Apache 模块 mod_proxy

Summary

mod_proxy及其相关模块为 Apache HTTP Server 实现代理/网关，支持许多流行的协议以及几种不同的负载平衡算法。第三方模块可以添加对其他协议和负载平衡算法的支持。

必须将一组模块加载到服务器中以提供必要的功能。这些模块可以在构建时静态包含，也可以通过LoadModule指令动态包含)。该集合必须包括：

• mod_proxy，提供基本的代理功能

• mod_proxy_balancer和一个或多个平衡器模块(如果需要负载平衡)。 (有关更多信息，请参见mod_proxy_balancer。)

一个或多个代理方案或协议模块：

另外，其他模块提供了扩展功能。 mod_cache和相关模块提供缓存。 mod_ssl的SSLProxy*指令提供了使用 SSL/TLS 协议联系远程服务器的能力。这些附加模块将需要加载和配置以利用这些功能。

正向代理和反向代理/网关

可以在正向和反向代理(也称为网关)模式下配置 Apache HTTP Server。

普通转发代理是位于 Client 端和* origin 服务器*之间的中间服务器。为了从原始服务器获取内容，Client 端向代理发送请求，将原始服务器命名为目标。然后，代理从原始服务器请求内容，并将其返回给 Client 端。必须将 Client 端特别配置为使用正向代理访问其他站点。

转发代理的典型用法是向内部 Client 端提供 Internet 访问，否则内部 Client 端会受到防火墙的限制。转发代理还可以使用缓存(由mod_cache提供)来减少网络使用量。

使用ProxyRequests指令激活转发代理。因为转发代理允许 Client 端通过您的服务器访问任意站点并隐藏其真实来源，所以您必须保护您的服务器以便只有授权的 Client 端才能访问代理，然后再激活转发代理。

相反，反向代理(或网关)对 Client 端来说就像普通的 Web 服务器一样。Client 端上不需要特殊配置。Client 端向反向代理的名称空间中的内容发出普通请求。然后，反向代理决定将这些请求发送到哪里，并像返回内容本身一样返回内容。

反向代理的典型用法是为 Internet 用户提供对位于防火墙后面的服务器的访问权限。反向代理还可以用于平衡多个后端服务器之间的负载，或为较慢的后端服务器提供缓存。此外，反向代理可以简单地用于将多个服务器带入相同的 URL 空间。

使用ProxyPass指令或RewriteRule指令的[P]标志激活反向代理。不需要ProxyRequests来配置反向代理。

Basic Examples

下面的示例只是一个非常基本的想法，可以帮助您入门。请阅读有关各个指令的文档。

另外，如果您希望启用缓存，请查阅mod_cache中的文档。

Reverse Proxy

ProxyPass "/foo" "http://foo.example.com/bar"
ProxyPassReverse "/foo" "http://foo.example.com/bar"

Forward Proxy

ProxyRequests On
ProxyVia On

<Proxy "*">
  Require host internal.example.com
</Proxy>

通过处理程序访问

您还可以通过创建合适的 Handler 传递，将请求强制处理为反向代理请求。下面的示例配置将使用反向代理将对 PHP 脚本的所有请求传递到指定的 FastCGI 服务器：

反向代理 PHP 脚本

<FilesMatch "\.php$">
    # Unix sockets require 2.4.7 or later
    SetHandler  "proxy:unix:/path/to/app.sock|fcgi://localhost/"
</FilesMatch>

Apache HTTP Server 2.4.10 和更高版本中提供了此功能。

Workers

代理在称为工作程序的对象中 Management 原始服务器的配置及其通信参数。有两个内置工作器：默认的正向代理工作器和默认的反向代理工作器。可以明确配置其他工作程序。

这两个默认工作程序具有固定的配置，如果没有其他工作程序匹配该请求，则将使用它们。他们不使用 HTTP Keep-Alive 或连接重用。相反，将为每个请求打开和关闭与原始服务器的 TCP 连接。

明确配置的工作程序由其 URL 标识。当用于反向代理时，通常使用ProxyPass或ProxyPassMatch创建和配置它们：

ProxyPass "/example" "http://backend.example.com" connectiontimeout=5 timeout=30

这将创建与原始服务器 URL http://backend.example.com关联的工作程序，该工作程序将使用给定的超时值。在正向代理中使用时，工作程序通常通过ProxySet指令定义：

ProxySet "http://backend.example.com" connectiontimeout=5 timeout=30

或者使用Proxy和ProxySet：

<Proxy "http://backend.example.com">
  ProxySet connectiontimeout=5 timeout=30
</Proxy>

在转发模式下使用显式配置的工作程序不是很常见，因为转发代理通常与许多不同的原始服务器通信。如果经常使用原始服务器，则为某些原始服务器创建显式工作器仍然很有用。明确配置的工作人员本身没有正向或反向代理的概念。它们封装了与原始服务器通信的通用概念。每当到原始服务器的 URL 与工作服务器 URL 匹配时，由ProxyPass创建的用于反向代理的工作服务器也将用于正向代理服务器请求，反之亦然。

标识直接工作者的 URL 是其原始服务器的 URL，包括给定的所有路径组件：

ProxyPass "/examples" "http://backend.example.com/examples"
ProxyPass "/docs" "http://backend.example.com/docs"

本示例定义了两个不同的工作程序，每个工作程序都使用单独的连接池和配置。

ProxyPass "/apps" "http://backend.example.com/" timeout=60
ProxyPass "/examples" "http://backend.example.com/examples" timeout=10

显式配置的工作者有两种风格：直接工作者和(负载)平衡器工作者。它们支持许多重要的配置属性，下面在ProxyPass指令中进行了描述。也可以使用ProxySet设置相同的属性。

直接工作者可用的选项集取决于原始服务器 URL 中指定的协议。可用的协议包括ajp，fcgi，ftp，http和scgi。

平衡器 Worker 是虚拟 Worker，他们使用直接 Worker(称为其成员)来实际处理请求。每个平衡器可以有多个成员。处理请求时，它将根据配置的负载平衡算法选择一个成员。

如果平衡器工作程序的 URL 使用balancer作为协议方案，则会创建一个平衡器工作程序。平衡器 URL 唯一标识平衡器工作程序。使用BalancerMember将成员添加到平衡器。

控制对代理的访问

您可以控制谁可以通过<Proxy>控制块访问您的代理，如以下示例所示：

<Proxy "*">
  Require ip 192.168.0
</Proxy>

有关访问控制指令的更多信息，请参见mod_authz_host。

如果您使用转发代理(使用ProxyRequests指令)，则严格限制访问权限至关重要。否则，任何 Client 端都可以使用您的服务器访问任意主机，同时隐藏其真实身份。这对于您的网络和整个 Internet 都是危险的。使用反向代理时(将ProxyPass指令与ProxyRequests Off一起使用)，访问控制的重要性不那么严格，因为 Client 端只能联系您专门配置的主机。

另请参见 Proxy-Chain-Auth环境变量。

Slow Startup

如果您使用的是ProxyBlock指令，则会在启动过程中查找并缓存主机名的 IP 地址，以供以后进行匹配测试。这可能需要几秒钟(或更长时间)，具体取决于主机名查找发生的速度。

Intranet Proxy

内联网中的 Apache httpd 代理服务器需要通过公司的防火墙转发外部请求(为此，配置ProxyRemote指令以将相应的方案转发到防火墙代理)。但是，当它必须访问 Intranet 中的资源时，可以在访问主机时绕过防火墙。 NoProxy指令对于指定哪些主机属于 Intranet 很有用，应直接访问。

内联网中的用户倾向于从其 WWW 请求中省略本地域名，从而请求使用“ http：// somehost /”而不是http://somehost.example.com/。一些商业代理服务器允许他们摆脱这种情况，而只是为请求提供服务，这意味着已配置了本地域。当使用ProxyDomain指令且服务器为配置为代理服务时，Apache httpd 可以返回重定向响应，并将 Client 端发送到正确的标准服务器地址。这是首选方法，因为用户的书签文件将包含完全合格的主机。

Protocol Adjustments

对于mod_proxy将请求发送到未正确实现 Keepalive 或 HTTP/1.1 的原始服务器的情况，有两个environment variables可以强制请求使用不具有 keepalive 的 HTTP/1.0. 这些是通过SetEnv指令设置的。

这些是force-proxy-request-1.0和proxy-nokeepaliveComments。

<Location "/buggyappserver/">
  ProxyPass "http://buggyappserver:7001/foo/"
  SetEnv force-proxy-request-1.0 1
  SetEnv proxy-nokeepalive 1
</Location>

在 2.4.26 及更高版本中，可以将“ no-proxy”环境变量设置为禁用mod_proxy处理当前请求。此变量应设置为SetEnvIf，因为对SetEnv的评估还不够早。

Request Bodies

一些请求方法(例如 POST)包括请求正文。 HTTP 协议要求包含正文的请求使用分块传输编码或发送Content-Length请求 Headers。将这些请求传递到原始服务器时，mod_proxy_http将始终尝试发送Content-Length。但是，如果主体很大，并且原始请求使用了分块编码，那么分块编码也可以在上游请求中使用。您可以使用environment variables控制此选择。设置proxy-sendcl通过始终发送Content-Length来确保与上游服务器的最大兼容性，而设置proxy-sendchunked则通过使用分块编码来最大程度地减少资源使用。

在某些情况下，服务器必须将请求正文后台处理到磁盘上，以满足请求的请求正文处理。例如，如果原始正文是通过分块编码发送的(并且很大)，则将发生假脱机，但是 Management 员已要求使用 Content-Length 或 HTTP/1.0 发送后端请求。如果请求正文已具有 Content-Length Headers，但服务器已配置为过滤传入的请求正文，则也可能发生假脱机。

LimitRequestBody仅适用于服务器将后台处理到磁盘的请求正文

反向代理请求 Headers

在反向代理模式下(例如，使用ProxyPass指令)时，mod_proxy_http添加了几个请求 Headers，以便将信息传递到原始服务器。这些标题是：

• X-Forwarded-For

  • Client 端的 IP 地址。

• X-Forwarded-Host

  • Client 端在Host HTTP 请求 Headers 中请求的原始主机。

• X-Forwarded-Server

  • 代理服务器的主机名。

在原始服务器上使用这些 Headers 时要小心，因为如果原始请求中已经包含这些 Headers 之一，则它们将包含多个(逗号分隔)值。例如，您可以在原始服务器的日志格式字符串中使用%{X-Forwarded-For}i来记录原始 Client 端 IP 地址，但是如果请求通过多个代理，则可能会获得多个地址。

另请参见ProxyPreserveHost和ProxyVia指令，它们控制其他请求 Headers。

注意：如果需要指定要添加到转发的请求中的自定义请求 Headers，请使用RequestHeader指令。

BalancerGrowth Directive

除了预配置的数量外，该指令还可以增加虚拟主机可用的均衡器数量的增长潜力。仅在至少有一个预配置的 Balancer 时才生效。

BalancerInherit Directive

此指令将导致当前服务器/虚拟主机“继承”主服务器中定义的 ProxyPass 平衡器和工作器。如果使用 Balancer Manager，这可能会导致问题和行为不一致，因此，如果使用该功能，则应将其禁用。

全局服务器中的设置定义了所有虚拟主机的默认设置。

BalancerMember Directive

该指令将成员添加到负载平衡组。它可以在<Proxy balancer://...>容器指令中使用，并且可以采用ProxyPass指令可用的任何键值对参数。

另外一个参数仅可用于BalancerMember指令：loadfactor。这是成员负载系数-十进制数字，介于 1.0(默认值)和 100.0 之间，它定义了要施加到所讨论成员的加权负载。

仅当不在<Proxy balancer://...>容器指令中时才需要 balancerurl。它对应于ProxyPass指令中定义的平衡器的 url。

任何<Proxy balancer://...>容器指令中的平衡器 URL 的路径部分都将被忽略。

通常应从BalancerMember的 URL 中删除斜杠。

BalancerPersist Directive

此伪指令将导致与平衡器和平衡器成员相关联的共享内存存储在重新启动后得以保留。这样，在正常的重新启动/正常状态转换期间，这些本地更改不会丢失。

NoProxy Directive

该指令仅对内部网中的 Apache httpd 代理服务器有用。 NoProxy指令指定子网，IP 地址，主机和/或域的列表，以空格分隔。与主机中的一个或多个主机匹配的请求始终直接得到响应，而不会转发到已配置的ProxyRemote代理服务器。

Example

ProxyRemote  "*"  "http://firewall.example.com:81"
NoProxy         ".example.com" "192.168.112.0/21"

NoProxy指令的主机参数是以下类型列表之一：

• Domain

  • 域是部分合格的 DNS 域名，后跟一个句点。它代表逻辑上属于同一 DNS 域或区域的主机列表(，即，主机名的后缀都以 Domain 结尾)。

Examples

.com .example.org.

为了区分 Domains 与Hostname s(在语法上和语义上； DNS 域也可以具有 DNS A 记录！)，Domains 始终以前置句号编写。

• SubNet

  • 子网是数字(点分四边形)形式的部分合格的互联网地址，可以选择在其后跟斜杠和网络掩码，指定为子网中的有效位数。它用于表示可以通过通用网络接口访问的主机的子网。在没有显式网络掩码的情况下，假定省略(或零值)尾随数字指定掩码。 (在这种情况下，网络掩码只能是 8 位宽的倍数.)示例：

• 192.168或192.168.0.0

  • 隐含 16 个有效位的隐式网络掩码的子网 192.168.0.0(有时以255.255.0.0的网络掩码形式使用)

  • 192.168.112.0/21

    • 子网192.168.112.0/21的网络掩码为 21 个有效位(也以255.255.248.0的形式使用)

简而言之，具有 32 个有效位的* SubNet 等效于IPAddr，而具有零有效位( eg *，0.0.0.0/0)的 SubNet 与常量_Default 相同，匹配任何 IP 地址。

• IPAddr

  • IPAddr 以数字(点分四边形)形式表示完全合格的 Internet 地址。通常，此地址代表一台主机，但不一定必须将 DNS 域名与该地址连接。

Example

192.168.123.7

• Hostname

  • 主机名是完全限定的 DNS 域名，可以通过 DNS 域名服务将其解析为一个或多个IPAddrs。它代表一个逻辑主机(与Domain s 相反，请参见上文)，并且必须至少可解析为一个IPAddr(或通常可解析为具有不同IPAddr s 的主机列表)。

Examples

prep.ai.example.edu www.example.org

See also

• DNS Issues

Directive

放在<Proxy>部分中的指令仅适用于匹配的代理内容。允许使用壳式通配符。

例如，以下内容将仅允许yournetwork.example.com中的主机通过您的代理服务器访问内容：

<Proxy "*">
  Require host yournetwork.example.com
</Proxy>

以下示例将在通过代理服务器发送文件时通过INCLUDES过滤器处理example.com foo目录中的所有文件：

<Proxy "http://example.com/foo/*">
  SetOutputFilter INCLUDES
</Proxy>

See also

• <ProxyMatch>

Proxy100Continue Directive

该指令确定代理是否应将 100-continue期望：转发给原始服务器，从而让它决定何时/是否应读取 HTTP 请求正文，或者何时确定Off代理应通过以下方式生成 100 continue中间响应：本身，然后转发请求主体。

ProxyAddHeaders Directive

该指令确定是否应通过 X-Forwarded-For，X-Forwarded-Host 和 X-Forwarded-Server HTTP Headers 将与代理相关的信息传递给后端服务器。

ProxyBadHeader Directive

如果ProxyBadHeader指令从源服务器接收到语法上无效的响应头行(即不包含冒号的*，即*)，则它确定mod_proxy的行为。以下参数是可能的：

• IsError

  • 中止该请求并以 502(错误网关)响应结束。这是默认行为。

• Ignore

  • 将错误的标题行视为未发送。

• StartBody

  • 当收到第一行错误的标题行时，请完成读取标题并将其余部分视为正文。这有助于解决有问题的后端服务器，这些服务器忘记在 Headers 和正文之间插入空行。

ProxyBlock Directive

ProxyBlock伪指令指定单词，主机和/或域的列表，以空格分隔。对名称包含匹配的单词，主机或域的站点的 HTTP，HTTPS 和 FTP 文档请求被代理服务器“阻止”。代理模块还将尝试确定列表项的 IP 地址，这些列表项在启动期间可能是主机名，并将它们也缓存以进行匹配测试。这可能会减慢服务器的启动时间。

Example

ProxyBlock "news.example.com" "auctions.example.com" "friends.example.com"

请注意，example也足以匹配这些网站中的任何一个。

如果 IP 地址引用了主机，主机也将匹配。

另请注意

ProxyBlock "*"

阻止与所有站点的连接。

ProxyDomain Directive

该指令仅对内部网中的 Apache httpd 代理服务器有用。 ProxyDomain指令指定 apache 代理服务器将属于的默认域。如果遇到对没有域名的主机的请求，将生成对附加了配置的域的同一主机的重定向响应。

Example

ProxyRemote  "*"  "http://firewall.example.com:81"
NoProxy         ".example.com" "192.168.112.0/21"
ProxyDomain     ".example.com"

ProxyErrorOverride Directive

对于在最终用户看到的错误页面上具有通用外观的反向代理设置，此指令很有用。这还允许包含的文件(通过mod_include的 SSI)获取错误代码并采取相应措施。 (默认行为将显示代理服务器的错误页面.将其打开会显示 SSI 错误消息.)

该指令不影响信息性(1xx)，正常成功(2xx)或重定向(3xx)响应的处理。

ProxyIOBufferSize Directive

ProxyIOBufferSize伪指令调整内部缓冲区的大小，该缓冲区用作 Importing 和输出之间数据的暂存器。大小必须至少为512。

在几乎每种情况下，都没有理由更改该值。

如果与 AJP 一起使用，则此伪指令设置最大 AJP 数据包大小(以字节为单位)。大于 65536 的值将设置为 65536.如果将其更改为默认值，则还必须在 Tomcat 端更改 AJP 连接器的packetSize属性！属性packetSize仅在 Tomcat 5.5.20+和6.0.2+中可用

通常，没有必要更改最大数据包大小。发送证书或证书链时，已报告默认值问题。

Directive

<ProxyMatch>指令与<Proxy>指令相同，区别在于它与使用regular expressions的 URL 匹配。

从 2.4.8 开始，将捕获命名的组和反向引用，并将其以大写的前缀“ MATCH_”的相应名称写入环境。这允许从expressions和mod_rewrite之类的模块中引用 URL 的元素。为了防止混淆，已编号(未命名)的反向引用将被忽略。请改用命名组。

<ProxyMatch "^http://(?<sitename>[^/]+)">
    Require ldap-group cn=%{env:MATCH_SITENAME},ou=combined,o=Example
</ProxyMatch>

See also

• <Proxy>

ProxyMaxForwards Directive

ProxyMaxForwards指令指定如果请求中没有提供Max-ForwardsHeaders，则请求可以通过的最大代理数。可以设置此项以防止无限代理循环或 DoS 攻击。

Example

ProxyMaxForwards 15

请注意，设置ProxyMaxForwards违反了 HTTP/1.1 协议(RFC2616)，如果 Client 端未进行设置，则该设置将禁止代理设置Max-Forwards。早期的 Apache httpd 版本将始终对其进行设置。负ProxyMaxForwards值(包括默认值-1)可为您提供符合协议的行为，但可能会让您陷入循环。

ProxyPass Directive

该指令允许将远程服务器 Map 到本地服务器的空间。本地服务器在常规意义上不充当代理，而似乎是远程服务器的镜像。本地服务器通常称为反向代理或网关。路径是本地虚拟路径的名称； url 是远程服务器的部分 URL，不能包含查询字符串。

在 2.4.7 及更高版本中，可以通过使用位于unix:/path/lis.sock|前面的目标来支持使用 Unix 域套接字。例如，要代理 HTTP 并将 UDS 定位于/home/www.socket，应使用unix:/home/www.socket|http://localhost/whatever/。

在<Location>部分中使用时，将省略第一个参数，并从<Location>获取本地目录。 <LocationMatch>部分中也会发生同样的情况；但是，ProxyPass 不会这样解释正则表达式，因此在这种情况下必须使用ProxyPassMatch。

假设本地服务器的地址为http://example.com/；然后

<Location "/mirror/foo/">
    ProxyPass "http://backend.example.com/"
</Location>

将导致对http://example.com/mirror/foo/bar的本地请求在内部转换为对http://backend.example.com/bar的代理请求。

如果您需要更灵活的反向代理配置，请参阅带有[P]标志的RewriteRule指令。

可以使用以下替代语法；但是，当数量很大时，它可能会降低性能。以下语法的优点是它允许通过Balancer Manager接口进行动态控制：

ProxyPass "/mirror/foo/" "http://backend.example.com/"

!指令在您不希望反向代理子目录(例如*)的情况下非常有用

<Location "/mirror/foo/">
    ProxyPass "http://backend.example.com/"
</Location>
<Location "/mirror/foo/i">
    ProxyPass "!"
</Location>

ProxyPass "/mirror/foo/i" "!"
ProxyPass "/mirror/foo" "http://backend.example.com"

会将对/mirror/foo的所有请求代理到backend.example.com *对/mirror/foo/i的请求除外。

在不同的上下文中混合使用 ProxyPass 设置无效：

ProxyPass "/mirror/foo/i" "!"
<Location "/mirror/foo/">
    ProxyPass "http://backend.example.com/"
</Location>

在这种情况下，对/mirror/foo/i的请求将被代理，因为 Location 块中的ProxyPass指令将首先被评估。 ProxyPass同时支持服务器和目录上下文的事实并不意味着它们在配置文件中的范围和位置将保证任何 Sequences 或覆盖。

ProxyPass key=value参数

在 Apache HTTP Server 2.1 和更高版本中，mod_proxy 支持与后端服务器的池化连接。可将按需创建的连接保留在池中以备将来使用。池大小和其他设置的限制可以使用key=value参数在ProxyPass伪指令中编码，如下表所述。

使用ttl参数设置可选的生存时间；至少ttl秒未使用的连接将被关闭。 ttl可用于避免使用由于后端服务器的保持活动超时而被关闭的连接。

Example

ProxyPass "/example" "http://backend.example.com" max=20 ttl=120 retry=300

如果 Proxy 指令方案以balancer://开头(例如balancer://cluster，则忽略任何路径信息)，那么将创建一个实际上不与后端服务器通信的虚拟工作程序。相反，它负责 Management 多个“实际”Worker。在这种情况下，可以将特殊的参数集添加到该虚拟工作程序。有关平衡器如何工作的更多信息，请参见mod_proxy_balancer。

sample 平衡器设置：

ProxyPass "/special-area" "http://special.example.com" smax=5 max=10
ProxyPass "/" "balancer://mycluster/" stickysession=JSESSIONID|jsessionid nofailover=On
<Proxy "balancer://mycluster">
    BalancerMember "ajp://1.2.3.4:8009"
    BalancerMember "ajp://1.2.3.5:8009" loadfactor=20
    # Less powerful server, don't send as many requests there,
    BalancerMember "ajp://1.2.3.6:8009" loadfactor=5
</Proxy>

配置热备用可以帮助确保每个负载均衡器集始终有一定数量的 Worker 可供使用：

ProxyPass "/" "balancer://sparecluster/"
<Proxy balancer://sparecluster>
    BalancerMember ajp://1.2.3.4:8009
    BalancerMember ajp://1.2.3.5:8009
    # The servers below are hot spares. For each server above that is unusable
    # (draining, stopped, unreachable, in error state, etc.), one of these spares
    # will be used in its place. Two servers will always be available for a request
    # unless one or more of the spares is also unusable.
    BalancerMember ajp://1.2.3.6:8009 status=+R
    BalancerMember ajp://1.2.3.7:8009 status=+R
</Proxy>

设置仅当负载均衡器集中没有其他成员(或备用)时才使用的热备用：

ProxyPass "/" "balancer://hotcluster/"
<Proxy "balancer://hotcluster">
    BalancerMember "ajp://1.2.3.4:8009" loadfactor=1
    BalancerMember "ajp://1.2.3.5:8009" loadfactor=2.25
    # The server below is on hot standby
    BalancerMember "ajp://1.2.3.6:8009" status=+H
    ProxySet lbmethod=bytraffic
</Proxy>

其他 ProxyPass 关键字

通常，mod_proxy 将规范化 ProxyPassed URL。但这可能与某些后端不兼容，尤其是那些使用 PATH_INFO 的后端。可选的 nocanon 关键字抑制了这种情况，并将 URL 路径“原始”传递到后端。请注意，此关键字可能会影响后端的安全性，因为它取消了针对代理提供的基于 URL 的攻击的常规有限保护。

通常，在生成 SCRIPT_FILENAME 环境变量时，mod_proxy 将包含查询字符串。可选的 noquery 关键字(在 httpd 2.4.1 和更高版本中可用)可防止此情况。

可选的 interpolate 关键字与ProxyPassInterpolateEnv结合使用，使 ProxyPass 使用语法${VARNAME}对环境变量进行插值。请注意，插值发生时，许多标准的 CGI 派生环境变量将不存在，因此对于复杂的规则，您可能仍必须求助于mod_rewrite。还要注意，URL 的方案/主机名/端口部分仅支持在解析指令时可用的变量(例如Define)内插。可以使用mod_rewrite动态确定这些字段。以下示例描述了如何使用mod_rewrite将方案动态设置为 http 或 https：

RewriteEngine On

RewriteCond "%{HTTPS}" =off
RewriteRule "." "-" [E=protocol:http]
RewriteCond "%{HTTPS}" =on
RewriteRule "." "-" [E=protocol:https]

RewriteRule "^/mirror/foo/(.*)" "%{ENV:protocol}://backend.example.com/$1" [P]
ProxyPassReverse  "/mirror/foo/" "http://backend.example.com/"
ProxyPassReverse  "/mirror/foo/" "https://backend.example.com/"

ProxyPassInherit Directive

该指令将导致当前服务器/虚拟主机“继承”主服务器中定义的ProxyPass指令。如果使用 Balancer Manager 进行动态更改，则可能导致问题和行为不一致，因此，如果使用该功能，则应禁用它。

全局服务器中的设置定义了所有虚拟主机的默认设置。

禁用 ProxyPassInherit 也将禁用BalancerInherit。

ProxyPassInterpolateEnv Directive

该指令与ProxyPass，ProxyPassReverse，ProxyPassReverseCookieDomain和ProxyPassReverseCookiePath的插值参数一起使用，可以使用可由其他模块(例如mod_rewrite)设置的环境变量来动态配置反向代理。如果设置了 interpolate 选项，它将影响ProxyPass，ProxyPassReverse，ProxyPassReverseCookieDomain和ProxyPassReverseCookiePath伪指令，并使它们用环境变量varname的值替换配置伪指令中的字符串${varname}。

ProxyPass的 scheme/hostname/port 部分可以包含变量，但是仅当解析指令(例如，使用Define)时可用的变量。对于所有其他用例，请考虑改为使用mod_rewrite。

ProxyPassMatch Directive

该指令等效于ProxyPass，但使用正则表达式而不是简单的前缀匹配。提供的正则表达式与 url 匹配，如果匹配，则服务器会将所有带括号的匹配替换为给定的字符串，并将其用作新的 url。

假设本地服务器的地址为http://example.com/；然后

ProxyPassMatch "^/(.*\.gif)$" "http://backend.example.com/$1"

将导致对http://example.com/foo/bar.gif的本地请求在内部转换为对http://backend.example.com/foo/bar.gif的代理请求。

ProxyPassMatch "^(/.*\.gif)$" "http://backend.example.com:8000$1"

ProxyPassMatch "^/(.*\.gif)$" "http://backend.example.com:8000/$1"

!伪指令在您不想反向代理子目录的情况下很有用。

在<LocationMatch>部分中使用时，将省略第一个参数，并从<LocationMatch>获得正则表达式。

如果您需要更灵活的反向代理配置，请参阅带有[P]标志的RewriteRule指令。

ProxyPassReverse Directive

该指令使 Apache httpd 可以调整 HTTP 重定向响应中Location，Content-Location和URIHeaders 中的 URL。当 Apache httpd 用作反向代理(或网关)以避免由于反向服务器上的 HTTP 重定向位于反向代理后面而导致绕过反向代理时，这是必不可少的。

仅上面特别提到的 HTTP 响应 Headers 将被重写。 Apache httpd 不会重写其他响应 Headers，默认情况下也不会重写 HTML 页面内的 URL 引用。这意味着，如果代理内容包含绝对 URL 引用，则它们将绕过代理。要重写 HTML 内容以匹配代理，必须加载并启用mod_proxy_html。

path 是本地虚拟路径的名称； url 是远程服务器的部分 URL。这些参数的使用方式与ProxyPass指令相同。

例如，假设本地服务器的地址为http://example.com/；然后

ProxyPass         "/mirror/foo/" "http://backend.example.com/"
ProxyPassReverse  "/mirror/foo/" "http://backend.example.com/"
ProxyPassReverseCookieDomain  "backend.example.com"  "public.example.com"
ProxyPassReverseCookiePath  "/"  "/mirror/foo/"

不仅会导致对http://example.com/mirror/foo/bar的本地请求在内部转换为对http://backend.example.com/bar的代理请求(ProxyPass在此提供的功能)。它还负责将服务器backend.example.com重定向到http://backend.example.com/quux时服务器backend.example.com发送的重定向。在将 HTTP 重定向响应转发到 Client 端之前，Apache httpd 将其调整为http://example.com/mirror/foo/quux。注意，用于构造 URL 的主机名是根据UseCanonicalName指令的设置选择的。

请注意，此ProxyPassReverse指令也可以与mod_rewrite中的代理功能(RewriteRule ... [P])结合使用，因为它不依赖于相应的ProxyPass指令。

可选的 interpolate 关键字与ProxyPassInterpolateEnv一起使用，可以对使用${VARNAME}格式指定的环境变量进行插值。请注意，URL 的方案部分不支持插值。

在<Location>部分中使用时，将省略第一个参数，并从<Location>获取本地目录。在<LocationMatch>部分中也会发生同样的情况，但可能不会按预期方式工作，因为 ProxyPassReverse 会将正则表达式从字面上解释为路径。如果在这种情况下需要，请在此部分外部或单独的<Location>部分中指定 ProxyPassReverse。

<Directory>或<Files>部分不支持此指令。

ProxyPassReverseCookieDomain Directive

用法基本上类似于ProxyPassReverse，但不是重写 URL 头，而是重写Set-Cookie头中的domain字符串。

ProxyPassReverseCookiePath Directive

在后端 URL 路径 Map 到反向代理上的公共路径的情况下，与ProxyPassReverse结合使用时非常有用。该指令将Set-CookieHeaders 中的path字符串重写。如果 Cookie 路径的开头与内部路径匹配，则 Cookie 路径将替换为 public-path。

在ProxyPassReverse给出的示例中，指令：

ProxyPassReverseCookiePath  "/"  "/mirror/foo/"

会将后端路径为/(或/example或实际上为任何东西)的 cookie 重写为/mirror/foo/。

ProxyPreserveHost Directive

启用后，此选项会将 Host：行从传入请求传递到代理主机，而不是在ProxyPass行中指定的主机名。

通常应将此选项设置为Off。它在特殊的配置(例如基于质量的代理虚拟主机)中非常有用，其中原始 Host Headers 需要后端服务器评估。

ProxyReceiveBufferSize Directive

ProxyReceiveBufferSize指令为代理的 HTTP 和 FTP 连接指定显式(TCP/IP)网络缓冲区大小，以提高吞吐量。它必须大于512或设置为0，以指示应使用系统的默认缓冲区大小。

Example

ProxyReceiveBufferSize 2048

ProxyRemote Directive

这定义了此代理的远程代理。 match 是远程服务器支持的 URL 方案的名称，或者是应使用远程服务器的部分 URL，或者*表示应为所有请求联系该服务器。 remote-server 是远程服务器的部分 URL。句法：

remote-server = scheme://hostname[:port]

方案实际上是应该用于与远程服务器通信的协议；此模块仅支持http和https。使用https时，将使用 HTTP CONNECT 方法通过远程代理转发请求。

Example

ProxyRemote "http://goodguys.example.com/" "http://mirrorguys.example.com:8000"
ProxyRemote "*" "http://cleverproxy.localdomain"
ProxyRemote "ftp" "http://ftpproxy.mydomain:8080"

在最后一个示例中，代理将转发封装为另一个 HTTP 代理请求的 FTP 请求到另一个可以处理它们的代理。

此选项还支持反向代理配置。可以将后端 Web 服务器嵌入到虚拟主机 URL 空间中，即使该服务器被另一个正向代理隐藏了。

ProxyRemoteMatch Directive

ProxyRemoteMatch与ProxyRemote指令相同，除了第一个参数是与所请求 URL 的regular expression匹配。

ProxyRequests Directive

这允许或阻止 Apache httpd 充当正向代理服务器。 (将 ProxyRequests 设置为Off不会禁用ProxyPass指令的使用。)

在典型的反向代理或网关配置中，此选项应设置为Off。

为了获得代理 HTTP 或 FTP 站点的功能，服务器中还需要存在mod_proxy_http或mod_proxy_ftp(或两者都有)。

为了获得(转发)代理 HTTPS 站点的功能，您需要在服务器中启用mod_proxy_connect。

See also

• 正向和反向代理/网关

ProxySet Directive

此伪指令用作设置通常可通过ProxyPass伪指令完成的代理平衡器和工作者可用参数的替代方法。如果在<Proxy balancer url|worker url>容器指令中使用，则不需要 url 参数。作为副作用，创建了各个平衡器或 Worker。通过RewriteRule而不是ProxyPass指令进行反向代理时，这很有用。

<Proxy "balancer://hotcluster">
    BalancerMember "http://www2.example.com:8080" loadfactor=1
    BalancerMember "http://www3.example.com:8080" loadfactor=2
    ProxySet lbmethod=bytraffic
</Proxy>

<Proxy "http://backend">
    ProxySet keepalive=On
</Proxy>

ProxySet "balancer://foo" lbmethod=bytraffic timeout=15

ProxySet "ajp://backend:7001" timeout=15

ProxySourceAddress Directive

此指令允许设置连接到后端服务器时要绑定的特定本地地址。

ProxyStatus Directive

该指令确定是否通过mod_status server-status 页面显示代理负载均衡器状态数据。

ProxyTimeout Directive

该指令允许用户指定代理请求的超时时间。当您的应用服务器慢速/挂起时，这很有用，您宁愿返回超时并优雅地失败，而不是 await 服务器返回所需的时间。

ProxyVia Directive

此伪指令控制代理对Via: HTTP Headers 的使用。它的预期用途是控制沿着代理服务器链的代理请求的流。有关Via:Headers 行的说明，请参见RFC 2616(HTTP/1.1)，第 14.45 节。

• 如果设置为默认值Off，则不执行任何特殊处理。如果请求或答复包含Via:Headers，则会原样传递。

• 如果设置为On，则每个请求和回复都将为当前主机添加Via:标题行。

• 如果设置为Full，则每个生成的Via:Headers 行还将具有显示为Via:Comments 字段的 Apache httpd 服务器版本。

• 如果设置为Block，则每个代理请求都将删除其所有Via:Headers 行。不会生成新的Via:Headers。