Änderungen von Dokument Betrieb hinter Proxy/Load-Balancer o.ä.

Von 6.1 nach 5.1 Von 9.2 nach 9.1

Von Version 9.1

bearbeitet von sas
am 01.06.2022, 16:02

Änderungskommentar: Es gibt keinen Kommentar für diese Version

Auf Version 6.1

bearbeitet von sas
am 28.03.2022, 11:25

Änderungskommentar: Zurück zur Version 4.1

Rohform
Im Layout

Zusammenfassung

Seiteneigenschaften (1 geändert, 0 hinzugefügt, 0 gelöscht)

Details

Seiteneigenschaften

Inhalt

@@ -1,5 +3,3 @@
--{{content/}}
--
  Sollte der Anwendungsserver (z.B. Apache Tomcat), auf welchem {{formcycle/}} installiert ist, hinter einem weiteren Server wie z.B. einem Revers-Proxy, einem Load-Balancer oder ähnlichem betrieben werden, ist zu beachten, dass die Informationen eines Aufrufs unverändert an diesen übermittelt werden. Konkret bedeutet dies, dass sowohl der //Host//-Header als auch das verwendete Protokoll durch die zwischengeschalteten Server unverändert weitergereicht werden müssen. In den meisten Standardkonfigurationen ist dies jedoch nicht der Fall, da die Anfragen vom zwischengeschalteten Server entgegengenommen und als neue Anfrage an den Anwendungsserver gestellt werden.
  {{figure image="proxy_de.jpg"}}
@@ -84,49 +84,20 @@
  == Verwenden von //X-Forwarded// Headern für unverschlüsselte Kommunikation ==
--Wenn der zwischengeschaltete Server das Senden von //X-Forwarded// Headern unterstützt und der {{formcycle/}} hostetende Servlet-Container (z.B. Tomcat) diese Header auswerten kann, ist es möglich die Kommunikation von zwischengeschaltetem Server und {{formcycle/}} auch über ein anderes Protokoll zu konfigurieren. Sowohl beim vorgeschalteten Server als auch beim Servlet-Container muss das Verwenden dieser Header konfiguriert sein. Nähere Informationen zur Konfiguration finden sich in der Dokumentation des jeweiligen Produktes. Bei dieser Variante ist es nicht mehr notwendig im Tomcat Zertifikate zu hinterlegen. Es folgen hier zwei Konfigurationsbespiele für //Apache //und //nginx//.
++Wenn der zwischengeschaltete Server das Senden von //X-Forwarded// Headern unterstützt und der {{formcycle/}} hostetende Servlet-Container diese Header auswerten kann, kann die Kommunikation zwischen zwischengeschaltetem Server und {{formcycle/}} auch über ein anderes Protokoll erfolgen. Sowohl beim vorgeschalteten Server als auch beim Servlet-Container muss das Verwenden dieser Header konfiguriert sein. Nähere Informationen zur Konfiguration finden sich in der Dokumentation des jeweiligen Produktes.
  === Konfigurationsbeispiele ===
--Im //Apache// kann das Mitsenden der entsprechenden Header in den für den Reverse-Proxy zuständigen //VirtualHosts// beispielsweise wie folgt konfiguriert werden:
++Im //Apache// kann das Mitsenden der entsprechenden Header in den für den Reverse-Proxy zuständigen //VirtualHost//s beispielsweise wie folgt konfiguriert werden:
  {{code language="none"}}
--<VirtualHost www.example.com:80>
--        ...
--        RequestHeader set X-Forwarded-Port "80"
--        RequestHeader set X-Forwarded-Proto "http"
--        ...
--        # Weiterleitung über HTTP
--        ProxyPass / http://192.168.0.1/
--        ProxyPassReverse / http://192.168.0.1/
--        ...
--        # Weiterleitung der WebSocket-Verbindung über WS
--        RewriteEngine on
--        RewriteCond %{HTTP:Upgrade} websocket [NC]
--        RewriteCond %{HTTP:Connection} upgrade [NC]
--        RewriteRule ^/?(.*) "ws://192.168.0.1:80/$1" [P,L]
--</VirtualHost>
++//HTTP
++RequestHeader set X-Forwarded-Port "80"
++RequestHeader set X-Forwarded-Proto "http"
--<IfModule mod_ssl.c>
--    <VirtualHost www.example.com:443>
--        ...
--        SSLEngine on
--        SSLProxyEngine On
--        ...
--        RequestHeader set X-Forwarded-Port "443"
--        RequestHeader set X-Forwarded-Proto "https"
--        ...
--        # Weiterleitung über HTTPS
--        ProxyPass / http://192.168.0.1/
--        ProxyPassReverse / http://192.168.0.1/
--        ...
--        # Weiterleitung der gesicherten WebSocket-Verbindung über WSS
--        RewriteEngine on
--        RewriteCond %{HTTP:Upgrade} websocket [NC]
--        RewriteCond %{HTTP:Connection} upgrade [NC]
--        RewriteRule ^/?(.*) "wss://192.168.0.1:443/$1" [P,L]
--    </VirtualHost>
--</IfModule>
++//HTTPS
++RequestHeader set X-Forwarded-Port "443"
++RequestHeader set X-Forwarded-Proto "https"
  {{/code}}
  Bei //nginx// kann für das Mitsenden der entsprechenden Header in der für den Reverse-Proxy zuständigen Sektion beispielsweise folgende Konfiguration verwendet werden:
@@ -150,7 +150,7 @@
  {{code language="none"}}
  <Engine......
   <Valve className="org.apache.catalina.valves.RemoteIpValve"
--  internalProxies="<optionale Angabe, siehe unten>"
++  internalProxies="<IP's der vertrauenswürdigen Proxy-Server>"
    remoteIpHeader="x-forwarded-for"
    protocolHeader="x-forwarded-proto"
    protocolHeaderHttpsValue="https" />
@@ -157,4 +157,4 @@
  </Engine>
  {{/code}}
--Der Default für den Parameter [[//internalProxies //>>https://tomcat.apache.org/tomcat-9.0-doc/api/org/apache/catalina/filters/RemoteIpFilter.html||rel="noopener noreferrer" target="_blank"]]ist //10/8, 192.168/16, 169.254/16, 127/8, 172.16/12, and 0:0:0:0:0:0:0:1//. Falls die IP(s) des vertrauenswürdigen Proxy-Server nicht damit abgedeckt sind, müssenn diese in Form eines Regulären Ausdrucks angegeben werden. Erwartet wird hier eine oder mehrere IP-Adressen (z.B.: 192\.168\.0\.10|192\.168\.0\.11) oder ein IP-Adressbereich, welcher mittels regulären Ausdrucks (z.B.: 169\.254\.\d{1,3}\.\d{1,3}) definiert werden kann.
++**Hinweis:** Sollte die Konfiguration der //X-Forwarded//-Header nicht greifen, so ist es unter Umständen notwendig in der Eigenschaft //internalProxies// die IP's der vertrauenswürdigen Proxy-Server zu konfigurieren. Erwartet wird hier eine oder mehrere IP-Adressen (z.B.: 192\.168\.0\.10|192\.168\.0\.11) oder ein IP-Adressbereich, welcher mittels regulären Ausdrucks (z.B.: 169\.254\.\d{1,3}\.\d{1,3}) definiert werden kann.