七、Nginx 与网关
Nginx 反向代理
Nginx 反向代理流程
第一步:客户端请求 Nginx
客户端:
- 请求先到 Nginx
第二步:匹配规则
Nginx 根据:
- server_name
- location
匹配配置规则。
第三步:选择后端服务器
从 upstream 集群中:
按负载均衡算法选择服务器。
常见负载均衡算法
| 算法 | 说明 |
|---|---|
| 轮询 | 默认 |
| weight | 权重 |
| ip_hash | 同 IP 固定服务器 |
第四步:转发请求
Nginx:
- 转发请求到后端
同时设置:
X-Real-IP等头信息。
第五步:返回响应
后端处理完成:
- 返回给 Nginx
- Nginx 再返回客户端
反向代理的好处
| 功能 | 作用 |
|---|---|
| 负载均衡 | 分散请求压力 |
| 高可用 | 故障转移 |
| 隐藏后端 | 提高安全性 |
| SSL 卸载 | HTTPS 统一处理 |
| 缓存 | 提高性能 |
| 限流 | 防止恶意请求 |
Nginx 反向代理 + CDN
题目 2:Nginx 反向代理 + CDN 加速
一、Nginx 反向代理
流程:
客户端 → Nginx → Tomcat作用:
- 负载均衡
- 隐藏后端服务器
- 动静分离
二、CDN 加速
原理:
- 静态资源缓存到边缘节点
特点:
- 用户就近访问
- 降低延迟
适合:
- 图片
- CSS
- JS
四、Nginx 示例
超时配置
proxy_connect_timeout 5s; proxy_read_timeout 60s;502 场景
- 后端服务挂掉
- Nginx 无法建立连接
- 返回 502
504 场景
- 后端处理超过 60 秒
- Nginx 等待超时
- 返回 504
异常请求防护
分层防御体系
| 层级 | 方案 |
|---|---|
| 基础设施层 | 防火墙 + CDN |
| 网关层 | Nginx 限流 |
| API 网关层 | Redis 限流 |
| 业务层 | Sentinel 熔断 |
| 数据层 | 连接池 + 读写分离 |
第一层:基础设施
作用:
- 防 DDoS
- 防 CC 攻击
第二层:Nginx
限制:
- 连接数
- IP 频率
- 请求大小
超出:
429 Too Many Requests第三层:API 网关
使用:
- Redis 限流器
实现:
- 用户级限流
- 接口级限流
第四层:业务层
使用:
- Sentinel
能力:
- 熔断
- 降级
- 线程池隔离
第五层:数据层
优化:
- 数据库连接池
- 慢 SQL 熔断
- 读写分离
限流算法
常见限流算法
一、固定窗口
特点:
- 简单
缺点:
- 临界突变
二、滑动窗口
特点:
- 更平滑
应用:
- Nginx
三、漏桶
特点:
- 输出速率绝对稳定
适合:
- 保护下游系统
四、令牌桶
特点:
- 平滑限流
- 支持突发流量
应用:
- Sentinel
- Guava RateLimiter
五、实际方案
单机限流
- Guava RateLimiter
分布式限流
- Redis + 滑动窗口
- Redis + 令牌桶