← 返回

在 OpenResty Edge 中配置 SNI 代理

章亦春发布于 Jun 5, 2023 更新于 May 22, 2024

预计阅读 5 分钟

阅读次数

申请试用 OpenResty Edge

今天，我将演示如何在 OpenResty Edge 中为带有 SNI 扩展的 TLS 连接设置一个反向代理。Edge 服务器将监听 4003 端口，根据请求的 SNI 名，将请求代理到 google.com 或 ebay.com。

创建一个 SNI Proxy 类型的应用

首先让我们进入 OpenResty Edge 的 Admin Web 控制台。这是我们的控制台的样本部署。每个用户都有自己的本地部署。

我们将创建一个 Stream 类型的应用。

选择 Stream 应用列表页。

创建一个新的应用。

可以看到有两种类型的 Stream 应用： SNI Proxy 和 TCP。

默认选择的是 SNI Proxy 类型，也就是今天的主题。

TCP 应用在另一个教程中有介绍。

输入 “www.google.com” 作为域名。

在这个视频中，我们要处理具有不同 SNI 名的请求。因此需要多个域名。

点击这个按钮，添加第二个域名：www.ebay.com。

创建这个应用。

为这个应用创建上游和页面规则

转到上游页面。

创建一个新的上游。

给这个上游取一个名字，比如，“google”。

这里我们输入 google 的主机名。

输入端口号 443。

点击保存这个上游。

现在来创建第二个上游。

将这个上游命名为 “eBay”。

这里输入 eBay 的主机名。

输入端口号 443。

点击保存此上游。

可以看到这两个上游，“google” 和 “eBay” 已经出现在上游列表页。

现在创建页面规则来使用这些上游。

创建第一个页面规则。

对于这个页面规则，我们需要指定一个条件。

可以在这里选择条件的变量名。

我们将根据请求的 SNI 名选择代理的上游，所以变量名应该是 SNI 服务器名。

搜索 SNI。

选择 SNI 服务器名。

操作符这里保持默认选择 String= 不要变。

值的类型应该是 String。

输入 “www.google.com” 作为值。

添加一个代理目标。

选择我们刚刚创建的第一个上游。

这里有几个均衡策略可供选择。

由于我们的上游只有一个服务器。所以选择什么均衡策略并不重要。

保持默认的轮询策略就好。

因为要通过公共网络访问这个上游。所以我们在这里将所有的超时时间设置为 60 秒。

创建这个页面规则。

现在来创建另一个页面规则。

为这个规则也指定一个条件。

条件的变量名仍然是 SNI 服务器名。

输入 “www.ebay.com” 作为值。

添加一个代理目标。

选择我们刚刚创建的第二个上游。

将所有超时时间改为 60 秒。

创建这个页面规则。

可以看到代理页面规则已经出现在页面规则列表页。

最后一步是做一个新配置的发布。把我们刚才的改动推送到所有的网关服务器上。

点击这个按钮做一个新的发布。

发布。

改动现在已经同步到所有的网关服务器上了。可以看到，这个样本部署在网关网络中有 14 台服务器。

我们在整个网络中进行增量的配置同步。

我们在请求粒度上实时更新配置。应用级别的配置更改都不需要服务器重载、重启或二进制升级。所以，即使你有很多不同的用户进行频繁的发布，它的可扩展性也很强。

如图所示，我们将使用 4003 作为监听端口。先把这个端口添加到该应用的分区中。

跳转到网关分区页面。

打开网关分区页面。我们现在是在分区列表页。可以看到已经有很多分区存在。

我们将在分区 “default” 中添加一个 SNI Proxy 类型的端口。

点击这个按钮。

来添加端口。

可以看到列表顶部出现了新的一行。

输入 4003 作为端口号。

类型选择 SNI Proxy。

点击保存。

可以看到，新的端口已经成功地被添加到默认分区中。

关闭这个面板。

通过 OpenResty Edge 管理所有应用程序

测试 SNI Proxy 类型的应用

现在让我们转到网关集群页面，选择一个 Edge 服务器来做测试。

选择一个位于美国的节点，注意其 IP 地址是以 .84 结尾的。

我们将使用这个服务器测试刚才添加的页面规则。

用 SNI 名 www.google.com，发送一个 curl 请求。

curl -I --resolve www.google.com:4003:3.131.85.84 https://www.google.com:4003

可以看到，服务器确实是 google。这意味着我们刚刚添加的页面规则生效了。SNI 名为 “www.google.com” 的请求被代理到了正确的上游。

现在来发送另一个 SNI 名为 “www.ebay.com” 的 curl 请求。

curl -I --resolve www.ebay.com:4003:3.131.85.84 https://www.ebay.com:4003

可以看到服务器是 ebay。第二个页面规则也生效了。

现在用浏览器来做测试。首先来看一下机器上的 Host 绑定。

cat /etc/hosts

可以看到 Host 绑定是正确的。

然后用浏览器访问 google。

访问 eBay。

关于 OpenResty Edge

OpenResty Edge 是一款专为微服务和分布式流量架构设计的全能型网关软件，由我们自主研发。它集流量管理、私有 CDN 构建、API 网关、安全防护等功能于一体，帮助您轻松构建、管理和保护现代应用程序。OpenResty Edge 拥有业界领先的性能和可扩展性，能够满足高并发、高负载场景下的苛刻需求。它支持调度 K8s 等容器应用流量，并可管理海量域名，轻松满足大型网站和复杂应用的需求。

申请试用 OpenResty Edge

如果你喜欢这个教程，请订阅这个博客网站和我们的 YouTube 频道或 B 站频道。谢谢！

关于作者

章亦春是开源 OpenResty^® 项目创始人兼 OpenResty Inc. 公司 CEO 和创始人。

章亦春（Github ID: agentzh），生于中国江苏，现定居美国湾区。他是中国早期开源技术和文化的倡导者和领军人物，曾供职于多家国际知名的高科技企业，如 Cloudflare、雅虎、阿里巴巴, 是 “边缘计算“、”动态追踪 “和 “机器编程 “的先驱，拥有超过 22 年的编程及 16 年的开源经验。作为拥有超过 4000 万全球域名用户的开源项目的领导者。他基于其 OpenResty^® 开源项目打造的高科技企业 OpenResty Inc. 位于美国硅谷中心。其主打的两个产品 OpenResty XRay（利用动态追踪技术的非侵入式的故障剖析和排除工具）和 OpenResty Edge（最适合微服务和分布式流量的全能型网关软件），广受全球众多上市及大型企业青睐。在 OpenResty 以外，章亦春为多个开源项目贡献了累计超过百万行代码，其中包括，Linux 内核、Nginx、LuaJIT、GDB、SystemTap、LLVM、Perl 等，并编写过 60 多个开源软件库。