模块 ngx_stream_zone_sync_module

ngx_stream_zone_sync_module 模块 (1.13.8) 为集群节点之间的 共享内存区域 内容同步提供必要的支持。要启用特定区域的同步，相应模块必须支持此功能。目前，可以同步 HTTP sticky 会话、过量 HTTP 请求 信息以及 http 和 stream 中的键值对。

此模块作为我们 商业订阅 的一部分提供。

最小配置

http {
    ...

    upstream backend {
       server backend1.example.com:8080;
       server backend2.example.com:8081;

       sticky learn
              create=$upstream_cookie_examplecookie
              lookup=$cookie_examplecookie
              zone=client_sessions:1m sync;
    }

    ...
}

stream {
    ...


    server {
        zone_sync;

        listen 127.0.0.1:12345;

        # cluster of 2 nodes
        zone_sync_server a.example.com:12345;
        zone_sync_server b.example.com:12345;

    }

启用 SSL 的更复杂配置，且集群成员由 DNS 定义

...

stream {
    ...

    resolver 127.0.0.1 valid=10s;

    server {
        zone_sync;

        # the name resolves to multiple addresses that correspond to cluster nodes
        zone_sync_server cluster.example.com:12345 resolve;

        listen 127.0.0.1:4433 ssl;

        ssl_certificate     localhost.crt;
        ssl_certificate_key localhost.key;

        zone_sync_ssl on;

        zone_sync_ssl_certificate     localhost.crt;
        zone_sync_ssl_certificate_key localhost.key;
    }
}

启用集群节点之间的共享内存区域同步。集群节点使用 zone_sync_server 指令定义。

zone_sync_buffers 8 4k|8k;

设置用于推送区域内容的每个区域缓冲区的 number 和 size。默认情况下，缓冲区大小等于一个内存页。根据平台的不同，它可能是 4K 或 8K。

单个缓冲区必须足够大，以容纳正在同步的每个区域的任何条目。

zone_sync_connect_retry_interval 1s;

定义与另一个集群节点建立连接尝试之间的间隔。

zone_sync_connect_timeout 5s;

定义与另一个集群节点建立连接的超时时间。

zone_sync_interval 1s;

定义在共享内存区域中轮询更新的时间间隔。

zone_sync_recv_buffer_size 4k|8k;

设置用于解析传入同步消息流的每个连接接收缓冲区的size。缓冲区大小必须等于或大于 zone_sync_buffers 中的一个。默认情况下，缓冲区大小等于 zone_sync_buffers size 乘以 number。

定义集群节点的address。地址可以指定为具有强制端口的域名或 IP 地址，或指定为“unix:”前缀后指定的 UNIX 域套接字路径。解析为多个 IP 地址的域名一次定义多个节点。

resolve 参数指示 nginx 监视与节点域名对应的 IP 地址的更改，并在无需重新启动 nginx 的情况下自动修改配置。

集群节点要么动态指定为带有 resolve 参数的单个 zone_sync_server 指令，要么静态指定为一系列没有该参数的指令。

每个集群节点应仅指定一次。

所有集群节点应使用相同的配置。

为了使 resolve 参数生效，必须在 stream 块中指定 resolver 指令。示例

stream {
    resolver 10.0.0.1;

    server {
        zone_sync;
        zone_sync_server cluster.example.com:12345 resolve;
        ...
    }
}

zone_sync_ssl off;

启用与另一个集群服务器的连接的 SSL/TLS 协议。

指定用于向另一个集群服务器进行身份验证的 PEM 格式证书的file。

指定用于向另一个集群服务器进行身份验证的 PEM 格式密钥的file。

zone_sync_ssl_ciphers DEFAULT;

指定与另一个集群服务器的连接的已启用密码。密码以 OpenSSL 库理解的格式指定。

可以使用“openssl ciphers”命令查看完整列表。

建立与其他集群服务器的连接时，设置任意的 OpenSSL 配置命令。

在使用 OpenSSL 1.0.2 或更高版本时支持该指令。

可以在同一级别上指定多个 zone_sync_ssl_conf_command 指令。当且仅当当前级别上未定义 zone_sync_ssl_conf_command 指令时，这些指令会从上一个配置级别继承。

请注意，直接配置 OpenSSL 可能会导致意外的行为。

指定一个以 PEM 格式存储已吊销证书 (CRL) 的file，用于验证其他集群服务器的证书。

zone_sync_ssl_name host from zone_sync_server;

允许覆盖用于验证集群服务器证书的服务器名称，并在与集群服务器建立连接时通过 SNI 传递。

默认情况下，使用zone_sync_server地址的主机部分，或者如果指定了resolve参数，则使用已解析的 IP 地址。

指定一个file，其中包含私钥的密码，每个密码都在单独的行中指定。加载密钥时会依次尝试密码。

zone_sync_ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

为与其他集群服务器的连接启用指定协议。

zone_sync_ssl_server_name off;

在与其他集群服务器建立连接时，启用或禁用通过TLS 服务器名称指示扩展 (SNI，RFC 6066)传递服务器名称。

指定一个file，其中包含以 PEM 格式存储的可信 CA 证书，用于验证其他集群服务器的证书。

zone_sync_ssl_verify off;

启用或禁用对其他集群服务器证书的验证。

zone_sync_ssl_verify_depth 1;

设置其他集群服务器证书链中的验证深度。

zone_sync_timeout 5s;

设置与其他集群节点建立连接时，两次连续的读或写操作之间的timeout。如果在此时间内未传输任何数据，则连接将关闭。

可以通过 API 的/stream/zone_sync/端点获取节点的同步状态，该端点返回以下指标。

要启动一个新节点，请使用新节点的 IP 地址更新集群主机名的 DNS 记录，然后启动一个实例。新节点将从 DNS 或静态配置中发现其他节点，并将开始向它们发送更新。其他节点最终将使用 DNS 发现新节点，并开始向其推送更新。在静态配置的情况下，需要重新加载其他节点才能向新节点发送更新。

要停止一个节点，请向该实例发送 QUIT 信号。该节点将完成区域同步，并正常关闭打开的连接。

要移除一个节点，请更新集群主机名的 DNS 记录，并移除该节点的 IP 地址。所有其他节点最终将发现该节点已移除，关闭与该节点的连接，并且不再尝试连接到该节点。在移除该节点后，可以按上述方法停止该节点。在静态配置的情况下，需要重新加载其他节点才能停止向已移除的节点发送更新。