Nextcloud OpenLiteSpeed-ის შიგნით და გარეთ: საპირისპირო პროქსირების დაყენება

როგორ დავაყენო OpenLiteSpeed, რომ პროქსი შეცვალოს Nextcloud-ზე შიდა ქსელში?

გასაკვირია, რომ Habré-ზე ძებნა OpenLiteSpeed-ისთვის არაფერს იძლევა! მე ვჩქარობ ამ უსამართლობის გამოსწორებას, რადგან LSWS არის წესიერი ვებ სერვერი. მე ის მიყვარს მისი სიჩქარისა და ლამაზი ვებ ადმინისტრირების ინტერფეისისთვის:

მიუხედავად იმისა, რომ OpenLiteSpeed ​​ყველაზე ცნობილია, როგორც WordPress "ამაჩქარებელი", დღევანდელ სტატიაში მე გაჩვენებთ მის საკმაოდ კონკრეტულ გამოყენებას. კერძოდ მოთხოვნების უკუ პროქსირება (reverse proxy). თქვენ ამბობთ, რომ უფრო ხშირია ამისთვის nginx-ის გამოყენება? დავეთანხმები. მაგრამ იმდენად მტკივა, რომ ჩვენ შეგვიყვარდა LSWS!

პროქსი კარგია, მაგრამ სად? არანაკლებ შესანიშნავ სერვისში - Nextcloud. ჩვენ ვიყენებთ Nextcloud-ს კერძო „ფაილის გაზიარების ღრუბლების“ შესაქმნელად. თითოეული კლიენტისთვის, ჩვენ გამოვყოფთ ცალკე VM-ს Nextcloud-ით და არ გვინდა მათი „გარეთ“ გამოვლენა. ამის ნაცვლად, ჩვენ პროქსი ითხოვს საერთო საპირისპირო პროქსის მეშვეობით. ეს გამოსავალი საშუალებას იძლევა:
1) ამოიღეთ სერვერი, რომელზეც ინახება კლიენტის მონაცემები ინტერნეტიდან და
2) შეინახეთ ip-მისამართები.

სქემა ასე გამოიყურება:

გასაგებია, რომ სქემა გამარტივებულია, რადგან ვებ სერვისების ინფრასტრუქტურის ორგანიზება დღევანდელი სტატიის თემა არ არის.

ასევე ამ სტატიაში გამოვტოვებ nextcloud-ის ინსტალაციას და ძირითად კონფიგურაციას, მით უმეტეს, რომ ამ თემაზე არის მასალები Habré-ზე. მაგრამ მე აუცილებლად ვაჩვენებ პარამეტრებს, რომლის გარეშეც Nextcloud არ იმუშავებს პროქსის მიღმა.

მაისი
Nextcloud დაინსტალირებულია ჰოსტ 1-ზე და კონფიგურირებულია იმუშაოს http-ზე (SSL-ის გარეშე), აქვს მხოლოდ ლოკალური ქსელის ინტერფეისი და "ნაცრისფერი" IP მისამართი 172.16.22.110.
მოდით დავაკონფიგურიროთ OpenLiteSpeed ​​ჰოსტ 2-ზე. მას აქვს ორი ინტერფეისი, გარე (ინტერნეტზე გამოიყურება) და შიდა IP მისამართით ქსელში 172.16.22.0/24.
მასპინძელი 2-ის გარე ინტერფეისის IP მისამართია DNS სახელი cloud.connect.link

Დავალება:
მიიღეთ ინტერნეტიდან ბმულის საშუალებითhttps://cloud.connect.link' (SSL) Nextcloud-ზე შიდა ქსელში.

• OpenLiteSpeed-ის ინსტალაცია Ubuntu 18.04.2-ზე.

მოდით დავამატოთ საცავი:

wget -O http://rpms.litespeedtech.com/debian/enable_lst_debain_repo.sh |სუდო ბაშ
sudo apt-get update

დააინსტალირეთ, გაუშვით:

sudo apt-get install openlitespeed
sudo /usr/local/lsws/bin/lswsctrl დაწყება

• მინიმალური firewall დაყენება.
  

  sudo ufw დაუშვას ssh
  sudo ufw ნაგულისხმევი საშუალებას იძლევა გამავალი
  sudo ufw ნაგულისხმევი უარყოფა შემომავალს
  sudo ufw დაუშვას http
  sudo ufw საშუალებას https
  sudo ufw დაუშვას საწყისი თქვენი მენეჯმენტის მასპინძელი ნებისმიერ პორტზე 7080
  sudo ufw ჩართვა

• დააყენეთ OpenLiteSpeed, როგორც საპირისპირო პროქსი.
  მოდით შევქმნათ დირექტორიები ვირტუალური მასპინძლის ქვეშ.

  cd /usr/local/lsws/
  sudo mkdirc cloud.connect.link
  cd cloud.connect.link/
  sudo mkdir {conf,html,logs}
  სუდო ჩაუნი lsadm:lsadm ./conf/

მოდით დავაკონფიგურიროთ ვირტუალური ჰოსტი LSWS ვებ ინტერფეისიდან.
გახსენით url მენეჯმენტი http://cloud.connect.link:7080
ნაგულისხმევი შესვლა/პაროლი: admin/123456

დაამატეთ ვირტუალური ჰოსტი (Virtual Hosts > Add).
დამატებისას გამოჩნდება შეცდომის შეტყობინება - კონფიგურაციის ფაილი აკლია. ეს ნორმალურია, მოგვარებულია დაწკაპუნებით შექმნა.

ზოგადი ჩანართში მიუთითეთ Document Root (თუმცა ეს არ არის საჭირო, კონფიგურაცია არ იშლება მის გარეშე). დომენის სახელი, თუ არ არის მითითებული, იქნება აღებული ვირტუალური ჰოსტის სახელიდან, რომელსაც ჩვენ დავარქვით ჩვენი დომენის სახელი.

ახლა დროა გვახსოვდეს, რომ ჩვენ გვაქვს არა მხოლოდ ვებ სერვერი, არამედ საპირისპირო პროქსი. შემდეგი პარამეტრები აცნობებს LSWS-ს, რისი პროქსი და სად. ვირტუალური მასპინძლის პარამეტრებში გახსენით გარე აპლიკაციის ჩანართი და დაამატეთ ვებ სერვერის ტიპის ახალი აპლიკაცია:

მიუთითეთ სახელი და მისამართი. თქვენ შეგიძლიათ მიუთითოთ თვითნებური სახელი, მაგრამ თქვენ უნდა გახსოვდეთ იგი, ის გამოგადგებათ შემდეგ ნაბიჯებში. მისამართი არის ის, სადაც Nextcloud ცხოვრობს შიდა ქსელში:

იმავე ვირტუალური ჰოსტის პარამეტრებში გახსენით კონტექსტის ჩანართი და შექმენით პროქსი ტიპის ახალი კონტექსტი:

მიუთითეთ პარამეტრები: URI = /, ვებ სერვერი = nextcloud_1 (სახელი წინა საფეხურიდან)

გადატვირთეთ LSWS. ეს კეთდება ერთი დაწკაპუნებით ვებ ინტერფეისიდან, სასწაულები! (მემკვიდრული თაგვის მატარებელი საუბრობს ჩემში)

• ჩვენ ვათავსებთ სერთიფიკატს, ვაკონფიგურირებთ https.
  სერთიფიკატის მიღების პროცედურა ჩვენ გამოვტოვებთ მას, შევთანხმდებით, რომ უკვე გვაქვს ის და ვიწექით გასაღებით /etc/letsencrypt/live/cloud.connect.link დირექტორიაში.

შევქმნათ „მსმენელი“ (Listeners > Add), დავარქვათ მას „https“. მიუთითეთ ის 443 პორტზე და გაითვალისწინეთ, რომ ის იქნება უსაფრთხო:

SSL ჩანართში მიუთითეთ გასაღების და სერტიფიკატის გზა:

"მსმენელი" შეიქმნა, ახლა Virtual Host Mappings განყოფილებაში ჩვენ დავამატებთ მას ჩვენს ვირტუალურ მასპინძელს:

თუ LSWS იქნება მხოლოდ ერთი სერვისის პროქსი, კონფიგურაცია შეიძლება დასრულდეს. მაგრამ ჩვენ ვგეგმავთ გამოვიყენოთ ის მოთხოვნის გასაგზავნად სხვადასხვა „ინსტანციებზე“ დომენის სახელიდან გამომდინარე. და ყველა დომენს ექნება საკუთარი სერთიფიკატი. ამიტომ, თქვენ უნდა გადახვიდეთ virtualhost-ის კონფიგურაციაზე და კვლავ მიუთითოთ მისი გასაღები და სერთიფიკატი SSL ჩანართში. მომავალში, ეს უნდა გაკეთდეს ყოველი ახალი ვირტუალური ჰოსტისთვის.

რჩება url-ის გადაწერის კონფიგურაცია ისე, რომ http მოთხოვნები მიემართოს https-ს.
(სხვათა შორის, როდის დასრულდება ეს? დროა ბრაუზერები და სხვა პროგრამული უზრუნველყოფა გადავიდნენ https-ზე ნაგულისხმევად და საჭიროების შემთხვევაში ხელით გადააგზავნოთ no-SSL-ზე).
ჩართეთ Rewrite-ის ჩართვა და ჩაწერეთ Rewrite Rules:

RewriteCond %{SERVER_PORT} 80
RewriteRule ^(.*)$ https://%{SERVER_NAME}%{REQUEST_URI} [R=301,ლ]

უცნაური გაუგებრობის გამო შეუძლებელია Rewrite წესების გამოყენება ჩვეულებრივი Graceful გადატვირთვით. ამიტომ, ჩვენ გადავტვირთავთ LSWS-ს არა მოხდენილად, არამედ უხეშად და ეფექტურად:

sudo systemctl გადატვირთეთ lsws.service

იმისათვის, რომ სერვერმა მოუსმინოს პორტს 80, მოდით შევქმნათ სხვა მსმენელი. მოდით დავარქვათ http, მიუთითეთ 80-ე პორტი და ის იქნება არაუსაფრთხო:

https მსმენელის პარამეტრის ანალოგიით, დავურთოთ მას ჩვენი ვირტუალური ჰოსტი.

ახლა LSWS მოუსმენს პორტს 80 და გაგზავნის თხოვნებს მისგან 443-ზე, გადაწერს url-ს.
დასასრულს, მე გირჩევთ შეამციროთ LSWS ლოგის დონე, რომელიც ნაგულისხმევად დაყენებულია Debug-ზე. ამ რეჟიმში, მორები მრავლდება ელვის სისწრაფით! უმეტეს შემთხვევაში, გაფრთხილების დონე საკმარისია. გადადით სერვერის კონფიგურაციაზე > ჟურნალი:

ეს ასრულებს OpenLiteSpeed-ის, როგორც საპირისპირო პროქსის კონფიგურაციას. კიდევ ერთხელ გადატვირთეთ LSWS, მიჰყევით ბმულს https://cloud.connect.link და ნახეთ:

იმისათვის, რომ Nextcloud-მა შეგვიშვას, უნდა დავამატოთ cloud.connect.link დომენი სანდო სიაში. მოდით გადავიდეთ config.php-ის რედაქტირებაზე. მე დავაინსტალირე Nextcloud ავტომატურად Ubuntu-ს ინსტალაციისას და კონფიგურაცია მდებარეობს აქ: /var/snap/nextcloud/current/nextcloud/config.
დაამატეთ "cloud.connect.link" პარამეტრი trusted_domains გასაღებს:

'სანდო_დომენი' =>
მასივი (
0 => '172.16.22.110',
1 => 'cloud.connect.link',
),

გარდა ამისა, იმავე კონფიგურაციაში, თქვენ უნდა მიუთითოთ ჩვენი პროქსის IP მისამართი. თქვენს ყურადღებას ვაქცევ იმ ფაქტს, რომ მისამართი უნდა იყოს მითითებული, რომელიც ჩანს Nextcloud სერვერისთვის, ე.ი. ადგილობრივი LSWS ინტერფეისის IP. ამ ნაბიჯის გარეშე, Nextcloud ვებ ინტერფეისი მუშაობს, მაგრამ აპლიკაციები არ არის ავტორიზებული.

'სანდო_პროქსი' =>
მასივი (
0 => '172.16.22.100',
),

მშვენიერია, ამის შემდეგ ჩვენ შეგვიძლია შევიდეთ ავტორიზაციის ინტერფეისში:

პრობლემა მოგვარებულია! ახლა თითოეულ კლიენტს შეუძლია უსაფრთხოდ გამოიყენოს "ფაილის ღრუბელი" საკუთარ პერსონალურ url-ზე, ფაილებით სერვერი გამოყოფილია ინტერნეტიდან, მომავალი კლიენტები მიიღებენ ყველაფერს ერთნაირად და არც ერთი დამატებითი IP მისამართი არ დაზარალდება.
გარდა ამისა, შეგიძლიათ გამოიყენოთ საპირისპირო პროქსი სტატიკური შინაარსის მიწოდებისთვის, მაგრამ Nextcloud-ის შემთხვევაში, ეს არ გამოიწვევს სიჩქარის შესამჩნევ ზრდას. ასე რომ, ეს არის სურვილისამებრ და სურვილისამებრ.

მიხარია ამ ამბის გაზიარება, იმედია ვინმეს გამოადგება. თუ თქვენ იცით პრობლემის გადაჭრის უფრო ელეგანტური და ეფექტური მეთოდები, მადლობელი ვიქნები კომენტარებისთვის!

წყარო: www.habr.com