Nginx代理WebSocket方法

微信公众号：运维开发故事，作者：姜总

大家好，我是小姜。

前一篇文章讲了一下什么是WebSocket协议，这里在回顾一下，并且聊一聊如何用nginx来代理WebSocket。

WebSocket是HTML5下一种新的协议。它实现了浏览器与服务器全双工通信，能更好的节省服务器资源和带宽并达到实时通讯的目的。它与HTTP一样通过已建立的TCP连接来传输数据，但是它和HTTP最大不同是：

❝

1） WebSocket是一种双向通信协议。在建立连接后，WebSocket服务器端和客户端都能主动向对方发送或接收数据，就像Socket一样；

2）WebSocket需要像TCP一样，先建立连接，连接成功后才能相互通信。

❞

WebSocket协议相比较于HTTP协议成功握手后可以多次进行通讯，直到连接被关闭。但是WebSocket中的握手和HTTP中的握手兼容，它使用HTTP中的Upgrade协议头将连接从HTTP升级到WebSocket。这使得WebSocket程序可以更容易的使用现已存在的基础设施。大部分现在的浏览器都支持WebSocket。

在实际的生产环境中，要求多个WebSocket服务器必须具有高性能和高可用，那么WebSocket协议就需要一个负载均衡层，Nginx从**「1.3」**版本开始支持WebSocket，其可以作为一个反向代理和为WebSocket程序做负载均衡。

WebSocket协议与HTTP协议不同，但WebSocket握手与HTTP兼容，使用HTTP升级工具将连接从HTTP升级到WebSocket。这允许WebSocket应用程序更容易地适应现有的基础架构。例如，WebSocket应用程序可以使用标准HTTP端口80和443，从而允许使用现有的防火墙规则。

「WebSocket应用程序可以在客户端和服务器之间保持长时间运行的连接」，从而有助于开发实时应用程序。用于将连接从HTTP升级到WebSocket的HTTP升级机制使用Upgrade和Connection头。反向代理服务器在支持WebSocket时面临一些挑战。一个是WebSocket是一个逐跳协议，因此当代理服务器拦截客户端的升级请求时，需要向后端服务器发送自己的升级请求，包括相应的头文件。此外，由于WebSocket连接长期存在，与HTTP使用的典型短期连接相反，反向代理需要允许这些连接保持打开状态，而不是关闭它们，因为它们似乎处于空闲状态。

允许在客户机和后端服务器之间建立隧道，Nginx支持WebSocket。对于NGINX将升级请求从客户端发送到后台服务器，必须明确设置Upgrade和Connection标题。

Nginx开启WebSocket代理的配置方法如下：

1）编辑nginx.conf，在http区域内一定要添加下面配置：

map $http_upgrade $connection_upgrade {default upgrade;'' close;
}

**「解释一下map指令的作用：」**该作用主要是根据客户端请求中的值，来构造改变connection_upgrade的值，即根据变量的值创建新的变量connection_upgrade，创建的规则就是{}里面的东西。其中的规则没有做匹配，因此使用默认的，即 http_upgrade为空字符串的话，那么值就是 close。

2）编辑vhosts下虚拟主机的配置文件，在location匹配配置中添加如下内容：

proxy_http_version 1.1;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection "$connection_upgrade";
# proxy_set_header Connection "Upgrade"; 写死为 Upgrade 也可以

3) 一次完整的示例如下

upstream sre_backend {hash $remote_addr consistent;server sre1.ayunw.cn:8080;server sre2.ayunw.cn:8080;server sre3.ayunw.cn:8080;
}server {listen       443 ssl;server_name  sre.ayunw.cn;access_log  /usr/local/nginx/logs/sre.ayunw.cn.access.log  main;error_log   /usr/local/nginx/logs/sre.ayunw.cn..error.log  error;ssl_certificate                 /data/certs/nginx/sre.ayunw.cn.crt;ssl_certificate_key             /data/certs/nginx/sre.ayunw.cn.key;ssl_session_timeout             5m;ssl_protocols                   SSLv3 TLSv1 TLSv1.1 TLSv1.2;ssl_ciphers                     HIGH:!aNULL:!MD5;ssl_prefer_server_ciphers       on;location / {proxy_pass              http://sre_backend;proxy_ssl_server_name   on;include                 proxy.conf;proxy_http_version      1.1;proxy_set_header        Upgrade         $http_upgrade;proxy_set_header        Connection      "$connection_upgrade";}error_page   500 502 503 504  /50x.html;location = /50x.html {root   html;}
}

以上就是通过nginx代理WebSocket的单向TLS认证方式。

「温馨提醒:」 默认情况下，如果代理服务器在 60 秒内没有传输任何数据，连接将被关闭。可以使用proxy_read_timeout指令增加此超时。

总的来说：

「WebSocket与Http相同点」

❝

都是一样基于TCP的，都是可靠性传输协议。

都是应用层协议。

❞

「WebSocket与Http不同点」

❝

WebSocket是双向通信协议，模拟Socket协议，可以双向发送或接受信息。HTTP是单向的。

WebSocket是需要浏览器和服务器握手进行建立连接的。而http是浏览器发起向服务器的连接，服务器预先并不知道这个连接。

❞

**「WebSocket与Http联系」**WebSocket在建立握手时，数据是通过HTTP传输的。但是建立之后，在真正传输时候是不需要HTTP协议的。

在WebSocket中，只需要服务器和浏览器通过HTTP协议进行一个握手的动作，然后单独建立一条TCP的通信通道进行数据的传送。WebSocket连接的过程是：

❝

1）客户端发起http请求，经过3次握手后，建立起TCP连接；http请求里存放WebSocket支持的版本号等信息，如：Upgrade、Connection、WebSocket-Version等；2）服务器收到客户端的握手请求后，同样采用HTTP协议回馈数据；3）客户端收到连接成功的消息后，开始借助于TCP传输信道进行全双工通信。

❞

Nginx代理webSocket经常中断的解决方法（即如何保持长连接）

这个问题在于nginx的配置上，需要配置几个超时的设置。如下：

http {server {location / {root   html;index  index.html index.htm;proxy_pass http://sre_backend;proxy_http_version 1.1;proxy_connect_timeout 5s;proxy_read_timeout 60s;proxy_send_timeout 30s;proxy_set_header Upgrade $http_upgrade; proxy_set_header Connection "$connection_upgrade";  }}
}

「解释上面超时配置的」

**「proxy_read_timeout参数」**默认值60秒,该指令设置与代理服务器的读超时时间。它决定了nginx会等待多长时间来获得请求的响应。这个时间不是获得整个response的时间，而是两次reading操作的时间。即是服务器对你等待最大的时间，也就是说当你使用nginx转发webSocket的时候，如果60秒内没有通讯，依然是会断开的，所以，你可以按照你的需求来设定。比如说，我设置了5分钟，那么如果我5分钟内有通讯，或者5分钟内有做心跳的话，是可以保持连接不中断的。所以这个时间是看你的业务需求来调整时间长短的。

**「proxy_send_timeout参数」**默认值 60s,设置了发送请求给upstream服务器的超时时间。超时设置不是为了整个发送期间，而是在两次write操作期间。如果超时后，upstream没有收到新的数据，nginx会关闭连接。

「WebSocket与Socket的关系：」

❝

Socket其实并不是一个协议，而是为了方便使用TCP或UDP而抽象出来的一层，是位于应用层和传输控制层之间的一组接口。当两台主机通信时，必须通过Socket连接，Socket则利用TCP/IP协议建立TCP连接。TCP连接则更依靠于底层的IP协议，IP协议的连接则依赖于链路层等更低层次。

WebSocket就像HTTP一样，则是一个典型的应用层协议。

❞

❝

ayunw 作者：ayunw运维博客

ayunw博客地址：https://sre.ayunw.cn/

运维开发故事博客:https://www.devopstory.cn/

相关话题：https://sre.ayunw.cn/posts/nginx_proxy_pass_websocket/

❞

公众号：运维开发故事

github：https://github.com/orgs/sunsharing-note/dashboard

爱生活，爱运维

如果你觉得文章还不错，就请点击右上角选择发送给朋友或者转发到朋友圈。您的支持和鼓励是我最大的动力。喜欢就请关注我吧~