Proxy#
Permite passar requisições para outro servidor (com proxy). Faz com que conexões de saída para um servidor com proxy se originem do endereço IP local especificado com uma porta opcional. O valor do parâmetro pode conter variáveis. O valor especial O parâmetro Para que este parâmetro funcione, geralmente é necessário executar os processos worker do Angie com privilégios de superusuário. No Linux isso não é necessário, pois se o parâmetro Nota É necessário configurar a tabela de roteamento do kernel para interceptar o tráfego de rede do servidor com proxy. Define o tamanho do buffer usado para ler a primeira parte da resposta recebida do servidor com proxy. Esta parte geralmente contém um pequeno cabeçalho de resposta. Por padrão, o tamanho do buffer é igual a uma página de memória. Isso é 4K ou 8K, dependendo da plataforma. Pode ser feito menor, no entanto. Habilita ou desabilita o buffering de respostas do servidor com proxy. O Angie recebe uma resposta do servidor com proxy o mais rápido possível, salvando-a nos buffers definidos pelas diretivas proxy_buffer_size e proxy_buffers. Se toda a resposta não couber na memória, uma parte dela pode ser salva em um arquivo temporário no disco. A escrita em arquivos temporários é controlada pelas diretivas proxy_max_temp_file_size e proxy_temp_file_write_size. A resposta é passada para um cliente de forma síncrona, imediatamente conforme é recebida. O Angie não tentará ler toda a resposta do servidor com proxy. O tamanho máximo dos dados que o Angie pode receber do servidor de uma vez é definido pela diretiva proxy_buffer_size. O buffering também pode ser habilitado ou desabilitado passando "yes" ou "no" no campo de cabeçalho de resposta Define o número e tamanho dos buffers usados para ler uma resposta do servidor com proxy, para uma única conexão. Por padrão, o tamanho do buffer é igual a uma página de memória. Isso é 4K ou 8K, dependendo da plataforma. Padrão http, server, location Quando o buffering de respostas do servidor com proxy está habilitado, limita o tamanho total dos buffers que podem estar ocupados enviando uma resposta para o cliente enquanto a resposta ainda não foi totalmente lida. Enquanto isso, o resto dos buffers pode ser usado para ler a resposta e, se necessário, fazer buffer de parte da resposta em um arquivo temporário. Por padrão, o tamanho é limitado pelo tamanho de dois buffers definidos pelas diretivas proxy_buffer_size e proxy_buffers. Define uma zona de memória compartilhada usada para cache.
A mesma zona pode ser usada em vários lugares.
O valor do parâmetro pode conter variáveis. desabilita o cache herdado do nível de configuração anterior. Adicionado na versão 1.2.0: PRO No Angie PRO, você pode especificar múltiplas diretivas proxy_cache_path que
usam o mesmo valor O valor é avaliado no momento de fazer cache da resposta do backend
e espera-se que use variáveis, incluindo aquelas contendo
informações da resposta. Se a resposta for retirada do cache, o path não é reavaliado;
assim, uma resposta em cache mantém seu path original
até ser removida do cache. Isso permite selecionar o caminho de cache necessário aplicando diretivas map ou
scripts às respostas do backend. Exemplo para Aqui há dois caminhos de cache e um mapeamento de variável para distinguir entre eles.
Se Nota Ao usar proxy_cache,
você normalmente precisa também definir a diretiva proxy_cache_valid
para especificar explicitamente o tempo de cache para respostas.
Se não for definida, o Angie não usa valores padrão
mas determina o tempo de cache da resposta
baseado nos cabeçalhos de resposta HTTP do servidor na seguinte ordem de prioridade: O cabeçalho O cabeçalho O cabeçalho Se nenhum desses cabeçalhos contiver valores válidos ou não estiver presente,
a resposta não será armazenada em cache porque seu tempo de expiração não pode ser determinado. Padrão http, server, location Permite iniciar uma sub-requisição em segundo plano para atualizar um item de cache expirado, enquanto uma resposta em cache obsoleta é retornada ao cliente. Aviso O uso de uma resposta em cache obsoleta enquanto está sendo atualizada deve ser permitido. Define condições sob as quais a resposta não será retirada do cache. Se pelo menos um valor dos parâmetros de string não estiver vazio e não for igual a "0", então a resposta não será retirada do cache: Pode ser usado junto com a diretiva proxy_no_cache. Padrão http, server, location Habilita ou desabilita a conversão do método "HEAD" para "GET" para cache. Se a conversão estiver desabilitada, a chave de cache deve incluir o $request_method. Padrão http, server, location Define uma chave para cache, por exemplo, Por padrão, o valor da diretiva é próximo à string Quando habilitado, apenas uma requisição por vez será permitida para popular um novo elemento de cache identificado de acordo com a diretiva proxy_cache_key passando uma requisição para o servidor proxy. Outras requisições para o mesmo elemento de cache irão aguardar uma resposta aparecer no cache ou para o bloqueio de cache para este elemento ser liberado, até o tempo definido pela diretiva proxy_cache_lock_timeout. Se a última requisição passada para o servidor proxy para popular um novo elemento de cache não foi completada pelo tempo especificado, mais uma requisição pode ser passada para o servidor proxy. Padrão http, server, location Define um timeout para proxy_cache_lock. Quando o tempo expira, a requisição será passada para o servidor proxy, porém, a resposta não será armazenada em cache. Define um deslocamento em bytes para requisições de intervalo de bytes. Se o intervalo estiver além do deslocamento especificado, a requisição de intervalo será passada para o servidor proxy e a resposta não será armazenada em cache. Padrão http, server, location Se o método de requisição do cliente estiver listado nesta diretiva, então a resposta será armazenada em cache. Os métodos "GET" e "HEAD" são sempre adicionados à lista, mas é recomendado especificá-los explicitamente. Veja também a diretiva proxy_no_cache. Define o número de requisições após as quais a resposta será armazenada em cache. Padrão — http Define o path e outros parâmetros de um cache. Os dados de cache são armazenados em arquivos. O nome do arquivo em um cache é resultado da aplicação da função MD5 à chave de cache. define níveis de hierarquia de um cache: de 1 a 3, cada nível aceita valores 1 ou 2. Por exemplo, na seguinte configuração: nomes de arquivo em um cache ficarão assim: Uma resposta em cache é primeiro escrita em um arquivo temporário, e então o arquivo é renomeado. Arquivos temporários e o cache podem ser colocados em sistemas de arquivos diferentes. Porém, esteja ciente de que neste caso um arquivo é copiado entre dois sistemas de arquivos ao invés da operação barata de renomeação. É assim recomendado que para qualquer localização dada tanto o cache quanto um diretório contendo arquivos temporários sejam colocados no mesmo sistema de arquivos. Define o diretório para arquivos temporários Se este parâmetro for omitido ou definido para o valor Arquivos temporários serão colocados diretamente no diretório de cache. Define o nome e tamanho da zona de memória compartilhada que armazena todas as chaves ativas e informações sobre dados. Uma zona de um megabyte pode armazenar cerca de 8.000 chaves. Quando o parâmetro opcional file é usado com Se a zona não puder ser restaurada devido a uma mudança no tamanho,
incompatibilidade de versão binária, ou outras razões,
o Angie registrará um aviso ( Aviso Certifique-se de que o caminho do file está especificado corretamente
e tem as permissões necessárias para o Angie usar,
e está protegido de acesso não autorizado;
caminhos relativos são baseados no prefix. Se dados de cache não forem acessados durante o tempo especificado por este parâmetro, os dados são removidos independentemente de sua atualidade. Por padrão, Nota Adicionado na versão 1.2.0: PRO No Angie PRO, você pode especificar múltiplas diretivas proxy_cache_path com o mesmo valor Um processo especial gerenciador de cache monitora o tamanho máximo do cache e a quantidade mínima de espaço livre no sistema de arquivos com o cache, e remove os dados menos recentemente usados quando o tamanho máximo do cache é excedido ou quando não há espaço livre suficiente. O processo de remoção funciona em iterações. valor limite máximo para o tamanho do cache valor limite mínimo para espaço livre no sistema de arquivos com o cache número máximo de itens de cache a serem removidos em uma iteração Por padrão: limita a duração de uma iteração Por padrão: configura uma pausa entre iterações Por padrão: Um minuto após o Angie iniciar, um processo especial carregador de cache é ativado.
Ele examina o sistema de arquivos em busca de dados previamente armazenados em cache
e carrega essas informações na zona de cache.
Este processo funciona iterativamente;
cada iteração processa um número limitado de itens especificado pelo parâmetro número máximo de itens de cache a carregar em uma iteração Por padrão: limita a duração de uma iteração Por padrão: configura uma pausa entre iterações Por padrão: Nota Especificar o file para o parâmetro Padrão http, server, location Habilita a revalidação de itens de cache expirados usando requisições condicionais com os campos de cabeçalho Padrão http, server, location Determina em quais casos uma resposta de cache obsoleta pode ser usada. Os parâmetros da diretiva correspondem aos da diretiva proxy_next_upstream. permite usar uma resposta de cache obsoleta se um servidor proxy para processar uma requisição não puder ser selecionado. parâmetro adicional, permite usar uma resposta de cache obsoleta se ela estiver sendo atualizada no momento. Isso permite minimizar o número de acessos aos servidores proxy ao atualizar dados em cache. Usar uma resposta de cache obsoleta também pode ser habilitado diretamente no cabeçalho da resposta por um número especificado de segundos após a resposta ter se tornado obsoleta: A extensão stale-while-revalidate do campo de cabeçalho A extensão stale-if-error do campo de cabeçalho Nota Isso tem prioridade menor que usar os parâmetros da diretiva. Para minimizar o número de acessos aos servidores proxy ao popular um novo elemento de cache, a diretiva proxy_cache_lock pode ser usada. Define o tempo de cache para diferentes códigos de resposta. Por exemplo, as diretivas definem 10 minutos de cache para respostas com códigos 200 e 302 e 1 minuto para respostas com código 404. Se apenas o tempo de cache for especificado, então apenas respostas 200, 301 e 302 são armazenadas em cache. Além disso, o parâmetro Nota Parâmetros de cache também podem ser definidos diretamente no cabeçalho da resposta. Isso tem prioridade maior que a definição do tempo de cache usando a diretiva. O campo de cabeçalho Se o cabeçalho não incluir o campo Se o cabeçalho incluir o campo Se o cabeçalho incluir o campo O processamento de um ou mais desses campos de cabeçalho de resposta pode ser desabilitado usando a diretiva proxy_ignore_headers. Define um timeout para estabelecer uma conexão com um servidor proxy. Deve-se notar que este timeout geralmente não pode exceder 75 segundos. Padrão http, server, location Habilita o encerramento de todas as conexões com o servidor proxy após ele ter sido
removido do grupo ou marcado como permanentemente indisponível por um processo de reresolve
ou pelo comando da API Uma conexão é encerrada quando o próximo evento de leitura ou escrita é processado para
o cliente ou o servidor proxy. Definir time habilita um timeout de encerramento de conexão;
com Habilita o suporte a byte-range tanto para respostas em cache quanto não em cache do servidor proxy, independentemente do campo Padrão http, server, location Define o tamanho do bucket para tabelas hash usadas pelas diretivas proxy_hide_header e proxy_set_header. Os detalhes da configuração de tabelas hash são fornecidos separadamente. Padrão http, server, location Define o tamanho máximo das tabelas hash usadas pelas diretivas proxy_hide_header e proxy_set_header. Os detalhes da configuração de tabelas hash são fornecidos separadamente. Por padrão, o Angie não passa os campos de cabeçalho Padrão http, server, location, if in location, limit_except Define a versão do protocolo HTTP para proxy.
Por padrão, a versão 1.0 é usada.
A versão 1.1 ou superior
é recomendada para uso com
conexões keepalive. Alterna o modo especial de negociação Aviso Habilite este modo apenas para executar testes especializados que explicitamente o exigem. Padrão http, server Inicializa as configurações HTTP/3 e QUIC
e define o número máximo de streams de requisição HTTP/3 concorrentes em uma
conexão.
Requer habilitar conexões keepalive. Padrão http, server, location Define a capacidade da tabela dinâmica
para conexões proxy. Nota Uma diretiva similar http3_max_table_capacity
define este valor para conexões de servidor.
Para evitar erros, o uso da tabela dinâmica
é desabilitado quando o cache está habilitado no modo proxy. Padrão http, server Define o tamanho do buffer usado para leitura e escrita de
streams QUIC. Padrão http, server, location Determina se a conexão com um servidor proxy deve ser fechada quando um cliente fecha a conexão sem aguardar uma resposta. Desabilita o processamento de certos campos de cabeçalho de resposta do servidor proxy. Os seguintes campos podem ser ignorados: Se não desabilitado, o processamento desses campos de cabeçalho tem o seguinte efeito: Padrão http, server, location Determina se respostas proxy com códigos maiores ou iguais a 300 devem ser passadas para um cliente ou serem interceptadas e redirecionadas para o Angie para processamento com a diretiva error_page. Limita a velocidade de leitura da resposta do servidor proxy.
A taxa é especificada em bytes por segundo e pode conter variáveis. desabilita a limitação de taxa Nota O limite é definido por requisição, então se o Angie abrir simultaneamente duas conexões para o servidor proxy, a taxa geral será duas vezes maior que o limite especificado. A limitação funciona apenas se o buffering de respostas do servidor proxy estiver habilitado. Padrão http, server, location Quando o buffering de respostas do servidor proxy está habilitado, e toda a resposta não cabe nos buffers definidos pelas diretivas proxy_buffer_size e proxy_buffers, uma parte da resposta pode ser salva em um arquivo temporário. Esta diretiva define o tamanho máximo do arquivo temporário. O tamanho dos dados escritos no arquivo temporário por vez é definido pela diretiva proxy_temp_file_write_size. desabilita o buffering de respostas para arquivos temporários Nota Esta restrição não se aplica a respostas que serão cacheadas ou armazenadas em disco. Especifica o método HTTP a ser usado em requisições encaminhadas para o servidor proxy em vez do método da requisição do cliente. O valor do parâmetro pode conter variáveis. Padrão http, server, location Especifica em quais casos uma requisição deve ser passada para o próximo servidor no grupo upstream: ocorreu um erro ao estabelecer uma conexão com o servidor, passar uma requisição para ele, ou ler o cabeçalho da resposta; ocorreu um timeout ao estabelecer uma conexão com o servidor, passar uma requisição para ele, ou ler o cabeçalho da resposta; um servidor retornou uma resposta vazia ou inválida; um servidor retornou uma resposta com o código 500; um servidor retornou uma resposta com o código 502; um servidor retornou uma resposta com o código 503; um servidor retornou uma resposta com o código 504; um servidor retornou uma resposta com o código 403; um servidor retornou uma resposta com o código 404; um servidor retornou uma resposta com o código 429; normalmente, requisições com um método não-idempotente
( desabilita passar uma requisição para o próximo servidor. Nota Deve-se ter em mente que passar uma requisição para o próximo servidor só é possível se nada foi enviado para um cliente ainda. Ou seja, se um erro ou timeout ocorre no meio da transferência de uma resposta, corrigir isso é impossível. A diretiva também define o que é considerado uma tentativa mal-sucedida de comunicação com um servidor. sempre consideradas tentativas mal-sucedidas, mesmo se não especificadas na diretiva consideradas tentativas mal-sucedidas apenas se especificadas na diretiva nunca consideradas tentativas mal-sucedidas Passar uma requisição para o próximo servidor pode ser limitado pelo número de tentativas e por tempo. Padrão http, server, location Limita o tempo durante o qual uma requisição pode ser passada para o próximo servidor. desativa esta limitação Padrão http, server, location Limita o número de tentativas possíveis para passar uma requisição para o próximo servidor. desativa esta limitação Define condições sob as quais a resposta não será salva em um cache. Se pelo menos um valor dos parâmetros string não estiver vazio e não for igual a "0", então a resposta não será salva: Pode ser usado junto com a diretiva proxy_cache_bypass. Define o protocolo e endereço de um servidor proxy e uma URI opcional para a qual uma localização deve ser mapeada. Como protocolo, ou como um caminho de socket de domínio UNIX especificado após a palavra Se um nome de domínio resolve para vários endereços, todos eles serão usados de forma round-robin. Além disso, um endereço pode ser especificado como um grupo de servidores. O valor do parâmetro pode conter variáveis. Neste caso, se um endereço é especificado como um nome de domínio, o nome é procurado entre os grupos de servidores descritos, e, se não encontrado, é determinado usando um resolver. Um URI de requisição é passado para o servidor da seguinte forma: Se a diretiva Se Em alguns casos, a parte de um URI de requisição a ser substituída não pode ser determinada: Quando Nestes casos, Quando o URI é alterado dentro de um Neste caso, o URI especificado na diretiva é ignorado e o URI de requisição alterado completo é passado para o servidor. Quando variáveis são usadas em Neste caso, se o URI for especificado na diretiva, ele é passado para o servidor como está, substituindo o URI de requisição original. O proxy WebSocket requer configuração especial. Permite passar campos de cabeçalho desabilitados de outra forma de um servidor com proxy para um cliente. Padrão http, server, location Indica se o corpo da requisição original é passado para o servidor com proxy. Veja também as diretivas proxy_set_header e proxy_pass_request_headers. Padrão http, server, location Indica se os campos de cabeçalho da requisição original são passados para o servidor com proxy. Veja também as diretivas proxy_set_header e proxy_pass_request_body. Permite passar campos de trailer de um servidor com proxy para um cliente. Uma seção de trailer em HTTP/1.1 é explicitamente habilitada. Padrão http, server Define o valor do parâmetro de transporte Alterna o envio de dados em
modo de lote otimizado para QUIC
usando
generic segmentation offload. Define um file com a chave secreta
usada com QUIC
para criptografar
Stateless Reset
e
Address Validation
tokens.
Por padrão, uma chave aleatória é gerada a cada reinicialização.
Tokens gerados com chaves antigas não são aceitos. Define um timeout para ler uma resposta do servidor com proxy. O timeout é definido apenas entre duas operações de leitura sucessivas, não para a transmissão de toda a resposta. Se o servidor com proxy não transmitir nada dentro deste tempo, a conexão é fechada. Padrão http, server, location Define o texto que deve ser alterado nos campos de cabeçalho "Location" e "Refresh" de uma resposta do servidor com proxy. Suponha que um servidor com proxy retornou o campo de cabeçalho: A diretiva reescreverá esta string para: Um nome de servidor pode ser omitido na string replacement: então o nome do servidor primário e a porta, se diferente de 80, serão inseridos. A substituição padrão especificada pelo parâmetro Aviso O parâmetro Uma string replacement pode conter variáveis: Um redirect também pode conter variáveis: A diretiva pode ser especificada usando expressões regulares. Neste caso, redirect deve começar com o símbolo "~" para correspondência sensível a maiúsculas e minúsculas, ou com os símbolos "~*" para correspondência insensível a maiúsculas e minúsculas. A expressão regular pode conter capturas nomeadas e posicionais, e replacement pode referenciá-las: Várias diretivas proxy_redirect podem ser especificadas no mesmo nível: Se várias diretivas puderem ser aplicadas aos campos de cabeçalho de uma resposta do servidor proxy, a primeira diretiva correspondente será escolhida. O parâmetro Usando esta diretiva, também é possível adicionar nomes de host a redirecionamentos relativos emitidos por um servidor proxy: Padrão http, server, location Habilita ou desabilita o buffer do corpo da requisição do cliente. todo o corpo da requisição é lido do cliente antes de enviar a requisição para um servidor proxy. o corpo da requisição é enviado para o servidor proxy imediatamente conforme é recebido. Neste caso, a requisição não pode ser passada para o próximo servidor se o Angie já começou a enviar o corpo da requisição. Quando a codificação de transferência em blocos HTTP/1.1 é usada para enviar o corpo da requisição original, o corpo da requisição será armazenado em buffer independentemente do valor da diretiva, a menos que HTTP/1.1 esteja habilitado para proxy. Se a diretiva for definida com um valor diferente de zero, o Angie tentará minimizar o número de operações de envio em conexões de saída para um servidor proxy usando a flag NOTE_LOWAT do método kqueue, ou a opção de socket SO_SNDLOWAT, com o tamanho especificado. Nota Esta diretiva é ignorada no Linux, Solaris e Windows. Define um timeout para transmitir uma requisição para o servidor proxy. O timeout é definido apenas entre duas operações de escrita sucessivas, não para a transmissão de toda a requisição. Se o servidor proxy não receber nada dentro deste tempo, a conexão é fechada. Permite redefinir o corpo da requisição passado para o servidor proxy. O valor pode conter texto, variáveis e suas combinações. Padrão http, server, location Permite redefinir ou anexar campos ao cabeçalho da requisição passado para o servidor proxy. O value pode conter texto, variáveis e suas combinações. Essas diretivas são herdadas do nível de configuração anterior se e somente se não houver diretivas proxy_set_header definidas no nível atual. Por padrão, apenas dois campos são redefinidos: Se o cache estiver habilitado, os campos de cabeçalho Um campo de cabeçalho de requisição "Host" inalterado pode ser passado assim: No entanto, se este campo não estiver presente em um cabeçalho de requisição do cliente, então nada será passado. Neste caso, é melhor usar a variável $host - seu valor é igual ao nome do servidor no campo de cabeçalho de requisição "Host" ou o nome do servidor primário se este campo não estiver presente: Além disso, o nome do servidor pode ser passado junto com a porta do servidor proxy: Se o valor de um campo de cabeçalho for uma string vazia, então este campo não será passado para um servidor proxy: Padrão http, server, location Configura o comportamento "TCP keepalive" para conexões de saída para um servidor proxy. Por padrão, as configurações do sistema operacional estão em vigor para o socket. A opção de socket SO_KEEPALIVE é ativada para o socket. Especifica um arquivo com o certificado no formato PEM usado para autenticação em um servidor HTTPS proxy. Variáveis podem ser usadas no nome do arquivo. Adicionado na versão 1.2.0. Quando proxy_ssl_ntls está habilitado, a diretiva aceita dois argumentos em vez de um: Padrão http, server, location Define um cache que armazena certificados SSL e chaves secretas especificados usando variáveis. A diretiva suporta os seguintes parâmetros: Exemplo: Especifica um arquivo com a chave secreta no formato PEM usado para autenticação em um servidor HTTPS proxy. O valor Variáveis podem ser usadas no nome do arquivo. Adicionado na versão 1.2.0. Quando proxy_ssl_ntls está habilitado, a diretiva aceita dois argumentos em vez de um: Especifica as cifras habilitadas para requisições a um servidor HTTPS com proxy. As cifras são especificadas no formato compreendido pela biblioteca OpenSSL. A lista de cifras depende da versão do OpenSSL instalada.
A lista completa pode ser visualizada usando o comando Aviso A diretiva No LibreSSL, cifras TLS 1.3 podem ser configuradas usando
No BoringSSL, cifras TLS 1.3 não podem ser configuradas de forma alguma. Define comandos arbitrários de configuração OpenSSL ao estabelecer uma conexão com o servidor HTTPS com proxy. Nota A diretiva é suportada ao usar OpenSSL 1.0.2 ou superior.
Para configurar cifras TLS 1.3 com OpenSSL, use o comando Várias diretivas proxy_ssl_conf_command podem ser especificadas no mesmo nível. Essas diretivas são herdadas do nível de configuração anterior se e somente se não há diretivas proxy_ssl_conf_command definidas no nível atual. Aviso Note que configurar o OpenSSL diretamente pode resultar em comportamento inesperado. Especifica um arquivo com certificados revogados (CRL) no formato PEM usado para verificar o certificado do servidor HTTPS com proxy. Permite sobrescrever o nome do servidor usado para verificar o certificado do servidor HTTPS com proxy e para ser passado através de SNI ao estabelecer uma conexão com o servidor HTTPS com proxy. Por padrão, a parte do host da URL proxy_pass é usada. Adicionado na versão 1.2.0. Habilita suporte do lado do cliente para NTLS usando a biblioteca TLS TongSuo. Nota O Angie deve ser compilado com o parâmetro de configuração Especifica um arquivo com senhas para chaves secretas onde cada senha é especificada em uma linha separada. As senhas são tentadas em sequência ao carregar a chave. Padrão http, server, location Alterado na versão 1.2.0: Parâmetro Habilita os protocolos especificados para requisições a um servidor HTTPS com proxy. Padrão http, server, location Habilita ou desabilita a passagem do nome do servidor
definido pela diretiva proxy_ssl_name
via a extensão TLS
Server Name Indication
(SNI,
RFC 6066)
ao estabelecer uma conexão com o servidor HTTPS com proxy. Padrão http, server, location Determina se sessões SSL podem ser reutilizadas ao trabalhar com o servidor com proxy. Se os erros "SSL3_GET_FINISHED:digest check failed" aparecerem nos logs, tente desabilitar a reutilização de sessão. Especifica um arquivo com certificados CA confiáveis no formato PEM usado para verificar o certificado do servidor HTTPS com proxy. Habilita ou desabilita a verificação do certificado do servidor HTTPS com proxy. Define a profundidade de verificação na cadeia de certificados do servidor HTTPS com proxy. Habilita o salvamento de arquivos em disco. salva arquivos de acordo com caminhos especificados nas diretivas alias ou root proíbe o salvamento de arquivos O nome do arquivo pode ser definido explicitamente usando uma string com variáveis: O tempo de modificação dos arquivos é definido de acordo com o campo de cabeçalho de resposta Esta diretiva pode ser usada para criar cópias locais de arquivos estáticos imutáveis, por exemplo: ou assim: Padrão http, server, location Define permissões de acesso para arquivos e diretórios recém-criados, por exemplo: Se quaisquer permissões de acesso Padrão http, server, location Limita o tamanho dos dados gravados em um arquivo temporário por vez, quando o buffering de respostas do servidor proxy para arquivos temporários está habilitado. Por padrão, o tamanho é limitado por dois buffers definidos pelas diretivas proxy_buffer_size e proxy_buffers. O tamanho máximo de um arquivo temporário é definido pela diretiva proxy_max_temp_file_size. Padrão http, server, location Define um diretório para armazenar arquivos temporários com dados recebidos de servidores proxy. Até três níveis de hierarquia de subdiretórios podem ser usados abaixo do diretório especificado. Por exemplo, na seguinte configuração um arquivo temporário pode parecer assim: Veja também o parâmetro use_temp_path da diretiva proxy_cache_path. O módulo http_proxy suporta variáveis integradas que podem ser usadas para compor cabeçalhos usando a diretiva proxy_set_header: nome e porta de um servidor proxy conforme especificado na diretiva proxy_pass; porta de um servidor proxy conforme especificado na diretiva proxy_pass, ou a porta padrão do protocolo; o campo de cabeçalho de requisição do cliente Exemplo de Configuração#
location / {
proxy_pass http://localhost:8000;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_cache cache_zone;
proxy_cache_valid 200 302 10m;
proxy_cache_valid 404 1m;
}
Diretivas#
proxy_bind#
off cancela o efeito da diretiva proxy_bind herdada do nível de configuração anterior, o que permite ao sistema atribuir automaticamente o endereço IP local e a porta.transparent permite que conexões de saída para um servidor com proxy se originem de um endereço IP não-local, por exemplo, de um endereço IP real de um cliente:proxy_bind $remote_addr transparent;
transparent for especificado, os processos worker herdam a capacidade CAP_NET_RAW do processo mestre.proxy_buffer_size#
proxy_buffering#
onoffX-Accel-Buffering. Esta capacidade pode ser desabilitada usando a diretiva proxy_ignore_headers.proxy_buffers#
proxy_busy_buffers_size#
proxy_busy_buffers_size size;proxy_busy_buffers_size 8k | 16k;proxy_cache#
offkeys_zone para habilitar fragmentação de cache. Ao fazer isso,
você deve definir o parâmetro path da diretiva proxy_cache
que usa este valor keys_zone:path=pathContent-Type:proxy_cache_path /cache/one keys_zone=zone:10m;
proxy_cache_path /cache/two keys_zone=zone;
map $upstream_http_content_type $cache {
~^text/ one;
default two;
}
server {
...
location / {
proxy_pass http://backend;
proxy_cache zone path=/cache/$cache;
proxy_cache_valid 200 10m;
}
}
Content-Type começar com text/, o primeiro caminho será escolhido,
caso contrário o segundo.X-Accel-Expires (maior prioridade).Cache-Control
com parâmetros max-age ou s-maxage.Expires.proxy_cache_background_update#
proxy_cache_background_update on | off;proxy_cache_background_update off;proxy_cache_bypass#
proxy_cache_bypass $cookie_nocache $arg_nocache$arg_comment;
proxy_cache_bypass $http_pragma $http_authorization;
proxy_cache_convert_head#
proxy_cache_convert_head on | off;proxy_cache_convert_head on;proxy_cache_key#
proxy_cache_key string;proxy_cache_key $scheme$proxy_host$request_uri;proxy_cache_key "$host$request_uri $cookie_user";
proxy_cache_key $scheme$proxy_host$uri$is_args$args;
proxy_cache_lock#
proxy_cache_lock_age#
proxy_cache_lock_timeout#
proxy_cache_lock_timeout time;proxy_cache_lock_timeout 5s;proxy_cache_max_range_offset#
proxy_cache_methods#
proxy_cache_methods GET | HEAD | POST ...;proxy_cache_methods GET HEAD;proxy_cache_min_uses#
proxy_cache_path#
proxy_cache_path path [levels=levels] [use_temp_path=on | off] keys_zone=name:size[:file=file] [inactive=time] [max_size=size] [min_free=size] [manager_files=number] [manager_sleep=time] [manager_threshold=time] [loader_files=number] [loader_sleep=time] [loader_threshold=time];levelsproxy_cache_path /data/angie/cache levels=1:2 keys_zone=one:10m;
/data/angie/cache/c/29/b7f54b2df7773722d382f4809d65029c
use_temp_path=on | offonon, o diretório definido pela diretiva proxy_temp_path para a location dada será usado.offkeys_zonekeys_zone,
o Angie descarrega o conteúdo desta zona para o disco
na saída do processo mestre
e tenta restaurá-la no mesmo endereço de memória
na próxima inicialização
ou após uma atualização binária
para alcançar persistência mais robusta
e melhorar o tempo de carregamento do cache.failed to restore zone at address)
e não usará o mecanismo de restauração de zona.
Em vez disso, o arquivo incompatível será renomeado para .old;
você pode deletá-lo,
ou restaurar seu nome e reverter o Angie para a configuração e versão
onde foi originalmente criado.inactiveinactive é 10 minutos.keys_zone. O tamanho da zona de memória compartilhada só pode ser especificado na primeira diretiva. A seleção entre diretivas será baseada no parâmetro path da diretiva proxy_cache correspondente.max_sizemin_freemanager_files100.manager_threshold200 milissegundos.manager_sleep50 milissegundos.loader_files,
garante que não exceda loader_threshold,
então faz uma pausa curta definida por loader_sleep
antes de passar para o próximo lote.
As iterações continuam
até que o carregador tenha processado todas as entradas de cache existentes no disco:loader_files100loader_threshold200 milissegundosloader_sleep50 milissegundoskeys_zone
não afeta a operação do carregador de cache.proxy_cache_revalidate#
proxy_cache_revalidate on | off;proxy_cache_revalidate off;If-Modified-Since e If-None-Match.proxy_cache_use_stale#
proxy_cache_use_stale error | timeout | invalid_header | updating | http_500 | http_502 | http_503 | http_504 | http_403 | http_404 | http_429 | off ...;proxy_cache_use_stale off;errorupdatingCache-Control permite usar uma resposta de cache obsoleta se ela estiver sendo atualizada no momento.Cache-Control permite usar uma resposta de cache obsoleta em caso de erro.proxy_cache_valid#
proxy_cache_valid 200 302 10m;
proxy_cache_valid 404 1m;
proxy_cache_valid 5m;
any pode ser especificado para armazenar em cache qualquer resposta:proxy_cache_valid 200 302 10m;
proxy_cache_valid 301 1h;
proxy_cache_valid any 1m;
X-Accel-Expires define o tempo de cache de uma resposta em segundos. O valor zero desabilita o cache para uma resposta. Se o valor começar com o prefixo @, ele define um tempo absoluto em segundos desde a Época, até o qual a resposta pode ser armazenada em cache.X-Accel-Expires, parâmetros de cache podem ser definidos nos campos de cabeçalho Expires ou Cache-Control.Set-Cookie, tal resposta não será armazenada em cache.Vary com o valor especial "*", tal resposta não será armazenada em cache. Se o cabeçalho incluir o campo Vary com outro valor, tal resposta será armazenada em cache levando em conta os campos de cabeçalho de requisição correspondentes.proxy_connect_timeout#
proxy_connection_drop#
proxy_connection_drop time | on | off;proxy_connection_drop off;DELETE.on definido, as conexões são descartadas imediatamente.proxy_force_ranges#
Accept-Ranges nessas respostas.proxy_headers_hash_bucket_size#
proxy_headers_hash_bucket_size size;proxy_headers_hash_bucket_size 64;proxy_headers_hash_max_size#
proxy_headers_hash_max_size size;proxy_headers_hash_max_size 512;proxy_hide_header#
Date, Server, X-Pad e X-Accel-... da resposta de um servidor proxy para um cliente. A diretiva proxy_hide_header define campos adicionais que não serão passados. Se, ao contrário, a passagem de campos precisar ser permitida, a diretiva proxy_pass_header pode ser usada.proxy_http_version#
proxy_http_version 1.0 | 1.1 | 3;proxy_http_version 1.0;proxy_http3_hq#
hq-interop,
que é usado para
testes de interoperabilidade QUIC
marten-seemann/quic-interop-runner
nos quais o Angie se baseia.proxy_http3_max_concurrent_streams#
proxy_http3_max_concurrent_streams number;proxy_http3_max_concurrent_streams 128;proxy_http3_max_table_capacity#
proxy_http3_max_table_capacity number;proxy_http3_max_table_capacity 4096;proxy_http3_stream_buffer_size#
proxy_http3_stream_buffer_size size;proxy_http3_stream_buffer_size 64k;proxy_ignore_client_abort#
proxy_ignore_client_abort on | off;proxy_ignore_client_abort off;proxy_ignore_headers#
X-Accel-Redirect, X-Accel-Expires, X-Accel-Limit-Rate, X-Accel-Buffering, X-Accel-Charset, Expires, Cache-Control, Set-Cookie, e Vary.X-Accel-Expires, Expires, Cache-Control, Set-Cookie e Vary definem os parâmetros de cache da resposta;X-Accel-Redirect executa um redirecionamento interno para o URI especificado;X-Accel-Limit-Rate define o limite de taxa para transmissão de uma resposta para um cliente;X-Accel-Buffering habilita ou desabilita o buffering de uma resposta;X-Accel-Charset define o charset desejado de uma resposta.proxy_intercept_errors#
proxy_intercept_errors on | off;proxy_intercept_errors off;proxy_limit_rate#
0proxy_max_temp_file_size#
proxy_max_temp_file_size tamanho;proxy_max_temp_file_size 1024m;0proxy_method#
proxy_next_upstream#
proxy_next_upstream error | timeout | invalid_header | http_500 | http_502 | http_503 | http_504 | http_403 | http_404 | http_429 | non_idempotent | off ...;proxy_next_upstream error timeout;errortimeoutinvalid_headerhttp_500http_502http_503http_504http_403http_404http_429non_idempotentPOST, LOCK, PATCH) não são passadas para o
próximo servidor se uma requisição foi enviada para um servidor upstream;
habilitar esta opção permite explicitamente tentar novamente tais requisições;offerrortimeoutinvalid_headerhttp_500http_502http_503http_504http_429http_403http_404proxy_next_upstream_timeout#
proxy_next_upstream_timeout tempo;proxy_next_upstream_timeout 0;0proxy_next_upstream_tries#
proxy_next_upstream_tries número;proxy_next_upstream_tries 0;0proxy_no_cache#
proxy_no_cache $cookie_nocache $arg_nocache$arg_comment;
proxy_no_cache $http_pragma $http_authorization;
proxy_pass#
http ou https podem ser especificados. O endereço pode ser especificado como um nome de domínio ou endereço IP, e uma porta opcional:proxy_pass http://localhost:8000/uri/;
unix e delimitado por dois pontos:proxy_pass http://unix:/tmp/backend.socket:/uri/;
proxy_pass for especificada com um URI, então quando uma requisição é passada para o servidor, a parte de um URI de requisição normalizado que corresponde à localização é substituída por um URI especificado na diretiva:location /name/ {
proxy_pass http://127.0.0.1/remote/;
}
proxy_pass for especificado sem um URI, o URI da requisição é passado para o servidor na mesma forma como enviado por um cliente quando a requisição original é processada, ou o URI de requisição normalizado completo é passado ao processar o URI alterado:location /some/path/ {
proxy_pass http://127.0.0.1;
}
location é especificado usando uma expressão regular, e também dentro de location nomeado.proxy_pass deve ser especificado sem um URI.location com proxy usando a diretiva rewrite, e esta mesma configuração será usada para processar uma requisição (break):location /name/ {
rewrite /name/([^/]+) /users?name=$1 break;
proxy_pass http://127.0.0.1;
}
proxy_pass:location /name/ {
proxy_pass http://127.0.0.1$request_uri;
}
proxy_pass_header#
proxy_pass_request_body#
proxy_pass_request_body on | off;proxy_pass_request_body on;location /x-accel-redirect-here/ {
proxy_method GET;
proxy_pass_request_body off;
proxy_set_header Content-Length "";
proxy_pass ...;
}
proxy_pass_request_headers#
proxy_pass_request_headers on | off;proxy_pass_request_headers on;location /x-accel-redirect-here/ {
proxy_method GET;
proxy_pass_request_headers off;
proxy_pass_request_body off;
proxy_pass ...;
}
proxy_pass_trailers#
location / {
proxy_http_version 1.1;
proxy_set_header Connection "te";
proxy_set_header TE "trailers";
proxy_pass_trailers on;
proxy_pass ...;
}
proxy_quic_active_connection_id_limit#
proxy_quic_active_connection_id_limit number;proxy_quic_active_connection_id_limit 2;active_connection_id_limit do QUIC.
Este é o número máximo de
IDs de conexão
ativos que podem ser mantidos por servidor.proxy_quic_gso#
proxy_quic_host_key#
proxy_read_timeout#
proxy_redirect#
proxy_redirect default;proxy_redirect off;proxy_redirect redirect replacement;proxy_redirect default;Location: http://localhost:8000/two/some/uri/
proxy_redirect http://localhost:8000/two/ http://frontend/one/;
Location: http://frontend/one/some/uri/
proxy_redirect http://localhost:8000/two/ /;
default usa os parâmetros das diretivas location e proxy_pass. Portanto, as duas configurações abaixo são equivalentes:location /one/ {
proxy_pass http://upstream:port/two/;
proxy_redirect default;
}
location /one/ {
proxy_pass http://upstream:port/two/;
proxy_redirect http://upstream:port/two/ /one/;
}
default não é permitido se proxy_pass for especificado usando variáveis.proxy_redirect http://localhost:8000/ http://$host:$server_port/;
proxy_redirect http://$proxy_host:8000/ /;
proxy_redirect ~^(http://[^:]+):\d+(/.+)$ $1$2;
proxy_redirect ~*/user/([^/]+)/(.+)$ http://$1.example.com/$2;
proxy_redirect default;
proxy_redirect http://localhost:8000/ /;
proxy_redirect http://www.example.com/ /;
off cancela o efeito das diretivas proxy_redirect herdadas do nível de configuração anterior.proxy_redirect / /;
proxy_request_buffering#
proxy_request_buffering on | off;proxy_request_buffering on;onoffproxy_send_lowat#
proxy_send_timeout#
proxy_set_body#
proxy_set_header#
proxy_set_header field value;proxy_set_header Host $proxy_host;proxy_set_header Host $proxy_host;
proxy_set_header Connection close;
If-Modified-Since, If-Unmodified-Since, If-None-Match, If-Match, Range e If-Range da requisição original não são passados para o servidor proxy.proxy_set_header Host $http_host;
proxy_set_header Host $host;
proxy_set_header Host $host:$proxy_port;
proxy_set_header Accept-Encoding "";
proxy_socket_keepalive#
proxy_socket_keepalive on | off;proxy_socket_keepalive off;offonproxy_ssl_certificate#
location /proxy {
proxy_ssl_ntls on;
proxy_ssl_certificate sign.crt enc.crt;
proxy_ssl_certificate_key sign.key enc.key;
proxy_ssl_ciphers "ECC-SM2-WITH-SM4-SM3:ECDHE-SM2-WITH-SM4-SM3:RSA";
proxy_pass https://backend:443;
}
proxy_ssl_certificate_cache#
proxy_ssl_certificate_cache off;proxy_ssl_certificate_cache max=N [inactive=time] [valid=time];proxy_ssl_certificate_cache off;max — define o número máximo de elementos no cache. Quando o cache transborda, os elementos menos recentemente usados (LRU) são removidos.inactive — define o tempo após o qual um elemento é removido se não foi acessado. O padrão é 10 segundos.valid — define o tempo durante o qual um elemento em cache é considerado válido e pode ser reutilizado. O padrão é 60 segundos. Após este período, os certificados são recarregados ou revalidados.off — desabilita o cache.proxy_ssl_certificate $proxy_ssl_server_name.crt;
proxy_ssl_certificate_key $proxy_ssl_server_name.key;
proxy_ssl_certificate_cache max=1000 inactive=20s valid=1m;
proxy_ssl_certificate_key#
engine:`name`:id pode ser especificado em vez do arquivo, que carrega uma chave secreta com um id especificado do mecanismo OpenSSL name.location /proxy {
proxy_ssl_ntls on;
proxy_ssl_certificate sign.crt enc.crt;
proxy_ssl_certificate_key sign.key enc.key;
proxy_ssl_ciphers "ECC-SM2-WITH-SM4-SM3:ECDHE-SM2-WITH-SM4-SM3:RSA";
proxy_pass https://backend:443;
}
proxy_ssl_ciphers#
openssl ciphers.proxy_ssl_ciphers não configura cifras para TLS
1.3 ao usar OpenSSL. Para ajustar cifras TLS 1.3 com OpenSSL, use a
diretiva proxy_ssl_conf_command, que foi adicionada para suportar
configuração SSL avançada.proxy_ssl_ciphers.proxy_ssl_conf_command#
ciphersuites.proxy_ssl_crl#
proxy_ssl_name#
proxy_ssl_ntls#
location /proxy {
proxy_ssl_ntls on;
proxy_ssl_certificate sign.crt enc.crt;
proxy_ssl_certificate_key sign.key enc.key;
proxy_ssl_ciphers "ECC-SM2-WITH-SM4-SM3:ECDHE-SM2-WITH-SM4-SM3:RSA";
proxy_pass https://backend:443;
}
--with-ntls e a biblioteca SSL correspondente com suporte NTLS./configure --with-openssl=../Tongsuo-8.3.0 \
--with-openssl-opt=enable-ntls \
--with-ntls
proxy_ssl_password_file#
proxy_ssl_protocols#
proxy_ssl_protocols [SSLv2] [SSLv3] [TLSv1] [TLSv1.1] [TLSv1.2] [TLSv1.3];proxy_ssl_protocols TLSv1.2 TLSv1.3;TLSv1.3 adicionado ao conjunto padrão.proxy_ssl_server_name#
proxy_ssl_server_name on | off;proxy_ssl_server_name off;proxy_ssl_session_reuse#
proxy_ssl_session_reuse on | off;proxy_ssl_session_reuse on;proxy_ssl_trusted_certificate#
proxy_ssl_verify#
proxy_ssl_verify_depth#
proxy_store#
onoffproxy_store /data/www$original_uri;
Last-Modified recebido. A resposta é primeiro escrita em um arquivo temporário, e então o arquivo é renomeado. Arquivos temporários e o armazenamento persistente podem ser colocados em sistemas de arquivos diferentes. No entanto, esteja ciente de que neste caso um arquivo é copiado através de dois sistemas de arquivos em vez da operação barata de renomeação. É portanto recomendado que para qualquer location específico tanto os arquivos salvos quanto um diretório contendo arquivos temporários, definido pela diretiva proxy_temp_path, sejam colocados no mesmo sistema de arquivos.location /images/ {
root /data/www;
error_page 404 = /fetch$uri;
}
location /fetch/ {
internal;
proxy_pass http://backend/;
proxy_store on;
proxy_store_access user:rw group:rw all:r;
proxy_temp_path /data/temp;
alias /data/www/;
}
location /images/ {
root /data/www;
error_page 404 = @fetch;
}
location @fetch {
internal;
proxy_pass http://backend;
proxy_store on;
proxy_store_access user:rw group:rw all:r;
proxy_temp_path /data/temp;
root /data/www;
}
proxy_store_access#
proxy_store_access usuários:permissões ...;proxy_store_access user:rw;proxy_store_access user:rw group:rw all:r;
group ou all forem especificadas, então as permissões de usuário podem ser omitidas:proxy_store_access group:rw all:r;
proxy_temp_file_write_size#
proxy_temp_file_write_size tamanho;proxy_temp_file_write_size 8k|16k;proxy_temp_path#
proxy_temp_path caminho [nível1 [nível2 [nível3]]]`;proxy_temp_path proxy_temp;
(o caminho depende da --http-proxy-temp-path opção de compilação)proxy_temp_path /spool/angie/proxy_temp 1 2;
/spool/angie/proxy_temp/7/45/00000123457
Variáveis Integradas#
$proxy_host#$proxy_port#$proxy_add_x_forwarded_for#X-Forwarded-For com a variável $remote_addr anexada a ele, separada por uma vírgula. Se o campo X-Forwarded-For não estiver presente no cabeçalho da requisição do cliente, a variável $proxy_add_x_forwarded_for é igual à variável $remote_addr.
Conteúdo