Perguntas[reverse-proxy](server)

Todos.

Tenho o seguinte arquivo de configuração:

frontend devopsdb
  bind    *:8080
  acl grafana_path path_beg /grafana/
  use_backend back_grafana if grafana_path 

backend back_grafana
  server grafana-dev 10.152.183.155:80 

O que preciso é que quando eu acessar a url (172.21.10.76 é minha VM de teste e onde está o HAProxy): http://172.21.10.76:8080/grafana/ ela seja redirecionada para o POD grafana: 10.152.183.155:80

Até agora tudo bem, funciona.

Mas assim que ele é redirecionado, o caminho /grafana/ desaparece da URL e é por isso que o HAProxy para de redirecionar... - http://172.21.10.76:8080/login

É possível manter /grafana/ de alguma forma pelo HAProxy?

O mesmo acontecerá com outro POD /prometheus/

Estou tentando descobrir a melhor abordagem para lidar com solicitações externas. Estou trabalhando em um sistema em que o aplicativo está atualmente do lado de fora (DMZ) e o BD está dentro. A porta específica necessária para acesso ao BD foi aberta da máquina DMZ para a máquina BD.

Após discutir com minha equipe, concordamos que a DMZ não deveria se conectar diretamente ao DB. Após mais discussões, selecionamos as duas abordagens a seguir como possíveis soluções.

Para mim, ambos parecem ser iguais no que diz respeito à segurança, já que temos os mesmos protocolos de comunicação sendo usados ​​e o mesmo número de camadas.

Meu entendimento está correto? Se sim, seria Ba opção mais lógica? Asignificaria que temos um serviço de acesso a dados personalizado que lida com solicitações do APPe lê/grava dados.

Por fim, se optarmos por B, seria recomendável que ainda usássemos o , Data Access Servicemas seria interno (ou seja APP -> Data Access Service -> DB)

Estou configurando meu domínio e quero configurar o HAProxy como proxy reverso para todos os meus subdomínios. De alguma forma, configurei isso incorretamente e não tenho absolutamente nenhuma ideia do que está errado. Aqui está minha configuração completa do HAProxy:

global
    log /dev/log    local0
    log /dev/log    local1 notice
    chroot /var/lib/haproxy
    stats socket /run/haproxy/admin.sock mode 660 level admin
    stats timeout 30s
    user haproxy
    group haproxy
    daemon

    # Default SSL material locations
    ca-base /etc/ssl/certs
    crt-base /etc/ssl/private

    # See: https://ssl-config.mozilla.org/#server=haproxy&server-version=2.0.3&config=intermediate
    ssl-default-bind-ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POL>
    ssl-default-bind-ciphersuites TLS_AES_128_GCM_SHA256:TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256
    ssl-default-bind-options ssl-min-ver TLSv1.2 no-tls-tickets

defaults
        log     global
        mode    http
        option  httplog
        option  dontlognull
        timeout connect 5000
        timeout client  50000
        timeout server  50000
        errorfile 400 /etc/haproxy/errors/400.http
        errorfile 403 /etc/haproxy/errors/403.http
        errorfile 408 /etc/haproxy/errors/408.http
        errorfile 500 /etc/haproxy/errors/500.http
        errorfile 502 /etc/haproxy/errors/502.http
        errorfile 503 /etc/haproxy/errors/503.http
        errorfile 504 /etc/haproxy/errors/504.http

frontend http-in
    bind *:80
    acl subhome hdr_sub(host) -i homeassistant.exampledomain.com

    use_backend habackend if subhome

backend habackend
    mode http
    option forwardfor
    server homeassistant 192.168.5.1:8123

O próprio HAProxy está definitivamente funcionando, pois quando tento acessar a raiz do meu domínio, ele me dá um serviço 503 indisponível (como deveria), mas quando tento acessar o subdomínio, ele simplesmente não retorna nada.

Existe alguma solução não apenas para proxy NTLM, mas para converter HTTP Basic Auth no lado de entrada para NTLM no lado de saída?

Histórico : um servidor interno do SharePoint usando NTLM Auth deve ser acessível por meio de um proxy reverso Apache. O problema é que o NTLM tem estado e o mod_proxy não consegue lidar com isso. Agora, o Apache com mod_proxy poderia apenas fornecer autenticação básica (e autenticar por meio de um arquivo passwd ou similar) e proxy para outro tradutor interno de autenticação básica para NTLM. Isso apenas lê nossas credenciais de autenticação http e as passa para o servidor SharePoint.

Eu tenho um VMWare Unified Access Gateway Appliance v3.10 que estou usando como servidor proxy reverso.

O proxy reverso está funcionando muito bem, mas escuta apenas a porta 443 no lado da interface externa.

Eu gostaria de fazer o proxy reverso da porta 3000. Ou seja, eu gostaria de
https://uag.mydomain.com/ fazer o proxy reverso para https://internal.mydomain.com/
E
https://uag.mydomain.com:3000/ o proxy reverso parahttps://internal.mydomain.com:3000/

A parte interna funciona bem. A questão é: como posso (ou posso?) fazer com que o UAG escute a porta 3000?

Obrigado.

ATUALIZAR

Aqui está minha configuração (pelo menos as partes que não estão completamente vazias). Não é muito assim.

Proxy Destination URL   https://internal.mydomain.com:3000
External URL            https://uag.mydomain.com:3000
Proxy Pattern           /.*

Observe que não há /no final de nenhum dos URLs. Deixei de fora "Proxy Host Pattern" porque ambos os proxies estão usando o mesmo nome de host e tive medo de que um ultrapassasse o outro.

Quando o UAG tenta se conectar à sua própria porta 3000, recebo

root@uag-7a17d053-0619-41f3-ae74-5d75879b8ea6 [ ~ ]# curl -kI https://localhost:3000/
curl: (7) Failed to connect to localhost port 3000: Connection refused

mesmo que a porta 443 funcione bem

root@uag-7a17d053-0619-41f3-ae74-5d75879b8ea6 [ ~ ]# curl -kI https://localhost:443/
HTTP/1.1 200 OK

Tenho proxy reverso e vários servidores WebSocket por trás dele. Estou confuso se isso faz algum sentido do ponto de vista da escala, porque vejo assim:

1. O servidor WebSocket A tem 30.000 conexões ativas
2. O servidor WebSocket B tem 20.000 conexões ativas

Todas as conexões são através de proxy reverso. Então eu acho que meu proxy tem 50.000 conexões ativas, porque ele faz proxy de cada uma delas para o servidor WebSocket apropriado (ou talvez não funcione assim? Não tenho certeza)

Então, faz sentido reverter o proxy dos servidores WebSocket apenas do ponto de vista de escala e desempenho?

Eu tenho o OwnCloud rodando atrás de um proxy reverso nginx no meu servidor. Eu instalei através do docker-compose.yml, seguindo estas instruções: https://doc.owncloud.com/server/next/admin_manual/installation/docker/

Tudo funciona como eu esperava, exceto uma coisa. O link WebDav no canto inferior esquerdo mostra como http://localhost:9001/... e não o domínio real. Além disso, o botão Logout redireciona para localhost. Todo o resto funciona bem.

Aqui está uma imagem do meu problema:

Este é meu arquivo de configuração .env:

OWNCLOUD_VERSION=10.12
OWNCLOUD_DOMAIN=cloud.EXAMPLE.org
OWNCLOUD_TRUSTED_DOMAINS=cloud.EXAMPLE.org
ADMIN_USERNAME=admin
ADMIN_PASSWORD=REDACTED
HTTP_PORT=8080

Este é o meu proxy reverso:

server {
        server_name cloud.EXAMPLE.org;
        listen 443 ssl;
        location / {
                proxy_pass http://localhost:9001/;
        }

        ssl_certificate /etc/letsencrypt/live/EXAMPLE.de/fullchain.pem;
        ssl_certificate_key /etc/letsencrypt/live/EXAMPLE.de/privkey.pem;
}

Agradeço antecipadamente por sua ajuda!

Sou novo no proxypass, digamos que esta é a nossa configuração:

<IfModule mod_ssl.c>
<VirtualHost *:443>
        # The ServerName directive sets the request scheme, hostname and port that
        # the server uses to identify itself. This is used when creating
        # redirection URLs. In the context of virtual hosts, the ServerName
        # specifies what hostname must appear in the request's Host: header to
        # match this virtual host. For the default virtual host (this file) this
        # value is not decisive as it is used as a last resort host regardless.
        # However, you must set it for any further virtual host explicitly.
        #ServerName www.example.com

        ServerAdmin webmaster@localhost
        DocumentRoot /var/www/html

        # Available loglevels: trace8, ..., trace1, debug, info, notice, warn,
        # error, crit, alert, emerg.
        # It is also possible to configure the loglevel for particular
        # modules, e.g.
        #LogLevel info ssl:warn

        ErrorLog ${APACHE_LOG_DIR}/error.log
        CustomLog ${APACHE_LOG_DIR}/access.log combined

        # For most configuration files from conf-available/, which are
        # enabled or disabled at a global level, it is possible to
        # include a line for only one particular virtual host. For example the
        # following line enables the CGI configuration for this host only
        # after it has been globally disabled with "a2disconf".
        #Include conf-available/serve-cgi-bin.conf


ServerName www.xzos.net
Include /etc/letsencrypt/options-ssl-apache.conf
ServerAlias xzos.net
SSLCertificateFile /etc/letsencrypt/live/www.xzos.net/fullchain.pem
SSLCertificateKeyFile /etc/letsencrypt/live/www.xzos.net/privkey.pem

<LocationMatch "/ray/">
        ProxyPass ws://127.0.0.1:1080/ray/ upgrade=WebSocket
        ProxyAddHeaders Off
        ProxyPreserveHost On
        RequestHeader set Host %{HTTP_HOST}s
        RequestHeader set X-Forwarded-For %{REMOTE_ADDR}s
</LocationMatch>
</VirtualHost>
</IfModule

Uma vez que os fornecemos ao apache

SSLCertificateFile /etc/letsencrypt/live/www.xzos.net/fullchain.pem
SSLCertificateKeyFile /etc/letsencrypt/live/www.xzos.net/privkey.pem

Não precisamos usá-los no servidor websocket em execução ws://127.0.0.1:1080/ray/também, correto?

Mesmo que possamos fazer isso, mas o apache lida com isso, certo? e é redundante fazer isso duas vezes, especialmente porque este é um servidor local, eu acho. Acho que, se fizermos isso, ws://127.0.0.1:1080/ray/precisamos nos tornar wss://127.0.0.1:1080/ray/e, dentro desse servidor websocket, fornecer as mesmas chaves de certificado.

Estou tentando configurar a interface da web do FreeIPA para funcionar atrás da minha instância do HAProxy. Encontrei um GitHub Gist antigo para a configuração ( https://gist.github.com/m4ce/d081ab39654c3e13bbe8b150986526a3 ), bem como um artigo médio ( https://medium.com/@michalmedvecky/running-freeipa-behind-haproxy- 77620736698e ), mas em ambos os casos eles fazem uso do rspirepcomando, algo que não é mais suportado no HAProxy. Até agora consegui isso:

        balance roundrobin
        # Set cookie to ensure same server is used
        cookie SERVERID insert indirect nocache httponly secure

        # Modify headers
        http-request set-header Referer https://1.ipa.example.com/ipa

        # Set cookies domain
        acl hdr_set_cookie_dom_1 res.hdr(Set-cookie) -m sub Domain= 1.ipa.example.com
        http-response replace-header  Set-Cookie ^Domain=1\.ipa\.example\.com(.*)$  Domain=authenticate\.example\.com\1 if hdr_set_cookie_dom_1

        server 1.ipa 1.ipa.example.com:443 check ssl verify none cookie 1

Mas isso apenas resulta no redirecionamento do cliente authenticate.example.compara o 1.ipa.example.com.

Alguém tem um guia mais atualizado sobre como configurar isso ou alguma idéia sobre o que pode estar causando os problemas?

estou tentando fechar a porta com autenticação básica (para pushgateway do prometheus), então não sou um grande especialista em nginx, então alguém poderia me dar um conselho onde estou errado?

Eu tenho a porta 9091, que deve ser fechada por fora na frente do auth. Esta porta está sendo usada pelo pushgateway

Minha configuração atual do nginx:

events { }
http {
upstream prometheus {
      server 127.0.0.1:9090;
      keepalive 64;
}

upstream pushgateway {
      server 127.0.0.1:9091;
      keepalive 64;
}

server {
      root /var/www/example;
      listen 0.0.0.0:80;
      server_name __;      
      location / {
            auth_basic "Prometheus server authentication2";
            auth_basic_user_file /etc/nginx/.htpasswd;
            proxy_pass http://prometheus;
      }  
}


server {
      root /var/www/example;
      listen 0.0.0.0:3001;          
      server_name __;      
      location / {
            auth_basic "Pushgateway server authentication";
            auth_basic_user_file /etc/nginx/.htpasswd;
            proxy_pass http://pushgateway;
      } 
}
}

Portanto, a autenticação básica funciona bem para :3001, mas 9091 ainda está aberto. Tentei mudar da seguinte forma:

   server {
      root /var/www/example;
      listen 0.0.0.0:3001;
      listen 0.0.0.0:9091;
      server_name __;      
      location / {
            auth_basic "Pushgateway server authentication";
            auth_basic_user_file /etc/nginx/.htpasswd;
            proxy_pass http://pushgateway;
      } 
}

E funciona bem, mas ... o pushgateway não pode começar tentando ouvir :9091 e jogando "bind:address já está em uso". Como posso evitá-lo e ocultar o pushgateway na frente do nginx?

Configuração do Pushgatewa:

ExecStart=/usr/local/bin/pushgateway --web.listen-address=":9091" --web.telemetry-path="/metrics"  --persistence.file="/tmp/metric.store"  --persistence.interval=5m --log.level="info" --log.format="logger:stdout?json=true"