上传到服务器(二)、下载ngx_cache_purge(清除指定URL缓存) wget

6、安装pcre

cd /usr/local/srcmkdir /usr/local/pcre #创建安装目录tar zxvf pcre-8.35.tar.gzcd pcre-8.35./configure --prefix=/usr/local/pcre #配置makemake install

7、安装Nginx

groupadd www #添加www组useradd -g www www -s /bin/false #创建nginx运行账户www并加入到www组，不允许www用户直接登录系统cd /usr/local/srctar zxvf ngx_cache_purge-2.3.tar.gztar zxvf nginx-1.8.0.tar.gzcd nginx-1.8.0./configure --prefix=/usr/local/nginx --user=www --group=www --with-http_stub_status_module --with-openssl=/usr/ --with-pcre=/usr/local/src/pcre-8.35 --add-module=../ngx_cache_purge-2.3 #注意:--with-pcre=/usr/local/src/pcre-8.35指向的是源码包解压的路径，而不是安装的路径，否则会报错make #编译make install #安装/usr/local/nginx/sbin/nginx #启动nginxchown -R /usr/local/nginx/html #设置目录所有者chmod 700 -R /usr/local/nginx/html #设置目录权限

8、添加Nginx启动文件

vi /etc/rc.d/init.d/nginx #编辑启动文件#!/bin/bash# nginx Startup script for the Nginx HTTP Server# it is v.0.0.2 version.# chkconfig: - 85 15# description: Nginx is a high-performance web and proxy server.# It has a lot of features, but it's not for everyone.# processname: nginx# pidfile: /var/run/nginx.pid# config: /usr/local/nginx/conf/nginx.confnginxd=/usr/local/nginx/sbin/nginxnginx_config=/usr/local/nginx/conf/nginx.confnginx_pid=/usr/local/nginx/logs/nginx.pidRETVAL=0prog="nginx"# Source function library.. /etc/rc.d/init.d/functions# Source networking configuration.. /etc/sysconfig/network# Check that networking is up.[ ${NETWORKING} = "no" ] exit 0[ -x $nginxd ] || exit 0# Start nginx daemons functions.start() {if [ -e $nginx_pid ];then echo "nginx already running...." exit 1fi echo -n $"Starting $prog: " daemon $nginxd -c ${nginx_config} RETVAL=$? echo [ $RETVAL = 0 ] touch /var/lock/subsys/nginx return $RETVAL}# Stop nginx daemons functions.stop() {echo -n $"Stopping $prog: "killproc $nginxdRETVAL=$?echo[ $RETVAL = 0 ] rm -f /var/lock/subsys/nginx /usr/local/nginx/logs/nginx.pid}# reload nginx service functions.reload() { echo -n $"Reloading $prog: " #kill -HUP `cat ${nginx_pid}` killproc $nginxd -HUP RETVAL=$? echo}# See how we were called.case "$1" instart) start ;;stop) stop ;;reload) reload ;;restart) stop start ;;status) status $prog RETVAL=$? ;;*) echo $"Usage: $prog {start|stop|restart|reload|status|help}" exit 1esacexit $RETVAL:wq #保存退出chmod 775 /etc/rc.d/init.d/nginx #赋予文件执行权限chkconfig nginx on #设置开机启动/etc/rc.d/init.d/nginx restartservice nginx restart

9、配置Nginx

cp /usr/local/nginx/conf/nginx.conf /usr/local/nginx/conf/nginx.confbak #备份nginx配置文件

vi /usr/local/nginx/conf/nginx.conf

(一)、设置nginx运行账号

找到user nobody;修改为 user www www; #在第一行

(二)、禁止nginx空主机头，找到server，在上面一行添加如下内容：

server { listen 80 default; server_name _; location / { root html; return 404; } location ~ /.ht { deny all; }}/etc/rc.d/init.d/nginx restart #重启nginx 这样设置之后，空主机头访问会直接跳转到nginx404错误页面。

(三)、添加nginx虚拟主机包含文件

cd /usr/local/nginx/conf/ #进入nginx安装目录mkdir vhost #建立虚拟目录vi /usr/local/nginx/conf/nginx.conf #编辑 找到上一步添加的代码，在最后添加：include vhost/*.conf;例如：server { listen 80 default; server_name _; location / { root html; return 404; } location ~ /.ht { deny all; }}include vhost/*.conf;

(四)、添加proxy_cache参数配置包含文件

cd /usr/local/nginx/conf/ touch proxy.conf vi /usr/local/nginx/conf/nginx.conf #编辑 找到http { 在下面添加一行include proxy.conf;

(五)、添加被代理服务器列表包含文件

cd /usr/local/nginx/conf/ touch mysvrhost.conf vi /usr/local/nginx/conf/nginx.conf #编辑 找到上一步添加的代码，在下面添加一行include mysvrhost.conf;

(六)、设置nginx全局参数

vi /usr/local/nginx/conf/nginx.conf worker_processes 2; #工作进程数,为CPU的核心数或者两倍events{ use epoll; #增加 worker_connections 65535; #修改为65535，最大连接数。}以下代码在http { 部分增加与修改server_names_hash_bucket_size 128; #增加client_header_buffer_size 32k; #增加large_client_header_buffers 4 32k; #增加client_max_body_size 300m; #增加tcp_nopush on; #修改为onkeepalive_timeout 60; #修改为60tcp_nodelay on; #增加server_tokens off; #增加，不显示nginx版本信息gzip on; #修改为ongzip_min_length 1k; #增加gzip_buffers 4 16k; #增加gzip_http_version 1.1; #增加gzip_comp_level 2; #增加gzip_types text/plain application/x-javascript text/css application/xml; #增加gzip_vary on; #增加

(七)、设置proxy_cache参数配置

cd /home mkdir -p /home/proxy_temp_dir #proxy_temp_dir与proxy_cache_dir这两个文件夹必须在同一个分区mkdir -p /home/proxy_cache_dir #proxy_cache_dir与proxy_temp_dir这两个文件夹必须在同一个分区chown -R proxy_cache_dir proxy_temp_dir #设置目录所有者chmod -R 777 proxy_cache_dir proxy_temp_dir #设置目录权限cd /usr/local/nginx/conf/ vi proxy.conf #编辑，添加以下代码proxy_temp_path /home/proxy_temp_dir; #指定临时文件目录proxy_cache_path /home/proxy_cache_dir levels=1:2 keys_zone=cache_one:50m inactive=1dmax_size=1g; #设置Web缓存区名称为cache_one，内存缓存为50MB，自动清除1天内没有被访问的文件，硬盘缓存为1GB。client_body_buffer_size 512k; #增加缓冲区代理缓冲客户端请求的最大字节数proxy_connect_timeout 60; #增加连接后端服务器超时时间proxy_read_timeout 60; #增加后端服务器响应请求超时时间proxy_send_timeout 60; #增加后端服务器发送数据超时时间proxy_buffer_size 32k; #增加代理请求缓存区大小proxy_buffers 4 64k; #增加proxy_busy_buffers_size 128k; #增加系统繁忙时可申请的proxy_buffers大小proxy_temp_file_write_size 128k; #增加proxy缓存临时文件的大小proxy_next_upstream error timeout invalid_header http_500 http_503 http_404; #增加故障转移，如果后端的服务器返回502、504、执行超时等错误，自动将请求转发到upstream负载均衡池中的另一台服务器，实现故障转移。proxy_cache cache_one; #增加使用web缓存区cache_one

(八)、设置被代理服务器文件列表

cd /usr/local/nginx/conf/ vi mysvrhost.conf #编辑，添加以下代码 upstream win8net{ server 10.10.10.10:80 weight=1 max_fails=2 fail_timeout=30s;}

(九)、新建虚拟主机配置文件

cd /usr/local/nginx/conf/vhost #进入虚拟主机目录

touch #建立虚拟主机配置文件

vi #编辑

server {

listen 80;

server_name win8.net;

location /

{

proxy_pass ;

proxy_cache_key $host$uri$is_args$args; #增加设置web缓存的key值，nginx根据key值md5哈希存储缓存

proxy_set_header Host $host;

proxy_set_header X-Forwarded-For $remote_addr;

proxy_cache_valid 200 304 12h;

expires 2d;

}

location ~ .*\.(php|jsp|cgi|asp|aspx|flv|swf|xml)?$ #列出的扩展名文件不缓存。

{

proxy_set_header Host $host;

proxy_set_header X-Forwarded-For $remote_addr;

proxy_pass ;

}

access_log off;

location ~ /purge(/.*) #用于清除缓存

{

allow 192.168.190.1;

allow 192.168.21.0/24; #设置只允许指定的IP或IP段才可以清除URL缓存。

deny all;

proxy_cache_purge cache_one $host$1$is_args$args;

}

}

10、清除缓存模块使用说明

1、浏览图片文件：

2、清除这个文件缓存： #提示：Successful purge，缓存文件清除成功，如果这个文件没有被缓存过，则提示：404 Not Found

　 11、配置结束

阿里云被攻击多久解封？云服务器被攻击了怎么解决？

云服务器被ddos攻击最恶心了，尤其阿里云的服务器受攻击最频繁，因为黑客知道阿里云服务器的防御低，一旦被攻击就会进入黑洞清洗。轻则停服半小时，重则停2-24小时，给网站、 游戏 等带来很严重的损失。

最好处理ddos攻击的方法就是防止，不要等到被攻击了再来防御。这样成本就远超攻击前的防御。如果有把柄在黑客手中 ，就更加麻烦了，所以事前防御才是上上策 。想避免 DDOS 攻击 ，务必先搞清楚 ，当今销售市场 99 %的DDOS攻击是对于 IP 以百G攻击流量导致网络服务器瘫患，以便做到攻击目的 ，因而 你务必防止服务器ip泄漏并掩藏 源ip ，那样黑客就无法找到源服务器ip ，也没法使用ddos有效地攻击你。

其实ddos的核心问题是成本低，而防御成本高。我所知道的今年国内应该出现了很多超200G的ddos攻击，而大部分公司都扛不住。今天飞飞就和你们分享一下解决方案。

对于低成本的防御方法，我给出几点建议：

1、挂cdn隐藏IP，在换成新的ip后，请务必挂cdn对真实的ip进行隐藏，这样无论怎样被攻击，cdn都可以为你进行抵御。

2、cdn不止可以套一层，可以多层一起嵌套，网络上免费的也不少。

准备多个服务器做反向代理（配置可以不高能运行nginx就行，最好是那种空路由时间短的），每个反向代理服务器都指向主服务器节点，都绑定一个二级域名，都挂上不同的cdn。

3、主域名可以随时解析到任意一个反向代理服务器，并且可以挂免费的云监控来实时监控服务器状态，一个节点死了改解析就行。

4、在防火墙层面禁止所有的国外ip（这是大部分肉鸡主要来源），可以很好地降低攻击流量。

以上是比较简单、低成本的方法，如果资金充足的话，建议购买高防服务器和高防IP等防御产品，这样针对不同场景不同的环节也有针对性的防御方案，无法一概而论，当然也看您遇到的对手是什么样的级别。

因此，避免服务器遭受ddos攻击的最好是方式就是把高防CDN布置好，不能让对方了解你的源服务器ip ，即便高防cdn其中一个节点被打死 ，还可以立即切换到其他备用节点上。

携手驰网一同 探索 （拥有一台服务器可以做哪些很酷的事情？）