Nginx Plus – коммерческая версия свободно распространяемого ПО Nginx. В разделе рассмотрена настройка обратного прокси-сервера в режиме проброса HTTP(S)-трафика.

Порядок действий во многом повторяет настройку Nginx. Описание части параметров приведено в разделе выше. Основным отличием Nginx Plus является поддержка Kerberos-аутентификации с помощью директивы ntlm.

1.Установите Nginx Plus. Подробнее см. документацию Nginx, статью Installing NGINX Plus. Trial-версией можно пользоваться в течение 30 дней.

2.Откройте конфигурационный файл Nginx Plus и дополните следующими директивами:

upstream http_backend {
 server 127.0.0.1:8080;
 ntlm;
}
 
server {
 ...
 location /http/ {
   proxy_pass http://http_backend;
   proxy_http_version 1.1;
   proxy_set_header Connection "";
 ...
 }
}

3.Включите режим привязки сеансов, в котором запросы клиента передаются на один и тот же сервер группы. Для этого в конфигурационный файл добавьте директиву sticky и ее метод cookie:

upstream backend {
 server backend1.example.com;
 server backend2.example.com;
 
 sticky cookie srv_id expires=1h domain=.example.com path=/;
}

ВАЖНО. Для корректной работы необходимо, чтобы наименование директивы upstream совпадало с адресом, указываемым в директиве proxy_pass.

Пример конфигурационного файла

Жирным шрифтом выделены настройки, которые необходимо изменить в конфигурационном файле в соответствии с параметрами своей системы.

user  nginx;worker_processes  1;
worker_rlimit_nofile 4096;
 
error_log  /var/log/nginx/error.log debug;
pid        /var/run/nginx.pid;
 
events {
   worker_connections  1024;
}
 
http {
 include       /etc/nginx/mime.types;
 default_type  application/octet-stream;
 
 log_format main '$remote_addr - $remote_user [$time_local] "$request" '
                 '$status $body_bytes_sent "$http_referer" '
                 '"$http_user_agent" "$http_x_forwarded_for"';
 
 access_log  /var/log/nginx/access.log main;
 
 sendfile        on;
 #tcp_nopush     on;
 
 keepalive_timeout  65;
 
 #gzip  on;
 
 include /etc/nginx/conf.d/*.conf;
 client_header_buffer_size 64k;
 proxy_connect_timeout 600;
 proxy_send_timeout 600;
 proxy_read_timeout 600;
 send_timeout 600;
 large_client_header_buffers 4 16k;
 server {
   listen 80;
   server_name zavnlbcluster;
   return 301 https://$server_name/$request_uri;
 }
 upstream zavnlbcluster {
   server node-01:443;
   server node-02:443;
   ntlm;
  sticky cookie srv_id expires=1h domain=.demoscom.local path=/;
#   instead sticky you can use “hash” directive
#   hash $remote_addr consistent;
   keepalive_timeout 64;
 }
 server {
   listen 443 ssl;
   server_name zavnlbcluster;
   ssl_certificate /home/snig/Certs/test.crt;
   ssl_certificate_key /home/snig/Certs/key-decrypted.key;
   ssl_session_cache builtin:1000 shared:SSL:10m;
   ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
   ssl_ciphers HIGH:!aNULL:!eNULL:!EXPORT:!CAMELLIA:!DES:!MD5:!PSK:!RC4;
   ssl_prefer_server_ciphers on;
   location / {
     proxy_http_version 1.1;
     proxy_set_header Connection "";
     proxy_set_header X-Real-IP $remote_addr;
     proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
     proxy_set_header X-Forwarded-Host $http_host;
     proxy_pass_header Set-Cookie;
     proxy_pass https://zavnlbcluster;
   }
 }
}