Github logo Edit on GitHub

Nginx(Forward Proxy)とGAの組み合わせで日本から中国のWEBサイトを閲覧する

作成日:2020/09/15この記事は最終更新日から1年以上が経過しています。

はじめに

本記事では、Nginx でHTTPSを通せるForward Proxyを構築して、Global Accelerator(GA)でクライアントからForward Proxyへのアクセスを高速化する、ということをやってみます。

構成図と全体の流れ

目的は中国国内Webサイトを日本からスムーズに閲覧することです。

img

Nginx + Global Accelerator 構成図

苦慮したのは、どのようにForward ProxyでクライアントIPアドレスのみアクセス許可をするかでした。

最初にいくつか検討しました。

  • ECSのセキュリティグループだけで出来ないか
  • Alibaba Cloud 製オープンソースのカーネルモジュール TOA を使って、ECSのOSでアクセス制限出来ないか

など。

しかし、結果的には GA の Reserve Client IP address を有効化して、Nginx の設定でアクセス制限を掛けることで実現できました。

1.Nginx と Alibaba Cloud の関係

Alibaba Cloud は中国国内のWEBサイトの多くで利用されています。

そして、Alibaba Cloud プロダクトの多くに Nginx が使われていることをご存知でしょうか。

例えば、SLB や Log Service は Nginx と公表されていますし、おそらく GA も Nginx が使われているのでは?と思います。

正確にはこれらは素のNginxではなく、Alibaba グループが Nginx をフォークした Tengine (Taobao-Engine の略)というオープンソースソフトウェアになっています。

img

ACT81002 Alibaba Cloud Technical Operations - SLB より

tengine.taobao.org

そして、今回 Forward Proxy に Nginx を選んだのも Alibaba に関係があります。

Alibaba のエンジニアが Nginx で HTTPS 対応の Forward Proxy モジュールを開発しており、これを使うことにしました。

github.com

2.Nginx で Foward Proxy 構築

まずは環境を整えて、Nginxのインストールを行います。

Nginxはモジュールを利用するためソースからビルドします。

OS : CentOS 7.8

Nginx : 1.14

yum update
yum -y install gcc pcre pcre-devel zlib zlib-devel openssl openssl-devel git


wget http://nginx.org/download/nginx-1.14.0.tar.gz


tar -xzf nginx-1.14.0.tar.gz


git clone https://github.com/chobits/ngx_http_proxy_connect_module.git


cd nginx-1.14.0
patch -p1 < ../ngx_http_proxy_connect_module/patch/proxy_connect_rewrite_1014.patch


groupadd www
useradd -g www www


./configure --user=www --group=www --prefix=/usr/local/nginx --with-http_ssl_module --with-http_stub_status_module --with-http_realip_module --with-threads --add-module=../ngx_http_proxy_connect_module


make


make install


/usr/local/nginx/sbin/nginx -V
nginx version: nginx/1.14.0
built by gcc 4.8.5 20150623 (Red Hat 4.8.5-39) (GCC)
built with OpenSSL 1.0.2k-fips  26 Jan 2017
TLS SNI support enabled
configure arguments: --user=www --group=www --prefix=/usr/local/nginx --with-http_ssl_module --with-http_stub_status_module --with-http_realip_module --with-threads --add-module=/tmp/ngx_http_proxy_connect_module

以上でNginxのインストールは完了です。

続いて、Nginx の設定ファイルの作業をしていきます。

ln -s /usr/local/nginx/sbin/nginx /usr/bin/nginx


vi /etc/init.d/nginx
#!/bin/sh






















. /etc/rc.d/init.d/functions


. /etc/sysconfig/network


[ "$NETWORKING" = "no" ] && exit 0
nginx="/usr/local/nginx/sbin/nginx"
prog=$(basename $nginx)
NGINX_CONF_FILE="/usr/local/nginx/conf/nginx.conf"
[ -f /etc/sysconfig/nginx ] && . /etc/sysconfig/nginx
lockfile=/var/lock/subsys/nginx
make_dirs() {
   
   user=`$nginx -V 2>&1 | grep "configure arguments:" | sed 's/[^*]*--user=\([^ ]*\).*/\1/g' -`
   if [ -z "`grep $user /etc/passwd`" ]; then
       useradd -M -s /bin/nologin $user
   fi
   options=`$nginx -V 2>&1 | grep 'configure arguments:'`
   for opt in $options; do
       if [ `echo $opt | grep '.*-temp-path'` ]; then
           value=`echo $opt | cut -d "=" -f 2`
           if [ ! -d "$value" ]; then
               
               mkdir -p $value && chown -R $user $value
           fi
       fi
   done
}
start() {
    [ -x $nginx ] || exit 5
    [ -f $NGINX_CONF_FILE ] || exit 6
    make_dirs
    echo -n $"Starting $prog: "
    daemon $nginx -c $NGINX_CONF_FILE
    retval=$?
    echo
    [ $retval -eq 0 ] && touch $lockfile
    return $retval
}
stop() {
    echo -n $"Stopping $prog: "
    killproc $prog -QUIT
    retval=$?
    echo
    [ $retval -eq 0 ] && rm -f $lockfile
    return $retval
}
restart() {
    configtest || return $?
    stop
    sleep 1
    start
}
reload() {
    configtest || return $?
    echo -n $"Reloading $prog: "
    killproc $nginx -HUP
    RETVAL=$?
    echo
}
force_reload() {
    restart
}
configtest() {
  $nginx -t -c $NGINX_CONF_FILE
}
rh_status() {
    status $prog
}
rh_status_q() {
    rh_status >/dev/null 2>&1
}
case "$1" in
    start)
        rh_status_q && exit 0
        $1
        ;;
    stop)
        rh_status_q || exit 0
        $1
        ;;
    restart|configtest)
        $1
        ;;
    reload)
        rh_status_q || exit 7
        $1
        ;;
    force-reload)
        force_reload
        ;;
    status)
        rh_status
        ;;
    condrestart|try-restart)
        rh_status_q || exit 0
            ;;
    *)
        echo $"Usage: $0 {start|stop|status|restart|condrestart|try-restart|reload|force-reload|configtest}"
        exit 2
esac
chmod a+x /etc/init.d/nginx


chkconfig --add /etc/init.d/nginx


chkconfig nginx on




vi /usr/local/nginx/conf/nginx.conf
worker_processes  1;


events {
    worker_connections  1024;
}


http {


     server {
         listen                         3128;
         allow            xxx.xxx.xxx.xxx; 
         deny            all;




         
         resolver                       100.100.2.136 100.100.2.138; 


         
         proxy_connect;
         proxy_connect_allow            443;
         proxy_connect_connect_timeout  5s;
         proxy_connect_read_timeout     5s;
         proxy_connect_send_timeout     5s;


         
         location / {
             proxy_pass http://$host;
             proxy_set_header Host $host;


         }
     }
}

以上がNginxの設定でした。

それでは準備ができたのでNginxを起動します。



systemctl start nginx


systemctl status nginx

3.GAの設定とReserve client IP addresses機能の有効化

Nginx のFoward Proxy はこのままでも使うことが出来ますが、日本と中国間のインターネット通信は不安定です。

そのため、クライアントとNginxの間を国際専用線サービス GA (Global Accelerator)で高速化していきます。

  • インスタンス購入
  • 基本帯域幅プラン購入
  • クロスボーダー高速化帯域幅プラン購入

については割愛しますので、GAを初めて利用する方はこちらを参照してください。

www.alibabacloud.com

それではGAの設定をご紹介していきます。

インスタンスの設定画面から、「アクセラレーションエリアの追加」をクリック

img

今回は日本から中国のFoward Proxyにアクセスするため、アクセラレーションエリアは「アジア太平洋」を選択、リージョンは「日本(東京)」を選択。

帯域は必要な分だけ割り当ててください。

img

しばらくすると、 高速化IPアドレスが作成されます。

img

 次にリスナーを作成します。

リスナータブから「リスナーの追加」をクリック

img

  • リスナー名 : 好きなものを
  • プロトコル : TCP
  • ポート番号 : 3128 (Nginxで設定したポート)
  • クライアントのアフィニティ: ソースIPアドレス

img

  •  エンドポイントグループ名 : お好きなものを
  • リージョン : 中国(上海)   (ECSのリージョン)
  • バックエンドサービス : Alibaba Cloud
  • クライアントIPの予約 : 有効化 ※これがReserve client IP addresses
  • エンドポイント (バックエンドサービスタイプ) : Alibaba Cloud のパブリックIPアドレス
  • エンドポイント (バックエンドサービス)  : ECSのパブリックIPアドレス

img

 GAの設定は以上です。

最後に、GAのエンドポイントグループIPと、クライアントのIPアドレスをECSのセキュリティグループに追加しましょう。

img

img

以上で設定が完了です。

こちらの絵が完成しました。

img

PCやスマホでプロキシの設定で、GAの高速化IPアドレスとポート3128を指定して、以下のサイトにアクセスしてみてください。

ECSのパブリックIPが表示されたら成功です。

https://www.ugtop.com/spill.shtml

また、Nginxのアクセスログには、GAのエンドポイントグループIPではなく、クライアントIPアドレスが記録されてるはずです。



==> logs/access.log <==
xxx.xxx.xxx.xxx - - [12/Sep/2020:10:49:12 +0800] "CONNECT p24-caldav.icloud.com:443 HTTP/1.1" 200 12181 "-" "Mac+OS+X/10.15.6 (19G2021) CalendarAgent/930.5.1"


==> logs/error.log <==
2020/09/12 10:49:13 [error] 24427

以上です。

最後に

本記事ではNginx でHTTPSを通せるForward Proxyを構築して、Global Accelerator(GA)でクライアントからForward Proxyへのアクセスを高速化する方法をご紹介いたしました。ご参考に頂ければ幸いです。

吉村 真輝
この記事を書いた人
吉村 真輝
Github Icon
Alibaba Cloud プロフェッショナルエンジニア。中国xクラウドが得意。趣味は日本語ラップのDJ。
Close

Alibaba Cloudを始めてみましょう

ソフトバンクは、Alibaba Cloudのアカウント開設から、サービス展開までをお手伝いします。
Hatena
このページは参考になりましたか?
Github logo Edit on GitHub
中国向けWebサイト構築方法
データ分析チュートリアル
Star