OpenLiteSpeed 内外の Nextcloud: リバース プロキシの設定

内部ネットワーク上の Nextcloud へのリバース プロキシに OpenLiteSpeed を設定するにはどうすればよいですか?

驚いたことに、Habré で OpenLiteSpeed を検索しても何も表示されません。 LSWS はまともな Web サーバーなので、この不公平を急いで修正します。 私はそのスピードと洗練された Web 管理インターフェイスが気に入っています。

OpenLiteSpeed は WordPress の「アクセラレーター」として最も有名ですが、今日の記事では、OpenLiteSpeed のかなり具体的な使用法を紹介します。 つまり、リクエストのリバース プロキシ (リバース プロキシ) です。 これにはnginxを使用するのが一般的だと思いますか？ 私も同意します。 でも、とても痛かったので、私たちはLSWSに夢中になりました！

プロキシは問題ありませんが、どこで行うのでしょうか? 同様に素晴らしいサービス、Nextcloud。 Nextcloud を使用してプライベートな「ファイル共有クラウド」を作成します。 クライアントごとに Nextcloud で個別の VM を割り当てますが、それらを「外部」に公開したくありません。 代わりに、共通のリバース プロキシを通じてリクエストをプロキシします。 このソリューションにより、次のことが可能になります。
1) クライアント データが保存されているサーバーをインターネットから削除し、
2) IP アドレスを保存します。

図は次のようになります。

このスキームが単純化されていることは明らかです。 Web サービス インフラストラクチャの構成は、今日の記事の主題ではありません。

また、この記事では、特に Habré がこのトピックに関する資料を持っているため、nextcloud のインストールと基本構成については省略します。 ただし、設定を必ず示します。この設定がないと、Nextcloud はプロキシの背後で動作しません。

月：
Nextcloud はホスト 1 にインストールされ、http (SSL なし) で動作するように構成されており、ローカル ネットワーク インターフェイスと「グレー」の IP アドレス 172.16.22.110 のみを持っています。
ホスト 2 で OpenLiteSpeed を設定しましょう。ホスト 172.16.22.0 には、外部 (インターネットを参照) と内部の 24 つのインターフェイスがあり、ネットワーク上の IP アドレスは XNUMX/XNUMX です。
ホスト 2 の外部インターフェイスの IP アドレスは、DNS 名cloud.connect.link です。

タスク：
リンク経由でインターネットから入手してください。https://cloud.connect.link' (SSL) を内部ネットワーク上の Nextcloud に送信します。

• Ubuntu 18.04.2にOpenLiteSpeedをインストールします。

リポジトリを追加しましょう。

wget -O http://rpms.litespeedtech.com/debian/enable_lst_debain_repo.sh |sudo bash
sudoのapt-get updateを実行し

インストールして実行します:

sudo apt-get install openlitespeed
sudo /usr/local/lsws/bin/lswsctrl start

• 最小限のファイアウォール設定。
  

  sudo ufw sshを許可する
  sudo ufw デフォルトで送信を許可する
  sudo ufwのデフォルトで受信を拒否します
  sudo ufw allow http
  sudo ufw を許可https
  sudo ufw からの許可 管理ホスト 任意のポート 7080 へ
  sudo ufw enable

• OpenLiteSpeed をリバース プロキシとして設定します。
  virtualhost の下にディレクトリを作成しましょう。

  cd /usr/local/lsws/
  sudo mkdirc クラウド.connect.link
  cd クラウド.connect.link/
  sudo mkdir {conf、html、ログ}
  sudo chown lsadm:lsadm ./conf/

LSWS Web インターフェイスから仮想ホストを設定しましょう。
URL管理を開く http://cloud.connect.link:7080
デフォルトのログイン/パスワード: admin/123456

仮想ホストを追加します ([仮想ホスト] > [追加])。
追加するときに、構成ファイルが見つからないというエラー メッセージが表示されます。 これは正常であり、[クリックして作成] をクリックすると解決されます。

[全般] タブで、ドキュメント ルートを指定します (これは必須ではありませんが、これがないと構成は開始されません)。 ドメイン名が指定されていない場合、ドメイン名に付けた仮想ホスト名から取得されます。

ここで、Web サーバーだけではなく、リバース プロキシがあることを思い出してください。 次の設定は、何をどこにプロキシするかを LSWS に指示します。 virtualhost 設定で、[外部アプリ] タブを開き、Web サーバー タイプの新しいアプリケーションを追加します。

名前と住所を指定します。 任意の名前を指定できますが、次の手順で役立つため、覚えておく必要があります。 このアドレスは、内部ネットワーク内で Nextcloud が存在するアドレスです。

同じ仮想ホスト設定で、[コンテキスト] タブを開き、プロキシ タイプの新しいコンテキストを作成します。

パラメータを指定します: URI = /、Web サーバー = nextcloud_1 (前の手順の名前)

LSWSを再起動します。 これは、Web インターフェイスからワンクリックで完了します。奇跡です。 (遺伝的なネズミ保因者が私の中で話します)

• 証明書を入れてhttpsを設定します。
  証明書の取得手順 これは省略し、すでに持っていることに同意し、キーを /etc/letsencrypt/live/cloud.connect.link ディレクトリに置きます。

「リスナー」を作成しましょう (「リスナー」>「追加」)。これを「https」と呼びます。 ポート 443 を指定すると、安全になることに注意してください。

[SSL] タブで、キーと証明書へのパスを指定します。

「リスナー」が作成されました。次に、「仮想ホスト マッピング」セクションで仮想ホストをそれに追加します。

LSWS が XNUMX つのサービスのみにプロキシする場合は、構成を完了できます。 ただし、ドメイン名に応じて異なる「インスタンス」にリクエストを送信するためにこれを使用する予定です。 そして、すべてのドメインが独自の証明書を持ちます。 したがって、仮想ホスト構成に移動し、[SSL] タブでそのキーと証明書を再度指定する必要があります。 将来的には、これを新しい仮想ホストごとに行う必要があります。

http リクエストが https にアドレス指定されるように URL 書き換えを設定する必要があります。
(ところで、これはいつ終わるのでしょうか?ブラウザやその他のソフトウェアがデフォルトで https に移行し、必要に応じて手動で非 SSL に転送する時期が来ました)。
[書き換えを有効にする] をオンにして、書き換えルールを書き込みます。

RewriteCond％{SERVER_PORT} 80
RewriteRule ^（。*）$ https://%{SERVER_NAME}%{REQUEST_URI[R=301,L]

変な誤解により、通常のグレースフルリスタートではRewriteルールを適用することができません。 したがって、LSWS を優雅にではなく、失礼かつ効率的に再起動します。

sudo systemctl 再起動 lsws.service

サーバーがポート 80 をリッスンするようにするには、別のリスナーを作成しましょう。 これを http と呼び、80 番目のポートを指定し、それが非セキュアになるようにします。

https リスナー設定と同様に、仮想ホストをそれにアタッチしてみましょう。

これで、LSWS はポート 80 でリッスンし、そこから 443 にリクエストを送信し、URL を書き換えます。
結論として、デフォルトでデバッグに設定されている LSWS ログ レベルを下げることをお勧めします。 このモードでは、丸太が電光石火のスピードで増殖します。 ほとんどの場合、警告レベルで十分です。 [サーバー構成] > [ログ] に移動します。

これでリバースプロキシとしてのOpenLiteSpeedの設定は完了です。 もう一度 LSWS を再起動し、リンクをクリックします。 https://cloud.connect.link そして、以下を参照してください。

Nextcloud が私たちを許可するには、cloud.connect.link ドメインを信頼できるリストに追加する必要があります。 config.php を編集しましょう。 Ubuntu のインストール時に Nextcloud を自動的にインストールしました。構成は /var/snap/nextcloud/current/nextcloud/config にあります。
「cloud.connect.link」パラメータをtrusted_domainsキーに追加します。

'trusted_domains' =>
配列（
0 => '172.16.22.110'、
1 => 'cloud.connect.link',
),

さらに、同じ設定でプロキシの IP アドレスを指定する必要があります。 アドレスは Nextcloud サーバーから見えるアドレスを指定する必要があるという事実に注意してください。 ローカル LSWS インターフェイスの IP。 この手順を行わないと、Nextcloud Web インターフェイスは機能しますが、アプリケーションは承認されません。

'trusted_proxies' =>
配列（
0 => '172.16.22.100'、
),

これで、認証インターフェイスに入ることができます。

問題が解決しました！ これで、各クライアントは自分の個人 URL で「ファイル クラウド」を安全に使用できるようになり、ファイルのあるサーバーはインターネットから分離され、将​​来のクライアントはすべて同じものを受信し、追加の IP アドレスは XNUMX つも影響を受けなくなります。
さらに、リバース プロキシを使用して静的コンテンツを配信することもできますが、Nextcloud の場合、これによって速度が顕著に向上することはありません。 したがって、それは任意であり、任意です。

この話を共有できることを嬉しく思います。誰かの役に立つことを願っています。 問題を解決するためのより洗練された効率的な方法をご存知の場合は、コメントをいただければ幸いです。

出所： habr.com