一篇帶給你Nginx代理WebSocket方法
大家好,我是小姜。
前一篇文章講了一下什么是WebSocket協議,這里在回顧一下,并且聊一聊如何用nginx來代理WebSocket。
WebSocket是HTML5下一種新的協議。它實現了瀏覽器與服務器全雙工通信,能更好的節省服務器資源和帶寬并達到實時通訊的目的。它與HTTP一樣通過已建立的TCP連接來傳輸數據,但是它和HTTP最大不同是:
- WebSocket是一種雙向通信協議。在建立連接后,WebSocket服務器端和客戶端都能主動向對方發送或接收數據,就像Socket一樣。
- WebSocket需要像TCP一樣,先建立連接,連接成功后才能相互通信。
WebSocket協議相比較于HTTP協議成功握手后可以多次進行通訊,直到連接被關閉。但是WebSocket中的握手和HTTP中的握手兼容, 它使用HTTP中的Upgrade協議頭將連接從HTTP升級到WebSocket。這使得WebSocket程序可以更容易的使用現已存在的基礎設施。大部分現在的瀏覽器都支持WebSocket。
在實際的生產環境中,要求多個WebSocket服務器必須具有高性能和高可用,那么WebSocket協議就需要一個負載均衡層,Nginx從「1.3」版本開始支持WebSocket,其可以作為一個反向代理和為WebSocket程序做負載均衡。
WebSocket協議與HTTP協議不同,但WebSocket握手與HTTP兼容,使用HTTP升級工具將連接從HTTP升級到WebSocket。這允許WebSocket應用程序更容易地適應現有的基礎架構。例如,WebSocket應用程序可以使用標準HTTP端口80和443,從而允許使用現有的防火墻規則。
「WebSocket應用程序可以在客戶端和服務器之間保持長時間運行的連接」,從而有助于開發實時應用程序。用于將連接從HTTP升級到WebSocket的HTTP升級機制使用Upgrade和Connection頭。反向代理服務器在支持WebSocket時面臨一些挑戰。一個是WebSocket是一個逐跳協議,因此當代理服務器攔截客戶端的升級請求時,需要向后端服務器發送自己的升級請求,包括相應的頭文件。此外,由于WebSocket連接長期存在,與HTTP使用的典型短期連接相反,反向代理需要允許這些連接保持打開狀態,而不是關閉它們,因為它們似乎處于空閑狀態。
允許在客戶機和后端服務器之間建立隧道,Nginx支持WebSocket。對于NGINX將升級請求從客戶端發送到后臺服務器,必須明確設置Upgrade和Connection標題。
Nginx開啟WebSocket代理的配置方法如下:
(1)編輯nginx.conf,在http區域內一定要添加下面配置:
map $http_upgrade $connection_upgrade {
default upgrade;
'' close;
}
「解釋一下map指令的作用:」該作用主要是根據客戶端請求中的值,來構造改變connection_upgrade的值,即根據變量的值創建新的變量connection_upgrade, 創建的規則就是{}里面的東西。其中的規則沒有做匹配,因此使用默認的,即 http_upgrade為空字符串的話,那么值就是 close。
(2)編輯vhosts下虛擬主機的配置文件,在location匹配配置中添加如下內容:
proxy_http_version 1.1;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection "$connection_upgrade";
# proxy_set_header Connection "Upgrade"; 寫死為 Upgrade 也可以
(3)一次完整的示例如下:
upstream sre_backend {
hash $remote_addr consistent;
server sre1.ayunw.cn:8080;
server sre2.ayunw.cn:8080;
server sre3.ayunw.cn:8080;
}
server {
listen 443 ssl;
server_name sre.ayunw.cn;
access_log /usr/local/nginx/logs/sre.ayunw.cn.access.log main;
error_log /usr/local/nginx/logs/sre.ayunw.cn..error.log error;
ssl_certificate /data/certs/nginx/sre.ayunw.cn.crt;
ssl_certificate_key /data/certs/nginx/sre.ayunw.cn.key;
ssl_session_timeout 5m;
ssl_protocols SSLv3 TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers HIGH:!aNULL:!MD5;
ssl_prefer_server_ciphers on;
location / {
proxy_pass http://sre_backend;
proxy_ssl_server_name on;
include proxy.conf;
proxy_http_version 1.1;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection "$connection_upgrade";
}
error_page 500 502 503 504 /50x.html;
location = /50x.html {
root html;
}
}
以上就是通過nginx代理WebSocket的單向TLS認證方式。
「溫馨提醒:」 默認情況下,如果代理服務器在 60 秒內沒有傳輸任何數據,連接將被關閉。可以使用proxy_read_timeout指令增加此超時 。
總的來說:
「WebSocket與Http相同點」:
- 都是一樣基于TCP的,都是可靠性傳輸協議。
- 都是應用層協議。
「WebSocket與Http不同點」:
- WebSocket是雙向通信協議,模擬Socket協議,可以雙向發送或接受信息。HTTP是單向的。
- WebSocket是需要瀏覽器和服務器握手進行建立連接的。而http是瀏覽器發起向服務器的連接,服務器預先并不知道這個連接。
「WebSocket與Http聯系」WebSocket在建立握手時,數據是通過HTTP傳輸的。但是建立之后,在真正傳輸時候是不需要HTTP協議的。
在WebSocket中,只需要服務器和瀏覽器通過HTTP協議進行一個握手的動作,然后單獨建立一條TCP的通信通道進行數據的傳送。WebSocket連接的過程是:
(1)客戶端發起http請求,經過3次握手后,建立起TCP連接;http請求里存放WebSocket支持的版本號等信息,如:Upgrade、Connection、WebSocket-Version等;2)服務器收到客戶端的握手請求后,同樣采用HTTP協議回饋數據;3)客戶端收到連接成功的消息后,開始借助于TCP傳輸信道進行全雙工通信。
Nginx代理webSocket經常中斷的解決方法(即如何保持長連接)
這個問題在于nginx的配置上,需要配置幾個超時的設置。如下:
http {
server {
location / {
root html;
index index.html index.htm;
proxy_pass http://sre_backend;
proxy_http_version 1.1;
proxy_connect_timeout 5s;
proxy_read_timeout 60s;
proxy_send_timeout 30s;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection "$connection_upgrade";
}
}
}
「解釋上面超時配置的」
「proxy_read_timeout參數」默認值60秒,該指令設置與代理服務器的讀超時時間。它決定了nginx會等待多長時間來獲得請求的響應。這個時間不是獲得整個response的時間,而是兩次reading操作的時間。即是服務器對你等待最大的時間,也就是說當你使用nginx轉發webSocket的時候,如果60秒內沒有通訊,依然是會斷開的,所以,你可以按照你的需求來設定。比如說,我設置了5分鐘,那么如果我5分鐘內有通訊,或者5分鐘內有做心跳的話,是可以保持連接不中斷的。所以這個時間是看你的業務需求來調整時間長短的。
「proxy_send_timeout參數」默認值 60s,設置了發送請求給upstream服務器的超時時間。超時設置不是為了整個發送期間,而是在兩次write操作期間。如果超時后,upstream沒有收到新的數據,nginx會關閉連接。
「WebSocket與Socket的關系:」
Socket其實并不是一個協議,而是為了方便使用TCP或UDP而抽象出來的一層,是位于應用層和傳輸控制層之間的一組接口。當兩臺主機通信時,必須通過Socket連接,Socket則利用TCP/IP協議建立TCP連接。TCP連接則更依靠于底層的IP協議,IP協議的連接則依賴于鏈路層等更低層次。
WebSocket就像HTTP一樣,則是一個典型的應用層協議。
