有的小伙伴或许没有使用过 VPC 网络下的服务器,在该网络环境下,服务器默认没有公网 IP ,所以用户无法访问到服务器。一般策略是使用 SLB 进行入网流量代理,这样用户就能从公网访问服务器上的应用了。
但是这样只能解决流量进入的问题,并解决不了 VPC 环境下的内网机器访问公网资源的问题,给每一台机器单独分配 IP 显然不是最优解,这时我们一般会选择使用某一台服务器作为出口,搭建代理服务器。
使用容器配置 Apache 代理服务器
为内网环境服务器搭建代理服务器,我们一般会优先选择 Apache Traffic Server ,但是其实使用 Apache 也可以简单的解决问题。
相比较 Traffic Server,使用 Apache 作为代理服务器非常简单。容器编排文件 docker-compose.yml 只需要 22 行:
version: "3.6"
services:
proxy:
image: httpd:2.4.39-alpine
restart: always
container_name: network-proxy
ports:
- 1080:80
volumes:
- /etc/localtime:/etc/localtime:ro
- /etc/timezone:/etc/timezone:ro
- ./httpd.conf:/usr/local/apache2/conf/httpd.conf
healthcheck:
test: ["CMD-SHELL", "httpd -T"]
interval: 5s
retries: 12
logging:
driver: "json-file"
options:
max-size: "10m"
Apache 配置文件 httpd.conf也无需像网上配置那么复杂,只需要下面这30来行就行:
ServerName localhost
Listen 80
LoadModule mpm_event_module modules/mod_mpm_event.so
LoadModule authz_core_module modules/mod_authz_core.so
LoadModule access_compat_module modules/mod_access_compat.so
LoadModule log_config_module modules/mod_log_config.so
LoadModule proxy_module modules/mod_proxy.so
LoadModule proxy_connect_module modules/mod_proxy_connect.so
LoadModule proxy_http_module modules/mod_proxy_http.so
LoadModule proxy_http2_module modules/mod_proxy_http2.so
LoadModule unixd_module modules/mod_unixd.so
User daemon
Group daemon
ErrorLog /proc/self/fd/2
LogLevel warn
LogFormat "%h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" combined
LogFormat "%h %l %u %t \"%r\" %>s %b" common
CustomLog /proc/self/fd/1 common
ProxyRequests On
ProxyVia On
<Proxy *>
Order deny,allow
Deny from all
Allow from 192.168.0.0/24
</Proxy>
如果你和我一样,明确代理服务器的服务目标,可以在 <Proxy> 配置中将其声明,避免服务被盗用,当然,推荐搭配防火墙安全策略一起使用,万无一失。
使用 docker-compose up 启动应用,会看到类似下面的日志:
network-proxy | [Sat Aug 10 15:32:06.652264 2019] [mpm_event:notice] [pid 1:tid 140135351733576] AH00489: Apache/2.4.39 (Unix) configured -- resuming normal operations
network-proxy | [Sat Aug 10 15:32:06.652318 2019] [core:notice] [pid 1:tid 140135351733576] AH00094: Command line: 'httpd -D FOREGROUND'
看日志服务确实是启动起来了,但是是否有效不得而知,所以我们要进行测试。
测试服务
在另外一台服务器上使用 curl 测试代理服务器是否正常工作,如果能否正常使用,结果会类似下面这样:
# http_proxy=http://192.168.0.50:1080 curl http://cip.cc/
IP : 39.xxx.xxx.xxx
地址 : 中国 北京
运营商 : 阿里云/电信/联通/移动/铁通/教育网
数据二 : 香港 | 特别行政区
数据三 : 中国北京北京市 | 阿里云
URL : http://www.cip.cc/39.xxx.xxx.xxx
配置服务器
让服务器默认出公网的流量走代理服务器很简单,只需要在 /etc/profile 配置文件中添加两行即可:
export http_proxy=http://192.168.0.50:1080
export https_proxy=http://192.168.0.50:1080
对 profile 文件进行修改后,需要手动重载文件:
source /etc/profile
或者断开当前的终端连接,重新连接服务器,也可以让配置生效。再次使用 curl 对代理服务器进行验证,会看到默认出公网的流量会先经过代理服务器。
# curl -v https://www.baidu.com
* Rebuilt URL to: https://www.baidu.com/
* Trying 192.168.0.50...
* TCP_NODELAY set
* Connected to 192.168.0.50 (192.168.0.50) port 1080 (#0)
* allocate connect buffer!
* Establish HTTP proxy tunnel to www.baidu.com:443
> CONNECT www.baidu.com:443 HTTP/1.1
> Host: www.baidu.com:443
> User-Agent: curl/7.58.0
> Proxy-Connection: Keep-Alive
>
< HTTP/1.0 200 Connection Established
< Proxy-agent: Apache/2.4.39 (Unix)
<
* Proxy replied 200 to CONNECT request
* CONNECT phase completed!
* ALPN, offering h2
* ALPN, offering http/1.1
配置容器服务
Docker 官方文档中有提过 ,如果想要 Docker Daemon 使用系统代理配置,需要在其启动之前进行配置,所以配置 daemon.json 大法在此处就不适用啦。
解决方法是覆盖默认的 docker.service 配置文件,先创建一个服务配置目录:
sudo mkdir -p /etc/systemd/system/docker.service.d
然后创建一个文件并编辑文件内容 /etc/systemd/system/docker.service.d/http-proxy.conf ,添加环境变量:
[Service]
Environment="HTTP_PROXY=http://192.168.0.50:1080"
Environment="HTTPS_PROXY=http://192.168.0.50:1080"
Environment="NO_PROXY=localhost,127.0.0.1,192.168.0.0/24,*.domain.ltd"
接着重启服务:
sudo systemctl daemon-reload && sudo systemctl restart docker
最后,使用 docker pull 命令验证配置是否正常:
# docker pull alpine
Using default tag: latest
latest: Pulling from library/alpine
050382585609: Already exists
Digest: sha256:6a92cd1fcdc8d8cdec60f33dda4db2cb1fcdcacf3410a8e05b3741f44a9b5998
Status: Downloaded newer image for alpine:latest
docker.io/library/alpine:latest
配置容器内部环境
如果不进行容器内部网络配置,使用容器访问公网服务,基本会遇到网络超时:
docker run --rm -it alpine
/ # apk update
fetch http://dl-cdn.alpinelinux.org/alpine/v3.10/main/x86_64/APKINDEX.tar.gz
ERROR: http://dl-cdn.alpinelinux.org/alpine/v3.10/main: network error (check Internet connection and firewall)
WARNING: Ignoring APKINDEX.00740ba1.tar.gz: No such file or directory
Docker 官方文档其实也有提过 ,解决方案的原理是:通过编辑 ~/.docker/config.json Docker 客户端配置文件,来为容器自动注入 PROXY 环境变量。
{
"proxies": {
"default": {
"httpProxy": "http://192.168.0.50:1080",
"httpsProxy": "http://192.168.0.50:1080",
"noProxy": "127.0.0.1,localhost,192.168.0.0/24,*.domain.ltd"
}
}
}
将上述配置添加好之后,无须重启容器服务,直接再次执行命令即可:
# docker run --rm -it alpine
/ # apk update
fetch http://dl-cdn.alpinelinux.org/alpine/v3.10/main/x86_64/APKINDEX.tar.gz
fetch http://dl-cdn.alpinelinux.org/alpine/v3.10/community/x86_64/APKINDEX.tar.gz
v3.10.1-62-g89778c626e [http://dl-cdn.alpinelinux.org/alpine/v3.10/main]
v3.10.1-60-gb0081284ea [http://dl-cdn.alpinelinux.org/alpine/v3.10/community]
OK: 10337 distinct packages available
至此,VPC 环境下的服务器和容器访问外网就设置完毕啦。
最后
别忘记设置防火墙规则,服务器访问公网的 IP 不允许入网流量,减少服务器对外安全隐患。
–EOF