Nginx代理WebSocket方法

WebSocket是HTML5下一种新的协议。它实现了浏览器与服务器全双工通信，能更好的节省服务器资源和带宽并达到实时通讯的目的。它与HTTP一样通过已建立的TCP连接来传输数据，但是它和HTTP最大不同是：

1） WebSocket是一种双向通信协议。在建立连接后，WebSocket服务器端和客户端都能主动向对方发送或接收数据，就像Socket一样；
2）WebSocket需要像TCP一样，先建立连接，连接成功后才能相互通信。

WebSocket协议相比较于HTTP协议成功握手后可以多次进行通讯，直到连接被关闭。但是WebSocket中的握手和HTTP中的握手兼容， 它使用HTTP中的Upgrade协议头将连接从HTTP升级到WebSocket。这使得WebSocket程序可以更容易的使用现已存在的基础设施。大部分现在的浏览器都支持WebSocket。

在实际的生产环境中，要求多个WebSocket服务器必须具有高性能和高可用，那么WebSocket协议就需要一个负载均衡层，Nginx从「1.3」版本开始支持WebSocket，其可以作为一个反向代理和为WebSocket程序做负载均衡。

WebSocket协议与HTTP协议不同，但WebSocket握手与HTTP兼容，使用HTTP升级工具将连接从HTTP升级到WebSocket。这允许WebSocket应用程序更容易地适应现有的基础架构。例如，WebSocket应用程序可以使用标准HTTP端口80和443，从而允许使用现有的防火墙规则。

WebSocket应用程序可以在客户端和服务器之间保持长时间运行的连接，从而有助于开发实时应用程序。用于将连接从HTTP升级到WebSocket的HTTP升级机制使用Upgrade和Connection头。反向代理服务器在支持WebSocket时面临一些挑战。一个是WebSocket是一个逐跳协议，因此当代理服务器拦截客户端的升级请求时，需要向后端服务器发送自己的升级请求，包括相应的头文件。此外，由于WebSocket连接长期存在，与HTTP使用的典型短期连接相反，反向代理需要允许这些连接保持打开状态，而不是关闭它们，因为它们似乎处于空闲状态。

允许在客户机和后端服务器之间建立隧道，Nginx支持WebSocket。对于NGINX将升级请求从客户端发送到后台服务器，必须明确设置Upgrade和Connection标题。

Nginx开启WebSocket代理的配置方法

1）编辑nginx.conf，在http区域内一定要添加下面配置：

map $http_upgrade $connection_upgrade {
    default upgrade;
    '' close;
}

解释一下map指令的作用：
该作用主要是根据客户端请求中http_upgrade的值，来构造改变connection_upgrade的值，即根据变量http_upgrade的值创建新的变量connection_upgrade， 创建的规则就是{}里面的东西。其中的规则没有做匹配，因此使用默认的，即 http_upgrade为空字符串的话，那么值就是 close。

2）编辑vhosts下虚拟主机的配置文件，在location匹配配置中添加如下内容：

proxy_http_version 1.1;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection "$connection_upgrade";
# proxy_set_header Connection "upgrade"; 写死为 upgrade 也可以

3) 一次完整的示例如下

upstream sre_backend {
        hash $remote_addr consistent;
        server sre1.ayunw.cn:8080;
        server sre2.ayunw.cn:8080;
        server sre3.ayunw.cn:8080;
}

server {
        listen       443 ssl;
        server_name  sre.ayunw.cn;
        
        access_log  /usr/local/nginx/logs/sre.ayunw.cn.access.log  main;
        error_log   /usr/local/nginx/logs/sre.ayunw.cn..error.log  error;

        ssl_certificate                 /data/certs/nginx/sre.ayunw.cn.crt;
        ssl_certificate_key             /data/certs/nginx/sre.ayunw.cn.key;
        ssl_session_timeout             5m;
        ssl_protocols                   SSLv3 TLSv1 TLSv1.1 TLSv1.2;
        ssl_ciphers                     HIGH:!aNULL:!MD5;
        ssl_prefer_server_ciphers       on;

        location / {
                proxy_pass              http://sre_backend;
                proxy_ssl_server_name   on;
                include                 proxy.conf;
                proxy_http_version      1.1;
                proxy_set_header        Upgrade         $http_upgrade;
                proxy_set_header        Connection      "$connection_upgrade";
                }

        error_page   500 502 503 504  /50x.html;
        location = /50x.html {
        root   html;
        }
}

以上就是通过nginx代理WebSocket的单向TLS认证方式。

「温馨提醒:」 默认情况下，如果代理服务器在 60 秒内没有传输任何数据，连接将被关闭。可以使用proxy_read_timeout指令增加此超时 。

#生产环境下应用例子
http {
map $http_upgrade $connection_upgrade {
        default upgrade;
        ''  close;
                                          }
       }
----------------------------------------------------------------------------------
 server {
        listen       80;
        server_name  localhost;
        charset utf-8; 
        root  /data/xxxx/dist;
        proxy_set_header  Host $host;
        proxy_set_header  X-real-ip $remote_addr;
        proxy_set_header  X-Forwarded-For $proxy_add_x_forwarded_for;

location /ws {
             proxy_pass http://ws_test;
             proxy_set_header Host $host:$server_port;
             proxy_http_version 1.1;
             proxy_set_header Upgrade $http_upgrade;
             proxy_set_header Connection "upgrade";
                      }
              }

WebSocket与Http相同点:

• 都是一样基于TCP的，都是可靠性传输协议。
• 都是应用层协议。

WebSocket与Http不同点

• WebSocket是双向通信协议，模拟Socket协议，可以双向发送或接受信息。HTTP是单向的。
• WebSocket是需要浏览器和服务器握手进行建立连接的。而http是浏览器发起向服务器的连接，服务器预先并不知道这个连接。

WebSocket与Http联系

• WebSocket在建立握手时，数据是通过HTTP传输的。但是建立之后，在真正传输时候是不需要HTTP协议的。

在WebSocket中，只需要服务器和浏览器通过HTTP协议进行一个握手的动作，然后单独建立一条TCP的通信通道进行数据的传送。

WebSocket连接的过程是：

• 1）客户端发起http请求，经过3次握手后，建立起TCP连接；http请求里存放WebSocket支持的版本号等信息，如：Upgrade、Connection、WebSocket-Version等；
• 2）服务器收到客户端的握手请求后，同样采用HTTP协议回馈数据；
• 3）客户端收到连接成功的消息后，开始借助于TCP传输信道进行全双工通信。

Nginx代理webSocket经常中断的解决方法（即如何保持长连接）

需要在nginx上配置几个超时的设置。如下：

http {
    server {
        location / {
            root   html;
            index  index.html index.htm;
            proxy_pass http://sre_backend;
            proxy_http_version 1.1;
            proxy_connect_timeout 5s;
            proxy_read_timeout 60s;
            proxy_send_timeout 30s;
            proxy_set_header Upgrade $http_upgrade; 
            proxy_set_header Connection "$connection_upgrade";  
        }
    }
}

生产例子

proxy_connect_timeout 600;
proxy_send_timeout 600;
proxy_read_timeout 600;

解释上面超时配置的

• proxy_read_timeout参数
  默认值60秒,该指令设置与代理服务器的读超时时间。它决定了nginx会等待多长时间来获得请求的响应。这个时间不是获得整个response的时间，而是两次reading操作的时间。即是服务器对你等待最大的时间，也就是说当你使用nginx转发webSocket的时候，如果60秒内没有通讯，依然是会断开的，所以，你可以按照你的需求来设定。比如说，我设置了5分钟，那么如果我5分钟内有通讯，或者5分钟内有做心跳的话，是可以保持连接不中断的。所以这个时间是看你的业务需求来调整时间长短的。

• proxy_send_timeout参数
  默认值 60s,设置了发送请求给upstream服务器的超时时间。超时设置不是为了整个发送期间，而是在两次write操作期间。如果超时后，upstream没有收到新的数据，nginx会关闭连接。

WebSocket与Socket的关系：

• Socket其实并不是一个协议，而是为了方便使用TCP或UDP而抽象出来的一层，是位于应用层和传输控制层之间的一组接口。当两台主机通信时，必须通过Socket连接，Socket则利用TCP/IP协议建立TCP连接。TCP连接则更依靠于底层的IP协议，IP协议的连接则依赖于链路层等更低层次。

• WebSocket就像HTTP一样，则是一个典型的应用层协议。

参考：https://mp.weixin.qq.com/s/27IuQAe8UZGXIdNApE2Ljg