民航西北空管局基于Nginx的數據反向代理設計與應用

白宇晨 雷隱隱

【摘 要】隨著我國民用航空業的迅速發展，近年來航班量迅速增加?？展芟到y做為航班飛行指揮的重要環節之一，業務量也在不斷的增加。在數字化方面主要體現在空管各類業務系統的增加和各系統數據量的增加。本文將通過研究開源Nginx的能力，在保證業務連續性與安全性的同時，利用Nginx解決空管數據中各類協議的轉換與不同數據協議引接上云的問題。

【關鍵詞】Nginx;UDP;TCP/IP;反向代理;集群;負載均衡

一、研究背景

民航西北空管局為響應高質量發展的要求，大力推進“強安全、強效率、強智慧、強協同”的現代化空管體系建設。其中強智慧”要將空管指揮與云計算、大數據、人工智能等通用技術融合，助力西北空管局實現智能感知、泛在互聯、融合運行、智慧決策、智敏服務。因此，西北空管局進來年全面開展數字化轉型工作，著手設計與建設西北空管生產運行數據平臺（私有云）。在此數字化進程中，數據上云的設計與實現成為做好私有云建設的第一步。西北空管局數字化轉型團隊通過租用公有云的形式搭建數據實驗平臺，對西北空管局生產運行數據平臺（私有云）建設方案進行驗證測試。在此期間，團隊發現西北空管業務系統種類繁多，數據信號格式各異，直接引接數據上云難度較大，主要存在以下幾項技術問題：1）業務數據輸出協議包括TCP/IP協議、UDP組播、UDP單播等不同種類的協議。2）TCP/IP協議下，某些系統存在未設置TTL值的情況，無法配置多跳路由上云。3）業務系統單個數據包過大，MTU值超過1472 Bytes，經路由之后存在丟失數據現象。4）業務系統與公有云之間需要保證網絡安全。

針對存在的問題，設計采用Nginx對數據信號進行反向代理。

二、Nginx總體介紹

Nginx是一款基于Linux的、開源的、高性能的HTTP服務器和反向代理服務器，同時支持IMAP/POP3/SMTP代理服務。Nginx模塊分為核心模塊，基礎模塊和第三方模塊。核心模塊包括HTTP模塊、事件模塊、MAIL模塊等?；A模塊包括HTTP Access模塊、HTTP FastCGI模塊、HTTP Proxy模塊、HTTP Rewrite模塊等。第三方模塊：HTTP Upstream Request Hash模塊、Notice模塊、HTTP Access Key模塊等。Nginx能夠快速高效代理與反向代理，同時在負載均衡方面有出色表現。支持多并發的連接，并在大并發時占用很低內存，支持熱備，啟動迅速。

三、Nginx反向代理TCP與UDP協議

Nginx并不直接提供 TCP/UDP 的應用響應，Nginx Stream 模塊的核心功能是將客戶端的 TCP/UDP 連接反向代理給后端的被代理服務器。使用的配置指令應在stream與server指令域內。

針對UDP的反向代理，因為UDP協議為一種無連接的協議，發送與接收兩端并不需要建立連接，也不需要維持連接狀態與收發狀態，根據UDP單波、UDP組播、UDP廣播的不同，一個發送端發出的UDP包可以被組內的多個接收端接收，同時UDP協議自身并沒有會話保持機制。針對UDP協議，Nginx定義了一個維持的機制，可以通過配置實現當發送端發出一個UDP包時，等待接收回包，以保持會話。根據對proxy_responses配置值的不同，決定了此次回話的最長等待時間，規定時間內沒有響應則斷開會話。Nginx反向代理UDP配置示例如圖

Nginx 負載均衡是由代理模塊和上游（upstream）模塊共同實現的，Nginx 通過代理模塊的反向代理功能將用戶請求轉發到上游服務器組，上游模塊通過指定的負載均衡策略及相關的參數配置將用戶請求轉發到目標服務器上。上游模塊可以與 Nginx 的代理指令（proxy_pass）、FastCGI 協議指令（fastcgi_pass）、uWSGI 協議指令（uwsgi_pass）、SCGI 協議指令（scgi_pass）、memcached 指令（memcached_pass）及 gRPC 協議指令（grpc_pass）實現多種協議后端服務器的負載均衡。

四、Nginx集群搭建與負載均衡

如果想實現TCP和UDP的反向代理，必須選擇Nginx的Linux版本，Linux版本的Nginx集群負載是使用LVS做為傳輸層的負載均衡設備，將客戶端請求從傳輸層負載到后端的Nginx集群，并由Nginx集群實現應用層負載均衡處理的多層負載均衡網絡架構。LVS作為傳輸層負載均衡與接入路由對接，負責把數據包轉發給后端的Nginx服務器。LVS選用DR轉發模式，網絡數據包在傳輸層被分發到Nginx服務器，并由Nginx經過本地路由返回給客戶端。Nginx集群負載部署圖如下圖所示。

Nginx負載均衡是由代理模塊和upstream模塊共同實現的，Nginx通過代理模塊的反向代理功能將用戶請求轉發到上游服務器組，upstream模塊通過相負載均衡策略及參數配置將用戶請求轉發到目標服務器上。upstream模塊可以與Nginx的代理指令、FastCGI協議指令、uWSGI協議指令、SCGI協議指令、memcached指令及gRPC協議指令實現多種協議后端服務器的負載均衡。

五、Nginx日志管理與監控

Nginx的日志分為訪問日志和錯誤日志兩種。訪問日志中記錄了用戶IP、瀏覽器信息、響應狀態等，通過Nginx的access_log指令更改所需信息并輸出到訪問日志中。通過查看訪問日志，可以了解系統的安全性、性能、可用性等信息。錯誤日志會記錄Nginx加載配置時檢查出的異常、運行時請求處理的異常和服務器調試信息等。通過error_log指令可以對錯誤日志進行配置。查看錯誤日志可以幫助排查Nginx運行問題、調整Nginx配置參數、優化系統性能。

六、西北空管局基于Nginx集群的設計思路

通過搭建Nginx代理服務器集群，配置集群間的負載均衡，利用Nginx反向代理功能，將西北空管局業務系統視為客戶端，公有云端視為服務端，將客戶端不同的數據協議轉換為TCP/IP協議并代理至服務端。通過集群和負載均衡的技術手段，保障業務連續性，確保因單條鏈路或者單獨服務器故障時數據不中斷，云上數據完整。同時通過nginx反向代理隱藏真實服務端，隔離數據源業務系統和公有云以保證安全，不對外暴露內網業務系統，安全可靠的實現業務數據上云。通過配置Nginx日志，存儲訪問和錯誤日志，提供良好的可觀測性和可維護性。

針對前文中提出的業務數據輸出類型包括TCP/IP協議、UDP組播、UDP單播等各類協議的問題。TCP/IP協議數據可以在nginx中進行路由配置進行反向代理，將內部業務系統數據代理輸出轉發，同時配置負載均衡進行負載均攤，保證業務連續性。UDP組播協議數據由于網絡協議上的限制，無法通過三層路由設備，nginx的代理轉發也基于三層路由，所以需要在服務器上部署組播接收程序及解析程序，接收到組播數據后，通過解析程序，將數據包內容解析成XML或Json格式數據，再將并XML或Json格式文本數據以TCP/IP協議發送至nginx相應代理端口，最后由nginx向后端服務器轉發數據。UDP單播協議數據可以通過nginx直接接收，由nginx向后端服務器轉發數據。針對TCP/IP協議下，某些系統存在未設置TTL值的情況，無法直接配置多跳路由上云的問題。在代理轉發前，采用透傳的方式至代理服務器，確保中間無路由環節，再使用nginx反向代理上云。針對業務系統單個UDP數據包過大，MTU值超過1472 Bytes，經公網路由之后存在丟失數據現象。修改代理服務器對應內網網卡MTU至9000（巨型幀上限），同時將原本在云上CCE部署的解析程序前置，部署在代理服務器上，先接收UDP數據包，通過解析模塊解析處理成XML或Json格式數據后，原本的數據包內數據將變成文本格式數據，數據包大小將大幅減小，之后使用TCP協議發送解析后數據至公有云。下圖為UDP協議數據及TCP/IP協議數據經過Ngnix代理中轉后的數據抓包實例，與原數據進行對比后證實代理前后數據內容一致，Ngnix可順利完成代理功能。

七、結論

利用Nginx服務集群可以較好的解決空管行業系統間數據引接，業務數據上云過程中的問題，不僅能夠以TCP/IP方式統一提供對外數據，并且通過Nginx服務集群分布式部署能夠極大的保障業務連續性，同時在安全性方面也有一定的保障，所有數據交互均通過安全代理服務器，可以在代理服務器上配置相應的安全規則，以過濾非授權的訪問。而且針對私有云或數據中心的建設，因為數據種類較多同時對外也會提供大量數據服務，使用Nginx代理能夠節省大量的IP資源。使用Nginx服務集群代理轉發空管業務數據是一種有效、安全、可行的方法。

參考文獻：

[1]郭大偉，張偉，姜曉艷.一種基于Nginx的UDP反向代理服務器數據轉發策略[J].北京信息科技大學學報（自然科學版），2019，34（06）：87-91.

[2]吳寶花. 基于Nginx的服務器集群負載均衡策略研究與優化[D].南昌大學，2020.

[3]趙凱.一種基于Nginx反向代理機制的微服務負載均衡方法分析[J].無線互聯科技，2020，17（16）：140-141.

[4]李萌，汪賢浩.Linux下基于Nginx的配網數據采集高并發處理設計與實現[J].電子技術與軟件工程，2019（22）：26-27.

[5]王利萍. 基于Nginx服務器集群負載均衡技術的研究與改進[D].山東大學，2015.

[6]王小東. Nginx應用與運維實戰[M].機械工業出版社，2020，8.

（作者單位：中國民用航空西北地區空中交通管理局）