Änderungen von Dokument Betrieb hinter Proxy/Load-Balancer o.ä.

Von 1.2 nach 1.3 Von 5.1 nach 6.1

Von Version 1.3

bearbeitet von rth
am 01.09.2021, 16:34

Änderungskommentar: Es gibt keinen Kommentar für diese Version

Auf Version 5.1

bearbeitet von sas
am 28.03.2022, 11:23

Änderungskommentar: Es gibt keinen Kommentar für diese Version

Rohform
Im Layout

Zusammenfassung

Seiteneigenschaften (2 geändert, 0 hinzugefügt, 0 gelöscht)

Details

Seiteneigenschaften

Dokument-Autor

@@ -1,1 +1,1 @@
--XWiki.rth
++XWiki.sas

Inhalt

@@ -14,8 +14,58 @@
  Da {{formcycle/}} vor allem bei der Anmeldung an einem Formular die ursprüngliche Aufruf-URL des Benutzers interpretiert und diese ggf. nicht ermittelt werden kann, ist es nötig, zwischengeschaltete Server entsprechend zu konfigurieren. Hierbei ist darauf zu achten, dass sowohl der HTTP-Header //Host// als auch das verwendete Protokoll (//HTTP //oder //HTTPS//) unverändert weitergereicht werden. Ebenso muss das korrekte Weiterleiten von WebSocket-Verbindungen gewährleistet werden. Als Alternative zu den konkreten Protokollen kann der zwischengeschaltete Server ebenso über //X-Forwarded// Header mitteilen, welches Protokoll die Anfrage ursprünglich verwendet hat.
  {{/info}}
--== Beispielkonfiguration Apache ==
++
++== Verwenden von //X-Forwarded// Headern für unverschlüsselte Kommunikation ==
++
++Wenn der zwischengeschaltete Server das Senden von //X-Forwarded// Headern unterstützt und der {{formcycle/}} hostetende Servlet-Container diese Header auswerten kann, kann die Kommunikation zwischen zwischengeschaltetem Server und {{formcycle/}} auch über ein anderes Protokoll erfolgen. Sowohl beim vorgeschalteten Server als auch beim Servlet-Container muss das Verwenden dieser Header konfiguriert sein. Nähere Informationen zur Konfiguration finden sich in der Dokumentation des jeweiligen Produktes.
++
++=== Konfigurationsbeispiele ===
++
++Im //Apache// kann das Mitsenden der entsprechenden Header in den für den Reverse-Proxy zuständigen //VirtualHost//s beispielsweise wie folgt konfiguriert werden:
++
++{{code language="none"}}
++//HTTP
++RequestHeader set X-Forwarded-Port "80"
++RequestHeader set X-Forwarded-Proto "http"
++
++//HTTPS
++RequestHeader set X-Forwarded-Port "443"
++RequestHeader set X-Forwarded-Proto "https"
++{{/code}}
++
++Bei //nginx// kann für das Mitsenden der entsprechenden Header in der für den Reverse-Proxy zuständigen Sektion beispielsweise folgende Konfiguration verwendet werden:
++
++{{code language="none"}}
++proxy_pass http://127.0.0.1:8080/formcycle/;
++proxy_set_header Host $http_host;
++proxy_set_header x-real-ip $remote_addr;
++proxy_set_header x-forwarded-proto $scheme;
++{{/code}}
++
++{{velocity}}
++##We also have settings for various timeouts in Nginx:
++##proxy_connect_timeout 600;
++##proxy_send_timeout 600;
++##proxy_read_timeout 600;
++{{/velocity}}
++
++Für //Apache Tomcat//-Server muss für das Auswerten der mitgesendeten //X-Forwarded//-Header in der {{code language="none"}}server.xml{{/code}} innerhalb der //Catalina//-Engine der folgende Valve-Eintrag eingefügt werden:
++
++{{code language="none"}}
++<Engine......
++ <Valve className="org.apache.catalina.valves.RemoteIpValve"
++  internalProxies="<IP's der vertrauenswürdigen Proxy-Server>"
++  remoteIpHeader="x-forwarded-for"
++  protocolHeader="x-forwarded-proto"
++  protocolHeaderHttpsValue="https" />
++</Engine>
++{{/code}}
++
++**Hinweis:** Sollte die Konfiguration der //X-Forwarded//-Header nicht greifen, so ist es unter Umständen notwendig in der Eigenschaft //internalProxies// die IP's der vertrauenswürdigen Proxy-Server zu konfigurieren. Erwartet wird hier eine oder mehrere IP-Adressen (z.B.: 192\.168\.0\.10|192\.168\.0\.11) oder ein IP-Adressbereich, welcher mittels regulären Ausdrucks (z.B.: 169\.254\.\d{1,3}\.\d{1,3}) definiert werden kann.
++
++== Alternative Beispielkonfiguration Apache ==
++
  Für die korrekte Konfiguration eines Apache-Server, welcher als Revers-Proxy agiert, sind drei Punkte relevant und z.B. in der Konfiguration der VirtualHost´s zu hinterlegen:
 . Die Anweisung {{code language="none"}}ProxyPreserveHost On{{/code}} zum Erhalt des ursprünglich aufgerufenen //Host//-Headers
@@ -22,9 +22,18 @@
 . Die Separierung der einzelnen Protokolle und deren Verwendung bei der Weiterleitung zum Anwendungsserver. Dies bedeutet, dass für //HTTP// und //HTTPS// ein eigener VirtualHost mit entsprechender Konfiguration benutzt werden muss.
 . Konfiguration der bedingten RewriteRule für die Weiterleitung der WebSocket-Verbindungen jeweils über WS und WSS. Hierbei verwendet FORMCYCLE standardmäßig die entsprechenden Ports des Servlet-Containers (WS-Port = HTTP-Port, WSS-Port = HTTPS-Port).
--Diese Konfiguration ist, ebenso wie die ggf. nötigen Einstellungen bei der Verwendung selbsterstellter Zertifikate, hier kurz veranschaulicht:
++Für die Einstellungen am Apache ist es notwendig die entsprechenden Module zu aktivieren. Folgende sind mindestens erforderlich:
++* proxy
++* proxy_http
++* proxy_wstunnel
++* rewrite
++Weiter Informationen zu den Modulen des Apaches finden Sie [[hier>>https://httpd.apache.org/docs/current/mod/||rel="noopener noreferrer" target="_blank"]].
++
++Die oben erläuterte Konfiguration ist, ebenso wie die ggf. nötigen Einstellungen bei der Verwendung selbsterstellter Zertifikate, hier kurz veranschaulicht:
++
++
  {{code language="none"}}
  <VirtualHost www.example.com:80>
          ...
@@ -71,50 +71,4 @@
  </IfModule>
  {{/code}}
--== Verwenden von //X-Forwarded// Headern für unverschlüsselte Kommunikation ==
--
--Wenn der zwischengeschaltete Server das Senden von //X-Forwarded// Headern unterstützt und der {{formcycle/}} hostetende Servlet-Container diese Header auswerten kann, kann die Kommunikation zwischen zwischengeschaltetem Server und {{formcycle/}} auch über ein anderes Protokoll erfolgen. Sowohl beim vorgeschalteten Server als auch beim Servlet-Container muss das Verwenden dieser Header konfiguriert sein. Nähere Informationen zur Konfiguration finden sich in der Dokumentation des jeweiligen Produktes.
--
--=== Konfigurationsbeispiele ===
--
--Im //Apache// kann das Mitsenden der entsprechenden Header in den für den Reverse-Proxy zuständigen //VirtualHost//s beispielsweise wie folgt konfiguriert werden:
--
--{{code language="none"}}
--//HTTP
--RequestHeader set X-Forwarded-Port "80"
--RequestHeader set X-Forwarded-Proto "http"
--
--//HTTPS
--RequestHeader set X-Forwarded-Port "443"
--RequestHeader set X-Forwarded-Proto "https"
--{{/code}}
--
--Bei //nginx// kann für das Mitsenden der entsprechenden Header in der für den Reverse-Proxy zuständigen Sektion beispielsweise folgende Konfiguration verwendet werden:
--
--{{code language="none"}}
--proxy_pass http://127.0.0.1:8080/formcycle/;
--proxy_set_header Host $http_host;
--proxy_set_header x-real-ip $remote_addr;
--proxy_set_header x-forwarded-proto $scheme;
--{{/code}}
--
--{{velocity}}
--##We also have settings for various timeouts in Nginx:
--##proxy_connect_timeout 600;
--##proxy_send_timeout 600;
--##proxy_read_timeout 600;
--{{/velocity}}
--
--Für //Apache Tomcat//-Server muss für das Auswerten der mitgesendeten //X-Forwarded//-Header in der {{code language="none"}}server.xml{{/code}} innerhalb der //Catalina//-Engine der folgende Valve-Eintrag eingefügt werden:
--
--{{code language="none"}}
--<Engine......
-- <Valve className="org.apache.catalina.valves.RemoteIpValve"
--  internalProxies="<IP's der vertrauenswürdigen Proxy-Server>"
--  remoteIpHeader="x-forwarded-for"
--  protocolHeader="x-forwarded-proto"
--  protocolHeaderHttpsValue="https" ></Engine>
--</Engine>
--{{/code}}
--
--**Hinweis:** Sollte die Konfiguration der //X-Forwarded//-Header nicht greifen, so ist es unter Umständen notwendig in der Eigenschaft //internalProxies// die IP's der vertrauenswürdigen Proxy-Server zu konfigurieren. Erwartet wird hier eine oder mehrere IP-Adresse(n) oder ein IP-Adressbereich welcher mittels regulären Ausdrucks (z.B.: 169\.254\.\d{1,3}\.\d{1,3}) definiert werden kann.
++==   ==