苍穹内网如何通过正向代理访问公网

1 背景说明

当苍穹系统部署在无法访问公网的内网环境时，部分功能可能无法使用，如许可无法同步和在线更新、无法接收短信激活用户和修改密码、访问不了公网发票云等。很多时候不会开通所有k8s节点访问公网，但可以提供一台能够访问的公网的虚拟机，部署配置代理服务，然后苍穹通过该代理服务访问到对应公网资源。

当使用云厂商（阿里云、华为云等）服务时，如K8S服务不能直接连通外网，可以通用NAT网关服务访问外网，本篇不作介绍。

2 解决方案

说明：以下两种方案的用户端均能够访问外网。因为有些场景是需要用户端直连外网，如苍穹与携程网对接时，部分请求返回的js中含有携程的url地址时，导致用户端会直接访问该携程url地址，此时如果用户端也无法上外网的话，就会请求失败。

2.1 方案一：nginx正向代理服务

自行部署的nginx正向代理服务，端口可控，需要监听什么端口和协议都可以进行配置。这样苍穹服务通过容器的本地域名解析，将需要访问的公网域名，统统解析为nginx代理服务的地址，由nginx代理转发到公网地址去。

自行部署nginx代理服务（该nginx服务器须能访问公网），nginx服务配置参考如下：

# 四层正向代理转发，用于https协议的代理

stream {
    resolver 114.114.114.114;
    server {
        listen 443;
        ssl_preread on;
        proxy_connect_timeout 5s;
        proxy_pass $ssl_preread_server_name:$server_port;
    }
}


# 七层正向代理转发，用于http协议的代理
http {
......

server {
    listen 80;
    resolver 114.114.114.114;
    location / {
        proxy_pass http://$host:$server_port$request_uri;
        proxy_set_header HOST $host:80;
        proxy_buffers 256 4k;
        proxy_max_temp_file_size 0k;
        proxy_connect_timeout 1800;
        proxy_send_timeout 1800;
        proxy_read_timeout 1800;