Инфраструктура

Обратный прокси: как работает и зачем нужен

Опубликовано: 16.03.2026 · 5 мин чтения · 15 просмотров

Обратный прокси (reverse proxy) — это сервер, расположенный между клиентскими устройствами и бэкенд-серверами. Он принимает запросы клиентов, перенаправляет их на соответствующий бэкенд и возвращает ответ клиенту. В отличие от прямого прокси (который действует от имени клиентов), обратный прокси действует от имени серверов, обеспечивая единую точку входа для распределённой инфраструктуры.

Как работает обратный прокси

Когда клиент отправляет HTTP-запрос, он сначала попадает на обратный прокси. Прокси анализирует запрос и перенаправляет его на один или несколько бэкенд-серверов. Ответ возвращается через прокси обратно клиенту. Клиент никогда не взаимодействует с бэкендом напрямую.

Клиент → Обратный прокси → Бэкенд-сервер(ы)
Клиент ← Обратный прокси ← Бэкенд-сервер(ы)

Обратный прокси принимает решения о маршрутизации на основе множества факторов: URL-пути, проверку HTTP-заголовков, IP клиента, состояния здоровья серверов, текущей нагрузки, географического расположения и других параметров.

Ключевые преимущества обратного прокси

1. Балансировка нагрузки

Обратный прокси распределяет входящий трафик между несколькими бэкенд-серверами, предотвращая перегрузку любого отдельного сервера. Это позволяет горизонтально масштабироваться — вы добавляете серверы за прокси, а не модернизируете единственную машину.

2. SSL/TLS-терминация

Обратный прокси выполняет шифрование и дешифрование TLS, снимая эту ресурсоёмкую нагрузку с бэкенд-серверов. Это упрощает управление сертификатами — достаточно установить и обновлять сертификаты только на прокси.

# Пример SSL-терминации в Nginx
server {
    listen 443 ssl http2;
    server_name example.com;

    ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;

    location / {
        proxy_pass http://backend_pool;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;
    }
}

3. Кэширование

Обратный прокси может кэшировать ответы бэкенд-серверов. Когда кэшированный ответ доступен, прокси отдаёт его напрямую, значительно сокращая время ответа и нагрузку на серверы.

# Конфигурация кэширования Nginx
proxy_cache_path /var/cache/nginx levels=1:2 keys_zone=app_cache:10m max_size=1g inactive=60m;

server {
    location / {
        proxy_cache app_cache;
        proxy_cache_valid 200 10m;
        proxy_cache_valid 404 1m;
        proxy_cache_use_stale error timeout updating;
        add_header X-Cache-Status $upstream_cache_status;
        proxy_pass http://backend;
    }
}

4. Безопасность и анонимность

Обратный прокси скрывает характеристики бэкенд-серверов. Внешние клиенты видят только IP геолокацию и заголовки прокси. Это даёт несколько преимуществ безопасности:

IP-адреса бэкенд-серверов никогда не раскрываются в интернете
Прокси фильтрует вредоносные запросы до их попадания на бэкенд
Ограничение скорости и защита от DDoS применяются на уровне прокси
Правила Web Application Firewall (WAF) применяются централизованно

5. Сжатие

Обратный прокси сжимает ответы (gzip, Brotli) перед отправкой клиентам, уменьшая использование полосы пропускания и улучшая время загрузки страниц.

Обратный прокси vs прямой прокси

Аспект	Обратный прокси	Прямой прокси
Действует от имени	Серверов	Клиентов
Осведомлённость клиента	Клиент обычно не знает о его существовании	Клиент явно настраивает его
Основное применение	Балансировка, SSL, кэширование, безопасность	Приватность, контроль доступа, кэширование
Расположение	Перед веб-серверами	Перед клиентскими сетями
Кто контролирует	Администратор сервера	Администратор сети клиента

ПО	Лучше всего для	Ключевые особенности
Nginx	Высокопроизводительная раздача веб-контента	Событийная модель, мало памяти, широко распространён
HAProxy	Чистая балансировка нагрузки	TCP/HTTP, проверки здоровья, продвинутые алгоритмы
Apache (mod_proxy)	Существующие Apache-среды	Гибкий, зрелый, множество модулей
Traefik	Контейнерная оркестрация	Автообнаружение, Let's Encrypt, Docker/K8s
Caddy	Простота и автоматический SSL/TLS проверку	Автоматический TLS, простая конфигурация, HTTP/3
Envoy	Service mesh / микросервисы	gRPC, наблюдаемость, динамическая конфигурация

Nginx как обратный прокси: полный пример

Вот готовая к продакшену конфигурация Nginx с основными паттернами обратного прокси:

upstream backend_pool {
    least_conn;
    server 10.0.1.10:8080 weight=5;
    server 10.0.1.11:8080 weight=3;
    server 10.0.1.12:8080 backup;
    keepalive 32;
}

server {
    listen 80;
    server_name example.com;
    return 301 https://$host$request_uri;
}

server {
    listen 443 ssl http2;
    server_name example.com;

    ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;
    ssl_protocols TLSv1.2 TLSv1.3;

    # Заголовки безопасности
    add_header X-Frame-Options DENY;
    add_header X-Content-Type-Options nosniff;
    add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;

    # Gzip-сжатие
    gzip on;
    gzip_types text/plain text/css application/json application/javascript;
    gzip_min_length 1000;

    location / {
        proxy_pass http://backend_pool;
        proxy_http_version 1.1;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;
        proxy_set_header Connection "";

        proxy_connect_timeout 5s;
        proxy_send_timeout 30s;
        proxy_read_timeout 30s;

        proxy_next_upstream error timeout http_502 http_503;
        proxy_next_upstream_tries 2;
    }

    location /static/ {
        alias /var/www/static/;
        expires 30d;
        add_header Cache-Control "public, immutable";
    }
}

Типичные ошибки

Потеря реального IP клиента — всегда передавайте заголовки X-Real-IP и X-Forwarded-For; настройте бэкенд для их чтения
Поддержка WebSocket — требуются директивы proxy_set_header Upgrade и Connection "upgrade"
Большие тела запросов — увеличьте client_max_body_size для эндпоинтов загрузки файлов
Несоответствие таймаутов — таймауты прокси должны быть длиннее, чем время обработки бэкенда
Отсутствие проверок здоровья — используйте активные health checks вместо пассивного обнаружения сбоев

Мониторинг обратного прокси

Ключевые метрики для наблюдения:

Частота запросов — общее число запросов в секунду
Частота ошибок — процент ответов 4xx и 5xx
Время ответа бэкенда — как долго бэкенды обрабатывают запросы
Активные соединения — текущие клиентские и upstream-соединения
Коэффициент попадания в кэш — процент запросов, обслуженных из кэша
Время SSL-рукопожатия — задержка TLS-согласования

Итоги

Обратный прокси — критически важный компонент современной веб-инфраструктуры. Он обеспечивает балансировку нагрузки, SSL-терминацию, кэширование, безопасность и сжатие из единой точки управления. Независимо от масштаба приложения, развёртывание обратного прокси улучшает производительность, безопасность и операционную гибкость. Nginx, HAProxy и Traefik — самые популярные варианты, каждый оптимизированный для разных сценариев.

Проверьте ваш сайт прямо сейчас

Проверить →