Nginx中的常用配置如何迁移到Istiogateway

本文涉及的产品
应用实时监控服务-可观测链路OpenTelemetry版,每月50GB免费额度
服务治理 MSE Sentinel/OpenSergo,Agent数量 不受限
可观测监控 Prometheus 版,每月50GB免费额度
简介: 本文提供了Nginx中常用配置的解释以及在Istiogateway中如何实现对应的功能。

阿里云服务网格(Service Mesh,简称ASM)提供了一个全托管式的服务网格平台,兼容于社区Istio开源服务网格,用于简化服务的治理,包括服务调用之间的流量路由与拆分管理、服务间通信的认证安全以及网格可观测性能力,从而极大地减轻开发与运维的工作负担。

详细说明

本文提供了Nginx中常用配置的解释以及在Istiogateway中如何实现对应的功能。

Ingress nginx 文档:https://kubernetes.github.io/ingress-nginx/user-guide/nginx-configuration/configmap/#forwarded-for-header

参数

描述

istio方案

allow-backend-server-header

允许从后端返回标头 Server 而不是通用的 nginx 字符串。

envoy应该本来就是这样的

allow-snippet-annotations

允许在ingress的annotation中添加自定义脚本修改nginx配置

ASM网关需要编辑IstioGateway YAML来修改网关配置。

compute-full-forwarded-for

将远程地址附加到 X-Forwarded-For 标头而不是替换它。

这取决于envoy的use_remote_address配置,istio中网关默认此配置就是true

enable-underscores-inheaders

允许header中的下划线

这应该对应envoy的headers_with_underscores_action,默认就是允许的

forwarded-for-header

设置用于标识客户端的原始 IP 地址的标头字段。

尚无方法去自定义forwarded-for header,默认就是X-Forwarded-For

generate-request-id

如果请求中不存在 X-Request-ID,则确保 X-Request-ID 默认为随机值

这应该对应envoy的generate_request_id,可以通过ASM插件调整,默认就是true

ignore-invalid-headers

true

是否忽略带有非法名称的header。合法的header名称应该是由英文字母、数字、连字符,可能包含下划线(由underscores_in_headers控制)。

envoy提供了一个Header validator,https://www.envoyproxy.io/docs/envoy/v1.27.0/api-v3/extensions/http/header_validators/envoy_default/v3/header_validator.proto

istio并没有配置header validator,会使用默认值,如果有非法header,会提示badrequest。

图片.png

keep-alive-requests

设置同一个keep-alive connection最大可以处理多少个请求。达到最大请求数后,该连接将被关闭。

参考DestinationRule中connectionPool.maxRequestsPerConnection

log-format-upstream

自定义日志格式

ASM支持,需要使用可观测配置来完成。

max-worker-connections

设置同一个worker进程可以打开的最大连接数

istio并未提供完全相同的配置。但是提供了DestinationRule提供了一个connectionPool.tcp.maxConnections,这个指到同一个host的最大连接数。

proxy-body-size

设置客户端请求的最大body size,如果超过了,就会报413。

不支持直接配置。需要单独配置envoy filter。

建议分块传输,不要使用太大的body。

proxy-connect-timeout

定义与代理服务器建立连接的超时时间,不应该超过75秒。

参考DestinationRule中connectionPool.http.connectTimeout

reuse-port

设置nginx为每个工作进程创建一个单独的监听socket(是用SO_REUSEPORT),允许内核在工作进程之间分配传入的连接。默认是true

envoy默认是true

server-tokens

在响应中发送NGINX服务器标头,并在错误页面中显示NGINX的版本,默认 disabled

envoy默认会填充envoy的标头。但是错误页面不会显示envoy版本。

ssl-redirect

如果服务器由TLS证书,则将重定向的全局值设置为HTTPS。

参考网关规则的tls.httpsRedirect

upstream-keepalive-connections

设置保留在每个工作进程的缓存中与上游服务器的最大的空闲keepalive connection数目

istio并未提供完全相同的配置。但是DestinationRule提供了一个connectionPool.tcp.maxConnections,和该选项语义类似,不同的地方在于istio中的这个是所有连接,nginx中是空闲连接。

upstream-keepalive-timeout

设置一个超时,超时之后将关闭与上游服务器之间的空闲连接。

参考DestinationRule中connectionPool.http.idleTimeout

use-forwarded-headers

如果是true,nginx将会转发传进来的X-Forwarded-*header;通常用于L7代理之后。

如果是false,nginx会忽略传进来的值,自己重新填一个。

istio关于XFF头的处理,参考这篇文档https://istio.io/latest/zh/docs/ops/configuration/traffic-management/network-topologies/

worker-cpu-affinity

将worker进程绑定到指定的CPU集合上。

容器环境中,通常不建议配置该选项。自动分配即可。


欢迎讨论&补充

如有其它疑惑的字段,欢迎在评论中提问,后续会持续解答。

目录
相关文章
|
25天前
|
编解码 应用服务中间件 Linux
centos配置nginx-rtmp实现ffmpeg转码rtsp为rtmp视频流
centos配置nginx-rtmp实现ffmpeg转码rtsp为rtmp视频流
101 1
|
4月前
|
应用服务中间件 Linux 网络安全
Centos 8.0中Nginx配置文件和https正书添加配置
这是一份Nginx配置文件,包含HTTP与HTTPS服务设置。主要功能如下:1) 将HTTP(80端口)请求重定向至HTTPS(443端口),增强安全性;2) 配置SSL证书,支持TLSv1.1至TLSv1.3协议;3) 使用uWSGI与后端应用通信(如Django);4) 静态文件托管路径设为`/root/code/static/`;5) 定制错误页面(404、50x)。适用于Web应用部署场景。
615 87
|
5天前
|
Ubuntu 安全 应用服务中间件
详细指南:配置Nginx服务器在Ubuntu平台上
以上步骤涵盖了基本流程:从软件包管理器获取 Ngnix, 设置系统服务, 调整UFW规则, 创建并激活服务器块(也称作虚拟主机), 并进行了初步优化与加固措施。这些操作都是建立在命令行界面上,并假设用户具有必要权限(通常是root用户)来执行这些命令。每个操作都有其特定原因:例如,设置开机启动确保了即使重启后也能自动运行 Ngnix;而编辑server block则定义了如何处理进入特定域名请求等等。
96 18
|
7天前
|
Ubuntu 安全 应用服务中间件
详细指南:配置Nginx服务器在Ubuntu平台上
以上步骤涵盖了基本流程:从软件包管理器获取 Ngnix, 设置系统服务, 调整UFW规则, 创建并激活服务器块(也称作虚拟主机), 并进行了初步优化与加固措施。这些操作都是建立在命令行界面上,并假设用户具有必要权限(通常是root用户)来执行这些命令。每个操作都有其特定原因:例如,设置开机启动确保了即使重启后也能自动运行 Ngnix;而编辑server block则定义了如何处理进入特定域名请求等等。
81 17
|
4月前
|
负载均衡 应用服务中间件 nginx
Nginx配置与命令
Nginx 是一款高性能的 HTTP 和反向代理服务器,其配置文件灵活且功能强大。本文介绍了 Nginx 配置的基础结构和常用指令,包括全局块、Events 块、HTTP 块及 Server 块的配置方法,以及静态资源服务、反向代理、负载均衡、HTTPS 和 URL 重写等功能实现。此外,还提供了常用的 Nginx 命令操作,如启动、停止、重载配置和日志管理等,帮助用户高效管理和优化服务器性能。
|
1月前
|
数据建模 应用服务中间件 PHP
配置nginx容器和php容器协同工作成功,使用ip加端口的方式进行通信
本示例演示如何通过Docker挂载同一宿主目录至Nginx与PHP容器,实现PHP项目运行环境配置。需注意PHP容器中监听地址修改为0.0.0.0:9000,并调整Nginx配置中fastcgi_pass指向正确的IP与端口。同时确保Nginx容器中/var/www/html权限正确,以避免访问问题。
配置nginx容器和php容器协同工作成功,使用ip加端口的方式进行通信
|
2月前
|
应用服务中间件 网络安全 nginx
配置Nginx以支持Websocket连接的方法。
通过上述配置,Nginx将能够理解WebSocket协议的特殊要求,代理Websocket流量到合适的后端服务器。注意,Websocket并不是HTTP,尽管它最初是通过HTTP请求启动的连接升级,因此保证Nginx了解并能够妥善处理这种升级流程是关键。
538 10
|
1月前
|
Ubuntu 应用服务中间件 Linux
在Ubuntu上配置Nginx实现开机自启功能
至此,Nginx应该已经被正确地设置为开机自启。在Ubuntu中利用 `systemd`对服务进行管理是一种高效的方式,为系统管理员提供了强大的服务管理能力,包括但不限于启动、停止、重启服务,以及配置服务的开机自启动。通过这些简洁的命令,即使是对Linux不太熟悉的用户也能轻松地进行配置。
101 0
|
3月前
|
安全 应用服务中间件 网络安全
Nginx SSL/TLS协议栈中配置深度解析与实践指南-优雅草卓伊凡
Nginx SSL/TLS协议栈中配置深度解析与实践指南-优雅草卓伊凡
256 0
Nginx SSL/TLS协议栈中配置深度解析与实践指南-优雅草卓伊凡
|
3月前
|
JSON 前端开发 应用服务中间件
配置Nginx根据IP地址进行流量限制以及返回JSON格式数据的方案
最后,记得在任何生产环境部署之前,进行透彻测试以确保一切运转如预期。遵循这些战术,守卫你的网络城堡不再是难题。
186 3