nginx中文文档-ngx_stream_proxy_module

ngx_stream_proxy_module模块(1.9.0+)允许代理TCP、UDP(1.9.13+)以及UNIX-domain socket的数据流。

示例配置

server {
    listen 127.0.0.1:12345;
    proxy_pass 127.0.0.1:8080;
}

server {
    listen 12345;
    proxy_connect_timeout 1s;
    proxy_timeout 1m;
    proxy_pass example.com:12345;
}

server {
    listen 53 udp;
    proxy_responses 1;
    proxy_timeout 20s;
    proxy_pass dns.example.com:53;
}

server {
    listen [::1]:12345;
    proxy_pass unix:/tmp/stream.socket;
}

proxy_bind

语法:proxy_bind address [transparent] | off
默认:—
上下文:stream, server
版本:1.9.2+

从指定的本地IP地址向被代理服务器发起外部连接。特殊值off取消从上层配置中继承的proxy_bind指令产生的影响,允许系统自动分配本地IP地址。
transparent参数(1.11.0+)允许从一个非本地IP地址发起到被代理服务器的外部连接,例如从一个客户端的真实IP地址:
proxy_bind $remote_addr transparent;
为了使这个参数生效,需要以超级用户权限运行nginx工作进程,并配置核心路由表以截获从被代理服务器的网络流量。

proxy_buffer_size

语法:proxy_buffer_size size
默认:proxy_buffer_size 16k
上下文:stream, server
版本:1.9.4+

设置用于读取来自于被代理服务器的数据缓冲区大小。同时设置用于读取来自于客户端的数据缓冲区大小。

proxy_connect_timeout

语法:proxy_connect_timeout time
默认:proxy_connect_timeout 60s
上下文:stream, server

定义一个与被代理服务器建立连接的超时时间。

proxy_download_rate

语法:proxy_download_rate rate
默认:proxy_download_rate 0
上下文:stream, server
版本:1.9.3+

限制从被代理服务器读取数据的速度。速度定义为字节每秒。零值禁用限速。限制是针对每个连接,所以如果nginx同时打开两个连接到被代理服务器,整体的速度将为指定限速的两倍。

proxy_next_upstream

语法:proxy_next_upstream on | off
默认:proxy_next_upstream on
上下文:stream, server

当与被代理服务器的连接不能够建立时,决定客户端连接是否传递到下一个服务器。
传递连接到下一个服务器可以由尝试次数和时间限制。

proxy_next_upstream_timeout

语法:proxy_next_upstream_timeout time
默认:proxy_next_upstream_timeout 0
上下文:stream, server

限制允许传递连接到下一个服务器的时间。零值关闭这个限制。

proxy_next_upstream_tries

语法:proxy_next_upstream_tries number
默认:proxy_next_upstream_tries 0
上下文:stream, server

限制传递连接到下一个服务器的尝试次数。零值关闭这个限制。

proxy_pass

语法:proxy_pass address
默认:—
上下文:server

设置被代理服务器的地址。地址可以定义为一个域名或IP地址和一个端口号:
proxy_pass localhost:12345;
或一个UNIX-domain socket路径:
proxy_pass unix:/tmp/stream.socket;
如果域名解析成多个地址,它们会轮流使用。地址可以指定为一个服务器组。

proxy_protocol

语法:proxy_protocol on | off
默认:proxy_protocol off
上下文:stream, server
版本:1.9.2+

为连接到被代理服务器启用PROXY协议。

proxy_responses

语法:proxy_responses number
默认:—
上下文:stream, server
版本:1.9.13+

如果使用UDP协议,设置期望从被代理服务器响应给客户端请求的数据报数量。默认数据报数量是不限制的:响应数据报将一直发送直到proxy_timeout值过期。

proxy_ssl

语法:proxy_ssl on | off
默认:proxy_ssl off
上下文:stream, server

为连接到被代理服务器启用SSL/TLS协议。

proxy_ssl_certificate

语法:proxy_ssl_certificate file
默认:—
上下文:stream, server

指定PEM格式的证书文件用于验证被代理服务器。

proxy_ssl_certificate_key

语法:proxy_ssl_certificate_key file
默认:—
上下文:stream, server

指定PEM格式的密钥文件,用于验证被代理服务器。

proxy_ssl_ciphers

语法:proxy_ssl_ciphers ciphers
默认:proxy_ssl_ciphers DEFAULT
上下文:stream, server

为连接到被代理服务器指定可用的加密算法。加密算法指定为OpenSSL库可以理解的格式。
完整的列表可以通过“openssl ciphers”命令查看。

proxy_ssl_crl

语法:proxy_ssl_crl file
默认:—
上下文:stream, server

指定一个PEM格式的吊销证书文件,用于验证被代理服务器的证书。

proxy_ssl_name

语法:proxy_ssl_name name
默认:proxy_ssl_name host from proxy_pass
上下文:stream, server

允许覆盖用于验证被代理服务器的服务器名称,并通过SNI在与被代理服务器建立连接时传递。
默认proxy_pass地址的host部分会被使用。

proxy_ssl_password_file

语法:proxy_ssl_password_file file
默认:—
上下文:stream, server

为密钥指定一个密码文件,密码指定在单独的行中。在加载密钥时密码会被轮流尝试。

proxy_ssl_server_name

语法:proxy_ssl_server_name on | off
默认:proxy_ssl_server_name off
上下文:stream, server

启用或禁用在与被代理服务器建立连接时,通过TLS Server Name Indication扩展(SNI,RFC 6066)传递服务器名称。

proxy_ssl_session_reuse

语法:proxy_ssl_session_reuse on | off
默认:proxy_ssl_session_reuse on
上下文:stream, server

决定与被代理服务器工作时是否可以重用SSL会话。如果在日志中出现“SSL3_GET_FINISHED:digest check failed”错误,尝试禁用会话重用。

proxy_ssl_protocols

语法:proxy_ssl_protocols [SSLv2] [SSLv3] [TLSv1] [TLSv1.1] [TLSv1.2]
默认:proxy_ssl_protocols TLSv1 TLSv1.1 TLSv1.2
上下文:stream, server

为连接到被代理服务器启用指定的协议。

proxy_ssl_trusted_certificate

语法:proxy_ssl_trusted_certificate file
默认:—
上下文:stream, server

指定一个PEM格式的可信CA证书文件,用于验证被代理服务器的证书。

proxy_ssl_verify

语法:proxy_ssl_verify on | off
默认:proxy_ssl_verify off
上下文:stream, server

启用或禁用验证被代理服务器证书。

proxy_ssl_verify_depth

语法:proxy_ssl_verify_depth number
默认:proxy_ssl_verify_depth 1
上下文:stream, server

设置验证被代理服务器证书链深度。

proxy_timeout

语法:proxy_timeout timeout
默认:proxy_timeout 10m
上下文:stream, server

设置两次成功的与被代理服务器或客户端的连接之间读写操作的超时时间。如果在这个时间没有数据传输,连接将被关闭。

proxy_upload_rate

语法:proxy_upload_rate rate
默认:proxy_upload_rate 0
上下文:stream, server
版本:1.9.3+

限制从客户端读取数据的速度。速率指定为字节每秒。零值禁用速度限制。限制针对每一个连接,所以如果客户端同时开启两个连接,整体速率将为指定限制的两倍。

nginx中文文档-ngx_stream_limit_conn_module

ngx_stream_limit_conn_module模块(1.9.3+)用于限制每一个定义的关键字的连接数,尤其是从单个IP地址收到的连接数。

示例配置

stream {
    limit_conn_zone $binary_remote_addr zone=addr:10m;

    ...

    server {

        ...

        limit_conn           addr 1;
        limit_conn_log_level error;
    }
}

limit_conn

语法:limit_conn zone number
默认:—
上下文:stream, server

为给定的键值设置设置共享内存区域以及最大允许的连接数。当超过这个限制,服务器会关闭连接。例如指令

limit_conn_zone $binary_remote_addr zone=addr:10m;

server {
    ...
    limit_conn addr 1;
}

允许一个IP同时只有一个连接。
当指定多个limit_conn指令时,任何配置的限制都会应用。
当且仅当当前层级中没有limit_conn指令时,指令会继承自上级。

limit_conn_log_level

语法:limit_conn_log_level info | notice | warn | error
默认:limit_conn_log_level error
上下文:stream, server

设置当服务器限制连接数时记录日志的等级。

limit_conn_zone

语法:limit_conn_zone key zone=name:size
默认:—
上下文:stream

设置保存各种关键字状态的共享内存区域参数。状态包含当前连接数。目前,支持关键字的值是客户端地址的二进制格式,指定为$binary_remote_addr。空关键字值的连接不计数。用法示例:
limit_conn_zone $binary_remote_addr zone=addr:10m;
这里,关键字是由$binary_remote_addr设置的客户端IP地址。$binary_remote_addr的大小IPv4地址是4字节,IPv6地址是16字节。保存的状态总是在32位系统上占用32或64字节,在64位系统上是64字节。1M的区域可以保存大约32,000个32字节状态或大约16,000个64字节状态。如果存储区域耗尽,服务器就会关闭连接。