Nginx Stream TCP 協(xié)議按 IP 轉(zhuǎn)發(fā)

背景

為了優(yōu)化網(wǎng)絡(luò)性能和提升服務(wù)的可用性，我們需要在 Nginx 中配置 stream 模塊，使其根據(jù)客戶端的 IP地址 將 TCP 請求 動態(tài)轉(zhuǎn)發(fā)到不同的后端服務(wù)器節(jié)點(diǎn)。此需求適用于場景如數(shù)據(jù)庫代理（如 MySQL）、TCP 服務(wù)負(fù)載均衡、以及地域或來源IP分流的流量調(diào)度。

需求目標(biāo)

• 按客戶端 IP 路由：
  • 系統(tǒng)需根據(jù)客戶端的來源 IP，將 TCP 請求智能地轉(zhuǎn)發(fā)到指定的后端服務(wù)器節(jié)點(diǎn)。
  • 支持自定義 IP 段或單個(gè) IP 的匹配規(guī)則。
• 后端節(jié)點(diǎn)配置：
  • 后端服務(wù)器節(jié)點(diǎn)可能為多臺，并且每個(gè)節(jié)點(diǎn)對應(yīng)不同的業(yè)務(wù)數(shù)據(jù)或服務(wù)端口。
  • 默認(rèn)情況下，如果 IP 未匹配任何指定規(guī)則，需將請求轉(zhuǎn)發(fā)到預(yù)設(shè)的默認(rèn)節(jié)點(diǎn)。
• 負(fù)載均衡與健康檢查（可選）：
  • 每個(gè)后端節(jié)點(diǎn)需要支持健康檢查機(jī)制，當(dāng)某個(gè)節(jié)點(diǎn)不可用時(shí)自動切換到其他節(jié)點(diǎn)。
  • 系統(tǒng)應(yīng)具有一定的容錯(cuò)能力，避免單點(diǎn)故障影響整體服務(wù)。
• 日志與監(jiān)控：
  • Nginx 需記錄所有連接的來源 IP 及其轉(zhuǎn)發(fā)的后端服務(wù)器節(jié)點(diǎn)，支持日志分析與故障排查。
  • 系統(tǒng)需兼容現(xiàn)有的日志采集與監(jiān)控平臺，實(shí)現(xiàn)對轉(zhuǎn)發(fā)情況的實(shí)時(shí)監(jiān)控。
• 可擴(kuò)展性：
  • 配置應(yīng)支持動態(tài)擴(kuò)展，即可在不重啟 Nginx 的情況下更新 IP 路由規(guī)則或后端節(jié)點(diǎn)。
  • 后端節(jié)點(diǎn)可根據(jù)業(yè)務(wù)需求隨時(shí)增加或減少。

使用場景

• 數(shù)據(jù)庫代理：根據(jù)客戶端所在的網(wǎng)絡(luò)段，將數(shù)據(jù)庫查詢請求分發(fā)到不同的數(shù)據(jù)中心。
• TCP 業(yè)務(wù)調(diào)度：如按地域 IP 將 TCP 連接轉(zhuǎn)發(fā)到最近的服務(wù)器節(jié)點(diǎn)，提升訪問速度。
• 安全過濾：部分高風(fēng)險(xiǎn) IP 或網(wǎng)絡(luò)段的請求可路由到專用節(jié)點(diǎn)進(jìn)行安全處理。

成功標(biāo)準(zhǔn)

• 按 IP 匹配的請求能正確轉(zhuǎn)發(fā)到目標(biāo)后端服務(wù)器。
• 未匹配的請求能轉(zhuǎn)發(fā)到默認(rèn)節(jié)點(diǎn)，且整體服務(wù)穩(wěn)定。
• 后端服務(wù)器節(jié)點(diǎn)狀態(tài)異常時(shí)，能自動切換到其他可用節(jié)點(diǎn)。

技術(shù)要求

• 使用 Nginx 的 stream 模塊 實(shí)現(xiàn) TCP 轉(zhuǎn)發(fā)。
• 支持 TCP 協(xié)議的端口監(jiān)聽和請求代理。
• 后續(xù)可能擴(kuò)展到 UDP 支持，因此設(shè)計(jì)應(yīng)考慮模塊化和擴(kuò)展性。

Ng配置

stream {
  upstream socket_proxy1  {
       hash $remote_addr consistent;
       # 轉(zhuǎn)發(fā)的目的地址和端口
       server 20.100.105.172:6789;
      }
 upstream socket_proxy2  {
       hash $remote_addr consistent;
       # 轉(zhuǎn)發(fā)的目的地址和端口
       server 20.100.105.250:6789;
      }
  map $remote_addr $socket_proxy  {
		20.101.106.69 socket_proxy1; # 或者是 CIDR格式的IP段
		20.101.106.68 socket_proxy2;
		default socket_proxy2; # 默認(rèn)轉(zhuǎn)發(fā)的節(jié)點(diǎn)
  }
  server {
        listen 4321;
        proxy_connect_timeout 600s;
        proxy_timeout 600s;
		#動態(tài)選擇后端節(jié)點(diǎn)
        proxy_pass $socket_proxy;
       }
  log_format detailed '$remote_addr [$time_local] '
                        '$protocol $status $bytes_sent $bytes_received '
                        '$session_time $upstream_addr '
                        '"$upstream_bytes_sent" "$upstream_bytes_received" "$upstream_connect_time"';
  map $time_iso8601 $logdate {
    default 'date-not-found';
    '~^(?<ymd>\d{4}-\d{2}-\d{2})' $ymd;
    }
  access_log logs/stream-access-$logdate.log detailed;
}

• stream 塊：用于處理基于 TCP 或 UDP 的流量。
• upstream：定義了不同的后端服務(wù)器組。
• map 指令：根據(jù)客戶端的 IP地址，將請求映射到不同的后端組。
• server：定義一個(gè) TCP 端口監(jiān)聽服務(wù)，并將連接動態(tài)轉(zhuǎn)發(fā)給對應(yīng)的后端

在完成配置后，使用以下命令驗(yàn)證 Nginx 配置是否正確：

nginx -t

重新加載 Nginx 服務(wù)

nginx -s reload

測試驗(yàn)證 使用客戶端工具（如 telnet 或 nc）從指定 IP 進(jìn)行連接。從stream的日志中確認(rèn)請求是否正確轉(zhuǎn)發(fā)到對應(yīng)的后端服務(wù)器。

到此這篇關(guān)于Nginx 實(shí)現(xiàn) TCP/DUP流量的按 IP 動態(tài)轉(zhuǎn)發(fā)的文章就介紹到這了,更多相關(guān)Nginx TCP/DUP流量轉(zhuǎn)發(fā)內(nèi)容請搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家！

最新評論