模块 ngx_stream_proxy_module

ngx_stream_proxy_module 模块 (1.9.0) 允许通过 TCP、UDP (1.9.13) 和 UNIX 域套接字代理数据流。

server {
    listen 127.0.0.1:12345;
    proxy_pass 127.0.0.1:8080;
}

server {
    listen 12345;
    proxy_connect_timeout 1s;
    proxy_timeout 1m;
    proxy_pass example.com:12345;
}

server {
    listen 53 udp reuseport;
    proxy_timeout 20s;
    proxy_pass dns.example.com:53;
}

server {
    listen [::1]:12345;
    proxy_pass unix:/tmp/stream.socket;
}

使到代理服务器的传出连接源自指定的本地 IP address。参数值可以包含变量 (1.11.2)。特殊值 off 取消从上一个配置级别继承的 proxy_bind 指令的效果，这允许系统自动分配本地 IP 地址。

transparent 参数 (1.11.0) 允许到代理服务器的传出连接源自非本地 IP 地址，例如，源自客户端的真实 IP 地址

proxy_bind $remote_addr transparent;

为了使此参数起作用，通常需要使用 超级用户 权限运行 nginx 工作进程。在 Linux 上不需要 (1.13.8)，因为如果指定了 transparent 参数，工作进程会从主进程继承 CAP_NET_RAW 功能。还需要配置内核路由表以拦截来自代理服务器的网络流量。

proxy_buffer_size 16k;

设置用于从代理服务器读取数据的缓冲区的 size。还设置用于从客户端读取数据的缓冲区的 size。

proxy_connect_timeout 60s;

定义与代理服务器建立连接的超时时间。

proxy_download_rate 0;

限制从代理服务器读取数据的速度。速率以每秒字节数指定。零值禁用速率限制。限制是针对每个连接设置的，因此如果 nginx 同时向代理服务器打开两个连接，则总速率将是指定限制的两倍。

参数值可以包含变量 (1.17.0)。在需要根据特定条件限制速率的情况下，这可能很有用

map $slow $rate {
    1     4k;
    2     8k;
}

proxy_download_rate $rate;

proxy_half_close off;

启用或禁用独立关闭 TCP 连接的每个方向（“TCP 半关闭”）。如果启用，则在双方都关闭连接之前，将继续通过 TCP 进行代理。

proxy_next_upstream on;

当无法建立与代理服务器的连接时，确定是否将客户端连接传递到下一台服务器。

传递连接到下一台服务器可以通过尝试次数和时间来限制。

proxy_next_upstream_timeout 0;

限制将连接传递到下一台服务器的时间。0值关闭此限制。

proxy_next_upstream_tries 0;

限制将连接传递到下一台服务器的可能尝试次数。0值关闭此限制。

设置代理服务器的地址。地址可以指定为域名或 IP 地址，以及端口

proxy_pass localhost:12345;

或作为 UNIX 域套接字路径

proxy_pass unix:/tmp/stream.socket;

如果域名解析为多个地址，则所有这些地址都将以循环方式使用。此外，地址可以指定为服务器组。

地址也可以使用变量指定 (1.11.3)

proxy_pass $upstream;

在这种情况下，服务器名称在所述的服务器组中进行搜索，如果未找到，则使用解析器确定。

proxy_protocol off;

为与代理服务器的连接启用PROXY 协议。

proxy_requests 0;

设置客户端数据报的数量，在此数量下，客户端与现有 UDP 流会话之间的绑定将被丢弃。在收到指定数量的数据报后，来自同一客户端的下一个数据报将启动一个新会话。当所有客户端数据报传输到代理服务器并收到预期数量的响应时，或当达到超时时，会话终止。

如果使用UDP协议，则设置对客户端数据报的响应中从代理服务器预期的数据报数量。该数字用作会话终止的提示。默认情况下，数据报数量不受限制。

如果指定值为零，则不期望有响应。但是，如果收到响应并且会话仍未结束，则将处理该响应。

proxy_session_drop off;

在将代理服务器从组中移除或标记为永久不可用后，启用终止到该服务器的所有会话。这可能是由于重新解析或使用 API DELETE命令。如果服务器被认为不健康或使用 API PATCH命令，则可以将其标记为永久不可用。当为客户端或代理服务器处理下一个读或写事件时，每个会话都会终止。

此指令作为我们商业订阅的一部分提供。

proxy_socket_keepalive off;

为到代理服务器的传出连接配置“TCP 保活”行为。默认情况下，操作系统的设置对套接字有效。如果将指令设置为值“on”，则为套接字打开SO_KEEPALIVE套接字选项。

proxy_ssl off;

为与代理服务器的连接启用 SSL/TLS 协议。

指定一个 file，其中包含用于向代理服务器进行身份验证的 PEM 格式证书。

从 1.21.0 版本开始，可以在 file 名称中使用变量。

指定一个 file，其中包含用于向代理服务器进行身份验证的 PEM 格式密钥。

从 1.21.0 版本开始，可以在 file 名称中使用变量。

proxy_ssl_ciphers DEFAULT;

指定与代理服务器的连接的已启用密码。密码以 OpenSSL 库可以理解的格式指定。

可以使用“openssl ciphers”命令查看完整列表。

在与代理服务器建立连接时设置任意的 OpenSSL 配置 命令。

在使用 OpenSSL 1.0.2 或更高版本时支持此指令。

可以在同一级别指定多个 proxy_ssl_conf_command 指令。当且仅当当前级别未定义 proxy_ssl_conf_command 指令时，这些指令才会从上一个配置级别继承。

请注意，直接配置 OpenSSL 可能会导致意外行为。

指定一个 file，其中包含用于 验证 代理服务器证书的 PEM 格式吊销证书 (CRL)。

proxy_ssl_name host from proxy_pass;

允许覆盖用于 验证 代理服务器证书的服务器名称，并在与代理服务器建立连接时通过 SNI 传递。服务器名称也可以使用变量指定 (1.11.3)。

默认情况下，使用 proxy_pass 地址的主机部分。

指定一个 file，其中包含 密钥 的密码，其中每个密码都在单独的行上指定。在加载密钥时会依次尝试密码。

proxy_ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3;

为与代理服务器的连接启用指定的协议。

自 1.23.4 起，默认使用 TLSv1.3 参数。

proxy_ssl_server_name off;

在与代理服务器建立连接时，启用或禁用通过 TLS 服务器名称指示扩展 (SNI，RFC 6066) 传递服务器名称。

proxy_ssl_session_reuse on;

确定在使用代理服务器时是否可以重用 SSL 会话。如果日志中出现错误“SSL3_GET_FINISHED:digest check failed”，请尝试禁用会话重用。

指定一个 file，其中包含用于 验证 代理服务器证书的 PEM 格式的可信 CA 证书。

proxy_ssl_verify off;

启用或禁用对代理服务器证书的验证。

proxy_ssl_verify_depth 1;

设置代理服务器证书链中的验证深度。

proxy_timeout 10m;

设置客户端或代理服务器连接上的两次连续读或写操作之间的 timeout。如果在此时间内没有传输数据，则连接将关闭。

proxy_upload_rate 0;

限制从客户端读取数据的速度。rate 以每秒字节为单位指定。零值禁用速率限制。限制是针对每个连接设置的，因此，如果客户端同时打开两个连接，则总体速率将是指定限制的两倍。

参数值可以包含变量 (1.17.0)。在需要根据特定条件限制速率的情况下，这可能很有用

map $slow $rate {
    1     4k;
    2     8k;
}

proxy_upload_rate $rate;