Tato příručka vás provede instalací a konfigurací NGINX, aby bylo možné provozovat více fyzických serverů, virtuálních strojů nebo kombinaci obou za jedinou veřejnou IP adresou. Můžete se rozhodnout provozovat řadu webových serverů na virtuálních strojích a spravovat je lokálně, nebo můžete být požádáni o použití nástrojů pro vzdálený přístup, jako je SSH, ke každému z hostitelů. Například pokud místní přístup nebude dostupný mimo běžnou pracovní dobu. Tato příručka může usnadnit oba scénáře.
Zde zobrazené konfigurace by byly nejvhodnější pro domácí laboratoř nebo síť malých podniků, která má omezení na dostupné veřejné IP adresy. Ke spuštění konfigurace, jako je tato, by byl malý důvod, pokud vůbec nějaký, když máte více serverů nebo virtuálních strojů pronajatých od hostingové služby, stejně vám bude přidělena veřejná IP adresa pro každý server nebo hostitele.
Ukážu vám, jak nainstalovat NGINX a provést konfigurace, které serveru umožní fungovat jako reverzní proxy pro HTTP(S), SSH, FTP a MySQL/MariaDB. Předpokládám, že pro hostitelský server NGINX máte:místní přístup, čerstvou instalaci Ubuntu 18.04 a že jste se rozhodli nainstalovat server SSH během kroků instalace serveru Ubuntu.
Tato konfigurace mi funguje dobře, ale prosím pochopte, že nemohu zaručit, že bude fungovat pro vás. Samozřejmě, pokud najdete něco špatně, dejte mi vědět, aby to mohlo být opraveno. Než začnete, ujistěte se, že jste si přečetli celou příručku. Existuje jedna část (streamy), kde ukazuji dva způsoby, jak ji spravovat.
Začínáme
V této příručce budu používat následující názvy hostitelů a adresy IP.
rproxy.example.com 192.168.1.1 web1.example.com 192.168.1.2 db1.exmple.com 192.168.1.3
Pro standardní instalaci serveru Ubuntu 18.04, kterou jste vytvořili během instalace, byste měli mít na serveru uživatelský účet bez oprávnění root. Začněte přihlášením na server, kde nainstalujete NGINX s tímto uživatelem. Vzhledem k tomu, že se s největší pravděpodobností jedná o lokální server, budete se možná muset poprvé přihlásit přímo na server, abyste mohli nakonfigurovat server SSH. K tomu budete samozřejmě potřebovat klávesnici a monitor připojený k serveru.
Poznámka:Pokud jako já používáte virtualizační software, jako je VMWare, který obsahuje rozhraní prohlížeče, měli byste mít v tomto systému konzolu a tento krok můžete provést bez „přímého“ přístupu. Můžete se pokusit provést celou tuto konfiguraci v této konzole, ale zjistil jsem, že některé funkce, jako je kopírování a vkládání, nefungovaly v konzole založené na prohlížeči, ačkoli to může být specifické pro prohlížeč, takže by stálo za to vyzkoušet, zda můžete.
Příprava hostitelského serveru
V prostředí konzoly (v prohlížeči nebo přímo připojené)
sudo nano /etc/ssh/sshd_config
Odkomentujte řádky:Port změňte číslo portu na něco jako 23456, ListenAddress a změňte to na 0.0.0.0. Pro ty, kteří neznají nano, stiskněte CTRL + X, zadejte y a poté stiskněte enter. Tím se uloží a zavře soubor, pokud v souboru nebyly provedeny žádné změny, CTRL + x zavře soubor bez výzvy k uložení. Budete vráceni do příkazového řádku.
Nebudu kopat do zbytku nastavení v tomto souboru, protože toto je již značně zdlouhavý průvodce a existuje mnoho průvodců, které vám ukáží, která nastavení byste měli změnit pro řadu věcí, jako je použití klíčů SSH a povolení root SSH přihlásit se. Tyto návody můžete také najít přímo zde na webu HowtoForge.
Po dokončení změn budete muset restartovat ssh server, aby se změny projevily. Vaše aktuální přihlášení není tímto restartováním ovlivněno.
systemctl restart ssh
Ověřte, že se můžete přihlásit pomocí SSH z terminálu na jiném počítači ve vaší místní síti.
ssh [email protected] -p23456
Po úspěšném přihlášení pomocí SSH a odhlášení z konzole/serveru nechte tento terminál otevřený. Po zbytek této příručky jej již nemusíte používat.
Od tohoto okamžiku budete spouštět příkazy na úrovni root z vašeho terminálu. Následující příkaz eliminuje potřebu předřadit následující příkazy pomocí sudo.
sudo -s
Aktualizujte databázi balíčků Apt a upgradujte Ubuntu, abyste zajistili, že máte nainstalované nejnovější balíčky.
apt update && apt -y upgrade
Pokud během upgradu uvidíte něco, co oznamuje instalaci nových jader, měli byste po dokončení aktualizace restartovat apt, abyste se ujistili, že pracujete na plně aktualizovaném systému.
Nastavení názvu hostitele reverzního proxy serveru.
hostnamectl set-hostname rproxy.example.com
Pokud provozujete virtuální server, můžete mít soubor s názvem cloud.cfg, který je třeba upravit, aby se zachoval zde nastavený název hostitele. Následující příkaz zobrazí buď soubor s obsahem, nebo prázdnou stránku. Pokud vidíte prázdnou stránku, můžete jednoduše CTRL + x a tento krok přeskočit, protože nemáte co dělat.
nano /etc/cloud/cloud.cfg
Změňte řádek zachování názvu hostitele na hodnotu true a zavřete/uložte soubor.
If your system is currently local only you will need to show this server where your other servers/virtual hosts are.
nano /etc/hosts
Po provedení změn bude soubor hosts vypadat nějak takto, IP adresy a hostitelé by měli odpovídat vaší vlastní infrastruktuře.
127.0.0.1 localhost 127.0.1.1 rproxy.example.com 192.168.1.2 web1.example.com 192.168.1.3 db1.example.com # The following lines are desirable for IPv6 capable hosts ::1 ip6-localhost ip6-loopback fe00::0 ip6-localnet ff00::0 ip6-mcastprefix ff02::1 ip6-allnodes ff02::2 ip6-allrouters
Instalace NGINX
apt install -y nginx
Po instalaci byste měli zkontrolovat verzi NGINX, je důležité, abyste měli verzi 1.9 nebo vyšší, abyste mohli reverzovat proxy pro SSH a MySQL/MariaDB.
nginx -v
Jak můžete vidět, mám nainstalovanou verzi NGINX 1.14, která je výchozí v Ubuntu 18.04 (10. října 2019)
nginx version: nginx/1.14.0 (Ubuntu)
Příprava NGINX na fungování jako reverzní proxy
S touto konfigurací nebudete obsluhovat žádné webové stránky přímo z hostitelského serveru Reverse proxy. Vytvoříte novou adresářovou strukturu pod /etc/nginx/. Tím se zachovají výchozí konfigurace NGINX, pokud budete chtít tyto změny později vrátit nebo se rozhodnete, že skutečně chcete také obsluhovat webové stránky přímo z tohoto hostitele. Je možné spustit výchozí konfiguraci spolu s těmito konfiguracemi Reverse proxy, ale pokud bude Apache2 na stejném serveru, bude k naslouchání potřebovat alternativní porty a stále budete muset použít Reverse proxy pro weby, které tato instance Apache2 obsluhuje.
Vytvoření adresářové struktury Reverse proxy
cd /etc/nginx && mkdir rproxy && cd rproxy && mkdir http http/available http/enabled stream stream/available stream/enabled
Nyní, když máte strukturu na místě, můžete pokračovat ve vytváření konfiguračních souborů. Používám nano, ale můžete použít editor, který vám vyhovuje. Nano vytvoří/aktualizuje soubory při uložení.
Before you proceed, open an empty document on your computer or get a pen and paper to note down the ports you configure.
Konfigurace reverzních proxy webového serveru (http)
Vytvořte konfigurační soubor (soubory) http pro webové stránky a odpovídajícím způsobem je upravte
nano http/available/example.com.conf
Zkopírujte blok serveru do stránky otevřené v terminálu s odpovídajícím nastavením nano.
# Note down ports 80 and 443
server {
server_name example.com www.example.com;
listen 80;
set $upstream 192.168.1.2;
location / {
proxy_pass_header Authorization;
proxy_pass http://$upstream;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_http_version 1.1;
proxy_set_header Connection "";
proxy_buffering off;
client_max_body_size 0;
proxy_read_timeout 10000s;
proxy_redirect off;
}
} Konfigurace SSH, reverzních proxy serverů MySQL/MariaDB (stream)
Než budete pokračovat, rozhodněte se, kterou službu chcete používat, podle hostitele nebo služby. Pro každého hostitele vytvoříte konfiguraci pro každého hostitele, která může být užitečná pro rychlou změnu nastavení jednoho hostitele. U každé služby budete mít servisní porty pro všechny servery v souboru pro každý, SSH, MySQL/MariaDB a FTP.
Použití konfigurací podle služby
Přidejte konfigurace SSH.
nano stream/available/ssh.conf
# Note down the listen ports
upstream web1-ssh {
server 192.168.1.2:22;
}
server {
listen 22002;
proxy_pass web1-ssh;
}
upstream db1-ssh {
server 192.168.1.3:22;
}
server {
listen 22003;
proxy_pass db1-ssh;
}
# Add as many upstream and server block pairs as you will need for your remote accessed SSH servers.
Přidejte konfigurace MySQL/MariaDB.
nano stream/available/db.conf
# Note down the listen ports
upsteam db1-mysql {
server 192.168.1.3:3306;
}
server {
listen 33063;
proxy_pass db1-mysql;
}
# Add as many upstream/server block pairs as you will need for your remote accessed MySQL/MariaDB servers to this file.
Nyní vytvořte konfiguraci FTP Reverse proxy.
nano stream/available/ftp.conf
upstream web1-ftp {
server 192.168.1.3:21
}
server {
listen 21002;
proxy_pass web1-ftp;
}
# Add as many upstream/server block pairs as you will need for your remote accessed FTP servers.
Použití konfiguračních souborů podle hostitele
nano /etc/nginx/rproxy/stream/available/web1.example.com.conf
# Note down the listen ports
upstream web1-ssh {
server 192.168.1.3:22;
}
server {
listen 22002;
proxy_pass web-ssh;
}
Vytvoření hostitelského souboru pro db1.example.com
nano /etc/nginx/rproxy/stream/available/db1.example.com.conf
# Note down the listen ports
upsteam db1-mysql {
server 192.168.1.3:3306;
}
server {
listen 33063;
proxy_pass db1-mysql;
}
upstream db1-ssh {
server 192.168.1.3:22;
}
server {
listen 22003;
proxy_pass db1-ssh;
}
Jak vidíte, je to trochu neortodoxní. Používáte veřejné porty nestandardním způsobem, vybíráte porty, které potřebujete, a poté je odkazujete na NGINX. To by bylo normální, kromě toho, že nyní používáte jiný port pro každou službu na každém serveru, ke kterému chcete vzdáleně přistupovat. To znamená, že při použití SSH jako příkladu by jiné číslo portu pro každého hostitele s povoleným SSH 22 222 2222 22222, například, ukazovalo na port 22 na čtyřech různých serverech nebo virtuálních počítačích.
To neplatí pro NGINX pro Reverse proxy pro webové stránky, pokud má NGINX pro web definovanou konfiguraci serveru, bude správně fungovat pouze s přesměrovanými porty 80 a 443.
V tomto bodě jste si pravděpodobně uvědomili, že můžete jednoduše použít kroky HTTP a přeskočit kroky streamu a místo toho přesměrovat více portů pro více služeb na příslušný server/IP adresu. Opravdu, to lze udělat. Přidalo by to však další vrstvu složitosti a bylo by obtížné jej udržovat s rostoucím počtem serverů, protože možná budete muset změnit výchozí porty na každém serveru pro ssh, mysql a ftp. Tato konfigurace je již složitá, přesto by se dala udělat, pokud byste chtěli.
Použití reverzního proxy pro tyto služby způsobem, který jsem ukázal, výrazně sníží složitost tím, že poskytne jediné místo pro provádění těchto konfiguračních změn a nebudete muset provádět změny na portech v celé vaší infrastruktuře.
Dalším bonusem k této konfiguraci je to, že ostatní servery ve vaší infrastruktuře potřebují naslouchat pouze na místních rozhraních a výchozích portech, pokud to preferujete. Pokud spravujete lokálně, můžete pro přístup k požadovaným službám použít místní IP adresy a výchozí porty služeb, takže se nebudete muset odvolávat na své poznámky, abyste si zapamatovali správné porty, stačí vám znát IP adresu a přihlašovací údaje.
Spojení všeho dohromady
Chcete-li začít používat konfigurace NGINX Reverse proxy, budete muset provést nějaké úpravy v hlavním konfiguračním souboru. Zakomentujte aktuální řádek zahrnutí v bloku http (pokud také neobsluhujete webové stránky přímo z NGINX).
cd /etc/nginx && nano nginx.conf
Všimněte si zvýrazněných částí níže, abyste zjistili, co je třeba změnit.
user www-data;
worker_processes auto;
pid /run/nginx.pid;
include /etc/nginx/modules-enabled/*.conf;
events {
worker_connections 768;
# multi_accept on;
}
http {
##
# Basic Settings
##
sendfile on;
tcp_nopush on;
tcp_nodelay on;
keepalive_timeout 65;
types_hash_max_size 2048;
# server_tokens off;
# server_names_hash_bucket_size 64;
# server_name_in_redirect off;
include /etc/nginx/mime.types;
default_type application/octet-stream;
##
# SSL Settings
##
ssl_protocols TLSv1 TLSv1.1 TLSv1.2; # Dropping SSLv3, ref: POODLE
ssl_prefer_server_ciphers on;
##
# Logging Settings
##
access_log /var/log/nginx/access.log;
error_log /var/log/nginx/error.log;
##
# Gzip Settings
##
gzip on;
gzip on;
# gzip_vary on;
# gzip_proxied any;
# gzip_comp_level 6;
# gzip_buffers 16 8k;
# gzip_http_version 1.1;
# gzip_types text/plain text/css application/json application/javascript text/xml application/xml application/xml+rss text/javascri$
##
# Virtual Host Configs
##
include /etc/nginx/conf.d/*.conf;
# include /etc/nginx/sites-enabled/*;
# Reverse proxy http configuration files.
include /etc/nginx/rproxy/http/enabled/*.conf;
}
stream {
# Reverse proxy stream configuration files.
include /etc/nginx/rproxy/streams/enabled/*.conf;
}
#mail {
# # See sample authentication script at:
# # http://wiki.nginx.org/ImapAuthenticateWithApachePhpScript
#
# # auth_http localhost/auth.php;
# # pop3_capabilities "TOP" "USER";
# # imap_capabilities "IMAP4rev1" "UIDPLUS";
#
# server {
# listen localhost:110;
# protocol pop3;
# proxy on;
# }
#
# server {
# listen localhost:143;
# protocol imap;
# proxy on;
# }
#}
Aktivujte konfigurace reverzního proxy.
Nejprve povolte všechny konfigurace http
ln -s /etc/nginx/rproxy/http/available/*.conf /etc/nginx/rproxy/http/enabled
Povolit všechny konfigurace streamu
ln -s /etc/nginx/rproxy/stream/available/*.conf /etc/nginx/rproxy/stream/enabled
Proveďte test a ověřte, zda je konfigurace NGINX jako reverzního proxy správná.
nginx -T
Ve výstupu byste měli vidět zprávu o úspěchu spolu se všemi vlastními konfiguracemi, které jste provedli dříve.
Restartujte NGINX, abyste uvedli do činnosti Reverzní konfigurace proxy.
systemctl restart nginx
Zkontrolujte, zda NGINX naslouchá na všech nakonfigurovaných portech. ověřte podle svých poznámek, že všechny porty jsou zobrazeny ve výsledcích.
netstat -tulpn | grep nginx
Výstup by měl vypadat nějak takto
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 4964/nginx: master
tcp 0 0 0.0.0.0:22002 0.0.0.0:* LISTEN 4964/nginx: master
tcp 0 0 0.0.0.0:22003 0.0.0.0:* LISTEN 4964/nginx: master
tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN 4964/nginx: master
tcp 0 0 0.0.0.0:33062 0.0.0.0:* LISTEN 4964/nginx: master
tcp 0 0 0.0.0.0:33063 0.0.0.0:* LISTEN 4964/nginx: master
tcp 0 0 0.0.0.0:443 0.0.0.0:* LISTEN 4964/nginx: master
Otevření serveru pro provoz
Nyní, když NGINX naslouchá a je připraven fungovat jako Reverzní proxy pro všechna připojení, do kterých chceme povolit provoz, dočasně deaktivujte UFW, zatímco budete procházet dalšími kroky. Usnadní to odstraňování problémů, pokud věci nefungují správně.
ufw disable
Porty pro předávání
Zde Vám bohužel nemohu poradit. Chcete-li se dozvědět, jak to udělat, budete se muset podívat do manuálu k routeru nebo vyhledat router online. Stručně řečeno, chcete předat každý z portů, na kterých NGINX naslouchá, na hostitelský počítač NGINX. V mém konkrétním routeru jsem schopen nastavit vlastní "aplikace".
To mi umožňuje přiřadit libovolný počet nepřiřazených portů nebo rozsahů portů vlastní aplikaci, které pak budou přiřazeny buď k LAN IP adrese, nebo ke konkrétnímu připojenému zařízení identifikovanému jménem hostitele. V každém případě to znamená, že mohu přepnout všechny porty přiřazené k této vlastní aplikaci na libovolného hostitele v mé síti, aniž bych musel mazat všechny porty a znovu je přiřazovat. Toto je vynikající možnost a velmi doporučuji, abyste si vybrali router, který ji podporuje.
Tato malá, ale neuvěřitelně užitečná funkce ve firewallu mého routeru mě přiměla k instalaci druhého Reverse proxy zrcadlícího konfigurace mého aktivního Reverse proxy. Mám ho vypnutý a dokážu nabootovat a přepnout na něj porty za méně než 3 minuty od objevení. Představuji si, že existují profesionální hostingové společnosti, které by měly problém dodržet tuto dobu pro zotavení po havárii, a to vše vzniklo kvůli touze provozovat více serverů v domácí síti.
Bezplatné Letsencrypt SSL pro reverzní proxy server
Nainstalujte Certbot a Certbot NGINX plugin. Tento krok se zde provádí, protože nemůžete vytvořit certifikát, dokud nebudete mít funkční DNS pro všechna (sub.)doména uvedená v certifikátu a nebudete se moci připojit k doméně přes HTTP. Když to dokončíte poté, co jste předali porty na reverzní proxy, funguje to také jako další test vašich konfigurací. Pokud certifikát selže, protože doména není dostupná, uvidíte ve výstupu smysluplné chybové hlášení.
Chcete-li zajistit, že získáváte nejnovější verzi certbota, přidejte před instalací úložiště certbot. Repozitáře Ubuntu jsou často verze nebo více za verzí softwaru a opravdu chcete nejnovější stavle verze veškerého vašeho softwaru, pokud je můžete získat.
add-apt-repository ppa:certbot/certbot
apt install -y certbot python-certbot-plugin
S nainstalovaným certbotem a zásuvným modulem certbot nginx můžete nyní vytvářet certifikáty pro NGINX.
Tento příkaz by se měl opakovat pro všechny domény a subdomény, pro které chcete poskytovat SSL. Pokud certbot spouštíte poprvé, budete muset přijmout smluvní podmínky.
certbot --nginx -d example.com -d www.example.com
Všimněte si, že pokud máte funkční nastavení serveru s SSL na upstream hostiteli, budete se muset ujistit, že zde vybrané možnosti odpovídají možnostem na hostitelském serveru, konkrétně pokud přesměrujete na https na upstream serveru, měli byste to udělat i zde .
Pro upřesnění, example.com existuje na jiném serveru a rozhodl jsem se přesměrovat http na https v rámci ISPConfig, takže z tohoto důvodu jsem se rozhodl to udělat zde. Konfigurační soubor bude aktualizován a nyní vidím, že Certbot přidal nějaké vlastní konfigurace.
Kontrola, zda věci fungují.
Nyní, když máte provoz, který může proudit do vašeho Reverse proxy, měli byste ověřit, že vše funguje tak, jak bylo zamýšleno. Zkontrolujte, zda webové stránky fungují správně, provádějte připojení a úkoly SSH, FTP a MySQL/MariaDB. Jakmile budete spokojeni, že vše funguje, jak má, povolíte UFW a přidáte pravidla pro povolení každého z portů.
Zabezpečení reverzního proxy serveru
ufw enable
Budete chtít povolit, 80 a 443 odkudkoli. a pravděpodobně omezit SSH, FTP a MySQL/MariaDB na IP adresu nebo název hostitele. Pravidla můžete komentovat, abyste rychle zjistili, které službě/serveru jste přiřadili port.
ufw allow 80
ufw allow 443
ufw allow from 1.2.3.4 to any port 22002 comment 'web1 SSH'
ufw allow from somehost.domain.com to any port 33061 comment 'db1 MySQL/MariaDB'
ufw reload
ufw status numbered
Aktualizace Apache2
Když běží za reverzním proxy, soubory protokolu Apache2 zaznamenají IP adresu reverzního proxy serveru místo IP adresy návštěvníka webu. Pro obnovení normálního protokolování IP adres na Apache2 je k dispozici modul, který toto chování opraví.
Proveďte následující kroky na každém webovém serveru s nainstalovanou instancí Apache2.
sudo apt install -y libapache2-mod-rpaf
Abyste zajistili, že Apache2 bude nyní zaznamenávat správné IP adresy, proveďte malou úpravu souboru rpaf.conf. Ubuntu 18.04 nám již soubor vytvořilo, jen jej musíme upravit a změnit zvýrazněnou IP adresu na adresu hostitele NGINX Reverse proxy.
nano /etc/apache2/mods-available/rpaf.conf
<ifmodule rpaf_module="">
RPAFenable On
# When enabled, take the incoming X-Host header and
# update the virtualhost settings accordingly:
RPAFsethostname On
# Define which IP's are your frontend proxies that sends
# the correct X-Forwarded-For headers:
RPAFproxy_ips 127.0.0.1 ::1
# Change the header name to parse from the default
# X-Forwarded-For to something of your choice:
# RPAFheader X-Real-IP
</ifmodule> Závěrečné poznámky
NGINX a Apache2 ve stejném hostiteli
Žádné dvě služby nemohou naslouchat na stejném portu v rámci serveru nebo virtuálního počítače. Pokud je NGINX nainstalován na stejném serveru nebo virtuálním počítači jako webový server Apache2, budete muset změnit port, na kterém Apache2 naslouchá. NGINX vyžaduje porty 80 a 443 k provádění funkcí HTTP(S), protože jsou výchozími porty pro HTTP a HTTPS.
Vraťte se zpět do části http této příručky a přidejte konfigurace reverzního proxy pro webové stránky obsluhované touto instancí Apache2 stejným způsobem jako u jiných serverů v síti.
Změna naslouchacího portu Apache2
Pokud máte nainstalovaný systém správy serveru, jako je ISPConfig, tento systém zpracovává soubory Apache2 vhost, takže byste měli prozkoumat, jak změnit porty, na kterých Apache2 naslouchá. Prohledejte fóra ISPConfig a poté proveďte potřebné úpravy. V opačném případě byste se měli podívat na fóra Ubuntu nebo web Apache2, kde najdete, jak tyto změny provést.
Note: Apache2 ports do not need to be altered when it is the only web server installed on server or virtual machine.