NGINX S3网关

概述

本项目提供了一个基于NGINX的配置，使其能够作为AWS S3或其他S3兼容服务的认证和缓存网关。这允许代理私有S3桶，无需用户进行认证。在代理层中，可以配置额外功能，例如：

• 列出S3桶内容
• 使用替代S3的认证系统提供认证网关
• 缓存频繁访问的S3对象，以降低延迟并防止S3故障影响
• 对于无法通过S3 API认证的内部/微服务（如缺乏可用库），网关提供无需认证即可访问S3对象的途径
• 从网关向终端用户压缩对象（gzip、brotli）
• 保护S3桶免受任意公共访问和遍历
• 对S3对象进行速率限制
• 使用WAF保护S3桶
• 在单一RESTful目录结构中，同时从S3桶提供静态资源和动态应用端点

所有这些功能都可以在标准NGINX配置中启用，因为本项目本质上是带有额外S3代理配置的NGINX。如果预定义配置足够，可直接使用；也可作为更自定义配置的基础示例。若预定义配置不满足需求，建议借鉴本项目的模式构建自己的配置。

使用方式

本项目可作为独立容器运行，或作为Systemd服务运行。两种模式使用相同的NGINX配置，功能上完全一致。但作为Systemd服务运行时，可配置其他服务（如certbot以支持Let's Encrypt）。

快速开始

有关构建和运行网关的详细信息，请参考快速开始指南。

配置

以容器或Systemd服务运行时，网关通过以下环境变量进行配置：

• ALLOW_DIRECTORY_LIST - 启用目录列表 - 可选值为true或false
• AWS_SIGS_VERSION - AWS签名API版本 - 可选值为2或4
• DNS_RESOLVERS - （可选）配置NGINX使用的DNS解析器（空格分隔）
• S3_ACCESS_KEY_ID - 访问密钥
• S3_BUCKET_NAME - 要代理请求的S3桶名称
• S3_DEBUG - 启用AWS签名调试输出的标志（默认：false）
• S3_REGION - API关联的区域
• S3_SECRET_KEY - 密钥访问密钥
• S3_SERVER_PORT - 连接的SSL/TLS端口
• S3_SERVER_PROTO - 连接S3服务器的协议 - http或https
• S3_STYLE - S3主机/路径方式 - virtual、path或default。virtual是使用DNS风格的桶+主机名:端口的方式（默认值）；path是将桶名作为URI路径第一个目录的方式，许多S3兼容服务使用此方式。更多信息参见此AWS博客文章
• PROXY_CACHE_VALID_OK - 设置响应码200和302的缓存时间
• PROXY_CACHE_VALID_NOTFOUND - 设置响应码404的缓存时间
• PROXY_CACHE_VALID_FORBIDDEN - 设置响应码403的缓存时间

如果使用AWS实例配置文件凭证，需从配置中省略S3_ACCESS_KEY_ID和S3_SECRET_KEY变量。

使用Docker运行时，可通过--env-file标志从文件设置上述环境变量。作为Systemd服务运行时，环境变量在/etc/nginx/environment文件中指定。文件格式示例可参考settings.example文件。

开发

有关扩展或测试网关的更多信息，请参考开发指南。

许可

所有包含的代码均根据Apache 2.0许可授权。