# 通过nginx注册s-HR云服务 **背景描述：** s-HR服务器部署在内网，不能直接被外网访问，但是需要注册s-HR云服务。 **解决方案：** 通过nginx代理s-HR向外和外部对s-HR的请求。 ## 一、nginx介绍 #### 1. 关于nginx > Nginx是一个高性能的HTTP和反向代理web服务器，除了可做反向代理之外还可以做正向代理。 #### 2. 关于代理 >说到代理，首先我们要明确一个概念，所谓代理就是一个代表、一个渠道；此时就涉及到两个角色，一个是被代理角色，一个是目标角色。被代理角色通过这个代理访问目标角色完成一些任务的过程称为代理操作过程；如同生活中的专卖店，客人到专卖店买了一双鞋，这个专卖店就是代理，被代理角色就是厂家，目标角色就是用户。 #### 3. 关于正向代理 > 在如今的网络环境下，我们如果由于技术需要要去访问国外的某些网站，此时你会发现位于国外的某网站我们通过浏览器是没有办法访问的。此时大家可能都会用一个操作翻墙进行访问，翻墙的方式主要是找到一个可以访问国外网站的代理服务器，我们将请求发送给代理服务器，代理服务器去访问国外的网站，然后将访问到的数据传递给我们！ > 上述这样的代理模式称为正向代理，正向代理最大的特点是客户端非常明确要访问的服务器地址；服务器只清楚请求来自哪个代理服务器，而不清楚来自哪个具体的客户端；正向代理模式屏蔽或者隐藏了真实客户端信息。 #### 4. 关于反向代理 >明白了什么是正向代理，我们继续看关于反向代理的处理方式，举例如淘宝网站，每天同时连接到网站的访问人数已经爆表，单个服务器远远不能满足人民日益增长的购买欲望了  >通过上述的图解大家就可以看清楚了，多个客户端给服务器发送的请求，Nginx 服务器接收到之后，按照一定的规则分发给了后端的业务处理服务器进行处理了。 >此时请求的来源也就是客户端是明确的，但是请求具体由哪台服务器处理的并不明确了，Nginx 扮演的就是一个反向代理角色。 >客户端是无感知代理的存在的，反向代理对外都是透明的，访问者并不知道自己访问的是一个代理。因为客户端不需要任何配置就可以访问。 >反向代理，"它代理的是服务端"，主要用于服务器集群分布式部署的情况下，反向代理隐藏了服务器的信息 > 反向代理的作用： 保证内网的安全，通常将反向代理作为公网访问地址，Web 服务器是内网。负载均衡，通过反向代理服务器来优化网站的负载。 ## 二、nginx安装 >① 准备一台普通服务器（不需要小型机级别的。有实施问怎么准备？！新采购或者让客户那边管IT硬件的部门挪一台出来！） >② **关键步骤：** 将该服务器架设在内外网双通的环境中，也就是说该服务器必须能被外网访问到，并且能够访问内网的s-HR服务器（这个步骤需要协调客户的IT部门相关的人一起处理，客户的IT人员应该都已经有服务器IP的规划，一般不让外人碰这事情） >③ 装上linux系统（centos或者rhel的都可以。尽管nginx有window版本，但是nginx在linux下表现会好会更稳定，所以这里直接推荐上linux） >④ 给该服务器分配一个公网IP（或者外网域名），该服务器防火墙配置上开放一个端口（如80） >⑤ 下载安装nginx软件（这个nginx官网上说的很清楚：http://nginx.org/en/download.html） ## 三、配置nginx 打开nginx安装目录，找到/conf/nginx.conf配置文件，默认配置文件如下 ```shell #user nobody; worker_processes 1; #error_log logs/error.log; #error_log logs/error.log notice; #error_log logs/error.log info; #pid logs/nginx.pid; events { worker_connections 1024; } http { include mime.types; default_type application/octet-stream; #log_format main '$remote_addr - $remote_user [$time_local] "$request" ' # '$status $body_bytes_sent "$http_referer" ' # '"$http_user_agent" "$http_x_forwarded_for"'; #access_log logs/access.log main; sendfile on; #tcp_nopush on; #keepalive_timeout 0; keepalive_timeout 65; #gzip on; server { listen 80; server_name localhost; #charset koi8-r; #access_log logs/host.access.log main; location / { root html; index index.html index.htm; } #error_page 404 /404.html; # redirect server error pages to the static page /50x.html # error_page 500 502 503 504 /50x.html; location = /50x.html { root html; } # proxy the PHP scripts to Apache listening on 127.0.0.1:80 # #location ~ \.php$ { # proxy_pass http://127.0.0.1; #} # pass the PHP scripts to FastCGI server listening on 127.0.0.1:9000 # #location ~ \.php$ { # root html; # fastcgi_pass 127.0.0.1:9000; # fastcgi_index index.php; # fastcgi_param SCRIPT_FILENAME /scripts$fastcgi_script_name; # include fastcgi_params; #} # deny access to .htaccess files, if Apache's document root # concurs with nginx's one # #location ~ /\.ht { # deny all; #} } # another virtual host using mix of IP-, name-, and port-based configuration # #server { # listen 8000; # listen somename:8080; # server_name somename alias another.alias; # location / { # root html; # index index.html index.htm; # } #} # HTTPS server # #server { # listen 443 ssl; # server_name localhost; # ssl_certificate cert.pem; # ssl_certificate_key cert.key; # ssl_session_cache shared:SSL:1m; # ssl_session_timeout 5m; # ssl_ciphers HIGH:!aNULL:!MD5; # ssl_prefer_server_ciphers on; # location / { # root html; # index index.html index.htm; # } #} } ``` ### 1、nginx将外网发来的请求代理到s-HR服务器。 #### 1.1 配置nginx代理s-HR * 在默认配置文件的基础上做点修改 修改nginx的监听端口，可更改listen后面的数值，现在默认为80。 ```shell server { listen 80; ``` * 修改代理地址，这里假设s-HR服务器IP为192.168.1.100，s-HR集群端口为6888 ```shell location / { proxy_pass http://192.168.1.100:6888/; proxy_redirect off; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header Host $http_host; } ``` 假设nginx的公网IP为169.186.2.200，那么访问s-HR的地址为http://169.186.2.200:80/shr。这里的端口需要改成nginx监听的端口 ### 2、nginx将从s-HR服务器发出的请求代理到外网（如果s-HR服务器可以访问外网可以忽略此步骤） #### 2.1、nginx配置（如果s-HR服务器可以访问外网可以忽略此步骤） 配置nginx，将访问nginx的http请求代理转发到s-HR的云服务。 在默认配置文件的基础上做点修改 ```shell location / { proxy_pass http://shrcloud.kingdee.com; proxy_redirect off; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header Host $http_host; } location /static { proxy_pass http://shrstore.kingdee.com; proxy_redirect off; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header Host $http_host; } ``` > 如果nginx这台服务器不能对域名shrcloud.kingdee.com做解析的话，就只能将域名shrcloud.kingdee.com换成139.199.158.224，域名shrstore.kingdee.com换成139.199.221.47。 #### 2.2、s-HR配置（如果s-HR服务器可以访问外网可以忽略此步骤） >① 在s-HR服务器那配置 例如nginx机器IP是192.168.200.100 ```shell vi /etc/hosts 192.168.200.100 shrcloud.kingdee.com 192.168.200.100 wscloud.kingdee.com ``` >② 如果nginx监听的不是80端口，比如是9090端口，nginx服务器的IP是192.168.200.100，需要做以下更改 * 在s-HR的数据中心中修改表，T_cds_cloudserviceurlconfig，T_rec_cloudserviceurlconfig，T_ssc_sscserviceurlconfig，T_hr_cloudhubmsgServiceInfo，T_hr_tspserverinfo，找到以http://shrcloud.kingdee.com/，http://wscloud.kingdee.com/开头的url，修改成http://shrcloud.kingdee.com:9090/，参考如下SQL语句： ```shell update T_CDS_CLOUDSERVICEURLCONFIG set FSERVICEURL = replace(fserviceurl,'shrcloud.kingdee.com','shrcloud.kingdee.com:9090') ``` * 说明：update 表名 set 列名 = replace(列名,'原始值','修改值') > ③ 如果涉及到组织架构图展示的，还需要js文件。（**如果没有涉及到组织架构图的请忽略**） * kingdee/eas/server/deploy/easweb.ear/shr_web.war/addon/orgchart/web/webviews/biz/orgChartSetting/js/orgChartShowController.js，使用NotPad++打开 搜索shrstore.kingdee.com,找到后替换成192.168.200.100:9090，如下： http://shrstore.kingdee.com/static/gojs/go.js换成http://192.168.200.100:9090/static/gojs/go.js 保存并替换原始文件。

nginx监听的最好是80端口，换别的端口使用tsp的时候会有问题