2. 程式人生 > >nginxPlus配置上遊emq服務器負載均衡及SSL Termination

nginxPlus配置上遊emq服務器負載均衡及SSL Termination

阿新 發佈:2019-04-01
版本 cin shared pst 分別是 clust github項目 pid ash

公司業務訪問量大,因此需要對後端emq服務器進行性能調優,在前端配置,以提高服務的健壯性。同時,由於mqtts傳輸方式中加解密的操作較占資源,所以需要把這部分操作讓nginx服務器完成,讓後端通信均為mqtt方式,減少服務器壓力。

本文所有配置基於nginx-plus R17版本。

nginx的安裝和簡單配置參考其他網頁。

  1. SSL Termination,翻譯中文大概意思為ssl卸載(?),目的就是要在nginx端進行加解密操作。首先需要在emq的安裝目錄使用OpenSSL生成證書。以下為測試時使用的nginx配置文件,由於mqtt協議屬於TCP/UDP協議集,因此使用stream模塊。配置上遊服務器188和190,監聽mqtt協議的1883端口。nginx監聽9993的加密協議端口,使用ssl_certificate命令指定證書路徑(必須PEM格式),使用ssl_certificate_key指定私鑰地址,此外,ssl_protocols和ssl_ciphers指令可用於限制連接,並僅包含SSL / TLS的強版本和密碼。 
    user  nginx;
worker_processes  auto;

error_log  /var/log/nginx/error.log debug;
pid        /var/run/nginx.pid;

events {
    worker_connections  
     
    1024;
}

# TCP/UDP proxy and load balancing block
#
stream {
    upstream mqtt_cluster {
      server 192.168.100.188:1883;
      server 192.168.100.190:1883;
    }

    server {
        listen 9993 ssl;
        proxy_pass mqtt_cluster;
        
        ssl_certificate /etc/ssl/certs/cert.crt;
        ssl_certificate_key /etc/ssl/certs/key.key;
        ssl_protocols TLSv1 TLSV1.
     
    1 TLSv1.2;
        ssl_session_cache     shared:SSL:10m;
        ssl_session_timeout   10m;
        
    }
}

    以上配置已經可以實現在nginx端進行mqtts的ssl加解密操作。測試時使用一個加密的pub端發送消息,一個加密的sub端,一個不加密的sub端接收消息。結果不論加密或不加密的sub端都可以收到消息。

  2. 負載均衡。是通過upstream模塊來實現的,內置實現了五種負載策略,分別是輪詢、最少連接、最少時間(僅nginxPlus支持)、hash和random。由於業務需求,負載均衡的同時必須保證用戶進行訂閱時,同一個clientID必須始終是同一臺服務器進行處理,除非該服務器宕機不可用,即要保證會話持久性。所以使用hash算法配置負載均衡。使用的配置文件在上文的基礎上添加了一行hash 192.168.100.187 consistent;,即從187這個ip發送的mqtt消息始終有同一個上遊服務器處理,但這種方式並不符合業務需求,因為無法在配置文件中寫出所有客戶的IP。因此需要通過mqtt客戶端的唯一標識clientID來做hash算法,但由於時間關系沒有深入研究,在此記錄github項目連接以便空閑的時候繼續。github連接:https://gist.github.com/nginx-gists/0e93fe7813ec131fed8329d10ead70ea 資料參考:https://www.nginx.com/blog/nginx-plus-iot-load-balancing-mqtt/ 
    user  nginx;
worker_processes  auto;

error_log  /var/log/nginx/error.log debug;
pid        /var/run/nginx.pid;

events {
    worker_connections  
     
    1024;
}

# TCP/UDP proxy and load balancing block
#
stream {
    upstream mqtt_cluster {
    hash 192.168.100.187 consistent;
    server 192.168.100.188:1883;
    server 192.168.100.190:1883;
    }

    server {
        listen 9993 ssl;
        proxy_pass mqtt_cluster;
        
        ssl_certificate /etc/ssl/certs/cert.crt;
        ssl_certificate_key /etc/ssl/certs/key.key;
        ssl_protocols TLSv1 TLSV1.1 TLSv1.2;
        ssl_session_cache     shared:SSL:10m;
        ssl_session_timeout   10m;
        
    }
}

nginxPlus配置上遊emq服務器負載均衡及SSL Termination

相關推薦

nginxPlus配置emq服務負載均衡SSL Termination

版本 cin shared pst 分別是 clust github項目 pid ash 公司業務訪問量大,因此需要對後端emq服務器進行性能調優,在前端配置,以提高服務的健壯性。同時,由於mqtts傳輸方式中加解密的操作較占資源,所以需要把這部分操作讓nginx服務器完成

服務負載均衡-文章整理

網絡 fault ogl HA 缺點 -m segment pac 代理服務 【知乎】 實現上分類 負載均衡一般分為兩種,一種是基於DNS,另一種基於IP報文。 基於DNS 或是智能DNS 利用DNS實現負載均衡,就是在DNS服務器配置多個A記錄,不同的DNS請求

CentOS 6.x搭建vSFTPD服務搭建與配置詳解

服務器 故障排查 運維 vsftpd 摘要: 手把手教你搭建vsftpd服務器,實現了基於db文件和MySQL數據庫文件進行虛擬用戶認證,當然了也本文章也包含搭建過程中問題的排查啦,哈哈哈。 另外,我在CentOS 7.x上也進行了搭建測試,步驟一致,個別命令會有不

Yii優化路由Apache配置(在APACHE服務的訪問方式去除index.php)

dir rect col acc scrip 例如 web ica tee 在APACHE服務器上的訪問方式上去除index.php 下面我說下 apache 下 ,如何 去掉URL 裏面的 index.php 例如: 你原來的路徑是: localhost/inde

路由器的DNS服務構建

onf 使用 應用 1.3 dns服務 都是 add 輸入 exit 當你在瀏覽器上輸入網址www.baidu.com的時候,我們敲擊回車,瀏覽器就會轉到百度的頁面,但是在網絡真實運行時,網絡設備是不識別類似www.baidu.com這種域名的,而是使用IP地址進行路由

zabbix(1)--服務端安裝配置

zabbix-server1、zabbix-server配置zabbix版本選擇LTS的3.0版本、server端OS版本為RHEL 6.5配置zabbix倉庫,進行yum安裝zabbix~]# cd /etc/yum.repos.d/ yum.repos.d]# vim zabbix.repo [zab

客戶端的文件傳到服務服務返回文件的路徑

ech echo return post error arr var urn top 客戶端的文件上傳到服務器,服務器返回文件的路徑 返回信息,客戶端將文件保存 客戶端: <?php header(‘content-type:text/html;charset=

在Linux安裝Tomcat服務並發布javaweb項目

img blog tom log 分享 str 命令 apache tar 一、安裝Tomcat 1、 將apache-tomcat-7.0.72.tar.gz文件上傳至Linux指定文件夾下 2、 用tar –zxvf命令將apache-tomca

嵌入式Linux通過boa服務實現cgi/html的web上網【轉】

但是 資料 mail 並發 work 資源 原因 基礎 err 轉自:http://blog.csdn.net/tianmohust/article/details/6595996 版權聲明:本文為博主原創文章,未經博主允許不得轉載。 嵌入式Linux上通

阿裏雲CentOS Linux服務搭建郵件服務遇到的問題

down http bsp 資料 arc tail 但是 style -h 參考文章: 阿裏雲CentOS Linux服務器上用postfix搭建郵件服務器 Linux系統下郵件服務器的搭建(Postfix+Dovecot) 本來想自己搭建郵件服務器,但是看到一篇資料表

從vmware workstation9.0中 載虛擬服務到ESXI

esxi vmware upload 上載 workstation9.0 最近在本機(本人電腦)安裝了一Centos6.9系統做測試,由於時間問題當時沒考慮太多就在本機上安裝了一個VMware9.0,但是後來感覺操作有許多不便之處,想到公司還有臺ESXI,於是想到把系統轉移到ESXI平臺上。考慮下

在IIS搭建WebSocket服務(三)

復制代碼 .ashx class ctype pen maximum charset ash too 編寫客戶端代碼 1.新建一個*.html文件。 ws = new WebSocket(‘ws://192.168.85.128:8086/Handler1.ashx?use

Linux server配置安裝Java,Tomcat服務

left code 插入 成功 bsp ext 版本信息 最新 環境 系統:Ubuntu 16.04 dev_desktop 1.Java安裝並配置環境變量 (1)從Java官方網站下載最新版JDK: http://www.oracle.com/technetwork/ja

SpringMVC中文件的傳(傳到服務)和下載問題(二)--------下載

cat exc stream log trac close pri page fin 一、建立一個簡單的jsp頁面。 我們在建好的jsp的頁面中加入一個超鏈接:<a href="${pageContext.request.contextPath}/down

最近在做支付寶支付,在本地測試一切正常,傳到服務就遇到報錯:

-1 tail 服務 war tar nbsp 百度 nature function 最近在做支付寶支付,在本地測試一切正常,上傳到服務器就遇到報錯: Warning: openssl_sign() [function.openssl-sign]: Unknown sign

Hyper-V 2016 系列教程25 配置NFS 存儲服務

windows server 2012 2016; hyper-v;虛擬化 一般企業在虛擬化服務器上線後,會有一部分的物理服務器淘汰下來,而這些服務器有的性能雖然不是最好的,但是硬盤卻是專業的RAID級別的,甚至還沒有過廠家的保修期,所以如果能將這些資源充分利用起來,也能為企業成本的節省做點貢獻,下面我們

【轉】如何在win10(64位系統)安裝apache服務

是我 是你 www blank sta install 修改 get 分享 如何在win10(64位系統)上安裝apache服務器 今天裝了Apache服務器,下面是我總結的方法: 一,準備軟件   1.64位的apache版本 傳送門:http://www.ap

50臺集群架構配置介紹-2(備份服務Rsync)

50臺集群架構配置介紹-2(備份服務器rsync)在企業裡面首先會先需要備份服務器,來備份數據,以防丟失。在此,我們在這裡介紹Rsync服務器(實現本地拷貝以及遠程拷貝) 介紹:Rsync 開源、快速、可實現全量(全部備份)及增量(差異式備份)的本地或遠程的數據同步。適用於Unix,Linux,Windows

nginx可以很方便的配置成反向代理服務

nginx可以很方便的配置成反向代理服務器server {listen 80;server_name localhost;location / { proxy_pass http://147.16.24.175:9500 ; proxy_set_header Host $host:80; p

winform程序壓縮文件傳,服務端asp.net mvc進行接收解壓

調用 第一個 iter return execution ucc inf each director 期間編程沒什麽難度,唯一可能忽略導致結果失敗是asp.net mvc配置 對於壓縮文件大的話,需要配置mvc的最大接收量: <system.web>