Module ngx_stream_proxy_module

ngx_stream_proxy_module模块(1.9.0)允许通过 TCP,UDP(1.9.13)和 UNIX 域套接字代理数据流。

Example Configuration

server {
    listen 127.0.0.1:12345;
    proxy_pass 127.0.0.1:8080;
}

server {
    listen 12345;
    proxy_connect_timeout 1s;
    proxy_timeout 1m;
    proxy_pass example.com:12345;
}

server {
    listen 53 udp reuseport;
    proxy_timeout 20s;
    proxy_pass dns.example.com:53;
}

server {
    listen [::1]:12345;
    proxy_pass unix:/tmp/stream.socket;
}

Directives

Syntax:proxy_bind address [transparent] | off;
Default:
Context:stream , server

该指令出现在 1.9.2 版中。

使到代理服务器的传出连接源自指定的本地 IP address。参数值可以包含变量(1.11.2)。特殊值off取消了从以前的配置级别继承的proxy_bind指令的效果,这使系统可以自动分配本地 IP 地址。

transparent参数(1.11.0)允许到代理服务器的传出连接源自 nonlocalIP 地址,例如,源自客户端的真实 IP 地址:

proxy_bind $remote_addr transparent;

为了使此参数起作用,通常必须使用superuser特权运行 nginx worker 进程。在 Linux 上,不需要(1.13.8),就好像指定了transparent参数一样,辅助进程从主进程继承CAP_NET_RAW功能。还必须配置内核路由表以拦截来自代理服务器的网络流量。

Syntax:proxy_buffer_size size;
Default:proxy_buffer_size 16k;
Context:stream , server

该指令出现在版本 1.9.4 中。

设置用于从代理服务器读取数据的缓冲区的size。还设置用于从客户端读取数据的缓冲区的size

Syntax:proxy_connect_timeout time;
Default:proxy_connect_timeout 60s;
Context:stream , server

定义与代理服务器构建连接的超时。

Syntax:proxy_download_rate rate;
Default:proxy_download_rate 0;
Context:stream , server

该指令出现在 1.9.3 版中。

限制从代理服务器读取数据的速度。 rate以每秒字节数指定。零值禁用速率限制。该限制是针对每个连接设置的,因此,如果 nginx 同时打开与代理服务器的两个连接,则总速率将是指定限制的两倍。

参数值可以包含变量(1.17.0)。在应根据特定条件限制费率的情况下,这可能会很有用:

map $slow $rate {
    1     4k;
    2     8k;
}

proxy_download_rate $rate;

Syntax:proxy_next_upstream on | off;
Default:proxy_next_upstream on;
Context:stream , server

如果无法构建与代理服务器的连接,请确定是否将客户端连接传递给下一个服务器。

将连接传递到下一个服务器可能受到尝试次数time的限制。

Syntax:proxy_next_upstream_timeout time;
Default:proxy_next_upstream_timeout 0;
Context:stream , server

将通过连接的时间限制为next server0值关闭了此限制。

Syntax:proxy_next_upstream_tries number;
Default:proxy_next_upstream_tries 0;
Context:stream , server

限制将连接传递到next server的可能尝试次数。 0值关闭了此限制。

Syntax:proxy_pass address;
Default:
Context:server

设置代理服务器的地址。该地址可以指定为域名或 IP 地址以及端口:

proxy_pass localhost:12345;

或作为 UNIX 域套接字路径:

proxy_pass unix:/tmp/stream.socket;

如果一个域名解析为多个地址,则所有这些地址都将以循环方式使用。另外,可以将地址指定为server group

也可以使用变量(1.11.3)指定地址:

proxy_pass $upstream;

在这种情况下,将在描述的server groups中搜索服务器名称,如果找不到,则使用resolver确定服务器名称。

Syntax:proxy_protocol on | off;
Default:proxy_protocol off;
Context:stream , server

该指令出现在 1.9.2 版中。

启用PROXY protocol连接到代理服务器。

Syntax:proxy_requests number;
Default:proxy_requests 0;
Context:stream , server

该指令出现在 1.15.7 版中。

设置丢弃客户端和现有 UDP 流会话之间的绑定的客户端数据报的数量。收到指定数量的数据报后,来自同一客户端的下一个数据报将启动一个新会话。当所有客户端数据报都传输到代理服务器并接收到预期的responses或到达timeout时,会话终止。

Syntax:proxy_responses number;
Default:
Context:stream , server

该指令出现在 1.9.13 版中。

如果使用UDP协议,则设置代理服务器响应客户端数据报而期望的数据报数。该数字用作会话终止的提示。默认情况下,数据报的数量不受限制。

如果指定零值,则不会响应。但是,如果收到响应并且会话仍未完成,则将处理该响应。

Syntax:proxy_session_drop on | off;
Default:proxy_session_drop off;
Context:stream , server

该指令出现在版本 1.15.8 中。

在将代理服务器从组中删除或标记为永久不可用之后,可以终止与代理服务器的所有会话。由于re-resolve或使用 API DELETE命令,可能会发生这种情况。如果服务器被认为是unhealthy或使用 API PATCH命令,则可以将其标记为永久不可用。当为客户端或代理服务器处理下一个读取或写入事件时,每个会话都会终止。

Note

该指令可作为commercial subscription的一部分使用。

Syntax:proxy_socket_keepalive on | off;
Default:proxy_socket_keepalive off;
Context:stream , server

该指令出现在 1.15.6 版中。

为与代理服务器的传出连接配置“ TCP 保持活动”行为。默认情况下,os 的设置对套接字有效。如果伪指令设置为值“ on”,则将为套接字打开SO_KEEPALIVE套接字选项。

Syntax:proxy_ssl on | off;
Default:proxy_ssl off;
Context:stream , server

启用 SSL/TLS 协议以连接到代理服务器。

Syntax:proxy_ssl_certificate file;
Default:
Context:stream , server

使用用于对代理服务器进行身份验证的 PEM 格式的证书指定file

Syntax:proxy_ssl_certificate_key file;
Default:
Context:stream , server

使用 PEM 格式的密钥指定file,用于对代理服务器进行身份验证。

Syntax:proxy_ssl_ciphers ciphers;
Default:proxy_ssl_ciphers DEFAULT;
Context:stream , server

指定用于连接到代理服务器的启用密码。密码以 OpenSSL 库可以理解的格式指定。

可以使用“ openssl ciphers”命令查看完整列表。

Syntax:proxy_ssl_crl file;
Default:
Context:stream , server

指定带有file的 PEM 格式的吊销证书(CRL),用于verify代理服务器的证书。

Syntax:proxy_ssl_name name;
Default:proxy_ssl_name host from proxy_pass;
Context:stream , server

与代理服务器构建连接时,允许覆盖用于verify代理服务器的证书和通过 SNI的服务器名称。也可以使用变量(1.11.3)指定服务器名称。

默认情况下,使用proxy_pass地址的主机部分。

Syntax:proxy_ssl_password_file file;
Default:
Context:stream , server

指定一个带有secret keys密码短语的file,其中每个密码短语都在单独的行上指定。加载密钥时依次尝试使用密码短语。

Syntax:proxy_ssl_protocols [SSLv2] [SSLv3] [TLSv1] [TLSv1.1] [TLSv1.2] [TLSv1.3];
Default:proxy_ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
Context:stream , server

启用指定的协议以连接到代理服务器。

Syntax:proxy_ssl_server_name on | off;
Default:proxy_ssl_server_name off;
Context:stream , server

与代理服务器构建连接时,启用或禁用通过TLS 服务器名称指示扩展(SNI,RFC 6066)传递服务器名称。

Syntax:proxy_ssl_session_reuse on | off;
Default:proxy_ssl_session_reuse on;
Context:stream , server

确定在使用代理服务器时是否可以重用 SSL 会话。如果日志中出现错误“ SSL3_GET_FINISHED:digest check failed”,请尝试禁用会话重用。

Syntax:proxy_ssl_trusted_certificate file;
Default:
Context:stream , server

指定带有file的 PEM 格式的受信任 CA 证书,用于verify代理服务器的证书。

Syntax:proxy_ssl_verify on | off;
Default:proxy_ssl_verify off;
Context:stream , server

启用或禁用代理服务器证书的验证。

Syntax:proxy_ssl_verify_depth number;
Default:proxy_ssl_verify_depth 1;
Context:stream , server

设置代理服务器证书链中的验证深度。

Syntax:proxy_timeout timeout;
Default:proxy_timeout 10m;
Context:stream , server

在客户端或代理服务器连接的两次连续读取或写入操作之间设置timeout。如果在此时间内没有数据传输,则连接将关闭。

Syntax:proxy_upload_rate rate;
Default:proxy_upload_rate 0;
Context:stream , server

该指令出现在 1.9.3 版中。

限制从客户端读取数据的速度。 rate以每秒字节数指定。零值禁用速率限制。该限制是针对每个连接设置的,因此,如果客户端同时打开两个连接,则总速率将是指定限制的两倍。

参数值可以包含变量(1.17.0)。在应根据特定条件限制费率的情况下,这可能会很有用:

map $slow $rate {
    1     4k;
    2     8k;
}

proxy_upload_rate $rate;