Nextcloud OpenLiteSpeed ​​iekšpusē un ārpusē: reversās starpniekservera iestatīšana

Kā iestatīt OpenLiteSpeed, lai iekšējā tīklā mainītu starpniekserveri uz Nextcloud?

Pārsteidzoši, OpenLiteSpeed ​​meklēšana vietnē Habré neko nedod! Steidzu šo netaisnību labot, jo LSWS ir kārtīgs tīmekļa serveris. Man tas patīk tā ātruma un brīnišķīgās tīmekļa administrēšanas saskarnes dēļ:

Lai gan OpenLiteSpeed ​​ir visslavenākais kā WordPress "paātrinātājs", šodienas rakstā es parādīšu diezgan specifisku tā lietojumu. Proti, pieprasījumu apgrieztā starpniekserveri (reverse proxy). Jūs sakāt, ka šim nolūkam biežāk izmanto nginx? piekritīšu. Bet tas tik ļoti sāp, ka mēs iemīlējāmies LSWS!

Starpniekserveri ir labi, bet kur? Ne mazāk brīnišķīgā servisā - Nextcloud. Mēs izmantojam Nextcloud, lai izveidotu privātus "failu koplietošanas mākoņus". Katram klientam mēs piešķiram atsevišķu virtuālo mašīnu ar Nextcloud, un mēs nevēlamies tos izpaust “ārpus”. Tā vietā mēs starpniekserveram pieprasījumus, izmantojot parasto apgriezto starpniekserveri. Šis risinājums ļauj:
1) noņemt serveri, kurā tiek glabāti klienta dati, no interneta un
2) saglabājiet ip adreses.

Diagramma izskatās šādi:

Ir skaidrs, ka shēma ir vienkāršota, jo tīmekļa pakalpojumu infrastruktūras organizēšana nav šodienas raksta tēma.

Arī šajā rakstā es izlaidīšu nextcloud instalēšanu un pamata konfigurāciju, jo īpaši tāpēc, ka Habré ir materiāli par šo tēmu. Bet es noteikti parādīšu iestatījumus, bez kuriem Nextcloud nedarbosies aiz starpniekservera.

Ņemot vērā:
Nextcloud ir instalēts 1. resursdatorā un konfigurēts darbam, izmantojot http (bez SSL), tam ir tikai lokālā tīkla saskarne un "pelēkā" IP adrese 172.16.22.110.
Konfigurēsim OpenLiteSpeed 2. resursdatorā. Tam ir divas saskarnes: ārējā (izskatās uz internetu) un iekšēja ar IP adresi tīklā 172.16.22.0/24.
2. resursdatora ārējā interfeisa IP adrese ir DNS nosaukums cloud.connect.link

Uzdevums:
Saņemiet no interneta, izmantojot saiti 'https://cloud.connect.link' (SSL) uz Nextcloud iekšējā tīklā.

• OpenLiteSpeed ​​instalēšana Ubuntu 18.04.2.

Pievienosim repozitoriju:

wget -O http://rpms.litespeedtech.com/debian/enable_lst_debain_repo.sh |sudo bash
sudo apt-get update

instalēt, palaist:

sudo apt-get instalēt openlitespeed
sudo /usr/local/lsws/bin/lswsctrl start

• Minimāla ugunsmūra iestatīšana.
  

  sudo ufw atļaut ssh
  sudo ufw noklusējuma atļaut izejošo
  sudo ufw noklusējuma liegt ienākošos
  sudo ufw atļaut http
  sudo ufw atļauj https
  sudo ufw atļaut no jūsu vadības saimnieks uz jebkuru portu 7080
  sudo ufw iespējot

• Iestatiet OpenLiteSpeed ​​kā reverso starpniekserveri.
  Izveidosim direktorijus zem virtualhost.

  cd /usr/local/lsws/
  sudo mkdirc cloud.connect.link
  cd cloud.connect.link/
  sudo mkdir {conf,html,logs}
  sudo chown lsadm:lsadm ./conf/

Konfigurēsim virtuālo resursdatoru no LSWS tīmekļa saskarnes.
Atvērt URL pārvaldību http://cloud.connect.link:7080
Noklusējuma pieteikšanās/parole: admin/123456

Pievienojiet virtuālo saimniekdatoru (Virtuālie saimniekdatori > Pievienot).
Pievienojot, parādīsies kļūdas ziņojums - trūkst konfigurācijas faila. Tas ir normāli, to var atrisināt, noklikšķinot uz Noklikšķiniet, lai izveidotu.

Cilnē Vispārīgi norādiet dokumenta sakni (lai gan tas nav nepieciešams, konfigurācija bez tās netiks pacelta). Domēna vārds, ja tas nav norādīts, tiks ņemts no virtuālā resursdatora nosaukuma, ko mēs nosaucām par savu domēna nosaukumu.

Tagad ir pienācis laiks atcerēties, ka mums ir ne tikai tīmekļa serveris, bet arī reversais starpniekserveris. Tālāk norādītie iestatījumi norādīs LSWS, ko un kur izmantot starpniekserveri. Virtualhost iestatījumos atveriet cilni Ārējā lietotne un pievienojiet jaunu tīmekļa servera tipa lietojumprogrammu:

Norādiet vārdu un adresi. Varat norādīt patvaļīgu nosaukumu, taču tas ir jāatceras, tas noderēs nākamajās darbībās. Adrese ir tā, kur Nextcloud dzīvo iekšējā tīklā:

Tajos pašos virtuālās saimniekdatora iestatījumos atveriet cilni Konteksts un izveidojiet jaunu starpniekservera veida kontekstu:

Norādiet parametrus: URI = /, tīmekļa serveris = nextcloud_1 (iepriekšējās darbības nosaukums)

Restartējiet LSWS. Tas tiek darīts ar vienu klikšķi no tīmekļa saskarnes, brīnumi! (manī runā iedzimts peļu nēsātājs)

• Ieliekam sertifikātu, konfigurējam https.
  Sertifikāta iegūšanas kārtība mēs to izlaidīsim, piekrītam, ka mums tas jau ir, un gulēsim ar atslēgu /etc/letsencrypt/live/cloud.connect.link direktorijā.

Izveidosim "klausītāju" (Listeners > Add), sauksim to par "https". Novietojiet to uz portu 443 un ņemiet vērā, ka tas būs drošs:

Cilnē SSL norādiet ceļu uz atslēgu un sertifikātu:

“Klausītājs” ir izveidots, tagad sadaļā Virtual Host Mappings mēs tam pievienosim savu virtuālo resursdatoru:

Ja LSWS starpniekserveri izmantos tikai vienam pakalpojumam, konfigurāciju var pabeigt. Bet mēs plānojam to izmantot, lai nosūtītu pieprasījumus dažādiem "gadījumiem" atkarībā no domēna nosaukuma. Un visiem domēniem būs savi sertifikāti. Tāpēc jums ir jāiet uz virtualhost konfigurāciju un vēlreiz jānorāda tā atslēga un sertifikāts cilnē SSL. Nākotnē tas būtu jādara katram jaunam virtuālajam resursdatoram.

Atliek konfigurēt URL pārrakstīšanu, lai http pieprasījumi tiktu adresēti https.
(Starp citu, kad tas beigsies? Ir pienācis laiks pārlūkprogrammām un citai programmatūrai pēc noklusējuma pāriet uz https un, ja nepieciešams, manuāli pārsūtīt uz no-SSL).
Ieslēdziet Iespējot pārrakstīšanu un rakstiet pārrakstīšanas noteikumus:

RewriteCond %{SERVER_PORT} 80
Pārrakstīšanas kārtula ^(.*)$ https://%{SERVER_NAME}%{REQUEST_URI} [R=301,L]

Dīvaina pārpratuma dēļ nav iespējams piemērot Rewrite noteikumus ar parasto Graceful restart. Tāpēc mēs restartēsim LSWS nevis graciozi, bet rupji un efektīvi:

sudo systemctl restartējiet lsws.service

Lai serveris klausītos 80. portu, izveidosim citu klausītāju. Sauksim to par http, norādiet 80. portu un to, ka tas nebūs drošs:

Pēc analoģijas ar https klausītāja iestatījumu, pievienosim tam savu virtuālo saimniekdatoru.

Tagad LSWS klausīsies portā 80 un no tā nosūtīs pieprasījumus uz 443, pārrakstot URL.
Noslēgumā es iesaku pazemināt LSWS reģistrēšanas līmeni, kas pēc noklusējuma ir iestatīts uz Debug. Šajā režīmā baļķi vairojas zibens ātrumā! Vairumā gadījumu pietiek ar brīdinājuma līmeni. Dodieties uz Servera konfigurācija > Žurnāls:

Tas pabeidz OpenLiteSpeed ​​kā apgrieztā starpniekservera konfigurāciju. Vēlreiz restartējiet LSWS, sekojiet saitei https://cloud.connect.link un redzi:

Lai Nextcloud varētu mūs ielaist, mums uzticamo personu sarakstam jāpievieno domēns cloud.connect.link. Ejam rediģēt config.php. Es instalēju Nextcloud automātiski, instalējot Ubuntu, un konfigurācija atrodas šeit: /var/snap/nextcloud/current/nextcloud/config.
Pievienojiet parametru 'cloud.connect.link' atslēgai trusted_domains:

'trusted_domains' =>
masīvs (
0 => '172.16.22.110',
1 => 'cloud.connect.link',
),

Turklāt tajā pašā konfigurācijā ir jānorāda mūsu starpniekservera IP adrese. Vēršu uzmanību, ka adrese ir jānorāda tā, kas ir redzama Nextcloud serverim, t.i. Vietējās LSWS saskarnes IP. Bez šīs darbības Nextcloud tīmekļa saskarne darbojas, taču lietojumprogrammas nav autorizētas.

'trusted_proxyes' =>
masīvs (
0 => '172.16.22.100',
),

Lieliski, pēc tam mēs varam iekļūt autorizācijas saskarnē:

Problēma atrisināta! Tagad katrs klients var droši lietot “failu mākoni” savā personīgajā url, serveris ar failiem ir atdalīts no interneta, nākamie klienti saņems visu tāpat un netiks ietekmēta neviena papildus IP adrese.
Turklāt, lai nodrošinātu statisku saturu, varat izmantot apgriezto starpniekserveri, taču Nextcloud gadījumā tas nepalielinās ātrumu. Tātad tas ir neobligāts un neobligāts.

Priecājos padalīties ar šo stāstu, ceru, ka kādam noderēs. Ja zināt elegantākas un efektīvākas metodes problēmas risināšanai, būšu pateicīgs par komentāriem!

Avots: www.habr.com