反向代理服务器Squid 3.0安装配置详解
一.反向代理的概念
二.反向代理工作原理
三.安装环境
四.安装准备
五.调整内核
六.调整文件描述符油炸排骨的做法
七.调整端口范围
八.编译安装
九.配置说明
十.配置参考
三有
十一.测试启动
十二.常用命令
附录1:参考资料链接
附录2:关键字解释
一.反向代理的概念
什么是反向代理呢?其实,反向代理也就是通常所说的WEB服务器加速,它是一种通过在繁忙的WEB服务器和Internet之间增加一个高速的WEB缓冲服务器(即:WEB反向代理服务器)来降低实际的WEB服务器的负载。典型的结构如下图所示:
oppo怎么恢复出厂设置方法
Web服务器加速(反向代理)是针对Web服务器提供加速功能的。它作为代理Cache,但并不针对浏览器用户,而针对一台或多台特定Web服务器(这也是反向代理名称的由来)。实施反向代理(如上图所示),只要将Rever Proxy Cache设备放置在一台或多台Web服务器前端即可。当互联网用户访问某个WEB服务器时,通过DNS服务器解析后的IP 地址是Rever Proxy Server的IP地址,而非原始Web服务器的IP地址,这时Rever Proxy Server设备充当Web服务器,浏览器可以与它连接,无需再直接与Web 服务器相连。因此,大量Web服务工作量被卸载到反向代理服务上。不但能够防止外部网
主机直接和web服务器直接通信带来的安全隐患,而且能够很大程度上减轻web服务器的负担,提高访问速度。
二.反向代理工作原理
反向代理服务器位于本地WEB服务器和Internet之间,如下图所示:
当用户浏览器发出一个HTTP请求时,通过域名解析将请求定向到反向代理服务器(如果要实现多个WEB服务器的反向代理,需要将多个WEB服务器的域名都指向反向代理服务器)。由反向代理服务器处理器请求。反向代理一般只缓存可缓冲的数据(比如html网页和图片等),而一些CGI脚本程序或者ASP之类的程序不缓存。它根据从WEB服务器返回的HTTP 头标记来缓冲静态页面
三.环境
操作系统:CentOS 5.2
Squid:squid-3.0.STABLE13
四.准备
1.可以用下述命令获得squid
wget /Versions/v3/3.0/squid-3.0.
2.建立squid用户
uradd squid -M -c "Squid ur" -d /dev/null -s /sbin/nologin
3.配置参数详解
✓--prefix=/usr/local/squid3 :
指定squid日志,二进制文件和配置文件的默认位置,squid会将var目录也放在这下面,在这个目录下面会有日志文件,日志文件通常会很大,因此建议将其放在较大的磁盘下面,你可以使用—localstatedir 选项。
✓--localstatedir=/bigdisk/var
勇气近义词指定var目录的安装位置
✓--enable-dlmalloc[=LIB]
在一些系统上,内建的内存分配机制(malloc)在使用squid时表现不尽人意。使用--enable-dlmalloc选项将squid源代码包中的dlmalloc包编译和链接进来。假如你的系统中已安装dlmalloc,你能使用=LIB参数指定库的路径。请
g.oswego.edu/dl/html/malloc.html更多关于dlmalloc的信息。✓--enable-gnuregex
在访问控制列表和其他配置指令里,squid使用正则表达式作为匹配机制。GNU的正则表达式库包含在squid的源代码包里;它可以在没有内建正则表达式的操作系统中使用。./configure脚本侦察你系统中的正则表达式库,假如必要,它可以激活使用GNU正则表达式。如果因为某些理由,你想强制使用GNU正则表达式,你可以将这个选项加到./configure命令后。
✓--enable-async-io[=N_THREADS]
异步I/O是squid技术之一,用以提升存储性能。aufs模块使用大量的线程来执行磁盘I/O操作。该代码仅仅工作在linux和solaris系统中。=N_THREADS参数改变squid使用的线程数量。aufs 在多cup 系统上优势更为明显,设置的线程数量不要过多。squid默认根据缓存目录的数量,自动计算需要使用多少线程。
✓--enable-removal-policies='heap,lru'
排除策略是squid需要腾出空间给新的cache目标时,用以排除旧目标的机制。
squid-2.5支持3个排除策略:最少近期使用(LRU),贪婪对偶大小(GDS),最少经常使用(LFU)。。LRU是默认的,它以双链表数据结构执行。
✓--enable-delay-pools
延时池是squid用于传输形状或带宽限制的技术。该池由大量的客户端IP地址组成。
当来自这些客户端的请求处于cache丢失状态,他们的响应可能被人工延迟。
✓--enable-snmp
简单网络管理协议(SNMP)是监视网络设备和服务器的流行方法。该选项导致编译过程去编译所有的SNMP相关的代码,包括一个裁切版本的CMU SNMP库。
✓--enable-cachemgr -hostname[=hostname]
cachemgr是一个CGI程序,你能使用它来管理查询squid。默认cachemgr的
hostname值是空的,但你能使用该选项来指定一个默认值
✓--enable-htcp
HTCP是超文本缓存协议--类似于ICP的内部缓存协议。
✓--enable-ssl
使用该选项赋予squid终止SSL/TLS连接的能力。注意这仅仅工作在web加速器中用以加速请求。
以小见大的意思✓--with-openssl[=DIR]
假如必要,你使用该选项来告诉squid到哪里找到OpenSSL库或头文件。假如它们不在默认位置,在该选项后指定它们的父路径。例如:
✓% ./configure --enable-ssl --with-ssl=/opt/foo/openssl 在这个例子中,你的编译器将在/opt/foo/openssl/include目录中找头文件,在/opt/foo/openssl/lib中找库文件。梦到放鞭炮
分手后的伤✓--enable-cache-digests
Cache消化是ICP的另一个替代,但有着截然不同的特性。
✓--enable-err-languages="Simplify_Chine"
然后下面没有了✓--enable-default-err-languages="Simplify_Chine"
上面两个选项告诉Squid编入并使用简体中文错误信息。
squid支持定制错误消息,错误消息可以用多种语言报告。该选项指定复制到安装目录($prefix/share/errors)的语言。假如你不使用该选项,所有可用语言被安装。
想知道何种语言可用,请见源代码包里errors目录下的目录列表。
✓--enable-epoll
✓--enable- linux-netfilter:
可以支持透明代理
✓--enable-underscore
允许解析的URL中出现下划先,因为默认squid会认为带下划线的URL地址是非法的,并拒绝访问该地址。
✓--enable-arp-acl
可以在规则设置中直接通过客户端的MAC地址进行管理,防止客户使用IP欺骗。
✓--disable-ident-lookups
防止系统使用RFC931规定的身份识别方法。
✓--enable-cahce-digests
加快请求时,检索缓存内容的速度。
✓--enable-icmp
加入icmp支持。
✓--enable-kill-parent-hack
关掉suqid的时候,要不要连同父进程一起关掉,这个当然要啦。
五.调整内核
Squid在高负载下,需要大量的内核资源。特别的,你需要给你的系统配置比正常情况更高的文件描述符和缓存。文件描述符的限制通常很恼人。你最好在开始编译squid之前来增加这些限制的大小。
因为这点,你可能为了避免重建内核的麻烦,而倾向于使用预编译的二进制版本。不幸的是,不管如何你必须重建一个新内核。squid和内核通过数据结构来交换信息,数据结构的大小不能超过设置的文件描述符的限制。squid在运行时检查这些设置,并且使用最安全的(最小的)值。这样,即使预编译的二进制版本有比你的内核更高的文件描述符,但还是以你系统内核的实际数值为主。
为了改编一些参数,你需要重建新内核。这个过程在不同的操作系统之间不同。假如需要,请参阅Unix系统管理员手册(Prentice Hall出版)或者你的操作系统文档。假如你正使用Linux,可能不必重建内核
六.文件描述符
文件描述符是一个简单的整数,用以标明每一个被进程所打开的文件和socket。第一个打开的文件是0,第二个是1,依此类推。Unix操作系统通常给每个进程能打开的文件数量强加一个限制。更甚的是,unix通常有一个系统级的限制。
因为squid的工作方式,文件描述符的限制可能会极大的影响性能。当squid用完所有的文件描述符后,
它不能接收用户新的连接。也就是说,用完文件描述符导致拒绝服务。直到一部分当前请求完成,相应的文件和socket被关闭,squid不能接收新请求。当squid发现文件描述符短缺时,它会发布警告。
