每个月,我们都会花一些时间分享我们团队的专业知识,并回答我们从客户和开源用户那里收到的一些重要问题。这些问题包括如何在各种用例中使用我们的产品,以及如何有效地将第三方工具和平台与 NGINX 集成。
这些答案来自我们的专家,包括技术架构师、系统工程师和我们屡获殊荣的客户支持专家。
如何对负载平衡的上游服务器组中的 UDP 服务器执行运行状况检查?
默认情况下,NGINX Open Source 和 NGINX Plus 都会执行被动 UDP 运行状况检查:如果 UDP 服务器仅响应一个请求而生成错误或超时,则会将其标记为不可用,并从负载平衡轮换中删除十秒。您可以使用 serv 的 max_fails 和 failure_time 参数更改每个服务器的默认失败次数和时间上游块中的 er 指令。
NGINX Plus 还可以通过发送单独的“带外”请求来测试正确的服务器响应来执行主动运行状况检查。请记住,TCP 和 UDP 服务器的运行状况检查是在流上下文中配置的,而 HTTP 服务器的运行状况检查是在 http{} 上下文中配置的。此外,由于协议本身之间的差异,两个上下文(Stream、HTTP)中 health_check 指令的参数略有不同。有关完整说明,请参阅 NGINX Plus 管理指南。
NGINX Plus 可以处理 Microsoft Active Directory 身份验证吗?
是的。例如,在 Microsoft Azure 中,当客户端通过 Microsoft 身份平台进行身份验证时,他们会收到 JSON Web 令牌 (JWT) 格式的 OpenID Connect 令牌作为身份验证证明。 NGINX Plus 可以验证 JWT,并可选择使用组成员执行基于角色的访问控制 (RBAC)JWT 中记录的 rship 信息。从后端应用程序和 API 卸载这些任务不仅可以释放后端容量以用于实际请求处理,还可以确保只有经过正确身份验证的请求才能到达后端。有关详细信息,请参阅我们博客上的 Microsoft Azure Active Directory 条件访问控制。
您还可以使用 NGINX Plus 配置 Active Directory 联合身份验证服务 (AD FS) 的高可用性,该功能可为信任合作伙伴组织中正在访问彼此资产的员工提供单点登录 (SSO)。请参阅我们的博客上的 NGINX Plus 实现 Microsoft Active Directory 联合身份验证服务的高可用性。
NGINX 是否收集有关网站访问者数量或页面浏览量的指标?
不直接,但您可以将 NGINX 访问日志提供给日志分析工具来导出这些类型的指标。有关配置访问日志的说明,请参阅 NGINX Plus 管理员指南IDE。有关可以在访问日志中记录的信息类型的信息,请参阅 NGINX 变量列表。
NGINX 能否为 IIS Web 服务器执行基于证书的客户端身份验证?
是的。当 NGINX 为 IIS 服务器(或其他服务器)进行反向代理或负载平衡时,它可以验证请求访问服务器托管的受保护内容的客户端所提供的 SSL/TLS 证书。
使用 ssl_verify_client 指令启用客户端证书的身份验证,无论是全局(在 http 上下文中)还是针对特定域(在与每个域对应的服务器上下文中)。 ssl_client_certificate 指令命名包含受信任证书的文件(如果您不希望 NGINX 与客户端共享证书列表,请使用 ssl_trusted_certificate)。
请注意,在这种情况下,IIS 服务器也无法直接检查或验证客户端证书,因为 NGINX 无法建立建立与 IIS 服务器的 HTTPS 连接并使用证书对其进行身份验证。相反,NGINX 可以通过 HTTP 标头将证书传递给 IIS 服务器,IIS 服务器会检查该标头以提取相关数据。客户端证书数据在 $ssl_client_escaped_cert 变量中捕获。
询问我们!
对我们的“询问 NGINX”系列有疑问吗?请在下面发表评论或与我们的团队联系,我们将很乐意为您提供帮助!
发表回复