# Apache模块 mod_proxy
| [说明](#calibre_link-11) | 提供HTTP/1.1的代理/网关功能支持 |
| --- | --- |
| [状态](#calibre_link-12) | 扩展(E) |
| [模块名](#calibre_link-13) | proxy_module |
| [源文件](#calibre_link-14) | mod_proxy.c |
### 概述
### 警告
在您没有对服务器[采取安全措施](#calibre_link-290)之前,请不要用`ProxyRequests`启用代理。一个开放的代理服务器不仅对您的网络有威胁,对整个因特网来说也同样如此。
此模块实现了Apache的代理/网关。它实现了以下规范的代理:`AJP13`(Apache JServe Protocol v1.3), `FTP`, `CONNECT`(用于SSL), `HTTP/0.9`, `HTTP/1.0`, `HTTP/1.1` 。此模块经配置后可用上述或其它协议连接其它代理模块。
Apache的代理功能(除`mod_proxy`以外)被划分到了几个不同的模块中:`mod_proxy_http`, `mod_proxy_ftp`, `mod_proxy_ajp`, `mod_proxy_balancer`, `mod_proxy_connect` 。这样,如果想使用一个或多个代理功能,就必须将`mod_proxy`_和_对应的模块同时加载到服务器中(静态连接或用`LoadModule`动态加载)。
另外,其它模块还提供了扩展特性。`mod_cache`及其相关模块提供了缓冲特性。`mod_ssl`提供的`SSLProxy*`系列指令可以使用SSL/TLS连接远程服务器。这些提供扩展特性的模块必须在被正确加载和配置以后才能提供这些扩展功能。
## 正向和反向代理
Apache可以被配置为<dfn class="calibre27">正向(forward)</dfn>和<dfn class="calibre27">反向(reverse)</dfn>代理。
<dfn class="calibre27">正向代理</dfn>是一个位于客户端和_原始服务器(origin server)_之间的服务器,为了从原始服务器取得内容,客户端向代理发送一个请求并指定目标(原始服务器),然后代理向原始服务器转交请求并将获得的内容返回给客户端。客户端必须要进行一些特别的设置才能使用正向代理。
正向代理的典型用途是为在防火墙内的局域网客户端提供访问Internet的途径。正向代理还可以使用缓冲特性(由`mod_cache`提供)减少网络使用率。
使用`ProxyRequests`指令即可激活正向代理。因为正向代理允许客户端通过它访问任意网站并且隐藏客户端自身,因此你必须[采取安全措施](#calibre_link-290)以确保仅为经过授权的客户端提供服务。
<dfn class="calibre27">反向代理</dfn>正好相反,对于客户端而言它就像是原始服务器,并且客户端不需要进行任何特别的设置。客户端向反向代理的名字空间(name-space)中的内容发送普通请求,接着反向代理将判断向何处(原始服务器)转交请求,并将获得的内容返回给客户端,就像这些内容原本就是它自己的一样。
反向代理的典型用途是将防火墙后面的服务器提供给Internet用户访问。反向代理还可以为后端的多台服务器提供负载平衡,或为后端较慢的服务器提供缓冲服务。另外,还可以启用高级URL策略和管理技术,从而使处于不同web服务器系统的web页面同时存在于同一个URL空间下。
可以使用`ProxyPass`指令激活反向代理(在`RewriteRule`指令中使用`P]`标记也可以)。配置反向代理并**不需要**打开`[ProxyRequests`指令。
## 简单示例
下面的例子仅仅是为了给你一个基本概念而帮助入门而已,请仔细阅读每个指令的文档。
另外,如果想使用缓冲特性,请查看`mod_cache`文档。
### 正向代理
```
ProxyRequests On
ProxyVia On
<Proxy *>
Order deny,allow
Deny from all
Allow from internal.example.com
</Proxy>
```
### 反向代理
```
ProxyRequests Off
<Proxy *>
Order deny,allow
Allow from all
</Proxy>
ProxyPass /foo http://foo.example.com/bar
ProxyPassReverse /foo http://foo.example.com/bar
```
## 控制对代理服务器的访问
您可以通过`<Proxy>`的阻止功能来控制谁能访问您的代理。示例如下:
```
<Proxy *>
Order Deny,Allow
Deny from all
Allow from 192.168.0
</Proxy>
```
要了解更多访问控制信息,请参见`mod_authz_host`文档。
使用正向代理时严格控制访问权限(使用`ProxyRequests`指令)是非常重要的。否则你的代理会被客户端利用来访问其它服务器并且隐藏客户端的真实身份。这不仅对您的网络有威胁,对整个因特网来说也同样如此。当使用反向代理(在"`ProxyRequests Off`"条件下使用`ProxyPass`指令)的时候访问控制要相对宽松,因为客户端只能连接你配置的特定主机。
## 缓慢启动
如果您使用了`ProxyBlock`指令,将会在启动时查找并缓存主机名的IP地址以备后继的匹配测试使用。这将会花费几秒或更长的时间,这主要取决于主机名查找的速度。
## 局域网代理
位于局域网内的Apache代理服务器需要经由公司的防火墙转发对外部的请求(使用`ProxyRemote`指令来配置)。但当它访问局域网内的资源时,它能越过防火墙直接访问目的主机。在访问一个属于局域网的服务器从而进行直接连接时,`NoProxy`指令就会很有用。
局域网内的用户习惯于不在他们的WWW请求中加入本地域的名称,于是会使用"http://somehost/"来取代`http://somehost.example.com/` 。一些商业代理服务器会不管这些,只是采用本地域的配置来简单的伺服这个请求。当使用了`ProxyDomain`指令来为服务器[配置了一个代理服务](#calibre_link-407)时,Apache会发出一个重定向应答,以使客户端请求到达正确的、能满足要求的服务器地址。因为这样一来,用户的书签文件就会随之包含完整的主机名,所以这是首选的方法。
## 协议调整
当`mod_proxy`向一个没有正确实现持久连接(KeepAlive)或HTTP/1.1的原始服务器发送请求的时候,可以通过设置两个[环境变量](#calibre_link-232)来发送不带持久连接(KeepAlive)的HTTP/1.0请求。这两个变量是通过`SetEnv`指令设置的。
以下是`force-proxy-request-1.0`和`proxy-nokeepalive`的例子:
```
<Location /buggyappserver/>
ProxyPass http://buggyappserver:7001/foo/
SetEnv force-proxy-request-1.0 1
SetEnv proxy-nokeepalive 1
</Location>
```
## 请求体
一些请求方法(如POST)包含一个请求体。HTTP协议要求包含请求体的请求或者使用块传输编码(chunked transfer encoding)或者包含一个`Content-Length`请求头。当将这种请求传递给原始服务器的时候,`mod_proxy_http`会始终尝试使用`Content-Length`请求头。但如果原始请求使用的是块编码,那么块编码也同样可以用于上行请求。可以使用[环境变量](#calibre_link-232)控制这种选择。设置`proxy-sendcl`可以确保始终发送`Content-Length`头以与上游服务器保持最大程度的兼容性,而设置`proxy-sendchunked`可以通过继续使用块编码以尽可能最小化资源占用率。
## AllowCONNECT 指令
| [说明](#calibre_link-18) | 通过代理允许`CONNECT`的端口号 |
| --- | --- |
| [语法](#calibre_link-19) | `AllowCONNECT port [port] ...` |
| [默认值](#calibre_link-24) | `AllowCONNECT 443 563` |
| [作用域](#calibre_link-20) | server config, virtual host |
| [状态](#calibre_link-21) | 扩展(E) |
| [模块](#calibre_link-22) | mod_proxy |
`AllowCONNECT`指令指定了此代理的`CONNECT`方法可以连接的端口号列表。当今的浏览器在进行`https`连接请求时使用这种方法,而代理默认会将其转为`http`。
默认只启用了默认的https端口(`443`)和默认的snews端口(`563`)。使用`AllowCONNECT`指令可以覆盖默认设置而改为仅允许连接列出的端口。
注意,必须确保`mod_proxy_connect`也同时存在于服务器中,这样才能支持`CONNECT` 。
## NoProxy 指令
| [说明](#calibre_link-18) | 直接进行连接的主机/域/网络 |
| --- | --- |
| [语法](#calibre_link-19) | `NoProxy host [host] ...` |
| [作用域](#calibre_link-20) | server config, virtual host |
| [状态](#calibre_link-21) | 扩展(E) |
| [模块](#calibre_link-22) | mod_proxy |
此指令仅适用于局域网内的Apache代理服务器。`NoProxy`指令指定了一个中间以空格分隔的子网、IP地址、主机和/或域的列表。对某个匹配上述一个或多个列表项的主机的请求将直接被其伺服而不会转交到配置好的`ProxyRemote`代理服务器。
### 示例
```
ProxyRemote * http://firewall.mycompany.com:81
NoProxy .mycompany.com 192.168.112.0/21
```
`NoProxy`指令的host参数可以是以下选项之一:
域
<dfn class="calibre27">域</dfn>是一个DNS域名的一部分,并在前面加上点号。它表示一批逻辑上属于同一个DNS区域的主机,也就是所有这些主机名具有相同的后缀,而这个"后缀"就是<dfn class="calibre27">域</dfn>。
### 例子
```
.com
.apache.org.
```
域和[主机名](#calibre_link-417)(一个DNS域甚至也可能有一条DNS"A记录"!)的不同之处在于域始终有一个前导点。
### 注意
域名不区分大小写并且始终认为是锚定在DNS树根上的,因此`.MyDomain.com`和`.mydomain.com.`(注意结尾点号)是完全等同的。因为域的比较不需要进行DNS查询,因此它比子网比较更加高效。
子网
<dfn class="calibre27">子网</dfn>以点分十进制形式表示了一个因特网地址的一部分,有时会跟着一个斜杠和子网掩码,以指定子网中的有效bit位。它用于表示主机通过自身的普通网络接口可以访问的子网范围。未指定子网掩码的时候就假定忽略掉的(或为零的)结尾数字就是掩码,在这种情况下,掩码bit长度必须是8bit的整数倍。例如:
`192.168`或`192.168.0.0`
子网"`192.168.0.0`"表示掩码为16bit(有时也用`255.255.0.0`表示)。
`192.168.112.0/21`
子网"`192.168.112.0/21`"表示掩码为21bit(有时也用`255.255.248.0`表示)。
在退化到极限的情况下,一个掩码为32bit的_子网_就等价于一个[IP地址](#calibre_link-418)。而零个合法bit的子网("0.0.0.0/0")等价于常量"_Default_",可以匹配任何IP地址。
IP地址
<dfn class="calibre27">IP地址</dfn>以点分十进制形式表示了一个完整的因特网地址。一般来说,此地址代表一个主机,但并不需要一个DNS域名与这个地址对应。
### 示例
```
192.168.123.7
```
### 注意
一个IP地址不需要为一个DNS系统所解析,所以它能使apache获取更高性能。
主机名
<dfn class="calibre27">主机名</dfn>是一个完整的DNS域名,可以通过DNS域名服务解析为一个或多个[IP地址](#calibre_link-419)。它代表了一个逻辑主机(与[域](#calibre_link-420)相反)而且必须解析成至少一个[IP地址](#calibre_link-419)(或经常解析成具有不同[IP地址](#calibre_link-419)的主机列表)。
### 例子
```
prep.ai.mit.edu
www.apache.org
```
### 注意
在很多情况下,指定一个[IP地址](#calibre_link-419)代替主机名会更有效率。因为可以避免一次DNS查询。当使用一个低速的PPP与域名服务器连接时,Apache的域名解析会花费相当可观的时间。
主机名不区分大小写并且始终认为是锚定在DNS树根上的,因此`WWW.MyDomain.com`和`www.mydomain.com.`(注意结尾点号)是完全等同的。
### 参见
* [DNS相关问题](#calibre_link-55)
## <Proxy> 指令
| [说明](#calibre_link-18) | 应用于所代理资源的容器 |
| --- | --- |
| [语法](#calibre_link-19) | `<Proxy wildcard-url> ...</Proxy>` |
| [作用域](#calibre_link-20) | server config, virtual host |
| [状态](#calibre_link-21) | 扩展(E) |
| [模块](#calibre_link-22) | mod_proxy |
位于`<Proxy>`配置段中的指令仅作用于匹配的代理内容。语句中可以使用shell风格的通配符。
比如说:下例仅允许`yournetwork.example.com`中的主机通过您的代理服务器访问代理内容:
```
<Proxy *>
Order Deny,Allow
Deny from all
Allow from yournetwork.example.com
</Proxy>
```
下例将在所有`example.com`的`foo`目录下的文件通过代理服务器发送之前用`INCLUDES`过滤器进行处理:
```
<Proxy http://example.com/foo/*>
SetOutputFilter INCLUDES
</Proxy>
```
## ProxyBadHeader 指令
| [说明](#calibre_link-18) | 确定如何处理不合法的应答头 |
| --- | --- |
| [语法](#calibre_link-19) | `ProxyBadHeader IsError|Ignore|StartBody` |
| [默认值](#calibre_link-24) | `ProxyBadHeader IsError` |
| [作用域](#calibre_link-20) | server config, virtual host |
| [状态](#calibre_link-21) | 扩展(E) |
| [模块](#calibre_link-22) | mod_proxy |
| [兼容性](#calibre_link-137) | 仅在 Apache 2.0.44 及以后的版本中可用 |
`ProxyBadHeader`指令决定`mod_proxy`如何处理不合法的应答头(比如丢失冒号(:))。参数的取值范围如下:
`IsError`
以"502"(Bad Gateway)应答中止请求。这是默认行为。
`Ignore`
忽略,就像它们不存在一样。
`StartBody`
在接收到第一个非法头行时停止读取头,并将剩余部分当作应答体。这样做有助于和一个不规范的、经常忘记在应答头和应答体之间插入空行的后端服务器协同工作。
## ProxyBlock 指令
| [说明](#calibre_link-18) | 设置被代理屏蔽的语句、主机、域 |
| --- | --- |
| [语法](#calibre_link-19) | `ProxyBlock *|word|host|domain [word|host|domain] ...` |
| [作用域](#calibre_link-20) | server config, virtual host |
| [状态](#calibre_link-21) | 扩展(E) |
| [模块](#calibre_link-22) | mod_proxy |
`ProxyBlock`指令指定了一个由空格分隔的语句、主机和/或域的列表。对所有匹配这些语句、主机和/或域的HTTP、HTTPS、FTP文档的请求都将被代理服务器_阻断_。代理模块亦会在启动时尝试确定列表中可能是主机名的项目对应的IP地址,并将其缓冲用于匹配测试。比如说:
### 示例
```
ProxyBlock joes-garage.com some-host.co.uk rocky.wotsamattau.edu
```
通过IP地址,`rocky.wotsamattau.edu`将可能同样被匹配。
请注意,`wotsamattau`已经足够匹配`wotsamattau.edu`了。
请注意
```
ProxyBlock *
```
将屏蔽对所有站点的连接。
## ProxyDomain 指令
| [说明](#calibre_link-18) | 代理请求的默认域名 |
| --- | --- |
| [语法](#calibre_link-19) | `ProxyDomain Domain` |
| [作用域](#calibre_link-20) | server config, virtual host |
| [状态](#calibre_link-21) | 扩展(E) |
| [模块](#calibre_link-22) | mod_proxy |
此指令仅对位于局域网内的Apache代理服务器有用。`ProxyDomain`指令指定了apache代理服务器归属的默认域。如果遇到了一个对没有域名的主机的请求,就会根据配置自动生成一个加上了Domain的重定向应答。
### 示例
```
ProxyRemote * http://firewall.mycompany.com:81
NoProxy .mycompany.com 192.168.112.0/21
ProxyDomain .mycompany.com
```
## ProxyErrorOverride 指令
| [说明](#calibre_link-18) | 覆盖代理内容的错误页 |
| --- | --- |
| [语法](#calibre_link-19) | `ProxyErrorOverride On|Off` |
| [默认值](#calibre_link-24) | `ProxyErrorOverride Off` |
| [作用域](#calibre_link-20) | server config, virtual host |
| [状态](#calibre_link-21) | 扩展(E) |
| [模块](#calibre_link-22) | mod_proxy |
| [兼容性](#calibre_link-137) | 仅在 Apache 2.0 及以后的版本中可用 |
此指令用于反向代理设置中您想为最终用户提供观感一致的错误页面时。它也同样允许包含文件(通过`mod_include`的SSI)获取错误号并作出相应的动作。(默认行为是显示被代理的服务器的错误页面,将此项目设为"On"将显示SSI错误信息。)
## ProxyIOBufferSize 指令
| [说明](#calibre_link-18) | 内部缓冲区大小 |
| --- | --- |
| [语法](#calibre_link-19) | `ProxyIOBufferSize bytes` |
| [默认值](#calibre_link-24) | `ProxyIOBufferSize 8192` |
| [作用域](#calibre_link-20) | server config, virtual host |
| [状态](#calibre_link-21) | 扩展(E) |
| [模块](#calibre_link-22) | mod_proxy |
`ProxyIOBufferSize`指令用于调整内部缓冲区(作为输入输出数据的暂存器)的大小。取值必须小于等于`8192` 。
在绝大多数情况下,不需要调整这个设置。
## <ProxyMatch> 指令
| [说明](#calibre_link-18) | 应用于匹配正则表达式的代理资源的容器 |
| --- | --- |
| [语法](#calibre_link-19) | `<ProxyMatch regex> ...</ProxyMatch>` |
| [作用域](#calibre_link-20) | server config, virtual host |
| [状态](#calibre_link-21) | 扩展(E) |
| [模块](#calibre_link-22) | mod_proxy |
`<ProxyMatch>`和`<Proxy>`指令基本相同,只是匹配字符串可以为[正则表达式](#calibre_link-67 "see glossary")。
## ProxyMaxForwards 指令
| [说明](#calibre_link-18) | 转发请求的最大代理数目 |
| --- | --- |
| [语法](#calibre_link-19) | `ProxyMaxForwards number` |
| [默认值](#calibre_link-24) | `ProxyMaxForwards 10` |
| [作用域](#calibre_link-20) | server config, virtual host |
| [状态](#calibre_link-21) | 扩展(E) |
| [模块](#calibre_link-22) | mod_proxy |
| [兼容性](#calibre_link-137) | 仅在 Apache 2.0 及以后的版本中可用 |
`ProxyMaxForwards`指令指定了允许转发请求的最大代理数目。这个设置是为了避免无限代理循环或DoS攻击的发生。
### 示例
```
ProxyMaxForwards 15
```
## ProxyPass 指令
| [说明](#calibre_link-18) | 将一个远端服务器映射到本地服务器的URL空间中 |
| --- | --- |
| [语法](#calibre_link-19) | `ProxyPass [path] !|url [key=value key=value ...]]` |
| [作用域](#calibre_link-20) | server config, virtual host, directory |
| [状态](#calibre_link-21) | 扩展(E) |
| [模块](#calibre_link-22) | mod_proxy |
该指令允许你将一个远端服务器映射到本地服务器的URL空间中,此时本地服务器并不充当代理角色,而是充当远程服务器的一个镜像。path是一个本地虚拟路径名,url是一个指向远程服务器的部分URL,并且不允许包含查询字符串。
当使用`ProxyPass`指令时,`ProxyRequests`指令通常应当被设为 **off** 。
假设本地服务器地址是:`http://example.com/` ,那么,
```
ProxyPass /mirror/foo/ http://backend.example.com/
```
将会导致对`http://example.com/mirror/foo/bar`的本地请求将会在内部转换为一个代理请求:`http://backend.example.com/bar` 。
"`!`"指令对于您不想对某个子目录进行反向代理时很有用。比如说:
```
ProxyPass /mirror/foo/i !
ProxyPass /mirror/foo http://backend.example.com
```
将会代理除`/mirror/foo/i`之外的所有对`backend.example.com`下`/mirror/foo`的请求。
### 注意
顺序很重要,您需要把拒绝指令放置在普通`ProxyPass`指令_之前_。
As of Apache 2.1, the ability to use pooled connections to a backend server is available. Using the `key=value` parameters it is possible to tune this connection pooling. The default for a `Hard Maximum` for the number of connections is the number of threads per process in the active MPM. In the Prefork MPM, this is always 1, while with the Worker MPM it is controlled by the `ThreadsPerChild`.
Setting `min` will determine how many connections will always be open to the backend server. Upto the Soft Maximum or `smax` number of connections will be created on demand. Any connections above `smax` are subject to a time to live or `ttl`. Apache will never create more than the Hard Maximum or `max` connections to the backend server.
```
ProxyPass /example http://backend.example.com smax=5 max=20 ttl=120 retry=300
```
| Parameter | Default | Description |
| --- | --- | --- |
| min | 0 | Minumum number of connections that will always be open to the backend server. |
| max | 1...n | Hard Maximum number of connections that will be allowed to the backend server. The default for a Hard Maximum for the number of connections is the number of threads per process in the active MPM. In the Prefork MPM, this is always 1, while with the Worker MPM it is controlled by the `ThreadsPerChild`. Apache will never create more than the Hard Maximum connections to the backend server. |
| smax | max | Upto the Soft Maximum number of connections will be created on demand. Any connections above `smax` are subject to a time to live or `ttl`. |
| ttl | - | Time To Live for the inactive connections above the `smax` connections in seconds. Apache will close all connections that has not been used inside that time period. |
| timeout | `Timeout` | Connection timeout in seconds. If not set the Apache will wait until the free connection is available. This directive is used for limiting the number of connections to the backend server together with `max` parameter. |
| acquire | - | If set this will be the maximum time to wait for a free connection in the connection pool. If there are no free connections in the pool the Apache will return `SERVER_BUSY` status to the client. |
| keepalive | Off | This parameter should be used when you have a firewall between your Apache and the backend server, who tend to drop inactive connections. This flag will tell the Operating System to send `KEEP_ALIVE` messages on inactive connections (interval depends on global OS settings, generally 120ms), and thus prevent the firewall to drop the connection. To enable keepalive set this property value to `On`. |
| retry | 60 | Connection pool worker retry timeout in seconds. If the connection pool worker to the backend server is in the error state, Apache will not forward any requests to that server until the timeout expires. This enables to shut down the backend server for maintenance, and bring it back online later. |
| loadfactor | 1 | Worker load factor. Used with BalancerMember. It is a number between 1 and 100 and defines the normalized weighted load applied to the worker. |
| route | - | Route of the worker when used inside load balancer. The route is a value appended to seesion id. |
| redirect | - | Redirection Route of the worker. This value is usually set dynamically to enable safe removal of the node from the cluster. If set all requests without session id will be redirected to the BalancerMember that has route parametar equal as this value. |
If the Proxy directive scheme starts with the `balancer://` then a virtual worker that does not really communicate with the backend server will be created. Instead it is responsible for the management of several "real" workers. In that case the special set of parameters can be add to this virtual worker.
| Parameter | Default | Description |
| --- | --- | --- |
| lbmethod | - | Balancer load-balance method. Select the load-balancing scheduler method to use. Either `byrequests`, to perform weighted request counting or `bytraffic`, to perform weighted traffic byte count balancing. Default is `byrequests`. |
| stickysession | - | Balancer sticky session name. The value is usually set to something like `JSESSIONID`或`PHPSESSIONID`, and it depends on the backend application server that support sessions. |
| nofailover | Off | If set to `On` the session will break if the worker is in error state or disabled. Set this value to On if backend servers do not support session replication. |
| timeout | 0 | Balancer timeout in seconds. If set this will be the maximum time to wait for a free worker. Default is not to wait. |
| maxattempts | 1 | Maximum number of failover attempts before giving up. |
```
ProxyPass /special-area http://special.example.com/ smax=5 max=10
ProxyPass / balancer://mycluster stickysession=jsessionid nofailover=On
<Proxy balancer://mycluster>
BalancerMember http://1.2.3.4:8009
BalancerMember http://1.2.3.5:8009 smax=10
# Less powerful server, don't send as many requests there
BalancerMember http://1.2.3.6:8009 smax=1 loadfactor=20
</Proxy>
```
When used inside a `<Location>` section, the first argument is omitted and the local directory is obtained from the `<Location>`.
If you require a more flexible reverse-proxy configuration, see the `RewriteRule` directive with the `[P]` flag.
## ProxyPassReverse 指令
| [说明](#calibre_link-18) | 调整由反向代理服务器发送的HTTP应答头中的URL |
| --- | --- |
| [语法](#calibre_link-19) | `ProxyPassReverse [path] url` |
| [作用域](#calibre_link-20) | server config, virtual host, directory |
| [状态](#calibre_link-21) | 扩展(E) |
| [模块](#calibre_link-22) | mod_proxy |
此指令使Apache调整HTTP重定向应答中`Location`, `Content-Location`, `URI`头里的URL。这样可以避免在Apache作为反向代理使用时,后端服务器的HTTP重定向造成的绕过反向代理的问题。
只有明确指定的应答头会被重写,其它应答头保持不变,并且HTML页面中的URL也不会被修改。如果被代理的内容包含绝对URL引用,那么将会绕过代理。有一个第三方模块可以检查并改写HTML中的URL引用,该模块就是Nick Kew编写的[mod_proxy_html](http://apache.webthing.com/mod_proxy_html/)。
path是本地虚拟路径的名称。url是远端服务器的部分URL。与`ProxyPass`指令中的使用方法相同。
例如,假定本地服务器拥有地址`http://example.com/` ,那么
```
ProxyPass /mirror/foo/ http://backend.example.com/
ProxyPassReverse /mirror/foo/ http://backend.example.com/
ProxyPassReverseCookieDomain backend.example.com public.example.com
ProxyPassReverseCookiePath / /mirror/foo/
```
不仅会把所有对`http://example.com/mirror/foo/bar`的请求直接转换为对`http://backend.example.com/bar`的代理请求(由`ProxyPass`提供的功能),它还会重定向服务器`backend.example.com`的发送:当`http://backend.example.com/bar`被它重定向到`http://backend.example.com/quux`时,Apache会在转交HTTP重定向应答到客户端之前调整它为`http://example.com/mirror/foo/quux` 。注意:被用于构建URL的主机名与`UseCanonicalName`指令的设置有关。
注意,此`ProxyPassReverse`指令亦可与`mod_rewrite`的代理穿透特性(`RewriteRule ... [P]`)联用。因为它不依赖于相应的`ProxyPass`指令。
当在`<Location>`配置段中使用时,第一个参数会被忽略而采用由`<Location>`指令指定的本地目录。
## ProxyPassReverseCookieDomain 指令
| [说明](#calibre_link-18) | Adjusts the Domain string in Set-Cookie headers from a reverse- proxied server |
| --- | --- |
| [语法](#calibre_link-19) | `ProxyPassReverseCookieDomain internal-domain public-domain` |
| [作用域](#calibre_link-20) | server config, virtual host, directory |
| [状态](#calibre_link-21) | 扩展(E) |
| [模块](#calibre_link-22) | mod_proxy |
Usage is basically similar to `ProxyPassReverse`, but instead of rewriting headers that are a URL, this rewrites the `domain` string in `Set-Cookie` headers.
## ProxyPassReverseCookiePath 指令
| [说明](#calibre_link-18) | Adjusts the Path string in Set-Cookie headers from a reverse- proxied server |
| --- | --- |
| [语法](#calibre_link-19) | `ProxyPassReverseCookiePath internal-path public-path` |
| [作用域](#calibre_link-20) | server config, virtual host, directory |
| [状态](#calibre_link-21) | 扩展(E) |
| [模块](#calibre_link-22) | mod_proxy |
Usage is basically similar to `ProxyPassReverse`, but instead of rewriting headers that are a URL, this rewrites the `path` string in `Set-Cookie` headers.
## ProxyPreserveHost 指令
| [说明](#calibre_link-18) | 使用进入的HTTP请求头来发送代理请求 |
| --- | --- |
| [语法](#calibre_link-19) | `ProxyPreserveHost On|Off` |
| [默认值](#calibre_link-24) | `ProxyPreserveHost Off` |
| [作用域](#calibre_link-20) | server config, virtual host |
| [状态](#calibre_link-21) | 扩展(E) |
| [模块](#calibre_link-22) | mod_proxy |
| [兼容性](#calibre_link-137) | 仅在 Apache 2.0.31 及以后的版本中可用 |
当启用时,此选项将把传入请求的"Host:"行传递给被代理的主机,而不是传递在`ProxyPass`中指定的主机名。
此选项一般为`Off`状态。It is mostly useful in special configurations like proxied mass name-based virtual hosting, where the original Host header needs to be evaluated by the backend server.
## ProxyReceiveBufferSize 指令
| [说明](#calibre_link-18) | 代理HTTP和FTP连接的接收缓冲区大小(字节) |
| --- | --- |
| [语法](#calibre_link-19) | `ProxyReceiveBufferSize bytes` |
| [默认值](#calibre_link-24) | `ProxyReceiveBufferSize 0` |
| [作用域](#calibre_link-20) | server config, virtual host |
| [状态](#calibre_link-21) | 扩展(E) |
| [模块](#calibre_link-22) | mod_proxy |
`ProxyReceiveBufferSize`指令为增加的吞吐量指定了代理HTTP和FTP连接的(TCP/IP)网络接收缓冲区。这个值必须大于`512` ,或设置为"`0`"表示使用系统默认的缓冲大小。
### 示例
```
ProxyReceiveBufferSize 2048
```
## ProxyRemote 指令
| [说明](#calibre_link-18) | 用于处理某些特定请求的远端代理 |
| --- | --- |
| [语法](#calibre_link-19) | `ProxyRemote match remote-server` |
| [作用域](#calibre_link-20) | server config, virtual host |
| [状态](#calibre_link-21) | 扩展(E) |
| [模块](#calibre_link-22) | mod_proxy |
此指令定义了此代理的远端代理。match可以是远端服务器支持的URL形式的名称、或是远端服务器使用的部分URL、或是代表服务器可以接受所有请求的"`*`"。remote-server是远端服务器的部分URL。语法为:
```
<dfn class="calibre40">remote-server</dfn> = <var class="calibre40">scheme</var>://<var class="calibre40">hostname</var>[:<var class="calibre40">port</var>]
```
scheme是与远端服务器交换信息时使用的协议;本模块暂时只支持`http`协议。
### 示例
```
ProxyRemote http://goodguys.com/ http://mirrorguys.com:8000
ProxyRemote * http://cleversite.com
ProxyRemote ftp http://ftpproxy.mydomain.com:8080
```
在最后一个例子中,代理会将封装到另外一个HTTP代理请求中的FTP请求转交到另外一个能处理它们的代理去。
此选项也支持反向代理配置:一个后端web服务器可以被嵌入到一个虚拟主机的URL空间中,哪怕它是由另一个代理转交过来的。
## ProxyRemoteMatch 指令
| [说明](#calibre_link-18) | 处理匹配正则表达式的请求的远端代理 |
| --- | --- |
| [语法](#calibre_link-19) | `ProxyRemoteMatch regex remote-server` |
| [作用域](#calibre_link-20) | server config, virtual host |
| [状态](#calibre_link-21) | 扩展(E) |
| [模块](#calibre_link-22) | mod_proxy |
`ProxyRemoteMatch`与`ProxyRemote`令基本相同。除了第一个参数是由一个请求的URL变成了匹配的[正则表达式](#calibre_link-67 "see glossary")。
## ProxyRequests 指令
| [说明](#calibre_link-18) | 启用正向(标准)代理请求 |
| --- | --- |
| [语法](#calibre_link-19) | `ProxyRequests On|Off` |
| [默认值](#calibre_link-24) | `ProxyRequests Off` |
| [作用域](#calibre_link-20) | server config, virtual host |
| [状态](#calibre_link-21) | 扩展(E) |
| [模块](#calibre_link-22) | mod_proxy |
此指令将允许或禁止Apache作为正向代理服务器的功能(设置为`Off`并不会禁用`ProxyPass`指令)。
在一个典型的反向代理配置中,此可选项一般设置为`Off`。
为了能够代理HTTP或FTP站点,`mod_proxy_http`或`mod_proxy_ftp`必须同时存在于服务器中。
### 警告
在您没有对服务器[采取安全措施](#calibre_link-290)之前,请不要用`ProxyRequests`启用您的代理。一个开放的代理服务器不仅对您的网络有威胁,对整个因特网来说也同样如此。
## ProxyTimeout 指令
| [说明](#calibre_link-18) | 代理请求的网络超时 |
| --- | --- |
| [语法](#calibre_link-19) | `ProxyTimeout seconds` |
| [默认值](#calibre_link-24) | `ProxyTimeout 300` |
| [作用域](#calibre_link-20) | server config, virtual host |
| [状态](#calibre_link-21) | 扩展(E) |
| [模块](#calibre_link-22) | mod_proxy |
| [兼容性](#calibre_link-137) | 仅在 Apache 2.0.31 及以后的版本中可用 |
此指令允许用户对代理请求指定一个超时值。当你有一个很慢/错误多多的应用服务器经常挂起,而您宁愿返回一个超时的失败信息也不愿意继续等待不知道多久的时候,这个功能是很有用的。
## ProxyVia 指令
| [说明](#calibre_link-18) | 控制代理对`Via`应答头的使用 |
| --- | --- |
| [语法](#calibre_link-19) | `ProxyVia On|Off|Full|Block` |
| [默认值](#calibre_link-24) | `ProxyVia Off` |
| [作用域](#calibre_link-20) | server config, virtual host |
| [状态](#calibre_link-21) | 扩展(E) |
| [模块](#calibre_link-22) | mod_proxy |
此指令控制代理对"`Via:`"头的使用。它的目的是控制位于代理服务器链中的代理请求的流向。参阅[RFC 2616](http://www.ietf.org/rfc/rfc2616.txt)(HTTP/1.1)14.45小节以获得关于"`Via:`"头的解释。
* 如果设置为默认值`Off` ,将不会采取特殊的处理。如果一个请求或应答包含"`Via:`"头,将不进行任何修改而直接通过。
* 如果设置为`On`每个请求和应答都会对应当前主机得到一个"`Via:`"头。
* 如果设置为`Full` ,每个产生的"`Via:`"头中都会额外加入Apache服务器的版本,以"`Via:`"注释域出现。
* 如果设置为`Block` ,每个代理请求中的所有"`Via:`"头行都将被删除。且不会产生新的"`Via:`"头。
- Apache HTTP Server Version 2.2 文档 [最后更新:2006年3月21日]
- 版本说明
- 从1.3升级到2.0
- 从2.0升级到2.2
- Apache 2.2 新特性概述
- Apache 2.0 新特性概述
- The Apache License, Version 2.0
- 参考手册
- 编译与安装
- 启动Apache
- 停止和重启
- 配置文件
- 配置段(容器)
- 缓冲指南
- 服务器全局配置
- 日志文件
- 从URL到文件系统的映射
- 安全方面的提示
- 动态共享对象(DSO)支持
- 内容协商
- 自定义错误响应
- 地址和端口的绑定(Binding)
- 多路处理模块
- Apache的环境变量
- Apache处理器的使用
- 过滤器(Filter)
- suEXEC支持
- 性能方面的提示
- URL重写指南
- Apache虚拟主机文档
- 基于主机名的虚拟主机
- 基于IP地址的虚拟主机
- 大批量虚拟主机的动态配置
- 虚拟主机示例
- 深入研究虚拟主机的匹配
- 文件描述符限制
- 关于DNS和Apache
- 常见问题
- 经常问到的问题
- Apache的SSL/TLS加密
- SSL/TLS高强度加密:绪论
- SSL/TLS高强度加密:兼容性
- SSL/TLS高强度加密:如何...?
- SSL/TLS Strong Encryption: FAQ
- 如何.../指南
- 认证、授权、访问控制
- CGI动态页面
- 服务器端包含入门
- .htaccess文件
- 用户网站目录
- 针对特定平台的说明
- 在Microsoft Windows中使用Apache
- 在Microsoft Windows上编译Apache
- Using Apache With Novell NetWare
- Running a High-Performance Web Server on HPUX
- The Apache EBCDIC Port
- 服务器和支持程序
- httpd - Apache超文本传输协议服务器
- ab - Apache HTTP服务器性能测试工具
- apachectl - Apache HTTP服务器控制接口
- apxs - Apache 扩展工具
- configure - 配置源代码树
- dbmmanage - 管理DBM格式的用户认证文件
- htcacheclean - 清理磁盘缓冲区
- htdbm - 操作DBM密码数据库
- htdigest - 管理用于摘要认证的用户文件
- httxt2dbm - 生成RewriteMap指令使用的dbm文件
- htpasswd - 管理用于基本认证的用户文件
- logresolve - 解析Apache日志中的IP地址为主机名
- rotatelogs - 滚动Apache日志的管道日志程序
- suexec - 在执行外部程序之前切换用户
- 其他程序
- 杂项文档
- 与Apache相关的标准
- Apache模块
- 描述模块的术语
- 描述指令的术语
- Apache核心(Core)特性
- Apache MPM 公共指令
- Apache MPM beos
- Apache MPM event
- Apache MPM netware
- Apache MPM os2
- Apache MPM prefork
- Apache MPM winnt
- Apache MPM worker
- Apache模块 mod_actions
- Apache模块 mod_alias
- Apache模块 mod_asis
- Apache模块 mod_auth_basic
- Apache模块 mod_auth_digest
- Apache模块 mod_authn_alias
- Apache模块 mod_authn_anon
- Apache模块 mod_authn_dbd
- Apache模块 mod_authn_dbm
- Apache模块 mod_authn_default
- Apache模块 mod_authn_file
- Apache模块 mod_authnz_ldap
- Apache模块 mod_authz_dbm
- Apache模块 mod_authz_default
- Apache模块 mod_authz_groupfile
- Apache模块 mod_authz_host
- Apache模块 mod_authz_owner
- Apache模块 mod_authz_user
- Apache模块 mod_autoindex
- Apache模块 mod_cache
- Apache模块 mod_cern_meta
- Apache模块 mod_cgi
- Apache模块 mod_cgid
- Apache模块 mod_charset_lite
- Apache模块 mod_dav
- Apache模块 mod_dav_fs
- Apache模块 mod_dav_lock
- Apache模块 mod_dbd
- Apache模块 mod_deflate
- Apache模块 mod_dir
- Apache模块 mod_disk_cache
- Apache模块 mod_dumpio
- Apache模块 mod_echo
- Apache模块 mod_env
- Apache模块 mod_example
- Apache模块 mod_expires
- Apache模块 mod_ext_filter
- Apache模块 mod_file_cache
- Apache模块 mod_filter
- Apache模块 mod_headers
- Apache模块 mod_ident
- Apache模块 mod_imagemap
- Apache模块 mod_include
- Apache模块 mod_info
- Apache模块 mod_isapi
- Apache模块 mod_ldap
- Apache模块 mod_log_config
- Apache模块 mod_log_forensic
- Apache模块 mod_logio
- Apache模块 mod_mem_cache
- Apache模块 mod_mime
- Apache模块 mod_mime_magic
- Apache模块 mod_negotiation
- Apache模块 mod_nw_ssl
- Apache模块 mod_proxy
- Apache模块 mod_proxy_ajp
- Apache模块 mod_proxy_balancer
- Apache模块 mod_proxy_connect
- Apache模块 mod_proxy_ftp
- Apache模块 mod_proxy_http
- Apache模块 mod_rewrite
- Apache模块 mod_setenvif
- Apache模块 mod_so
- Apache模块 mod_speling
- Apache模块 mod_ssl
- Apache模块 mod_status
- Apache模块 mod_suexec
- Apache模块 mod_unique_id
- Apache模块 mod_userdir
- Apache模块 mod_usertrack
- Apache模块 mod_version
- Apache模块 mod_vhost_alias
- Developer Documentation for Apache 2.0
- Apache 1.3 API notes
- Debugging Memory Allocation in APR
- Documenting Apache 2.0
- Apache 2.0 Hook Functions
- Converting Modules from Apache 1.3 to Apache 2.0
- Request Processing in Apache 2.0
- How filters work in Apache 2.0
- Apache 2.0 Thread Safety Issues
- 词汇和索引
- 词汇表
- 指令索引
- 指令速查
- 模块索引
- 站点导航