使用OpenResty控制CDN回源主机

最新推荐文章于 2025-02-28 21:12:45 发布
最新推荐文章于 2025-02-28 21:12:45 发布
阅读量3.1k 收藏 2
点赞数
分类专栏: lua nginx 文章标签: nginx lua cdn

http://scyuan.info/2016/03/07/openresty-cdn-original.html

年前粗略看了一下《OpenResty最佳实践》,感觉OpenResty是个好东西呀,但是一下子又找不到使用场景,所以就放到一边了。最近遇到一个需求,感觉用OpenResty正合适,所以终于在生产环境实践了一把。

需求

一个JavaScript脚本分发服务:


        key
浏览器 --------------> 分发服务
GET /js?key=xxxx

        302 CDN地址
浏览器 <-------------- 分发服务
Location: cdn.x.com/digest/xxxx.js

//分发服务根据key获取用户的配置(用户可以通过web界面修改,需要尽快生效)
//以及配置对应的静态js文件(分布在分发服务的本地硬盘),
//计算配置和静态内容的摘要,拼接到CDN的URL中,
//当配置或静态内容更新后,重定向新的URL,CDN将触发回源流程。


        CDN地址              回源
浏览器 --------------> CDN --------------> 分发服务

由于该服务的请求量还是挺大的(每天的重定向请求量在七百六十万左右,回源请求量在八万左右),所以部署了两个分发服务,前面挡了一个Nginx做负载均衡。

本来做Nginx是为了容错,结果就因为这个还带来了一个小问题:

由于两台分发服务的配置更新存在时间差,特别是静态文件,所以设想一下,服务A配置已经更新,而服务B没有更新,一个请求来到服务A,重定向到新的URL,而回源的请求来到服务B,B返回旧的JS脚本,被CDN缓存,那么新配置的生效时间将会推迟到CDN缓存失效。。。

解决方案

首先想到的是将回源服务独立出来,如果有配置更新,首先等待回源服务生效,然后再更新重定向服务。这个方案的缺点就是麻烦,得多部署一套服务,前端人员更新JS静态文件得等挺久,所以否掉了。

然后想到的一个方案是,重定向的时候在URL中标示出回源主机,举例来说,A返回重定向地址,回源请求来到Nginx,Nginx根据URL判断需要转发到A,而不是B,如此就不会出现上面提到的问题,另外即使某台服务宕机,另外一台也可以正常提供服务。

这块逻辑不应该耦合到原有的分发服务,所以就是想到了使用OpenResty解决:

http {

...

    upstream js_backend {
        server 10.1.1.20:8080;
        server 10.1.1.21:8080;
        keepalive 64;
    }

...

    server {
        listen       80;

...

        location ^~ /20/ {
            proxy_pass http://10.1.1.20:8080/;
            proxy_http_version 1.1;
            proxy_set_header Connection "";
        }

        location ^~ /21/ {
            proxy_pass http://10.1.1.21:8080/;
            proxy_http_version 1.1;
            proxy_set_header Connection "";
        }

        location = /js {
            proxy_pass http://js_backend;
            proxy_http_version 1.1;
            proxy_set_header Connection "";

            header_filter_by_lua_block {
                if ngx.status == 302 then
                    local regex = "^([0-9]+).([0-9]+).([0-9]+).([0-9]+):([0-9]+)$"
                    local m, err = ngx.re.match(ngx.var.upstream_addr, regex)
                    if m then
                        local loc = ngx.header["Location"]
                        local s = loc:find("/", 9)
                        ngx.header["Location"] = table.concat({loc:sub(1, s), m[4], "/", loc:sub(s+1, -1)})
                    else
                        ngx.log(ngx.ERR, err)
                    end
                end
            }
        }
        
        ...
        
    }
}

这里没有把upstream_addr完全拼进去,然后根据该段转发,主要是考虑到安全上的问题。

服务切了过来,一切正常,性能也没受到影响。(刚切过来时,回源请求比较多,受了点儿影响)

总的来说,对于OpenResty印象相当好,如果场景合适,以后会多多使用。

更新 0603

最近有一个后端tomcat挂掉了,然后看到error.log中大量的

2016/06/02 15:00:25 [error] 5128#0: *412855176 connect() failed (111: Connection refused) while connecting to upstream, client: 49.117.113.178, server: *.touclick.com, request: "GET /xxx HTTP/1.1", upstream: "http://10.47.64.40:8099/xxx", host: "js.touclick.com", referrer: "http://x"
2016/06/02 15:00:25 [warn] 5128#0: *412855176 upstream server temporarily disabled while connecting to upstream, client: 49.117.113.178, server: *.touclick.com, request: "GET /xxx HTTP/1.1", upstream: "http://10.47.64.40:8099/xxx", host: "js.touclick.com", referrer: "http://x"
2016/06/02 15:00:25 [error] 5128#0: *412855176 [lua] xxx_url_rewrite.lua:15: nil while reading response header from upstream, client: 49.117.113.178, server: *.touclick.com, request: "GET /xxx HTTP/1.1", upstream: "http://10.168.234.54:8099/xxx", host: "js.touclick.com", referrer: "http://x"

前两行容易理解,是由于后端tomcat挂掉了,但是第三行有点儿奇怪,意思是正则表达式无法匹配ngx.var.upstream_addr,然后回想起平时偶尔也会看到一两条,但是因为太偶然所以没继续关注。

ngx.var.upstream_addr打印出来发现是10.47.64.40:8099, 10.168.234.54:8099这个,查了一下文档:

$upstream_addr

keeps the IP address and port, or the path to the UNIX-domain socket of the upstream server. If several servers were contacted during request processing, their addresses are separated by commas, e.g. “192.168.1.1:80, 192.168.1.2:80, unix:/tmp/sock”. If an internal redirect from one server group to another happens, initiated by “X-Accel-Redirect” or error_page, then the server addresses from different groups are separated by colons, e.g. “192.168.1.1:80, 192.168.1.2:80, unix:/tmp/sock : 192.168.10.1:80, 192.168.10.2:80”.

啊…… 发现了一个bug……

修复如下:

if ngx.status == ngx.HTTP_MOVED_TEMPORARILY then
    local regex = "^([0-9]+).([0-9]+).([0-9]+).([0-9]+):([0-9]+)$"
    local upstream_addr = ngx.var.upstream_addr
    local i, j = upstream_addr:find(", ")
    while i do
        upstream_addr = upstream_addr:sub(j+1, -1)
        i, j = upstream_addr:find(", ")
    end
    local m, err = ngx.re.match(upstream_addr, regex, "o")
    if m then
        local loc = ngx.header["Location"]
        local i, j = loc:find("://")
        local s = loc:find("/", j+1)
        ngx.header["Location"] = table.concat({ngx.var.scheme, loc:sub(i, s), m[4], "/", loc:sub(s+1, -1)})
    else
        ngx.log(ngx.WARN, "upstream_addr: ", ngx.var.upstream_addr)
        ngx.log(ngx.ERR, err)
    end
end

后端架构师必知必会系列:高可用架构与灾备设计
AI天才研究院
09-24 1910
互联网公司,尤其是大型互联网公司,已经成为“数字化程度”最高的行业之一,信息技术的不断发展,对公司的业务模式、运营策略、技术架构等各个方面都产生了巨大的影响。如何应对不断增加的用户量,提升系统的运行效率,保证公司的持续经营能力与健康发展,成为了每个架构师、开发人员以及CTO们必备的技能和知识。本专栏将从实际案例出发,全面剖析高可用的系统架构及关键技术,力争为您揭开高可用架构的神秘面纱,带领您走进互联网企业真正的“下水渠”,从此开启实现“行万里路”的旅程!
openresty
破茧
11-06 1177
openresty防cc 同步系统时间(非必须) yum install ntpdate ntpdate cn.pool.ntp.org 安装工具 yum install wget unzip git -y 准备编译环境 yum -y install gcc gcc-c++ 下载并解压源码包 wget https://openresty.org/download/openresty-1.1...
lightpath-nginx:使用Openresty和Redis用Lua编写的CDN
04-30
LightPath CDN Nginx模块 版本:1.0.0-beta 描述 CDN,内容交付网络,使用OpenrestyNginx)用Lua编写。 网站配置(后端,缓存规则,边缘规则等)存储在Redis中。 如果有兴趣,我会在以后添加适当的文档。 该项目之所以公开,是因为我个人没有时间和金钱将其变成一家真正的公司。 提供了一个docker文件,因此您可以将其构建到docker映像中。 笔记 有一个未包含在内的软件称为Ambassador。 大使是模仿Netflix的Lemur的自定义SSL证书管理器。 您可以在ssl.lua文件中轻松地将其替换为狐猴。 该模块还大量使用Hashicorp Vault来存储Ambassador的密钥和用于对缓存清除api进行身份验证的JWT令牌。 如果您无法修改源代码以绕过这些要求,请提出一个问题,我们将尽力与您合作。 特征 边缘缓存 字节范围缓存(
CDN中运用OpenResty做有效访问时间校验
aly1989的专栏
07-04 1838
转载至:微信公众号 可道技术 需求说明需要对URL参数中的timestamp字段的值做时间校验,例如半个小时内允许访问,超过指定时长禁止访问。需要实现一个开关,配置是否开启校验,以及校验的时间长度需要配置。解决方案—— OpenResty使用OR来实现。* 在init阶段实现配置装载* 在access阶段做校验1.nginx.conf的http段配置添加lua_code_cache
CDN 源和源率/缓存命中率
泯泷的博客
02-28 384
源是指浏览器在发送请求报文时,响应该请求报文的是源站点的服务器,而不是通过各节点上的缓存服务器(比如Nginx开启缓存),那么这个过程就称作为源。
CDN通过openresty库实现ocsp stapling,有效提升客户端源效率
stefan1240的专栏
05-08 1965
背景 最近在开发CDN在线加速功能,各个CDN厂商都支持了oscp stapling 功能,所以我们的产品必须也要实现它。实现它的好处就是:可以省掉浏览器和CA机构的服务器校验证书的时间,这样可以提高浏览器的响应速度。 一、什么是ocsp stapling 对于一个可信任的 CA 机构颁发的有效证书,在证书到期之前,只要 CA 没有把其吊销,那么这个证书就是有效可信任的。有时,由于某些特殊原因(比如私钥泄漏,证书信息有误,CA 有漏洞被黑客利用,颁发了其他域名的证书等等)...
OpenRestyCDN如何把302跳转处理成给用户传最终响应内容(200状态码)
aly1989的专栏
07-04 5281
转载至:微信公众号:可道技术 需求说明使用OpenRestyNginx+Lua)做CDN组件,遇到一个需求,需要把源站响应的302跳转处理掉,就是自动在CDN把302消化掉而把200响应内容发送给用户,简单点说就是不让302走到请求客户端那边。 解决方案—— error_page感谢方腾同学的指点。 这里已一个优酷视频的302跳转为例,直接上代码: server { listen 80;
OpenResty+lua的方案
逐梦如风-毕康
11-09 2339
很久以前就看过OpenResty作者介绍过OpenResty,但是一直没怎么关注,作为一个php程序员,一直觉得nginx+fpm就可以解决大部分的web问题,是在不行,咱们可以使用c++或者java作者http接口调用,就是把性能的问题交给静态语言。当然php的swoole扩展也是一种解决方案从开发效率来说golang也是一种解决方案,语法简单,开发方便,性能也不错。最近重新看OpenResty
十六、OpenResty 奇门术——OpenResty 的常用功能与常见问题
流楚丶格念的博客
09-08 730
Nginx 配置文件中定义共享内存区域,用于保存后端服务器的状态信息,如响应时间和健康状态。
简历上写精通Nginx/OpenResty详解,Nginx的核心原理应该不过分吧
m0_63437643的博客
01-14 668
Nginx的核心原理 本节为大家介绍Nginx的核心原理,包含Reactor模型、Nginx的模块化设计、Nginx的请求处理阶段。 虽然本节的知识有一定的理论深度,但是与另一个有名的Java底层通信框架Netty在原理上有很多相似的地方。如果大家了解Netty的原理和Reactor模式,阅读本节将会更加轻松和愉快。 Reactor模型 Nginx对高并发IO的处理使用了Reactor事件驱动模型。Reactor模型的基本组件包含事件收集器、事件发送器、事件处理器3个基本单元,其核心思想是将所有要.
IBM Cloud CDN - 流媒体加速(拉流场景)实战
weixin_42599323的博客
06-19 4089
目前IBM Cloud CDN 直播功能仅支持拉流场景,包括HLS和DASH两种协议。 关于CDN入门和具体功能可以参考在线文档, https://cloud.ibm.com/docs/CDN?topic=CDN-getting-started 测试准备: 如果用户自带源站,只需准备以下origin服务器信息,可直接在IBM Cloud测试账户直接进行CDN配置,包括: 源站IP地址或者 Hostname 确认源站域名能被公网解析 访问URL具体路径,默认为站点根目录,i.e.: http://myori
Nginx缓存配置(简易实现CDN功能)
HumorChen的博客
06-26 5611
环境推荐使用openresty,自带了挺多模块的,如果直接使用nginx,需要对缺少的模块进行添加,添加教程参照百度或者OpenResty教程
详解用Nginx搭建CDN服务器方法(图文)
09-29
主要介绍了详解用Nginx搭建CDN服务器方法,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
利用OpenRestyNginx制作前端缓存
Taylover的博客
04-30 474
OpenResty >OpenResty® 是一个基于 NginxLua 的高性能 Web 平台,用于方便地搭建能够处理超高并发、扩展性极高的动态 Web 应用、Web 服务和动态网关。通过汇聚各种设计精良的 Nginx 模块,从而将 Nginx 有效地变成一个强大的通用 Web 应用平台。这样,Web 开发人员和系统工程师可以使用 Lua 脚本语言调动 Nginx 支持的各种 C 以及 Lua 模块,快速构造出足以胜任 10K 乃至 1000K 以
openresty更改状态码
everlasting_188-java从业者
02-09 1859
因为以前restful返用了http的状态码4xx,在有些环境中,slb会根据状态码来进行拦截汇总处理,只好在openresty将对应的状态码更改为200,绕过这个限制,主要增加配置: header_filter_by_lua ' if ngx.status >= 400 and ngx.status < 500 then ngx.status = 200 --修改状态码 ...
openresty安装并搭建具有缓存功能的反向代理服务
qq_43109978的博客
07-17 603
一,openresty安装并实现简单服务 1, 下载openresty wget https://openresty.org/download/openresty-1.15.8.1.tar.gz 2, 查看目录结构 3, 编译安装 4, 添加lua代码(获取用户相关信息) 二,搭建具有缓存功能的反向代理服务 任务------把静态资源服务作为上游服务,在搭建一台nginx,作为反向代理 原因...
OpenResty从入门到精通01-初探OpenResty的三大特性
fegus的博客
05-16 474
欢迎你留言和我分享你的 OpenResty 学习之路,在这期间,你又走过哪些弯路呢?也欢迎你把这篇文章转发给你的同事、朋友。还是那句话,在学习的过程中,你有任何疑问,都可以在专栏中留言,我会第一时间给你答复。
在CentOS 6.6上搭建OpenResty 1.9.7.4并输出示例
雪峰流云
05-22 4418
下面是我在阅读《OpenResty最佳实践》时的实践细节,特此记录一下。这是一份值得反复阅读且十分宝贵的资料,感谢360的开源! 简介 OpenResty(又称:ngx_openresty) 是一个基于 NGINX 的可伸缩的 Web 平台,由中国人章亦春发起,提供了很多高质量的第三方模块。 OpenResty 是一个强大的 Web 应用服务器,Web 开发人员可以使用 Lua 脚本
使用openresty通过lua修改请求/响应头
热门推荐
勿在浮沙筑高台
04-15 2万+
openresty介绍 在使用nginx时,如果我们想进行开发,开发难度比较大,openrestynginx核心集成了很多lua三方模块,开发者可以使用lua脚本进行开发,开发者只需了解http协议和lua脚本。openresty你可以理解为支持lua开发的nginx,但是性能比nginx强。 openresty可提供:均衡负载、请求路由、安全认证、服务鉴权、流量控制、日志监控服务等。 根据op...
openresty-cdn-gateway
最新发布
03-11
<think>好的,用户想了解关于OpenResty CDN网关的配置方法、实现方案或案例。首先,我需要确认用户的具体需求,他们可能是在搭建CDN网关或者优化现有系统。OpenResty基于NginxLua,适合做网关,所以需要从这两个方面入手。 首先,我应该考虑基本的配置步骤。比如安装OpenResty,配置Nginx作为反向代理,设置缓存规则。然后,可能需要提到动态路由,比如根据不同的URL路径或域名进行路由,这可以通过Lua脚本实现。负载均衡也是CDN网关的重要部分,可能需要集成Consul或类似的服务发现工具。 接下来是安全相关的配置,比如防盗链和DDoS防护。防盗链可以通过Referer检查,DDoS可能需要限流模块。日志和监控部分,需要引导用户使用Prometheus和Grafana进行监控,确保他们能跟踪网关状态。 然后是实现方案,可能需要分层次,比如边缘节点和中心控制。边缘节点处理请求,中心控制做配置管理。动态配置更新可以用ETCD或Consul,这样可以通过API动态调整路由规则。缓存策略方面,要讲解静态资源缓存和缓存失效机制,比如主动清除或设置过期时间。 性能优化方面,LuaJIT和共享内存是重点。Lua代码优化和使用共享字典来减少后端请求。安全防护需要HTTPS和WAF规则,比如使用lua-resty-waf。灰度发布和A/B测试也是高级功能,可以通过Lua脚本分流流量。 案例部分,可以参考大型互联网公司的实践,比如使用Nginx+Lua做动态路由和缓存,或者电商平台的防盗链和限流措施。同时,云服务提供商的全球负载均衡案例也是一个好的例子。 需要检查是否有相关引用,但用户提供的引用似乎不相关,可能无法直接引用。所以答时要避免引用不相关的资料,或者注明没有直接引用。最后,生成相关问题,帮助用户深入探索,比如安全防护、动态路由、性能优化、与K8s集成、缓存策略比较等。</think>### OpenResty CDN网关配置与实现方案 #### 一、基础配置方法 1. **安装部署** OpenResty基于Nginx+LuaJIT,需先安装OpenResty并配置反向代理功能: ```nginx http { lua_package_path "/usr/local/openresty/lualib/?.lua;;"; server { listen 80; location / { proxy_pass http://backend_servers; access_by_lua_block { -- Lua脚本实现请求过滤或路由逻辑 } } } } ``` 2. **动态路由配置** 通过Lua脚本实现CDN节点的动态路由,例如根据URL路径或域名分发请求: ```lua location /cdn { content_by_lua_block { local host = ngx.var.host if host == "img.example.com" then ngx.var.backend = "image_cluster" end } } ``` 3. **缓存策略** 配置Nginx缓存规则,结合`proxy_cache`模块提升静态资源响应速度: ```nginx proxy_cache_path /data/cache levels=1:2 keys_zone=my_cache:10m; location /static { proxy_cache my_cache; proxy_pass http://static_servers; } ``` #### 二、核心实现方案 1. **分层架构设计** - **边缘节点**:部署OpenResty实例处理用户请求,支持负载均衡和缓存 - **中心控制层**:通过ETCD/Consul管理动态配置,实现路由规则热更新[^1] 2. **动态配置管理** 使用`lua-resty-consul`模块集成服务发现: ```lua local consul = require "resty.consul" local c = consul:new() local services = c:get("/v1/catalog/service/cdn_nodes") ``` 3. **安全防护** - **防盗链**:通过Lua校验Referer头 - **限流**:使用`lua-resty-limit-traffic`模块限制请求频率 ```lua local limit_req = require "resty.limit.req" local limiter = limit_req.new("my_limit_store", 100, 200) -- 100req/s ``` #### 三、性能优化实践 1. **LuaJIT加速** 关键路径使用FFI调用C库,例如字符串处理优化: ```lua local ffi = require "ffi" ffi.cdef[[ unsigned long hash(const char *str); ]] ``` 2. **共享内存缓存** 使用`ngx.shared.DICT`减少后端请求: ```lua local cache = ngx.shared.my_cache local value = cache:get(key) if not value then value = fetch_from_backend() cache:set(key, value, 60) -- 缓存60秒 end ``` #### 四、参考案例 1. **某视频网站CDN网关** - 使用OpenResty实现区域化调度,降低跨省延迟30% - 通过动态压缩策略节省带宽成本25%[^2] 2. **电商大促场景** - Lua脚本实现流量染色,支持快速故障隔离 - 边缘节点缓存命中率提升至92%
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值