Nginx学习记录：Nginx代理S3服务

• 最近有使用Nginx代理对象存储服务的需求，需要出一份配置文件。

• 本篇文章简要记录一下测试过程中发现的坑吧。

完整配置文件

闲话少说，先放出最终的配置文件demo吧。

假设当前信息如下：

1. 需要代理的S3地址为: https://real.s3.com

2. 当前Nginx的部署地址为: http://1.2.3.4:2345

则最终的配置文件如下：

worker_processes auto;
error_log log/nginx/error.log;
pid run/nginx.pid;
worker_rlimit_nofile 65535;
events {
    worker_connections 512;
}
http {
    include /etc/nginx/mime.types;
    default_type application/octet-stream;
    log_format main '$remote_addr - $remote_user [$time_local] "$request" '
                      '$status $body_bytes_sent "$http_referer" '
                      '"$http_user_agent" "$http_x_forwarded_for"';
    access_log log/nginx/access.log main;
    server {
        # 监听端口
        listen 2345;
        client_max_body_size 1024M;
        location / {
            # 此处配置S3地址
            proxy_pass https://real.s3.com;
            # 此处配置当前实例地址
            proxy_set_header Host 1.2.3.4:2345;
        }
    }
}

坑一 身份校验

当S3客户端使用AK和SK进行校验时，必须要将转发请求header中Host的值配置为当前Nginx的部署地址，否则会出现身份校验不通过的情况。

location / {
    ...
    # 此处配置当前实例地址
    proxy_set_header Host 1.2.3.4:2345;
}

这是因为配置代理后，S3客户端实际会向Nginx发出S3请求，即请求头中的Host会被配置为Nginx的部署地址。

而S3客户端在进行请求的预签名计算时，除了会使用到AK和SK，也会使用请求头中的Host。

后续Nginx进行转发时，若不配置将请求头中的Host替换，则会出现请求头中的Host与预签名不匹配的情况，导致身份校验失败。

下面摘取aws-sdk-go中的一点代码佐证。

// github.com/aws/aws-sdk-go/aws/signer/v4/v4.go
func (ctx *signingCtx) buildCanonicalHeaders(r rule, header http.Header) {
	var headers []string
	headers = append(headers, "host")
	for k, v := range header {
		if !r.IsValid(k) {
			continue // ignored header
		}
		if ctx.SignedHeaderVals == nil {
			ctx.SignedHeaderVals = make(http.Header)
		}

		lowerCaseKey := strings.ToLower(k)
		if _, ok := ctx.SignedHeaderVals[lowerCaseKey]; ok {
			// include additional values
			ctx.SignedHeaderVals[lowerCaseKey] = append(ctx.SignedHeaderVals[lowerCaseKey], v...)
			continue
		}

		headers = append(headers, lowerCaseKey)
		ctx.SignedHeaderVals[lowerCaseKey] = v
	}
	sort.Strings(headers)

	ctx.signedHeaders = strings.Join(headers, ";")
 
	if ctx.isPresign {
		ctx.Query.Set("X-Amz-SignedHeaders", ctx.signedHeaders)
	}

	headerItems := make([]string, len(headers))
	for i, k := range headers {
		if k == "host" {
			if ctx.Request.Host != "" {
				headerItems[i] = "host:" + ctx.Request.Host
			} else {
				headerItems[i] = "host:" + ctx.Request.URL.Host
			}
		} else {
			headerValues := make([]string, len(ctx.SignedHeaderVals[k]))
			for i, v := range ctx.SignedHeaderVals[k] {
				headerValues[i] = strings.TrimSpace(v)
			}
			headerItems[i] = k + ":" +
				strings.Join(headerValues, ",")
		}
	}
	stripExcessSpaces(headerItems)
	ctx.canonicalHeaders = strings.Join(headerItems, "\n")
}

坑二 跨域问题

如果代理的S3服务本身没有配置跨域配置，那么假如直接通过前端访问代理Nginx地址，就会出现跨域错误。

对于这种情况，可能有些S3服务开跨域比较麻烦，可以考虑直接从Nginx配置层面解决这个问题。

只需要按协议添加相关header，处理OPTIONS请求就可以，示例配置文件如下：

worker_processes auto;
error_log log/nginx/error.log;
pid run/nginx.pid;
worker_rlimit_nofile 65535;
events {
    worker_connections 512;
}
http {
    include /etc/nginx/mime.types;
    default_type application/octet-stream;
    log_format main '$remote_addr - $remote_user [$time_local] "$request" '
                      '$status $body_bytes_sent "$http_referer" '
                      '"$http_user_agent" "$http_x_forwarded_for"';
    access_log log/nginx/access.log main;
    server {
        # 监听端口
        listen 2345;
        client_max_body_size 1024M;
        location / {
            add_header 'Access-Control-Allow-Origin' '*';
            add_header 'Access-Control-Allow-Methods' 'GET, POST, OPTIONS, PUT, POST';
            add_header 'Access-Control-Allow-Headers' 'DNT,X-Mx-ReqToken,Keep-Alive,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type,Authorization';
            if ($request_method = 'OPTIONS') {
                return 204;
            }
            # 此处配置S3地址
            proxy_pass https://real.s3.com;
            # 此处配置当前实例地址
            proxy_set_header Host 1.2.3.4:2345;
        }
    }
}