Betrieb hinter Proxy/Load-Balancer o.ä.

Sollte der Anwendungsserver (z.B. Apache Tomcat), auf welchem {{formcycle/}} installiert ist, hinter einem weiteren Server wie z.B. einem Revers-Proxy, einem Load-Balancer oder ähnlichem betrieben werden, ist zu beachten, dass die Informationen eines Aufrufs unverändert an diesen übermittelt werden. Konkret bedeutet dies, dass sowohl der //Host//-Header als auch das verwendete Protokoll durch die zwischengeschalteten Server unverändert weitergereicht werden müssen. In den meisten Standardkonfigurationen ist dies jedoch nicht der Fall, da die Anfragen vom zwischengeschalteten Server entgegengenommen und als neue Anfrage an den Anwendungsserver gestellt werden.

4

5

6

Manipulation des Hosts und des Protokolls durch einen Revers-Proxy.

7

8

9

Der problematische Ablauf (siehe Abbildung) ist hierbei folgender:

10

11

1. Der Benutzer ruft die URL {{code language="none"}}https://www.example.com/formcycle{{/code}} auf.

12

1. Die Anfrage wird vom zwischengeschalteten Server entgegengenommen und interpretiert.

13

1. Der zwischengeschaltete Server stellt eine neue Anfrage an den dafür vorgesehenen Server. Da hier jedoch ein interner Aufruf stattfindet, kommt es zur Änderung der Aufruf-URL zu {{code language="none"}}http://192.168.0.1/formcycle{{/code}}. Diese URL kommt nun beim Anwendungsserver an und beinhaltet nicht mehr die benötigten Informationen welche URL vom Benutzer eigentlich aufgerufen wurde.

14

15

16

Da {{formcycle/}} vor allem bei der Anmeldung an einem Formular die ursprüngliche Aufruf-URL des Benutzers interpretiert und diese ggf. nicht ermittelt werden kann, ist es nötig, zwischengeschaltete Server entsprechend zu konfigurieren. Hierbei ist darauf zu achten, dass sowohl der HTTP-Header //Host// als auch das verwendete Protokoll (//HTTP //oder //HTTPS//) unverändert weitergereicht werden. Ebenso muss das korrekte Weiterleiten von WebSocket-Verbindungen gewährleistet werden. Als Alternative zu den konkreten Protokollen kann der zwischengeschaltete Server ebenso über //X-Forwarded// Header mitteilen, welches Protokoll die Anfrage ursprünglich verwendet hat.

17

18

19

== Beispielkonfiguration Apache ==

20

21

Für die korrekte Konfiguration eines Apache-Server, welcher als Revers-Proxy agiert, sind drei Punkte relevant und z.B. in der Konfiguration der VirtualHost´s zu hinterlegen:

22

23

1. Die Anweisung {{code language="none"}}ProxyPreserveHost On{{/code}} zum Erhalt des ursprünglich aufgerufenen //Host//-Headers

24

1. Die Separierung der einzelnen Protokolle und deren Verwendung bei der Weiterleitung zum Anwendungsserver. Dies bedeutet, dass für //HTTP// und //HTTPS// ein eigener VirtualHost mit entsprechender Konfiguration benutzt werden muss.

25

1. Konfiguration der bedingten RewriteRule für die Weiterleitung der WebSocket-Verbindungen jeweils über WS und WSS. Hierbei verwendet FORMCYCLE standardmäßig die entsprechenden Ports des Servlet-Containers (WS-Port = HTTP-Port, WSS-Port = HTTPS-Port).

26

27

Für die Einstellungen am Apache ist es notwendig die entsprechenden Module zu aktivieren. Folgende sind mindestens erforderlich:

* proxy

* proxy_http

* proxy_wstunnel

* rewrite

Weiter Informationen zu den Modulen des Apaches finden Sie [[hier>>https://httpd.apache.org/docs/current/mod/||rel="noopener noreferrer" target="_blank"]].

35

36

Die oben erläuterte Konfiguration ist, ebenso wie die ggf. nötigen Einstellungen bei der Verwendung selbsterstellter Zertifikate, hier kurz veranschaulicht:

...

# Aktiviert das Erhalten des ursprünglich aufgerufenen Hosts bis zum Anwendungsserver.

43

ProxyPreserveHost On

44

...

45

# Weiterleitung über HTTP

46

ProxyPass / http://192.168.0.1/

47

ProxyPassReverse / http://192.168.0.1/

48

...

49

# Weiterleitung der WebSocket-Verbindung über WS

50

RewriteEngine on

51

RewriteCond %{HTTP:Upgrade} websocket [NC]

52

RewriteCond %{HTTP:Connection} upgrade [NC]

53

RewriteRule ^/?(.*) "ws://192.168.0.1:80/$1" [P,L]

</VirtualHost>

...

SSLEngine on

SSLProxyEngine On

...

# Aktiviert das Erhalten des ursprünglich aufgerufenen Hosts bis zum Anwendungsserver.

63

ProxyPreserveHost On

64

65

# Deaktiviert falls nötig die Prüfung des Zertifikats des Anwendungsserver.

66

# Nötig falls es sich um selbsterstelle Zertifikate handelt.

67

SSLProxyVerify none

68

SSLProxyCheckPeerCN off

69

SSLProxyCheckPeerName off

70

SSLProxyCheckPeerExpire off

71

...

72

# Weiterleitung über HTTPS

73

ProxyPass / https://192.168.0.1/

74

ProxyPassReverse / https://192.168.0.1/

75

...

76

# Weiterleitung der gesicherten WebSocket-Verbindung über WSS

77

RewriteEngine on

78

RewriteCond %{HTTP:Upgrade} websocket [NC]

79

RewriteCond %{HTTP:Connection} upgrade [NC]

80

RewriteRule ^/?(.*) "wss://192.168.0.1:443/$1" [P,L]

</VirtualHost>

</IfModule>

== Verwenden von //X-Forwarded// Headern für unverschlüsselte Kommunikation ==

86

87

Wenn der zwischengeschaltete Server das Senden von //X-Forwarded// Headern unterstützt und der {{formcycle/}} hostetende Servlet-Container diese Header auswerten kann, kann die Kommunikation zwischen zwischengeschaltetem Server und {{formcycle/}} auch über ein anderes Protokoll erfolgen. Sowohl beim vorgeschalteten Server als auch beim Servlet-Container muss das Verwenden dieser Header konfiguriert sein. Nähere Informationen zur Konfiguration finden sich in der Dokumentation des jeweiligen Produktes.

88

89

=== Konfigurationsbeispiele ===

90

91

Im //Apache// kann das Mitsenden der entsprechenden Header in den für den Reverse-Proxy zuständigen //VirtualHost//s beispielsweise wie folgt konfiguriert werden:

//HTTP

RequestHeader set X-Forwarded-Port "80"

96

RequestHeader set X-Forwarded-Proto "http"

97

98

//HTTPS

99

RequestHeader set X-Forwarded-Port "443"

100

RequestHeader set X-Forwarded-Proto "https"

101

102

103

Bei //nginx// kann für das Mitsenden der entsprechenden Header in der für den Reverse-Proxy zuständigen Sektion beispielsweise folgende Konfiguration verwendet werden:

104

105

106

proxy_pass http://127.0.0.1:8080/formcycle/;

107

proxy_set_header Host $http_host;

108

proxy_set_header x-real-ip $remote_addr;

109

proxy_set_header x-forwarded-proto $scheme;

##We also have settings for various timeouts in Nginx:

114

##proxy_connect_timeout 600;

115

##proxy_send_timeout 600;

116

##proxy_read_timeout 600;

117

118

119

Für //Apache Tomcat//-Server muss für das Auswerten der mitgesendeten //X-Forwarded//-Header in der {{code language="none"}}server.xml{{/code}} innerhalb der //Catalina//-Engine der folgende Valve-Eintrag eingefügt werden:

<Engine......

<Valve className="org.apache.catalina.valves.RemoteIpValve"

124

internalProxies="<IP's der vertrauenswürdigen Proxy-Server>"

125

remoteIpHeader="x-forwarded-for"

126

protocolHeader="x-forwarded-proto"

127

protocolHeaderHttpsValue="https" />

</Engine>

**Hinweis:** Sollte die Konfiguration der //X-Forwarded//-Header nicht greifen, so ist es unter Umständen notwendig in der Eigenschaft //internalProxies// die IP's der vertrauenswürdigen Proxy-Server zu konfigurieren. Erwartet wird hier eine oder mehrere IP-Adressen (z.B.: 192\.168\.0\.10|192\.168\.0\.11) oder ein IP-Adressbereich, welcher mittels regulären Ausdrucks (z.B.: 169\.254\.\d{1,3}\.\d{1,3}) definiert werden kann.

Wiki-Quellcode von Betrieb hinter Proxy/Load-Balancer o.ä.

Navigation

author	version	line-number	content
		1	{{content/}}
		2
		3	Sollte der Anwendungsserver (z.B. Apache Tomcat), auf welchem {{formcycle/}} installiert ist, hinter einem weiteren Server wie z.B. einem Revers-Proxy, einem Load-Balancer oder ähnlichem betrieben werden, ist zu beachten, dass die Informationen eines Aufrufs unverändert an diesen übermittelt werden. Konkret bedeutet dies, dass sowohl der //Host//-Header als auch das verwendete Protokoll durch die zwischengeschalteten Server unverändert weitergereicht werden müssen. In den meisten Standardkonfigurationen ist dies jedoch nicht der Fall, da die Anfragen vom zwischengeschalteten Server entgegengenommen und als neue Anfrage an den Anwendungsserver gestellt werden.
		4
		5	{{figure image="proxy_de.jpg"}}
		6	Manipulation des Hosts und des Protokolls durch einen Revers-Proxy.
		7	{{/figure}}
		8
		9	Der problematische Ablauf (siehe Abbildung) ist hierbei folgender:
		10
		11	1. Der Benutzer ruft die URL {{code language="none"}}https://www.example.com/formcycle{{/code}} auf.
		12	1. Die Anfrage wird vom zwischengeschalteten Server entgegengenommen und interpretiert.
		13	1. Der zwischengeschaltete Server stellt eine neue Anfrage an den dafür vorgesehenen Server. Da hier jedoch ein interner Aufruf stattfindet, kommt es zur Änderung der Aufruf-URL zu {{code language="none"}}http://192.168.0.1/formcycle{{/code}}. Diese URL kommt nun beim Anwendungsserver an und beinhaltet nicht mehr die benötigten Informationen welche URL vom Benutzer eigentlich aufgerufen wurde.
		14
		15	{{info}}
		16	Da {{formcycle/}} vor allem bei der Anmeldung an einem Formular die ursprüngliche Aufruf-URL des Benutzers interpretiert und diese ggf. nicht ermittelt werden kann, ist es nötig, zwischengeschaltete Server entsprechend zu konfigurieren. Hierbei ist darauf zu achten, dass sowohl der HTTP-Header //Host// als auch das verwendete Protokoll (//HTTP //oder //HTTPS//) unverändert weitergereicht werden. Ebenso muss das korrekte Weiterleiten von WebSocket-Verbindungen gewährleistet werden. Als Alternative zu den konkreten Protokollen kann der zwischengeschaltete Server ebenso über //X-Forwarded// Header mitteilen, welches Protokoll die Anfrage ursprünglich verwendet hat.
		17	{{/info}}
		18
		19	== Beispielkonfiguration Apache ==
		20
		21	Für die korrekte Konfiguration eines Apache-Server, welcher als Revers-Proxy agiert, sind drei Punkte relevant und z.B. in der Konfiguration der VirtualHost´s zu hinterlegen:
		22
		23	1. Die Anweisung {{code language="none"}}ProxyPreserveHost On{{/code}} zum Erhalt des ursprünglich aufgerufenen //Host//-Headers
		24	1. Die Separierung der einzelnen Protokolle und deren Verwendung bei der Weiterleitung zum Anwendungsserver. Dies bedeutet, dass für //HTTP// und //HTTPS// ein eigener VirtualHost mit entsprechender Konfiguration benutzt werden muss.
		25	1. Konfiguration der bedingten RewriteRule für die Weiterleitung der WebSocket-Verbindungen jeweils über WS und WSS. Hierbei verwendet FORMCYCLE standardmäßig die entsprechenden Ports des Servlet-Containers (WS-Port = HTTP-Port, WSS-Port = HTTPS-Port).
		26
		27	Für die Einstellungen am Apache ist es notwendig die entsprechenden Module zu aktivieren. Folgende sind mindestens erforderlich:
		28
		29	* proxy
		30	* proxy_http
		31	* proxy_wstunnel
		32	* rewrite
		33
		34	Weiter Informationen zu den Modulen des Apaches finden Sie [[hier>>https://httpd.apache.org/docs/current/mod/\|\|rel="noopener noreferrer" target="_blank"]].
		35
		36	Die oben erläuterte Konfiguration ist, ebenso wie die ggf. nötigen Einstellungen bei der Verwendung selbsterstellter Zertifikate, hier kurz veranschaulicht:
		37
		38
		39	{{code language="none"}}
		40	<VirtualHost www.example.com:80>
		41	...
		42	# Aktiviert das Erhalten des ursprünglich aufgerufenen Hosts bis zum Anwendungsserver.
		43	ProxyPreserveHost On
		44	...
		45	# Weiterleitung über HTTP
		46	ProxyPass / http://192.168.0.1/
		47	ProxyPassReverse / http://192.168.0.1/
		48	...
		49	# Weiterleitung der WebSocket-Verbindung über WS
		50	RewriteEngine on
		51	RewriteCond %{HTTP:Upgrade} websocket [NC]
		52	RewriteCond %{HTTP:Connection} upgrade [NC]
		53	RewriteRule ^/?(.*) "ws://192.168.0.1:80/$1" [P,L]
		54	</VirtualHost>
		55
		56	<IfModule mod_ssl.c>
		57	<VirtualHost www.example.com:443>
		58	...
		59	SSLEngine on
		60	SSLProxyEngine On
		61	...
		62	# Aktiviert das Erhalten des ursprünglich aufgerufenen Hosts bis zum Anwendungsserver.
		63	ProxyPreserveHost On
		64
		65	# Deaktiviert falls nötig die Prüfung des Zertifikats des Anwendungsserver.
		66	# Nötig falls es sich um selbsterstelle Zertifikate handelt.
		67	SSLProxyVerify none
		68	SSLProxyCheckPeerCN off
		69	SSLProxyCheckPeerName off
		70	SSLProxyCheckPeerExpire off
		71	...
		72	# Weiterleitung über HTTPS
		73	ProxyPass / https://192.168.0.1/
		74	ProxyPassReverse / https://192.168.0.1/
		75	...
		76	# Weiterleitung der gesicherten WebSocket-Verbindung über WSS
		77	RewriteEngine on
		78	RewriteCond %{HTTP:Upgrade} websocket [NC]
		79	RewriteCond %{HTTP:Connection} upgrade [NC]
		80	RewriteRule ^/?(.*) "wss://192.168.0.1:443/$1" [P,L]
		81	</VirtualHost>
		82	</IfModule>
		83	{{/code}}
		84
		85	== Verwenden von //X-Forwarded// Headern für unverschlüsselte Kommunikation ==
		86
		87	Wenn der zwischengeschaltete Server das Senden von //X-Forwarded// Headern unterstützt und der {{formcycle/}} hostetende Servlet-Container diese Header auswerten kann, kann die Kommunikation zwischen zwischengeschaltetem Server und {{formcycle/}} auch über ein anderes Protokoll erfolgen. Sowohl beim vorgeschalteten Server als auch beim Servlet-Container muss das Verwenden dieser Header konfiguriert sein. Nähere Informationen zur Konfiguration finden sich in der Dokumentation des jeweiligen Produktes.
		88
		89	=== Konfigurationsbeispiele ===
		90
		91	Im //Apache// kann das Mitsenden der entsprechenden Header in den für den Reverse-Proxy zuständigen //VirtualHost//s beispielsweise wie folgt konfiguriert werden:
		92
		93	{{code language="none"}}
		94	//HTTP
		95	RequestHeader set X-Forwarded-Port "80"
		96	RequestHeader set X-Forwarded-Proto "http"
		97
		98	//HTTPS
		99	RequestHeader set X-Forwarded-Port "443"
		100	RequestHeader set X-Forwarded-Proto "https"
		101	{{/code}}
		102
		103	Bei //nginx// kann für das Mitsenden der entsprechenden Header in der für den Reverse-Proxy zuständigen Sektion beispielsweise folgende Konfiguration verwendet werden:
		104
		105	{{code language="none"}}
		106	proxy_pass http://127.0.0.1:8080/formcycle/;
		107	proxy_set_header Host $http_host;
		108	proxy_set_header x-real-ip $remote_addr;
		109	proxy_set_header x-forwarded-proto $scheme;
		110	{{/code}}
		111
		112	{{velocity}}
		113	##We also have settings for various timeouts in Nginx:
		114	##proxy_connect_timeout 600;
		115	##proxy_send_timeout 600;
		116	##proxy_read_timeout 600;
		117	{{/velocity}}
		118
		119	Für //Apache Tomcat//-Server muss für das Auswerten der mitgesendeten //X-Forwarded//-Header in der {{code language="none"}}server.xml{{/code}} innerhalb der //Catalina//-Engine der folgende Valve-Eintrag eingefügt werden:
		120
		121	{{code language="none"}}
		122	<Engine......
		123	<Valve className="org.apache.catalina.valves.RemoteIpValve"
		124	internalProxies="<IP's der vertrauenswürdigen Proxy-Server>"
		125	remoteIpHeader="x-forwarded-for"
		126	protocolHeader="x-forwarded-proto"
		127	protocolHeaderHttpsValue="https" />
		128	</Engine>
		129	{{/code}}
		130
		131	Hinweis: Sollte die Konfiguration der //X-Forwarded//-Header nicht greifen, so ist es unter Umständen notwendig in der Eigenschaft //internalProxies// die IP's der vertrauenswürdigen Proxy-Server zu konfigurieren. Erwartet wird hier eine oder mehrere IP-Adressen (z.B.: 192\.168\.0\.10\|192\.168\.0\.11) oder ein IP-Adressbereich, welcher mittels regulären Ausdrucks (z.B.: 169\.254\.\d{1,3}\.\d{1,3}) definiert werden kann.