WebSocket是HTML5下一種新的協(xié)議。它實(shí)現(xiàn)了瀏覽器與服務(wù)器全雙工通信，能更好的節(jié)省服務(wù)器資源和帶寬并達(dá)到實(shí)時(shí)通訊的目的。它與HTTP一樣通過(guò)已建立的TCP連接來(lái)傳輸數(shù)據(jù)，但是它和HTTP最大不同是：

1） WebSocket是一種雙向通信協(xié)議。在建立連接后，WebSocket服務(wù)器端和客戶(hù)端都能主動(dòng)向?qū)Ψ桨l(fā)送或接收數(shù)據(jù)，就像Socket一樣；
2）WebSocket需要像TCP一樣，先建立連接，連接成功后才能相互通信。

WebSocket協(xié)議相比較于HTTP協(xié)議成功握手后可以多次進(jìn)行通訊，直到連接被關(guān)閉。但是WebSocket中的握手和HTTP中的握手兼容， 它使用HTTP中的Upgrade協(xié)議頭將連接從HTTP升級(jí)到WebSocket。這使得WebSocket程序可以更容易的使用現(xiàn)已存在的基礎(chǔ)設(shè)施。大部分現(xiàn)在的瀏覽器都支持WebSocket。

在實(shí)際的生產(chǎn)環(huán)境中，要求多個(gè)WebSocket服務(wù)器必須具有高性能和高可用，那么WebSocket協(xié)議就需要一個(gè)負(fù)載均衡層，Nginx從「1.3」版本開(kāi)始支持WebSocket，其可以作為一個(gè)反向代理和為WebSocket程序做負(fù)載均衡。

WebSocket協(xié)議與HTTP協(xié)議不同，但WebSocket握手與HTTP兼容，使用HTTP升級(jí)工具將連接從HTTP升級(jí)到WebSocket。這允許WebSocket應(yīng)用程序更容易地適應(yīng)現(xiàn)有的基礎(chǔ)架構(gòu)。例如，WebSocket應(yīng)用程序可以使用標(biāo)準(zhǔn)HTTP端口80和443，從而允許使用現(xiàn)有的防火墻規(guī)則。

WebSocket應(yīng)用程序可以在客戶(hù)端和服務(wù)器之間保持長(zhǎng)時(shí)間運(yùn)行的連接，從而有助于開(kāi)發(fā)實(shí)時(shí)應(yīng)用程序。用于將連接從HTTP升級(jí)到WebSocket的HTTP升級(jí)機(jī)制使用Upgrade和Connection頭。反向代理服務(wù)器在支持WebSocket時(shí)面臨一些挑戰(zhàn)。一個(gè)是WebSocket是一個(gè)逐跳協(xié)議，因此當(dāng)代理服務(wù)器攔截客戶(hù)端的升級(jí)請(qǐng)求時(shí)，需要向后端服務(wù)器發(fā)送自己的升級(jí)請(qǐng)求，包括相應(yīng)的頭文件。此外，由于WebSocket連接長(zhǎng)期存在，與HTTP使用的典型短期連接相反，反向代理需要允許這些連接保持打開(kāi)狀態(tài)，而不是關(guān)閉它們，因?yàn)樗鼈兯坪跆幱诳臻e狀態(tài)。

允許在客戶(hù)機(jī)和后端服務(wù)器之間建立隧道，Nginx支持WebSocket。對(duì)于NGINX將升級(jí)請(qǐng)求從客戶(hù)端發(fā)送到后臺(tái)服務(wù)器，必須明確設(shè)置Upgrade和Connection標(biāo)題。

Nginx開(kāi)啟WebSocket代理的配置方法

1）編輯nginx.conf，在http區(qū)域內(nèi)一定要添加下面配置：

map $http_upgrade $connection_upgrade {
    default upgrade;
    '' close;
}

解釋一下map指令的作用：
該作用主要是根據(jù)客戶(hù)端請(qǐng)求中http_upgrade的值，來(lái)構(gòu)造改變connection_upgrade的值，即根據(jù)變量http_upgrade的值創(chuàng)建新的變量connection_upgrade， 創(chuàng)建的規(guī)則就是{}里面的東西。其中的規(guī)則沒(méi)有做匹配，因此使用默認(rèn)的，即 http_upgrade為空字符串的話(huà)，那么值就是 close。

2）編輯vhosts下虛擬主機(jī)的配置文件，在location匹配配置中添加如下內(nèi)容：

proxy_http_version 1.1;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection "$connection_upgrade";
# proxy_set_header Connection "upgrade"; 寫(xiě)死為 upgrade 也可以

3) 一次完整的示例如下

upstream sre_backend {
        hash $remote_addr consistent;
        server sre1.ayunw.cn:8080;
        server sre2.ayunw.cn:8080;
        server sre3.ayunw.cn:8080;
}

server {
        listen       443 ssl;
        server_name  sre.ayunw.cn;
        
        access_log  /usr/local/nginx/logs/sre.ayunw.cn.access.log  main;
        error_log   /usr/local/nginx/logs/sre.ayunw.cn..error.log  error;

        ssl_certificate                 /data/certs/nginx/sre.ayunw.cn.crt;
        ssl_certificate_key             /data/certs/nginx/sre.ayunw.cn.key;
        ssl_session_timeout             5m;
        ssl_protocols                   SSLv3 TLSv1 TLSv1.1 TLSv1.2;
        ssl_ciphers                     HIGH:!aNULL:!MD5;
        ssl_prefer_server_ciphers       on;

        location / {
                proxy_pass              http://sre_backend;
                proxy_ssl_server_name   on;
                include                 proxy.conf;
                proxy_http_version      1.1;
                proxy_set_header        Upgrade         $http_upgrade;
                proxy_set_header        Connection      "$connection_upgrade";
                }

        error_page   500 502 503 504  /50x.html;
        location = /50x.html {
        root   html;
        }
}

以上就是通過(guò)nginx代理WebSocket的單向TLS認(rèn)證方式。

「溫馨提醒:」 默認(rèn)情況下，如果代理服務(wù)器在 60 秒內(nèi)沒(méi)有傳輸任何數(shù)據(jù)，連接將被關(guān)閉。可以使用proxy_read_timeout指令增加此超時(shí) 。

#生產(chǎn)環(huán)境下應(yīng)用例子
http {
map $http_upgrade $connection_upgrade {
        default upgrade;
        ''  close;
                                          }
       }
----------------------------------------------------------------------------------
 server {
        listen       80;
        server_name  localhost;
        charset utf-8; 
        root  /data/xxxx/dist;
        proxy_set_header  Host $host;
        proxy_set_header  X-real-ip $remote_addr;
        proxy_set_header  X-Forwarded-For $proxy_add_x_forwarded_for;

location /ws {
             proxy_pass http://ws_test;
             proxy_set_header Host $host:$server_port;
             proxy_http_version 1.1;
             proxy_set_header Upgrade $http_upgrade;
             proxy_set_header Connection "upgrade";
                      }
              }

WebSocket與Http相同點(diǎn):

• 都是一樣基于TCP的，都是可靠性傳輸協(xié)議。
• 都是應(yīng)用層協(xié)議。

WebSocket與Http不同點(diǎn)

• WebSocket是雙向通信協(xié)議，模擬Socket協(xié)議，可以雙向發(fā)送或接受信息。HTTP是單向的。
• WebSocket是需要瀏覽器和服務(wù)器握手進(jìn)行建立連接的。而http是瀏覽器發(fā)起向服務(wù)器的連接，服務(wù)器預(yù)先并不知道這個(gè)連接。

WebSocket與Http聯(lián)系

• WebSocket在建立握手時(shí)，數(shù)據(jù)是通過(guò)HTTP傳輸?shù)摹５墙⒅?，在真正傳輸時(shí)候是不需要HTTP協(xié)議的。

在WebSocket中，只需要服務(wù)器和瀏覽器通過(guò)HTTP協(xié)議進(jìn)行一個(gè)握手的動(dòng)作，然后單獨(dú)建立一條TCP的通信通道進(jìn)行數(shù)據(jù)的傳送。

WebSocket連接的過(guò)程是：

• 1）客戶(hù)端發(fā)起http請(qǐng)求，經(jīng)過(guò)3次握手后，建立起TCP連接；http請(qǐng)求里存放WebSocket支持的版本號(hào)等信息，如：Upgrade、Connection、WebSocket-Version等；
• 2）服務(wù)器收到客戶(hù)端的握手請(qǐng)求后，同樣采用HTTP協(xié)議回饋數(shù)據(jù)；
• 3）客戶(hù)端收到連接成功的消息后，開(kāi)始借助于TCP傳輸信道進(jìn)行全雙工通信。

Nginx代理webSocket經(jīng)常中斷的解決方法（即如何保持長(zhǎng)連接）

需要在nginx上配置幾個(gè)超時(shí)的設(shè)置。如下：

http {
    server {
        location / {
            root   html;
            index  index.html index.htm;
            proxy_pass http://sre_backend;
            proxy_http_version 1.1;
            proxy_connect_timeout 5s;
            proxy_read_timeout 60s;
            proxy_send_timeout 30s;
            proxy_set_header Upgrade $http_upgrade; 
            proxy_set_header Connection "$connection_upgrade";  
        }
    }
}

生產(chǎn)例子

proxy_connect_timeout 600;
proxy_send_timeout 600;
proxy_read_timeout 600;

解釋上面超時(shí)配置的

• proxy_read_timeout參數(shù)
  默認(rèn)值60秒,該指令設(shè)置與代理服務(wù)器的讀超時(shí)時(shí)間。它決定了nginx會(huì)等待多長(zhǎng)時(shí)間來(lái)獲得請(qǐng)求的響應(yīng)。這個(gè)時(shí)間不是獲得整個(gè)response的時(shí)間，而是兩次reading操作的時(shí)間。即是服務(wù)器對(duì)你等待最大的時(shí)間，也就是說(shuō)當(dāng)你使用nginx轉(zhuǎn)發(fā)webSocket的時(shí)候，如果60秒內(nèi)沒(méi)有通訊，依然是會(huì)斷開(kāi)的，所以，你可以按照你的需求來(lái)設(shè)定。比如說(shuō)，我設(shè)置了5分鐘，那么如果我5分鐘內(nèi)有通訊，或者5分鐘內(nèi)有做心跳的話(huà)，是可以保持連接不中斷的。所以這個(gè)時(shí)間是看你的業(yè)務(wù)需求來(lái)調(diào)整時(shí)間長(zhǎng)短的。

• proxy_send_timeout參數(shù)
  默認(rèn)值 60s,設(shè)置了發(fā)送請(qǐng)求給upstream服務(wù)器的超時(shí)時(shí)間。超時(shí)設(shè)置不是為了整個(gè)發(fā)送期間，而是在兩次write操作期間。如果超時(shí)后，upstream沒(méi)有收到新的數(shù)據(jù)，nginx會(huì)關(guān)閉連接。

WebSocket與Socket的關(guān)系：

• Socket其實(shí)并不是一個(gè)協(xié)議，而是為了方便使用TCP或UDP而抽象出來(lái)的一層，是位于應(yīng)用層和傳輸控制層之間的一組接口。當(dāng)兩臺(tái)主機(jī)通信時(shí)，必須通過(guò)Socket連接，Socket則利用TCP/IP協(xié)議建立TCP連接。TCP連接則更依靠于底層的IP協(xié)議，IP協(xié)議的連接則依賴(lài)于鏈路層等更低層次。

• WebSocket就像HTTP一樣，則是一個(gè)典型的應(yīng)用層協(xié)議。

參考：https://mp.weixin.qq.com/s/27IuQAe8UZGXIdNApE2Ljg