何謂反向代理

一般來說，反向代理方式是指用代理伺服器來接受 Internet 上的連線請求，然後將請求轉發給內部網路中的上游伺服器，並將從上游伺服器上得到的結果返回給 Internet 上請求連線的客戶端，此時代理伺服器對外的表現就是一個 Web 伺服器。

充當反向代理伺服器也是 nginx 的一種常見用法，但一直以來，nginx 並不支援 TCP 協議，從1.90版本起，nginx 增加了 stream 模組用於一般的 TCP 代理和負載均衡。

TCP反向代理基本配置

新增的 ngx_stream_core_module 模組並不會預設安裝，需要在編譯時通過指定 –with-stream 引數來啟用這個模組。

即編譯安裝nginx時，進入nginx-x.x.x目錄後執行以下命令：

./configure --with-stream
make
make install

安裝完畢後，只用對nginx.conf稍作簡單的配置就可以實現TCP反向代理了。

官方配置示例如下：

worker_processes auto;

error_log /var/log/nginx/error.log info;

events {
    worker_connections  1024;
}

stream {
    # upstream 塊
    # upstream 塊定義了一個上游伺服器的叢集，便於反向代理中的 proxy_pass 使用
    upstream backend {
        # 使用一致性hash演算法，根據客戶端ip對映到合適的節點
        hash $remote_addr consistent;

        # server 配置項
        # server 配置項指定了一臺上游伺服器的名字，這個名字可以是域名、IP地址埠、UNIX控制程式碼等
        # 其後還可以跟引數 weight、max_fails等
        server backend1.example.com:12345 weight=5;
        server 127.0.0.1:12345            max_fails=3 fail_timeout=30s;
        server unix:/tmp/backend3;
    }

    upstream dns {
       server 192.168.0.1:53535;
       server dns.example.com:53;
    }

    # server 塊中的配置項
    # listen：監聽指定埠
    # proxy_pass：將TCP連線及資料收發轉向到指定上游伺服器
    # proxy_timeout：距離上一次成功訪問（連線或讀寫）上游伺服器的時間超過了指定時間就判定為超時，斷開此連線
    # proxy_connect_timeout：nginx連線上游伺服器超時的時間
    server {
        listen 12345;
        proxy_connect_timeout 1s;
        proxy_timeout 3s;
        proxy_pass backend;
    }

    server {
        listen 127.0.0.1:53 udp;
        proxy_responses 1;
        proxy_timeout 20s;
        proxy_pass dns;
    }

    server {
        listen [::1]:12345;
        proxy_pass unix:/tmp/stream.socket;
    }
}

一個簡單的應用

應用場景：處於網路A的回射客戶端和處於網路B的回射服務端，經由nginx代理轉發，實現跨網段通訊（nginx所在主機可分別與網路A、網路B連通）。

(1)回射客戶端：

客戶端的IP地址：

客戶端將要連線的地址：

(2)回射服務端：

服務端的IP地址：

服務端繫結一個任意地址：

(3)nginx的配置：

nginx所在機器的IP地址：

nginx反向代理配置：

這個配置表示，當客戶端使用 TCP 時，若訪問到 nginx 伺服器的5555埠時，就會將其轉交給上游伺服器的3333埠（這裡的上游伺服器也就是回射服務端）。

(4)測試結果：
啟動nginx以及回射服務端、客戶端：

可以看到，客戶端能夠成功接收到服務端回射的訊息：