nginx – 如何在不解密的情况下路由HTTPS加密数据包?

前端之家收集整理的这篇文章主要介绍了nginx – 如何在不解密的情况下路由HTTPS加密数据包?前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。

我们有一个场景,我有两个在虚拟机中运行的应用程序.它们都将在端口80/443上提供流量,但使用不同的主机名.其中一个容器是供应商提供的,它们将解密容器内的HTTPS流量.

我是否可以配置Nginx(或其他工具)根据目标主机名(可能通过SNI)将流量路由到某个VM,而无需解密代理中的数据包?

例如:

myapp1.example.com:443 – > Nginx – > 10.0.0.1:8443(在VM上终止HTTPS)
vendor1.example.com:443 – > Nginx – > 10.0.0.1:9443(在VM上终止HTTPS)@H_403_9@

最佳答案@H_403_9@
这可以通过使用Nginx ngx_stream_ssl_preread_module来实现.这是一个示例配置:

user  Nginx;
worker_processes  auto;

error_log  /var/log/Nginx/error.log warn;
pid        /var/run/Nginx.pid;


events {
    worker_connections  1024;
}

stream {
    upstream server1 {
        server 192.0.2.125:443;
    }

    upstream server2 {
        server 192.0.2.126:443;
    }

    map $ssl_preread_server_name $upstream {
        hostnames;
        .server1.example.com server1;
        .server2.example.com server2;
    }

    server {
        listen 443;
        listen [::]:443;

        ssl_preread on;
        proxy_pass $upstream;
    }
}

upstream指令用于定义要向其发送流量的服务器.然后映射$ssl_preread_server_name允许Nginx从客户端读取请求的SNI值,以正确地将流量定向到右上游框.

如果客户端发送有效的SNI值,这只会起作用.这也允许使用客户端证书进行身份验证,因为在NTERx将流量发送到远程端点之前,TLS连接尚未完成.

@H_403_9@

猜你在找的Nginx相关文章