上一篇
阿帕奇网关服务器
阿帕奇网关服务器基于Apache HTTP Server实现反向代理、负载均衡及SSL终止,支持模块化扩展,高效处理HTTP/HTTPS流量,适用于Web应用网关场景
阿帕奇网关服务器核心功能与配置指南
核心功能
Apache HTTP Server 作为网关服务器时,主要承担以下角色:
- 反向代理:转发客户端请求至后端服务器(如Tomcat、Nginx)。
- 负载均衡:分配流量到多台后端服务器。
- SSL终端:处理HTTPS请求并转发为HTTP。
- 静态资源缓存:直接返回图片、CSS等静态文件。
- 访问控制:基于IP、路径的权限管理。
快速安装与基础配置
| 操作系统 | 安装命令 | 服务控制 |
|---|---|---|
| Ubuntu/Debian | sudo apt install apache2 | systemctl restart apache2 |
| CentOS/RHEL | sudo yum install httpd | systemctl restart httpd |
基础配置文件:
- 主配置文件:
/etc/httpd/conf/httpd.conf(CentOS) 或/etc/apache2/apache2.conf(Ubuntu) - 虚拟主机配置:
/etc/apache2/sites-available/(Ubuntu) 或/etc/httpd/conf.d/(CentOS)
反向代理配置示例
场景:将 /app 路径的请求转发到后端服务器 168.1.100:8080
配置步骤:
- 启用代理模块:
# Ubuntu a2enmod proxy proxy_http # CentOS sed -i 's/^#LoadModule/LoadModule/' /etc/httpd/conf.modules.d/00-proxy.conf
- 修改虚拟主机配置:
<VirtualHost :80> ProxyRequests Off ProxyPass /app http://192.168.1.100:8080/ ProxyPassReverse /app http://192.168.1.100:8080/ </VirtualHost>
负载均衡配置
轮询模式示例:
<Proxy balancer://mycluster>
BalancerMember http://192.168.1.101:8080 route=node1
BalancerMember http://192.168.1.102:8080 route=node2
ProxySet lbmethod=byrequests
</Proxy>
<VirtualHost :80>
ProxyPass /balancer-manager !
ProxyPass / app-cluster
ProxyPassReverse / app-cluster
</VirtualHost>| 参数 | 说明 |
|---|---|
lbmethod | 负载均衡算法(byrequests/bytraffic) |
route | 后端服务器标识符 |
BalancerMember | 后端服务器地址 |
SSL配置方案
自签名证书生成:
openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout /etc/apache2/private.key -out /etc/apache2/cert.crt
强制HTTPS配置:
<VirtualHost :443>
SSLEngine on
SSLCertificateFile /etc/apache2/cert.crt
SSLCertificateKeyFile /etc/apache2/private.key
Redirect permanent / https://%{SERVER_NAME}/
</VirtualHost>安全加固措施
| 功能 | 配置指令 |
|---|---|
| 限制访问来源IP | order deny,allow + deny from all |
| 防止目录遍历攻击 | Options -Indexes |
| 禁用不必要的模块 | a2dismod (如mod_userdir) |
| 设置连接超时 | Timeout 30 (单位:秒) |
性能优化建议
- KeepAlive设置:
KeepAlive On MaxKeepAliveRequests 100
- 启用缓存:
<IfModule mod_cache.c> CacheRoot "/var/cache/apache2/mod_cache_disk" CacheEnable disk "/" </IfModule> - 压缩传输:
<Location /> SetOutputFilter DEFLATE DeflateCompressionLevel 6 </Location>
常见问题与解答(FAQ)
问题1:配置反向代理后无法访问后端服务
可能原因:
- 防火墙未开放后端服务器端口
ProxyPass路径与后端服务上下文不匹配- SELinux策略阻止(CentOS需执行
setsebool -P httpd_can_network_connect on)
解决方案:
- 检查后端服务是否运行
- 验证
ProxyPass路径是否以结尾 - 查看Apache错误日志(
/var/log/apache2/error.log)
问题2:SSL证书出现“Unable to get issuer certificate”错误
原因分析:
- 浏览器无法验证证书链(自签名证书需客户端信任)
- CA证书未正确配置
解决方法:
- 将自签名证书导入客户端信任存储
- 使用受信任的CA签发证书(如Let’s Encrypt)
- 在Apache配置中添加证书链文件:
SSLCertificateChainFile /path/to/intermediate.crt
