部署 在 ssl 下实现 faye 的 websocket 的推送
我的网站全站使用 https 访问的,现在使用 faye 做推送服务,参考了这篇文章http://afitnerd.com/2012/08/14/websockets-over-ssl-stunnel-haproxy-node-js/ 因为 nginx 目前的版本是不支持 websocket 的,如果使用 longpoll 方式推送,消息的延时是非常明显的,同时,faye 的后台日志里也有大量的错误。
http |nginx:80 |
client-->|stunnel:443|-->|haproxy:8080|----> |nginx:8443|-->|thin:3000|
| websocket
|--------------------^
1.首先,服务器开放 80 和 433 的端口,用户对 80 端口的访问将重新定向到 443 的 https 服务上。这个工作是由 nginx 完成的。
2.为了使用 haproxy 转发 websocket 的请求,必须对请求内容进行分析,由于 ssl 是加密的内容,必须现在 stunnel 中将 ssl 解开,转换成 http 协议。 3.haproxy 根据协议头中的信息,区分是 websocket 协议还是 http 协议,分别转向到 nginx:8443 还是 thin:3000 的 faye 服务上。因为我把 faye 和 rails 合并在一个 thin 上运行,所以,haproxy 和 nginx 都会请求这个 thin 的服务。
安装 stunnel 的方法如下:
$ wget -c http://www.stunnel.org/downloads/stunnel-4.53.tar.gz
$ tar -xvzf stunnel-4.53.tar.gz
$ cd stunnel-4.53
$ ./configure
$ make
$ sudo make install
$ useradd stunnel
$ mkdir -p /opt/stunnel/ssl
$ mkdir -p /opt/stunnel/pid
$ vi /opt/stunnel/stunnel.conf
$ cat ssl.crt server.key > /opt/stunnel/ssl/cert.key_pem
$ chmod 600 cert.key_pem
stunnel 配置文件如下
pid = /opt/stunnel/pid/stunnel.pid
#foreground = yes
setgid = stunnel
setuid = stunnel
cert = /opt/stunnel/ssl/cert.key_pem
[https]
accept = 443
connect = 8080
启动 stunnel
$ stunnel /opt/stunnel/stunnel.conf
安装 haproxy
$ wget -c http://haproxy.1wt.eu/download/1.4/src/haproxy-1.4.22.tar.gz
$ tar -xvzf haproxy-1.4.22.tar.gz
$ make TARGET=linux26
$ make TARGET=linux26 PREFIX=/opt/haproxy
$ useradd haproxy
$ sudo make install PREFIX=/opt/haproxy
vi /etc/haproxy.cfg
global
log 127.0.0.1 local0
log 127.0.0.1 local0 notice
maxconn 4096
daemon
nbproc 1
pidfile /var/run/haproxy.pid
user haproxy
group haproxy
defaults
mode http
frontend all *:8080
timeout client 86400000
default_backend nginx_backend
acl is_websocket hdr(Upgrade) -i WebSocket
acl is_websocket hdr_beg(Host) -i ws
acl is_faye url_sub comet
use_backend faye_backend if is_faye
use_backend ws_backend if is_websocket
backend ws_backend
option forwardfor
timeout queue 5000
timeout connect 86400000
timeout server 86400000
server server1 localhost:3000 maxconn 2000 check
backend faye_backend
option forwardfor
timeout connect 4000
timeout server 30000
server server1 localhost:3000 maxconn 1024 check
backend nginx_backend
option forwardfor
timeout connect 4000
timeout server 86400000
server server1 localhost:8443 maxconn 1024 check
启动 haproxy
sudo /opt/haproxy/sbin/haproxy -f /etc/haproxy.cfg
@edokeh 这个问题我的理解是当你的浏览器支持 websocket,而服务器又没有打开 websocket,那么肯定会造成客户端不停的重试与服务器的请求。后台的日志里的一些错误没有仔细分析,应该跟这个有关系。两者在时间上差别可以达到 5 到 6 秒的差距。
我没看过 faye 的 js client 代码,不过现在用 cometd 这个开源项目,也是基于 bayeux 协议 他的 client js 中有多种连接方式(ws, longpoll)的尝试,如果一种方式成功后,就停止另外的方式 而且我觉得这个跟延时应该没有关系啊
这个延时问题可能跟我原来后台的结构有关系,nginx 做反向代理使用了 ssl,而 faye 是独立运行,faye 的一些推送服务是从服务器内发起的,并不知道应该使用 https 进行推送,所以日志里会有错误信息:2012-09-04 17:27:14 [ERROR] [Faye::RackAdapter] Received request with no message: "curl -X GET http://www.abc.com/fayeip。显然应该是",这些信息发起的地址都是服务器的 https://www.abc.com/fayefaye,具体的问题没有分析,也许有人能给些线索。才能连通
资深/Lead 开发工程师 (ruby)
岗位职责: 1.在技术和运营上负责一个或多个产品组件、关键应用的架构改造、升级、研究与开发 2.关注互联网与广告热点技术的发展方向,敢于提出、评估并应用新技术,带领团队开发新的工具,帮助提高现有系统的效率、降低运营成本、提高可靠性 3.作为技术专家,解决系统开发中的疑难问题。在产品特性与架构演化之间做出良好的技术决策、平衡与取舍 4.能够与产品经理、管理团队进行良好地沟通合作,确保项目按时、保质完成 5.培养团队中有潜质的工程师
任职资格的具体描述: 1.本科及以上学历,计算机相关专业,(Lead 5,Senior 3)年以上工作经验,其中至少(Lead 3,Senior 2)年以上的大型核心业务系统开发经验 2.掌握多种主流程序设计语言,有大型 Web 应用开发和架构经验,熟悉主流 Web 应用框架,精通 Ruby 或 Java、PHP 3.熟悉 Linux 操作系统、网络和关系型数据库的应用开发与优化 4.对设计模式、软件工程、用户体验等有较深入的理解 5.喜欢团队协作,擅长沟通(Lead 还需具备一定的技术团队管理经验) 6.可以熟练地使用英文工作,适应外企环境
FreeWheel 北京(飞维美地信息技术(北京)有限公司)