本帖最后由 willning 于 2023-12-18 12:15 编辑
在经典的系统部署架构中,活字格服务管理器(安装在服务器上的服务,加载和运行使用设计器开发的应用)定位于应用服务器,在其上方通常是网关服务器,下方是数据库服务。如果入门了活字格,您大概已经了解了应用服务器和应用服务器的职责。网关服务器能帮咱们做些什么呢?希望通过本教程,您能够找到答案。
在教程中,我们采用业界主流的网关服务器nginx为例,展示网关发挥作用的一些典型场景,如果你的项目也需要(大概率是需要的,即便现在你可能还没有意识到)实现以下这些场景,那就参考这个教程做起来吧。
- 跨域访问:让多个应用共享同一个服务器的同一个端口
- 静态资源:应对微信公众平台、域名拨测等文件验证
- IP黑白名单:满足更高的安全防护要求
- 访问日志:详细记录并分析系统响应能力
一、学习基础概念
在开始之前,如果您还没有听说过或者没有实操过nginx,没关系。nginx的入门课程多如牛毛,比如先花上半个小时,看一下B站上的这个入门课程:
【GeekHour】30分钟Nginx入门教程
或者看一下这篇教程:
这篇文章带你全面掌握 Nginx !
是不是很容易上手?弄清楚nginx的配置方法后,接下来,开始我们的活字格+nginx之旅!
二、跨域访问:让多个应用共享同一个服务器的同一个端口
将同一个系统的多个模块拆分成若干个应用,不论是开发管理还是系统运维都是很值得推荐的实践模式。但如果一个应用的前端页面需要调用另一个应用的服务端命令时,会遇到跨域访问的问题。为了解决这个问题,我们不得不将这些跨应用调用的功能全部挪到服务端命令中:A应用的前端页面调用A应用的服务端命令,在该服务端命令中调用B应用的WebAPI。这种做法平添了开发A应用服务端命令的工作量,后期维护时也会有额外的工作和风险。
在编码开发时,我们通常是通过网关将所有应用统一到同一个地址和端口中,来避免这种跨域访问的问题。在活字格开发中,解决的方式也是一样的。
我们在服务器上架设一台nginx服务器,将多个应用作为nginx的upstream。具体的配置方法如下:
1.1 修改nginx配置,在http节点下方为管理控制台和每个应用配置一个upstream节点,包含机器名和端口号。在我的测试环境中,nginx安装在应用服务器上,所以这里可以直接用localhost。常规情况下,nginx需要部署到和应用服务器在同一个局域网内的另外一台服务器上,此时,您需要将localhost替换为该服务器的内网IP。提示:为应用服务器添加upstream而不是直接在location中跳转,可以提升配置文件的可读性。
upstream us-server{
server localhost:22345;
}
upstream red-server{
server localhost:9101;
}
upstream green-server{
server localhost:9102;
}
1.2 在http→server节点中监听80端口或其他指定的端口号
listen 80;
1.3 在http→server节点中,为管理控制台和每个应用分别配置一个location节点,包含URL的匹配规则和对应的upstream。最常用的规则是从头开始匹配,即^~意味着以后面的字符串开头,如location ^~ /red/匹配到的是所有以/red/开头的location(URL中端口号后面的部分)
特别提示:location的路径需要和应用名保持一致,如应用名是red,location的过滤器需要用^~ /red/
location ^~ /UserService/ {
proxy_pass http://us-server/UserService/;
proxy_redirect default;
}
location ^~ /red/ {
proxy_pass http://red-server/red/;
proxy_redirect default;
}
location ^~ /green/ {
proxy_pass http://green-server/green/;
proxy_redirect default;
}
1.4 在活字格管理控制台上,将应用的“域名”(应用管理→应用→常规设置→设置域名)修改为nginx监听的端口,确保页面的外部导航正常运行。应用的配置中,需要包含应用名。
管理控制台的“域名”也需要设置(设置→安全设置→设置管理控制台站点的域名),控制台的配置不包含应用名
扩展场景:
如果您的IT安全策略要求只能开放80/443端口,但需要访问到多个应用时,也可以用这个方案,实现端口统一化。
三、静态文件:通过微信公众平台等验证
在对接微信公众平台等第三方系统时,对方通常会提出基于文件的域名验证机制,如微信公众平台的JS接口域名验证需要将特定文件放到域名的根目录。
此时,我们可以使用网关的静态资源服务器能力,完成验证工作。
我们在【二、跨域访问】的基础上继续完善nginx配置。具体的操作方法如下:
2.1 在域名管理的界面上,将通过ICP备案的域名指向1.2中nginx服务器的外网地址。域名的申请、管理和备案不是本教程的关注点,您可以和域名供应商联系,寻求帮助
2.2 将需要对外提供访问的静态文件存放到nginx服务器上nginx静态资源根目录中,如/etc/nginx/html(安装方式和版本不同,根目录还可能是/usr/share/nginx/html或/var/www/html,默认情况下,nginx根目录中有index.html和50x.html两个文件)。nginx将根目录中的文件以Web静态资源的形式提供给外部使用。具体而言就是接收到URL为 /xxx.yyy 的请求时,将根目录中的xxx.yyy文件内容作为响应来返回。
四、IP黑白名单:满足更高的安全防护要求
对于一些高安全要求的应用场景,通常会要求做黑白名单,如仅允许特定的IP访问、或不允许某个特定的IP访问。这些工作推荐在网关上执行,将风险拦截在应用服务器之外。
因为活字格内置的管理控制台中包含了应用管理、用户角色管理等敏感操作,很多企业要求为该应用启用白名单控制,仅允许公司IT运维团队专用的IP地址访问。接下来,我们在【二、跨域访问】的基础上继续完善nginx配置来实现白名单。具体的操作方法如下:
修改nginx配置中http→server节点中找到管理控制台对应的location,在下面追加以下内容,将内网的10.32.209.252和外网的113.132.178.118添加到白名单
location ^~ /UserService/ {
proxy_pass http://us-server/UserService/;
proxy_redirect default;
allow 10.32.209.252;
allow 113.132.178.118;
deny all;
}
重要提示:
网关层面的白名单层次高于系统防火墙,两者不是取代关系。您依然需要使用防火墙的策略来避免暴露不必要的端口,以降低安全风险。
五、访问日志:详细记录并分析系统响应能力
当需要评估系统的响应性能、可用性等参数,寻找改进方向时,您需要通过第三方来记录应用的访问日志,然后将其接入主流的日志处理和分析工具链(日志分析是一个“高技术含量”的领域,已经有成熟的方案,如ELK)进行后续处理。
好消息是,nginx内置了日志机制,您只需要做非常简单的配置,就可以得到想要的日志,然后再按照ELK的帮助文档,就能搞定自己的日志分析平台了。我们在【四、黑白名单】的基础上继续完善nginx配置来日志配置。具体的操作方法如下:
5.1 修改nginx配置中http节点,添加一个名为json的日志模板,便于filebeats抓取。建议您根据实际需求设置日志中包含的项目,项目越多,日志文件占用的磁盘空间就越大。比如,如果您需要关心应用服务器的响应速度和调用成功率,需要确保模板中包含$status和$upstream_response_time。
log_format json escape=json '{"time_local": "$time_local", '
'"remote_addr": "$remote_addr", '
'"request_uri": "$request_uri", '
'"status": $status, '
'"upstream_time": "$upstream_response_time"}';
5.2 修改http→server节点,追加访问日志的配置,指定文件路径和刚才定义的名为json的模板
access_log /var/log/nginx/access.log json;
常用的日志项目和参数如下所示:
ELK端的配置和使用方法,可参考这篇入门教程:
https://zhuanlan.zhihu.com/p/163846770
本方案中用到的配置文件如附件,采用了最简单的配置方式,其中worker_processes和worker_connections与资源占用和性能相关,请根据机器配置情况调整。
nginx.conf
(1.98 KB, 下载次数: 501)
|