一、4层/7层nginx 代理的区别

nginx可以实现4层和7层代理，分别对应的是 stream模块 和 http模块。

1.1 4层nginx代理--stream模块

nginx的stream模块一般用于tcp/udp数据流的代理和负载均衡，可以通过stream模块代理转发tcp/udp消息。4层nginx的tcp/udp 代理在云平台服务场景中，最常见的应用案例是代理数据库连接（比如mysql、oracle等数据库）：

（1）专有云平台与互联网隔离，需要4层nginx代理实现云平台产品（比如ECS、DataWorks、DataPhin、DTS等）可以连接到互联网的数据库。

（2）反过来，公有云平台与客户内网IDC机房隔离，需要4层nginx代理实现云平台产品（比如ECS、DataWorks、DataPhin、DTS等）可以连接到客户内网IDC机房部署的数据库。

本质上，4层nginx代理在对网络包进行代理目标IP和端口的更换，而不需要关心7层http代理的域名逻辑。

1.2 7层nginx代理--http模块

nginx的http模块一般用于http/https7层业务的代理。7层nginx代理在云平台服务场景中，最常见的应用案例是代理业务系统。与4层代理类似，也分为专有云平台访问互联网业务系统、公有云平台访问客户内网IDC机房的业务系统。与4层代理不同的是，7层代理不仅仅需要对网络包进行代理目标ID和端口的更换，还需要关心域名后缀和参数。通常采用location机制实现域名后缀和参数的识别，进而将反向代理请求转发到不同的目标域名。

二、4层nginx 代理的典型应用场景

2.1 专有云平台访问互联网数据库

在大型企业网络架构，专有云往往与互联网完全隔离。大型企业往往只有DMZ区域才能与互联网通信，而且还需要在出口防火墙进行进口、出口的限制。

本文以阿里云DataWorks产品举例，其他云产品连接互联网数据库的方案基本相同。下图是笔者在某个专有云企业客户的实现方案：

方案的本质：

利用企业DMZ区（可以通过出口防火墙连接到互联网）服务器搭建nginx，然后将专有云DataWorks连接互联网数据库的请求进行4层IP/TCP反向代理，实现专有云内网产品连接互联网数据库。

Nginx的具体配置：

假设目标数据库是mysql数据库（123.234.165.100:3306），部署nginx的服务器是10.123.250.221，配置监听3306端口。

nginx.conf配置文件的stream模块配置如下：

user  nginx;
worker_processes  2;  ##根据服务器的cpu核数确定worker_rlimit_nofile 2048;    ##根据链接并发度确定events {
    worker_connections  2048;     ##根据链接并发度确定}
stream {
    server {
            listen 3306so_keepalive=on;    ## 监听port2端口，并且开启keepalive连接。            proxy_pass 123.234.165.100:3306;  ## 所有请求IP2:port2的4层网络包都转发到IP1:port1       }
}
## http {## http 7层代理和stream 4层代理是平行关系，可以同时配置实现4层/7层代理。## }

2.2 公有云平台访问企业内网IDC数据库

在某些零售、新零售、新金融、游戏、电商等企业，往往不需要部署专有云，公有云完善的产品体系、简便的运维体系，更适合这类企业。这类企业在内网IDC机房（往往租借运营商的IDC）还部署了内网业务系统。

企业在公有云采购了云产品，比如Maxcompute+DataWorks搭建了大数据系统。需要定时采集内网IDC业务系统的数据库，进行离线、准实时、实时数据分析。虽然企业可以通过拉专线将企业内网IDC与公有云VPC网络打通，但是无法直接将企业内网IDC与公有云厂商经典网络打通（除了ECS、rds等少数产品在公有云VPC网络，大部分云产品都在公有云厂商经典网络，包括大数据类产品）。

本文以公有云DataWorks拉取客户内网IDC数据库数据场景为例，对于这类需求，采用以下nginx反向代理方案：

方案本质是利用三个原理：

（1）阿里云公有云的经典网络（比如DataWorks产品所在的网络）与VPC网络（ECS虚拟机所在的网络）之间采用tunnal机制，已经打通。因此，DataWorks可以访问ECS。

（2）阿里云VPC可以与客户内网IDC采用专线打通。阿里云专线产品、vpn网关这两个产品提供了网络打通的功能。

（3）将DataWorks连接的目标数据库IP/port指向ECS IP/port，然后ECS部署的nginx可以将数据库连接反向代理到IDC机房。

Nginx的具体配置：

假设目标数据库是oracle数据库（192.168.250.199:1521），部署nginx的服务器是10.123.250.221，配置监听1521端口。

nginx.conf配置文件的stream模块配置如下：

user  nginx;
worker_processes  2;  ##根据服务器的cpu核数确定worker_rlimit_nofile 2048;    ##根据链接并发度确定events {
    worker_connections  2048;     ##根据链接并发度确定}
stream {
    server {
            listen 1521so_keepalive=on;    ## 监听port2端口，并且开启keepalive连接。            proxy_pass 192.168.250.199:1521;    ## 所有请求IP2:port2的4层网络包都转发到IP1:port1            proxy_timeout 72h;
       }
}
## http {## http 7层代理和stream 4层代理是平行关系，可以同时配置实现4层/7层代理。## }

三、7层nginx 代理的典型应用场景

Nginx 7层http代理的典型场景：内网专有云需要访问互联网资源。笔者在客户现场，遇到两个需求：

（1）阿里云专有云无法连通互联网，导致ECS虚拟机无法使用yum源部署程序。即使可以在内网搭建yum源，但是由于客户现场使用的操作系统版本特别多（centos、龙蜥操作系统、alios等，而且7.x\8.x等版本众多），依靠搭建内网yum源太麻烦。并且，内网yum源无法与公网yum源实时更新。

（2）专有云需要升级，需要从阿里官网下载安装包。安装包特别大（若干TB），手工使用硬盘下载然后传到阿里云内网太麻烦。

（3）专有云ECS部署了业务系统（比如OA系统），需要访问业主部门在互联网的官网系统。

针对这些需求，可以使用正向代理软件。但是客户不答应使用正向代理，担心正向代理放大了互联网访问目标范围。希望使用反向代理，针对每一个需求单独配置明确的代理规则，并开启访问日志进行访问审计。

以下是笔者设计的方案：

方案的本质：

利用企业DMZ区域（可以通过出口防火墙连接到互联网）服务器搭建nginx，然后根据访问的目标域名后缀规则，nginx配置不同的location匹配条件，进而代理转发到不同的目标域名。当然，为了实现nginx代理7层目标域名，需要在源端ECS服务器配置本地hosts，使得访问的目标域名被dns解析到DMZ区部署nginx的服务器IP。

假设：
1、DMZ区域服务器的IP地址是 10.123.251.240

2、目标访问域名有三个，分别是：

(1) 阿里云官网yum源：http://mirrors.aliyun.com/anolis*******

(2) 阿里云专有云升级包下载源：http://private-cloud-package.oss-xxxxxxx.com/release*******

(3) 客户官网地址：http://www.xxxx.com.cn/xxxx/index.html

备注：为了实现nginx的7层http代理，在源头ECS服务器必须将目标域名在/etc/hosts文件配置本地dns域名IP解析。也就是将上述的三个域名：mirrors.aliyun.com、private-cloud-package.oss-xxxxxxx.com、www.xxxx.com.cn在ECS的/etc/hosts文件解析成DMZ区的nginx部署服务器IP。这样才能使得源端ECS将目标域名访问请求包发送到nginx，让DMZ区服务器部署的nginx将请求代理转发到外网目标域名。

配置nginx7层代理，通常采用location机制实现域名后缀和参数的识别，进而将反向代理请求转发到不同的目标域名。location非常强大，可以实现以下几种优先级的匹配规则：

1、=：精确匹配

2、^~：最佳匹配

3、~ ：正则表达式要区分大小写

4、~* ：正则表达式不区分大小写

5、/ 开头：通用匹配

优先级：(location =精确匹配) > (location 完整路径匹配) > (location ^~ 最佳匹配路径) > (location ~,~* 正则匹配) > (location 部分起始路径) > (/)

Nginx的具体配置：

user nginx;
worker_processes auto;    ## 根据服务器的cpu核数确定error_log /var/log/nginx/error.log;  ## 审计error日志目录。需要根据你部署的nginx日志目录配置pid /run/nginx.pid;   ## 需要根据你部署的nginx日志目录配置include /usr/share/nginx/modules/*.conf;   ## 需要根据你部署的nginx日志目录配置events {
    worker_connections 2048;  ## 根据并发量配置，一般为1024的倍数}
http {
    log_format  main  '$remote_addr - $remote_user [$time_local] "$request" ''$status $body_bytes_sent "$http_referer" ''"$http_user_agent" "$http_x_forwarded_for"';
    access_log  /var/log/nginx/access.log  main;   ## 审计error日志目录。需要根据你部署的nginx日志目录配置## keepalive_timeout   65;   ## keepalive的超时时间，建议不配置，采用默认的超时时间    include             /etc/nginx/mime.types;   ## 需要根据你部署的nginx日志目录配置## default_type        application/octet-stream;      server {
        listen       80;   ## 自己决定nginx监听的端口        server_name  10.123.251.240;   ## server_name 配置DMZ区服务器的IP地址        location  ^~/release {    ## location 最佳匹配 /release，用于代理转发到专有云下载地址            proxy_pass http://private-cloud-package.oss-xxxxxxx.com;
        }        
        location  /anolis {  ## location 通用匹配 /anolis，用于代理转发到龙蜥操作系统的yum源            proxy_pass http://mirrors.aliyun.com;
        }
        location  =/xxxx/index.html {  ## location 精确匹配 /xxxx/index.html，用于代理转发到客户官网            proxy_pass http://www.xxxx.com.cn;
        }
## 配置其他location规则，用于匹配域名后缀，进而proxy_pass转发到相应的目标域名    }
}

location由于强大的匹配规则，可以在同一个nginx  server配置成百上千的转发规则，实现成百上千的外部域名代理需求。笔者曾经使用1个nginx  server配置了五百多个外部域名转发，满足整个企业的外部域名访问需求，并且针对nginx日志开发了审计程序，对每一个内网业务访问外网域名的访问记录实现了安全审计功能。

四、后记

Nginx 代理功能非常强大，可以实现多种场景下的简单/复杂代理需求的4层TCP/UDP和7层http代理。感兴趣的读者，建议后续在工作中遇到代理转发需求，都考虑使用nginx实现代理转发需求。