Proxy#
Позволяет передавать запросы другому (проксируемому) серверу. Задает локальный IP-адрес с необязательным портом, который будет использоваться в исходящих соединениях с проксируемым сервером. В значении параметра допустимо использование переменных. Специальное значение Параметр Для работы параметра обычно требуется запустить рабочие процессы Angie с привилегиями суперпользователя. В Linux это не требуется, так как если указан параметр transparent, то рабочие процессы наследуют capability CAP_NET_RAW из главного процесса. Важно Необходимо настроить таблицу маршрутизации ядра для перехвата сетевого трафика с проксируемого сервера. По умолчанию http, server, location Задает размер буфера, в который будет читаться первая часть ответа, получаемого от проксируемого сервера. В этой части ответа обычно находится небольшой заголовок ответа. По умолчанию размер одного буфера равен размеру страницы памяти. В зависимости от платформы это или 4K, или 8K, однако его можно сделать меньше. Angie принимает ответ проксируемого сервера как можно быстрее, сохраняя его в буферы, заданные директивами proxy_buffer_size и proxy_buffers. Если ответ не вмещается целиком в память, то его часть может быть записана на диск во временный файл. Запись во временные файлы контролируется директивами proxy_max_temp_file_size и proxy_temp_file_write_size. Ответ синхронно передается клиенту сразу же по мере его поступления. Angie не пытается считать весь ответ проксируемого сервера. Максимальный размер данных, который Angie может принять от сервера за один раз, задается директивой proxy_buffer_size. Буферизация может быть также включена или выключена путем передачи значения "yes" или "no" в поле "X-Accel-Buffering" заголовка ответа. Эту возможность можно запретить с помощью директивы proxy_ignore_headers. По умолчанию http, server, location Задает число и размер буферов для одного соединения, в которые будет читаться ответ, получаемый от проксируемого сервера. По умолчанию размер одного буфера равен размеру страницы. В зависимости от платформы это или 4K, или 8K. По умолчанию http, server, location При включенной буферизации ответов проксируемого сервера, ограничивает суммарный размер буферов, которые могут быть заняты для отправки ответа клиенту, пока ответ еще не прочитан целиком. Оставшиеся буферы тем временем могут использоваться для чтения ответа и, при необходимости, буферизации части ответа во временный файл. По умолчанию размер ограничен величиной двух буферов, заданных директивами proxy_buffer_size и proxy_buffers. По умолчанию http, server, location Задает зону разделяемой памяти для кэширования.
Одну и ту же зону можно использовать в нескольких местах конфигурации.
В значении параметра допускаются переменные. запрещает кэширование, унаследованное с предыдущего уровня конфигурации. Добавлено в версии 1.2.0: PRO В Angie PRO можно указать несколько директив proxy_cache_path,
использующих одно и то же значение Значение вычисляется в момент кэширования ответа от бэкенда
и предполагает использование переменных, в том числе содержащих
информацию из ответа. Если ответ берется из кэша, то путь не вычисляется заново;
таким образом, кэшированный ответ сохраняет изначальный путь,
пока не будет удален из кэша. Это позволяет выбирать нужный путь кэша, применяя директивы map или
скрипты к ответам от бэкенда. Пример для Здесь есть два пути кэша и отображение переменной, чтобы их различать.
Если По умолчанию http, server, location Позволяет запустить фоновый подзапрос для обновления просроченного элемента кэша, в то время как клиенту возвращается устаревший кэшированный ответ. Внимание Использование устаревшего кэшированного ответа в момент его обновления должно быть разрешено. Задает условия, при которых ответ не будет браться из кэша. Если значение хотя бы одного из строковых параметров непустое и не равно "0", то ответ не берется из кэша: Можно использовать совместно с директивой proxy_no_cache. По умолчанию http, server, location Разрешает или запрещает преобразование метода "HEAD" в "GET" для кэширования. Если преобразование выключено, то необходимо, чтобы ключ кэширования включал в себя $request_method. По умолчанию http, server, location Задает ключ для кэширования, например, По умолчанию значение директивы близко к строке Если включено, одновременно только одному запросу будет позволено заполнить новый элемент кэша, идентифицируемый согласно директиве proxy_cache_key, передав запрос на проксируемый сервер. Остальные запросы этого же элемента будут либо ожидать появления ответа в кэше, либо освобождения блокировки этого элемента, в течение времени, заданного директивой proxy_cache_lock_timeout. По умолчанию http, server, location Если последний запрос, переданный на проксируемый сервер для заполнения нового элемента кэша, не завершился за указанное время, на проксируемый сервер может быть передан еще один запрос. По умолчанию http, server, location Задает таймаут для proxy_cache_lock. По истечении указанного времени запрос будет передан на проксируемый сервер, однако ответ не будет кэширован. Задает смещение в байтах для запросов с указанием диапазона запрашиваемых байт (byte-range requests). Если диапазон находится за указанным смещением, range-запрос будет передан на проксируемый сервер и ответ не будет кэширован. По умолчанию http, server, location Если метод запроса клиента указан в этой директиве, то ответ будет кэширован. Методы "GET" и "HEAD" всегда добавляются в список, но тем не менее рекомендуется перечислять их явно. См. также директиву proxy_no_cache. По умолчанию http, server, location Задает число запросов, после которого ответ будет кэширован. По умолчанию — http Задает путь и другие параметры кэша. Данные кэша хранятся в файлах. Именем файла в кэше является результат функции MD5 от ключа кэширования. задает уровни иерархии кэша: можно задать от 1 до 3 уровней, на каждом уровне допускаются значения 1 или 2. Например, при использовании имена файлов в кэше будут такого вида: Кэшируемый ответ сначала записывается во временный файл, а потом этот файл переименовывается. Временные файлы и кэш могут располагаться на разных файловых системах. Однако нужно учитывать, что в этом случае вместо дешевой операции переименовывания в пределах одной файловой системы файл копируется с одной файловой системы на другую. Поэтому лучше, если кэш будет находиться на той же файловой системе, что и каталог с временными файлами. определяет каталог, который будет использоваться для временных файлов Если параметр не задан или установлен в значение временные файлы будут располагаться непосредственно в каталоге кэша Задает имя и размер зоны разделяемой памяти для хранения всех активных ключей и информации о данных. Зоны размером в 1 мегабайт достаточно для хранения около 8000 ключей. Если к данным кэша не обращаются в течение времени, заданного этим параметром, то данные удаляются, независимо от их свежести. По умолчанию Примечание Добавлено в версии 1.2.0: PRO В Angie PRO можно задавать несколько директив proxy_cache_path с одним и
тем же значением Специальный процесс менеджера кэша следит за максимальным размером кэша, а также за минимальным объемом свободного места на файловой системе с кэшем, и удаляет наименее востребованные данные при превышении максимального размера кэша или недостаточном объеме свободного места. Удаление данных происходит итерациями. максимальное пороговое значение размера кэша минимальное пороговое значение объема свободного места на файловой системе с кэшем максимальное количество удаляемых элементов кэша за одну итерацию По умолчанию: ограничивает время работы одной итерации По умолчанию: время, в течение которого выдерживается пауза между итерациями По умолчанию: Через минуту после старта Angie активируется специальный процесс загрузчика кэша, который загружает в зону кэша информацию о ранее кэшированных данных, хранящихся на файловой системе. Загрузка также происходит итерациями. максимальное количество элементов кэша к загрузке в одну итерацию По умолчанию: ограничивает время работы одной итерации По умолчанию: время, в течение которого выдерживается пауза между итерациями По умолчанию: По умолчанию http, server, location Разрешает ревалидацию просроченных элементов кэша при помощи условных запросов с полями заголовка "If-Modified-Since" и "If-None-Match". По умолчанию http, server, location Определяет, в каких случаях можно использовать устаревший кэшированный ответ. Параметры директивы совпадают с параметрами директивы proxy_next_upstream. Позволяет использовать устаревший кэшированный ответ при невозможности выбора проксированного сервера для обработки запроса. Дополнительный параметр, разрешает использовать устаревший кэшированный ответ, если на данный момент он уже обновляется. Это позволяет минимизировать число обращений к проксированным серверам при обновлении кэшированных данных. Использование устаревшего кэшированного ответа может также быть разрешено непосредственно в заголовке ответа на определенное количество секунд после того, как ответ устарел: Расширение stale-while-revalidate поля заголовка "Cache-Control" разрешает использовать устаревший кэшированный ответ, если на данный момент он уже обновляется. Расширение stale-if-error поля заголовка "Cache-Control" разрешает использовать устаревший кэшированный ответ в случае ошибки. Примечание Такой способ менее приоритетен, чем задание параметров директивы. Чтобы минимизировать число обращений к проксированным серверам при заполнении нового элемента кэша, можно воспользоваться директивой proxy_cache_lock. Задает время кэширования для разных кодов ответа. Например, директивы задают время кэширования 10 минут для ответов с кодами 200 и 302 и 1 минуту для ответов с кодом 404. Если указано только время кэширования, то кэшируются только ответы 200, 301 и 302. Кроме того, можно кэшировать любые ответы с помощью параметра Примечание Параметры кэширования могут также быть заданы непосредственно в заголовке ответа. Такой способ приоритетнее, чем задание времени кэширования с помощью директивы. Поле заголовка "X-Accel-Expires" задает время кэширования ответа в секундах. Значение 0 запрещает кэшировать ответ. Если значение начинается с префикса @, оно задает абсолютное время в секундах с начала эпохи, до которого ответ может быть кэширован. Если в заголовке нет поля "X-Accel-Expires", параметры кэширования определяются по полям заголовка "Expires" или "Cache-Control". Ответ, в заголовке которого есть поле "Set-Cookie", не будет кэшироваться. Ответ, в заголовке которого есть поле "Vary" со специальным значением "*", не будет кэшироваться. Ответ, в заголовке которого есть поле "Vary" с другим значением, будет кэширован с учетом соответствующих полей заголовка запроса. Обработка одного или более из этих полей заголовка может быть отключена при помощи директивы proxy_ignore_headers. По умолчанию http, server, location Задает таймаут для установления соединения с проксированным сервером. Необходимо иметь в виду, что этот таймаут обычно не может превышать 75 секунд. По умолчанию http, server, location Настраивает завершение всех соединений с проксируемым сервером,
если он был удален из группы или помечен как постоянно недоступный
в результате процесса reresolve
или команды API Соединение завершается, когда обрабатывается следующее событие чтения или записи
для клиента или проксируемого сервера. Установка времени включает таймаут до завершения соединения;
при выборе значения Включает поддержку диапазонов запрашиваемых байт (byte-range) для кэшированных и некэшированных ответов проксируемого сервера вне зависимости от наличия поля "Accept-Ranges" в заголовках этих ответов. По умолчанию http, server, location Задает размер корзины для хэш-таблиц, используемых директивами proxy_hide_header и proxy_set_header. Подробнее настройка хэш-таблиц обсуждается отдельно. По умолчанию http, server, location Задает максимальный размер хэш-таблиц, используемых директивами proxy_hide_header и proxy_set_header. Подробнее настройка хэш-таблиц обсуждается отдельно. По умолчанию Angie не передает клиенту поля заголовка "Date", "Server", "X-Pad" и "X-Accel-..." из ответа проксированного сервера. Директива proxy_hide_header задает дополнительные поля, которые не будут передаваться. Если же передачу полей нужно разрешить, можно воспользоваться директивой proxy_pass_header. По умолчанию http, server, location, if в location, limit_except Задает версию протокола HTTP для проксирования.
По умолчанию используется версия 1.0.
Для работы
постоянных соединений
рекомендуется версия 1.1 или выше. Отключает или включает особый режим cогласования По умолчанию http, server Инициализирует настройки HTTP/3 и QUIC,
а также задает максимальное число параллельных HTTP/3-потоков в
соединении.
Требует включения постоянных соединений. Значение по умолчанию http, server, location Определяет емкость динамической таблицы
для прокси-соединений. Примечание Похожая директива http3_max_table_capacity
задает это значение для серверных соединений.
Чтобы избежать ошибок, использование динамической таблицы
отключается при включенном кэшировании в режиме проксирования. По умолчанию http, server Задает размер буфера, используемого для чтения и записи
QUIC-потоков. По умолчанию http, server, location Определяет, закрывать ли соединение с проксируемым сервером в случае, если клиент закрыл соединение, не дождавшись ответа. Запрещает обработку некоторых полей заголовка из ответа проксированного сервера. В директиве можно указать поля "X-Accel-Redirect", "X-Accel-Expires", "X-Accel-Limit-Rate", "X-Accel-Buffering", "X-Accel-Charset", "Expires", "Cache-Control", "Set-Cookie" и "Vary". Если не запрещено, обработка этих полей заголовка заключается в следующем: "X-Accel-Expires", "Expires", "Cache-Control", "Set-Cookie" и "Vary" задают параметры кэширования ответа; "X-Accel-Redirect" производит внутреннее перенаправление на указанный URI; "X-Accel-Limit-Rate" задает ограничение скорости передачи ответа клиенту; "X-Accel-Buffering" включает или выключает буферизацию ответа; "X-Accel-Charset" задает желаемую кодировку ответа. По умолчанию http, server, location Определяет, передавать ли клиенту проксированные ответы с кодом больше либо равным 300, или же перехватывать их и перенаправлять на обработку Angie с помощью директивы error_page. Ограничивает скорость чтения ответа от проксируемого сервера.
Скорость задается в байтах в секунду; можно использовать переменные. отключает ограничение скорости Примечание Ограничение устанавливается на запрос, поэтому, если Angie одновременно откроет два соединения к проксируемому серверу, суммарная скорость будет вдвое выше заданного ограничения. Ограничение работает только в случае, если включена буферизация ответов проксируемого сервера. По умолчанию http, server, location Если включена буферизация ответов проксируемого сервера, и ответ не вмещается целиком в буферы, заданные директивами proxy_buffer_size и proxy_buffers, часть ответа может быть записана во временный файл. Эта директива задает максимальный размер временного файла. Размер данных, сбрасываемых во временный файл за один раз, задается директивой proxy_temp_file_write_size. отключает возможность буферизации ответов во временные файлы Примечание Данное ограничение не распространяется на ответы, которые будут кэшированы или сохранены на диске. Задает HTTP-метод, который будет использоваться в передаваемых на проксируемый сервер запросах вместо метода из клиентского запроса. В значении параметра допустимо использование переменных. По умолчанию http, server, location Определяет, в каких случаях запрос будет передан следующему в группе upstream серверу: произошла ошибка соединения с сервером, передачи ему запроса или чтения заголовка ответа сервера; произошел таймаут во время соединения с сервером, передачи ему запроса или чтения заголовка ответа сервера; сервер вернул пустой или неверный ответ; сервер вернул ответ с кодом 500; сервер вернул ответ с кодом 502; сервер вернул ответ с кодом 503; сервер вернул ответ с кодом 504; сервер вернул ответ с кодом 403; сервер вернул ответ с кодом 404; сервер вернул ответ с кодом 429; обычно запросы с неидемпотентным методом (POST, LOCK, PATCH) не передаются на другой сервер, если запрос серверу группы уже был отправлен; включение параметра явно разрешает повторять подобные запросы; запрещает передачу запроса следующему серверу. Примечание Необходимо понимать, что передача запроса следующему серверу возможна только при условии, что клиенту еще ничего не передавалось. То есть, если ошибка или таймаут возникли в середине передачи ответа клиенту, то действие директивы на такой запрос не распространяется. Директива также определяет, что считается неудачной попыткой работы с сервером. всегда считаются неудачными попытками, даже если они не указаны в директиве считаются неудачными попытками, только если они указаны в директиве никогда не считаются неудачными попытками Передача запроса следующему серверу может быть ограничена по количеству попыток и по времени. По умолчанию http, server, location Ограничивает время, в течение которого возможна передача запроса следующему серверу. отключает это ограничение По умолчанию http, server, location Ограничивает число допустимых попыток для передачи запроса следующему серверу. отключает это ограничение Задает условия, при которых ответ не будет сохраняться в кэш. Если значение хотя бы одного из строковых параметров непустое и не равно "0", то ответ не будет сохранен: Можно использовать совместно с директивой proxy_cache_bypass. Задает протокол и адрес проксируемого сервера, а также необязательный URI, на который должен отображаться location. В качестве протокола можно указать или в виде пути UNIX-сокета, который указывается после слова Если доменному имени соответствует несколько адресов, то все они будут использоваться по очереди (round-robin). Кроме того, в качестве адреса можно указать группу серверов. В значении параметра можно использовать переменные. В этом случае, если адрес указан в виде доменного имени, имя ищется среди описанных групп серверов и если не найдено, то определяется с помощью resolver'а. URI запроса передается на сервер так: Если директива proxy_pass указана с URI, то при передаче запроса серверу часть нормализованного URI запроса, соответствующая location, заменяется на URI, указанный в директиве: Если директива proxy_pass указана без URI, то при обработке первоначального запроса на сервер передается URI запроса в том же виде, в каком его прислал клиент, а при обработке измененного URI - нормализованный URI запроса целиком: В ряде случаев часть URI запроса, подлежащую замене, выделить невозможно: Если location задан регулярным выражением, а также в именованных location'ах. В этих случаях proxy_pass следует указывать без URI. Если внутри проксируемого location с помощью директивы rewrite изменяется URI, и именно с этой конфигурацией будет обрабатываться запрос (break): В этом случае URI, указанный в директиве, игнорируется, и на сервер передается измененный URI запроса целиком. При использовании переменных в proxy_pass: В этом случае если в директиве указан URI, он передается на сервер как есть, заменяя URI первоначального запроса. Проксирование WebSocket требует особой настройки. Разрешает передавать от проксируемого сервера клиенту запрещенные для передачи поля заголовка. По умолчанию http, server, location Позволяет запретить передачу исходного тела запроса на проксируемый сервер. См. также директивы proxy_set_header и proxy_pass_request_headers. По умолчанию http, server, location Позволяет запретить передачу полей заголовка исходного запроса на проксируемый сервер. См. также директивы proxy_set_header и proxy_pass_request_body. По умолчанию http, server, location Разрешает передачу полей трейлеров от проксируемого сервера клиенту. Секция трейлеров в HTTP/1.1 включается явно. По умолчанию http, server Задает значение транспортного параметра QUIC
Отключает или включает отправку данных в оптимизированном пакетном режиме
QUIC,
использующем программное снижение нагрузки путем сегментации
(generic segmentation offload). Задает файл с секретным ключом,
применяемым в
QUIC
при шифровании токенов
Stateless Reset
и
Address Validation.
По умолчанию случайный ключ создается при каждом перезапуске.
Токены, созданные при помощи старых ключей, не принимаются. Задает таймаут при чтении ответа проксированного сервера. Таймаут устанавливается не на всю передачу ответа, а только между двумя операциями чтения. Если по истечении этого времени проксируемый сервер ничего не передаст, соединение закрывается. По умолчанию http, server, location Задает текст, который нужно изменить в полях заголовка "Location" и "Refresh" в ответе проксируемого сервера. Предположим, проксируемый сервер вернул поле заголовка: Директива перепишет эту строку в виде: В заменяемой строке можно не указывать имя сервера: тогда будут подставлены основное имя сервера и порт, если он отличен от 80. Стандартная замена, задаваемая параметром Осторожно Параметр В строке замена можно использовать переменные: В строке перенаправление тоже можно использовать переменные: Директиву также можно задать при помощи регулярных выражений. При этом перенаправление должно начинаться либо с символа "~", если при сравнении следует учитывать регистр символов, либо с символов "~*", если регистр символов учитывать не нужно. Регулярное выражение может содержать именованные и позиционные выделения, а замена ссылаться на них: На одном уровне может быть указано несколько директив proxy_redirect: Если к полям заголовка в ответе проксируемого сервера могут быть применены несколько директив, будет выбрана первая из них. Параметр С помощью этой директивы можно также добавлять имя хоста к относительным перенаправлениям, выдаваемым проксируемым сервером: По умолчанию http, server, location Разрешает или запрещает использовать буферизацию тела запроса клиента. тело запроса полностью читается от клиента перед отправкой запроса на проксируемый сервер. тело запроса отправляется на проксируемый сервер сразу же по мере его поступления. В этом случае запрос не может быть передан следующему серверу, если Angie уже начал отправку тела запроса. Если для отправки тела исходного запроса используется HTTP/1.1 и передача данных частями (chunked transfer encoding), то тело запроса буферизуется независимо от значения директивы, если для проксирования также не включен HTTP/1.1. При установке директивы в ненулевое значение Angie будет пытаться
минимизировать число операций отправки на исходящих соединениях с проксируемым
сервером либо при помощи флага Примечание Эта директива игнорируется на Linux, Solaris и Windows. Задает таймаут при передаче запроса проксируемому серверу. Таймаут устанавливается не на всю передачу запроса, а только между двумя операциями записи. Если по истечении этого времени проксируемый сервер не примет новых данных, соединение закрывается. Позволяет переопределить тело запроса, передаваемое на проксируемый сервер. В качестве значения можно использовать текст, переменные и их комбинации. По умолчанию http, server, location Позволяет переопределять или добавлять поля заголовка запроса, передаваемые проксируемому серверу. В качестве значения можно использовать текст, переменные и их комбинации. Директивы наследуются с предыдущего уровня конфигурации при условии, что на данном уровне не описаны свои директивы proxy_set_header. По умолчанию переопределяются только два поля: Если включено кэширование, поля заголовка "If-Modified-Since", "If-Unmodified-Since", "If-None-Match", "If-Match", "Range" и "If-Range" исходного запроса не передаются на проксируемый сервер. Неизмененное поле заголовка запроса "Host" можно передать так: Однако, если это поле отсутствует в заголовке запроса клиента, то ничего передаваться не будет. В этом случае лучше воспользоваться переменной $host - ее значение равно имени сервера в поле "Host" заголовка запроса, или же основному имени сервера, если поля нет: Кроме того, можно передать имя сервера вместе с портом проксируемого сервера: Если значение поля заголовка — пустая строка, то поле вообще не будет передаваться проксируемому серверу: По умолчанию http, server, location Конфигурирует поведение "TCP keepalive" для исходящих соединений к проксируемому серверу. По умолчанию для сокета действуют настройки операционной системы. для сокета включается параметр SO_KEEPALIVE Задает файл с сертификатом в формате PEM для аутентификации на проксируемом HTTPS-сервере. В имени файла можно использовать переменные. Добавлено в версии 1.2.0. При включенном proxy_ssl_ntls директива принимает два аргумента вместо одного: Задает файл с секретным ключом в формате PEM для аутентификации на проксируемом HTTPS-сервере. Вместо файла можно указать значение "engine:имя:id", которое загружает ключ с указанным id из OpenSSL engine с заданным именем. В имени файла можно использовать переменные. Добавлено в версии 1.2.0. При включенном proxy_ssl_ntls директива принимает два аргумента вместо одного: По умолчанию http, server, location Описывает разрешенные шифры для запросов к проксируемому HTTPS-серверу. Шифры задаются в формате, поддерживаемом библиотекой OpenSSL. Список шифров зависит от установленной версии OpenSSL.
Полный список можно посмотреть с помощью команды Задает произвольные конфигурационные команды OpenSSL при установлении соединения с проксируемым HTTPS-сервером. Важно Директива поддерживается при использовании OpenSSL 1.0.2 и выше. На одном уровне может быть указано несколько директив proxy_ssl_conf_command. Директивы наследуются с предыдущего уровня конфигурации при условии, что на данном уровне не описаны свои директивы proxy_ssl_conf_command. Осторожно Следует учитывать, что изменение настроек OpenSSL напрямую может привести к неожиданному поведению. Указывает файл с отозванными сертификатами (CRL) в формате PEM, используемыми при проверке сертификата проксируемого HTTPS-сервера. Позволяет переопределить имя сервера, используемое при проверке сертификата проксируемого HTTPS-сервера, а также для передачи его через SNI при установлении соединения с проксируемым HTTPS-сервером. По умолчанию используется имя хоста из URL'а, заданного директивой proxy_pass. Добавлено в версии 1.2.0. Включает клиентскую поддержку NTLS при использовании TLS библиотеки TongSuo. Важно Angie необходимо собрать с использованием параметра конфигурации --with-ntls, с соответствующей SSL библиотекой с поддержкой NTLS Задает файл с паролями от секретных ключей, где каждый пароль указан на отдельной строке. Пароли применяются по очереди в момент загрузки ключа. По умолчанию http, server, location Изменено в версии 1.2.0: Параметр Разрешает указанные протоколы для запросов к проксируемому HTTPS-серверу. По умолчанию http, server, location Разрешает или запрещает передачу имени сервера,
заданного директивой proxy_ssl_name,
через расширение
Server Name Indication
протокола TLS
(SNI,
RFC 6066)
при установлении соединения с проксируемым HTTPS-сервером. По умолчанию http, server, location Определяет, использовать ли повторно SSL-сессии при работе с проксируемым сервером. Если в логах появляются ошибки "SSL3_GET_FINISHED:digest check failed", то можно попробовать выключить повторное использование сессий. Задает файл с доверенными сертификатами CA в формате PEM, используемыми при проверке сертификата проксируемого HTTPS-сервера. Разрешает или запрещает проверку сертификата проксируемого HTTPS-сервера. По умолчанию http, server, location Устанавливает глубину проверки в цепочке сертификатов проксируемого HTTPS-сервера. Разрешает сохранение на диск файлов. сохраняет файлы в соответствии с путями, указанными в директивах alias или root запрещает сохранение файлов Имя файла можно задать явно с помощью Время изменения файлов выставляется согласно полученному полю "Last-Modified" в заголовке ответа. Ответ сначала записывается во временный файл, а потом этот файл переименовывается. Временный файл и постоянное место хранения ответа могут располагаться на разных файловых системах. Однако нужно учитывать, что в этом случае вместо дешевой операции переименовывания в пределах одной файловой системы файл копируется с одной файловой системы на другую. Поэтому лучше, если сохраняемые файлы будут находиться на той же файловой системе, что и каталог с временными файлами, задаваемый директивой proxy_temp_path для данного location. Директиву можно использовать для создания локальных копий статических неизменяемых файлов, например, так: или так: По умолчанию http, server, location Задает права доступа для создаваемых файлов и каталогов, например, Если заданы какие-либо права для group или all, то права для user указывать необязательно: По умолчанию http, server, location Ограничивает размер данных, сбрасываемых во временный файл за один раз, при включенной буферизации ответов проксируемого сервера во временные файлы. По умолчанию размер ограничен двумя буферами, заданными директивами proxy_buffer_size и proxy_buffers. Максимальный размер временного файла задается директивой proxy_max_temp_file_size. По умолчанию http, server, location Задает имя каталога для хранения временных файлов с данными, полученными от проксируемых серверов. В каталоге может использоваться иерархия подкаталогов до трех уровней. Например, при такой конфигурации временный файл будет следующего вида: См. также параметр use_temp_path директивы proxy_cache_path. В модуле http_proxy есть встроенные переменные, которые можно использовать для формирования заголовков с помощью директивы proxy_set_header: имя и порт проксируемого сервера, как указано в директиве proxy_pass; порт проксируемого сервера, как указано в директиве proxy_pass, или стандартный порт протокола; поле заголовка запроса клиента "X-Forwarded-For" и добавленная к нему через запятую переменная $remote_addr. Если же поля "X-Forwarded-For" в заголовке запроса клиента нет, то переменная $proxy_add_x_forwarded_for равна переменной $remote_addr.Пример конфигурации#
location / {
proxy_pass http://localhost:8000;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
}
Директивы#
proxy_bind#
off
отменяет действие унаследованной с предыдущего уровня конфигурации директивы proxy_bind, позволяя системе самостоятельно выбирать локальный IP-адрес и порт.transparent
позволяет задать нелокальный IP-aдрес, который будет использоваться в исходящих соединениях с проксируемым сервером, например, реальный IP-адрес клиента:proxy_bind $remote_addr transparent;
proxy_buffer_size#
proxy_buffer_size
размер;proxy_buffer_size 4k|8k;
proxy_buffering#
on
off
proxy_buffers#
proxy_buffers
число размер;proxy_buffers 8 4k | 8k;
proxy_busy_buffers_size#
proxy_busy_buffers_size
размер;proxy_busy_buffers_size 8k | 16k;
proxy_cache#
proxy_cache
зона | off
[path=
путь];proxy_cache off;
off
keys_zone
, чтобы включить шардинг
кэша. При этом следует задать параметр path
директивы
proxy_cache, использующей это значение keys_zone
:path=
путьContent-Type
:proxy_cache_path /cache/one keys_zone=zone:10m;
proxy_cache_path /cache/two keys_zone=zone;
map $upstream_http_content_type $cache {
~^text/ one;
default two;
}
server {
...
location / {
proxy_pass http://backend;
proxy_cache zone path=/cache/$cache;
}
}
Content-Type
начинается с text/
, будет выбран первый путь,
иначе — второй.proxy_cache_background_update#
proxy_cache_background_update
on
| off
;proxy_cache_background_update off;
proxy_cache_bypass#
proxy_cache_bypass $cookie_nocache $arg_nocache$arg_comment;
proxy_cache_bypass $http_pragma $http_authorization;
proxy_cache_convert_head#
proxy_cache_convert_head
on
| off
;proxy_cache_convert_head on;
proxy_cache_key#
proxy_cache_key
строка;proxy_cache_key $scheme$proxy_host$request_uri;
proxy_cache_key "$host$request_uri $cookie_user";
proxy_cache_key $scheme$proxy_host$uri$is_args$args;
proxy_cache_lock#
proxy_cache_lock_age#
proxy_cache_lock_age
время;proxy_cache_lock_age 5s;
proxy_cache_lock_timeout#
proxy_cache_lock_timeout
время;proxy_cache_lock_timeout 5s;
proxy_cache_max_range_offset#
proxy_cache_methods#
proxy_cache_methods
GET
| HEAD
| POST
...;proxy_cache_methods GET HEAD;
proxy_cache_min_uses#
proxy_cache_min_uses
число;proxy_cache_min_uses 1;
proxy_cache_path#
proxy_cache_path
путь [levels=
уровни] [use_temp_path=
on
| off
] keys_zone=
имя:размер [inactive=
время] [max_size=
размер] [min_free=
размер] [manager_files=
число] [manager_sleep=
время] [manager_threshold=
время] [loader_files=
число] [loader_sleep=
время] [loader_threshold=
время];levels
proxy_cache_path /data/angie/cache levels=1:2 keys_zone=one:10m;
/data/angie/cache/c/29/b7f54b2df7773722d382f4809d65029c
use_temp_path=on
| off
on
on
, будет использоваться каталог, задаваемый директивой proxy_temp_path для данного locationoff
keys_zone
inactive
inactive
равен 10 минутам.keys_zone
. Размер зоны разделяемой памяти можно
указывать только в первой из них. Выбор между директивами будет
производиться на основе параметра path
соответствующей директивы
proxy_cache.max_size
min_free
manager_files
100
.manager_threshold
200
миллисекунд.manager_sleep
50
миллисекунд.loader_files
100
loader_threshold
200
миллисекундloader_sleep
50
миллисекундproxy_cache_revalidate#
proxy_cache_revalidate
on
| off
;proxy_cache_revalidate off;
proxy_cache_use_stale#
proxy_cache_use_stale
error
| timeout
| invalid_header
| updating
| http_500
| http_502
| http_503
| http_504
| http_403
| http_404
| http_429
| off
...;proxy_cache_use_stale off;
error
updating
proxy_cache_valid#
proxy_cache_valid 200 302 10m;
proxy_cache_valid 404 1m;
proxy_cache_valid 5m;
any
:proxy_cache_valid 200 302 10m;
proxy_cache_valid 301 1h;
proxy_cache_valid any 1m;
proxy_connect_timeout#
proxy_connect_timeout
время;proxy_connect_timeout 60s;
proxy_connection_drop#
proxy_connection_drop
время | on
| off
;proxy_connection_drop off;
DELETE
.on
соединения завершаются немедленно.proxy_force_ranges#
proxy_headers_hash_bucket_size#
proxy_headers_hash_bucket_size
размер;proxy_headers_hash_bucket_size 64;
proxy_headers_hash_max_size#
proxy_headers_hash_max_size
размер;proxy_headers_hash_max_size 512;
proxy_hide_header#
proxy_http_version#
proxy_http_version
1.0
| 1.1
| 3
;proxy_http_version 1.0;
proxy_http3_hq#
hq-interop
,
используемый в
функциональных тестах
QUIC,
на которые полагается Angie.proxy_http3_max_concurrent_streams#
proxy_http3_max_concurrent_streams
число;proxy_http3_max_concurrent_streams 128;
proxy_http3_max_table_capacity#
proxy_http3_max_table_capacity
число;proxy_http3_max_table_capacity 4096;
proxy_http3_stream_buffer_size#
proxy_http3_stream_buffer_size
размер;proxy_http3_stream_buffer_size 64k;
proxy_ignore_client_abort#
proxy_ignore_client_abort
on
| off
;proxy_ignore_client_abort off;
proxy_ignore_headers#
proxy_intercept_errors#
proxy_intercept_errors
on
| off
;proxy_intercept_errors off;
proxy_limit_rate#
0
proxy_max_temp_file_size#
proxy_max_temp_file_size
размер;proxy_max_temp_file_size 1024m;
0
proxy_method#
proxy_next_upstream#
proxy_next_upstream
error
| timeout
| invalid_header
| http_500
| http_502
| http_503
| http_504
| http_403
| http_404
| http_429
| non_idempotent
| off
...;proxy_next_upstream error timeout;
error
timeout
invalid_header
http_500
http_502
http_503
http_504
http_403
http_404
http_429
non_idempotent
off
error
timeout
invalid_header
http_500
http_502
http_503
http_504
http_429
http_403
http_404
proxy_next_upstream_timeout#
proxy_next_upstream_timeout
время;proxy_next_upstream_timeout 0;
0
proxy_next_upstream_tries#
proxy_next_upstream_tries
число;proxy_next_upstream_tries 0;
0
proxy_no_cache#
proxy_no_cache $cookie_nocache $arg_nocache$arg_comment;
proxy_no_cache $http_pragma $http_authorization;
proxy_pass#
http
или https
. Адрес может быть указан в виде доменного имени или IP-адреса, и необязательного порта:proxy_pass http://localhost:8000/uri/;
unix
и заключается в двоеточия:proxy_pass http://unix:/tmp/backend.socket:/uri/;
location /name/ {
proxy_pass http://127.0.0.1/remote/;
}
location /some/path/ {
proxy_pass http://127.0.0.1;
}
location /name/ {
rewrite /name/([^/]+) /users?name=$1 break;
proxy_pass http://127.0.0.1;
}
location /name/ {
proxy_pass http://127.0.0.1$request_uri;
}
proxy_pass_header#
proxy_pass_request_body#
proxy_pass_request_body
on
| off
;proxy_pass_request_body on;
location /x-accel-redirect-here/ {
proxy_method GET;
proxy_pass_request_body off;
proxy_set_header Content-Length "";
proxy_pass ...;
}
proxy_pass_request_headers#
proxy_pass_request_headers
on
| off
;proxy_pass_request_headers on;
location /x-accel-redirect-here/ {
proxy_method GET;
proxy_pass_request_headers off;
proxy_pass_request_body off;
proxy_pass ...;
}
proxy_pass_trailers#
proxy_pass_trailers
on
| off
;proxy_pass_trailers off;
location / {
proxy_http_version 1.1;
proxy_set_header Connection "te";
proxy_set_header TE "trailers";
proxy_pass_trailers on;
proxy_pass ...;
}
proxy_quic_active_connection_id_limit#
proxy_quic_active_connection_id_limit
число;proxy_quic_active_connection_id_limit 2;
active_connection_id_limit
.
Это максимальное число активных
идентификаторов соединений,
поддерживаемых для одного сервера.proxy_quic_gso#
proxy_quic_host_key#
proxy_read_timeout#
proxy_redirect#
proxy_redirect
default
;proxy_redirect
off
;proxy_redirect
перенаправление замена;proxy_redirect default;
Location: http://localhost:8000/two/some/uri/
proxy_redirect http://localhost:8000/two/ http://frontend/one/;
Location: http://frontend/one/some/uri/
proxy_redirect http://localhost:8000/two/ /;
default
, использует параметры директив location и proxy_pass. Поэтому две нижеприведенные конфигурации одинаковы:location /one/ {
proxy_pass http://upstream:port/two/;
proxy_redirect default;
location /one/ {
proxy_pass http://upstream:port/two/;
proxy_redirect http://upstream:port/two/ /one/;
default
недопустим, если в proxy_pass используются переменные.proxy_redirect http://localhost:8000/ http://$host:$server_port/;
proxy_redirect http://$proxy_host:8000/ /;
proxy_redirect ~^(http://[^:]+):\d+(/.+)$ $1$2;
proxy_redirect ~*/user/([^/]+)/(.+)$ http://$1.example.com/$2;
proxy_redirect default;
proxy_redirect http://localhost:8000/ /;
proxy_redirect http://www.example.com/ /;
off
отменяет действие унаследованных с предыдущего уровня конфигурации директив proxy_redirect.proxy_redirect / /;
proxy_request_buffering#
proxy_request_buffering
on
| off
;proxy_request_buffering on;
on
off
proxy_send_lowat#
NOTE_LOWAT
метода kqueue, либо при
помощи параметра сокета SO_SNDLOWAT
, с указанным размером.proxy_send_timeout#
proxy_set_body#
proxy_set_header#
proxy_set_header
поле значение;proxy_set_header Host $proxy_host;
proxy_set_header Host $proxy_host;
proxy_set_header Connection close;
proxy_set_header Host $http_host;
proxy_set_header Host $host;
proxy_set_header Host $host:$proxy_port;
proxy_set_header Accept-Encoding "";
proxy_socket_keepalive#
proxy_socket_keepalive
on
| off
;proxy_socket_keepalive off;
""
on
proxy_ssl_certificate#
location /proxy {
proxy_ssl_ntls on;
proxy_ssl_certificate sign.crt enc.crt;
proxy_ssl_certificate_key sign.key enc.key;
proxy_ssl_ciphers "ECC-SM2-WITH-SM4-SM3:ECDHE-SM2-WITH-SM4-SM3:RSA";
proxy_pass https://backend:443;
}
proxy_ssl_certificate_key#
location /proxy {
proxy_ssl_ntls on;
proxy_ssl_certificate sign.crt enc.crt;
proxy_ssl_certificate_key sign.key enc.key;
proxy_ssl_ciphers "ECC-SM2-WITH-SM4-SM3:ECDHE-SM2-WITH-SM4-SM3:RSA";
proxy_pass https://backend:443;
}
proxy_ssl_ciphers#
proxy_ssl_ciphers
шифры;proxy_ssl_ciphers DEFAULT;
openssl ciphers
.proxy_ssl_conf_command#
proxy_ssl_crl#
proxy_ssl_name#
proxy_ssl_ntls#
location /proxy {
proxy_ssl_ntls on;
proxy_ssl_certificate sign.crt enc.crt;
proxy_ssl_certificate_key sign.key enc.key;
proxy_ssl_ciphers "ECC-SM2-WITH-SM4-SM3:ECDHE-SM2-WITH-SM4-SM3:RSA";
proxy_pass https://backend:443;
}
./configure --with-openssl=../Tongsuo-8.3.0 \
--with-openssl-opt=enable-ntls \
--with-ntls
proxy_ssl_password_file#
proxy_ssl_protocols#
proxy_ssl_protocols
[SSLv2
] [SSLv3
] [TLSv1
] [TLSv1.1
] [TLSv1.2
] [TLSv1.3
];proxy_ssl_protocols TLSv1.2 TLSv1.3;
TLSv1.3
добавлен к используемым по умолчанию.proxy_ssl_server_name#
proxy_ssl_server_name
on
| off
;proxy_ssl_server_name off;
proxy_ssl_session_reuse#
proxy_ssl_session_reuse
on
| off
;proxy_ssl_session_reuse on;
proxy_ssl_trusted_certificate#
proxy_ssl_verify#
proxy_ssl_verify_depth#
proxy_ssl_verify_depth
число;proxy_ssl_verify_depth 1;
proxy_store#
on
off
строки
с переменными:proxy_store /data/www$original_uri;
location /images/ {
root /data/www;
error_page 404 = /fetch$uri;
}
location /fetch/ {
internal;
proxy_pass http://backend/;
proxy_store on;
proxy_store_access user:rw group:rw all:r;
proxy_temp_path /data/temp;
alias /data/www/;
}
location /images/ {
root /data/www;
error_page 404 = @fetch;
}
location @fetch {
internal;
proxy_pass http://backend;
proxy_store on;
proxy_store_access user:rw group:rw all:r;
proxy_temp_path /data/temp;
root /data/www;
}
proxy_store_access#
proxy_store_access
пользователи:права ...;proxy_store_access user:rw;
proxy_store_access user:rw group:rw all:r;
proxy_store_access group:rw all:r;
proxy_temp_file_write_size#
proxy_temp_file_write_size
размер;proxy_temp_file_write_size 8k|16k;
proxy_temp_path#
proxy_temp_path
путь [уровень1 [уровень2 [уровень3]]]`;proxy_temp_path proxy_temp;
(путь зависит от параметра сборки --http-proxy-temp-path
)proxy_temp_path /spool/angie/proxy_temp 1 2;
/spool/angie/proxy_temp/7/45/00000123457
Встроенные переменные#
$proxy_host
#$proxy_port
#$proxy_add_x_forwarded_for
#