主页 / server / 问题 / 1149037
Accepted
vrao
Asked: 2023-12-04 05:03:31 +0800 CST

为同一服务器上的两个不同应用程序配置 SSL:Web 服务器和 python

  • 772

我想使用 Flask 在端口 443 上为 Web 服务器https://www.domainname.com和 python REST api 服务器https://mgmt.domainname.com运行 SSL 。我已经配置了 Apache SSL 并且它在 443 上运行。我从 Flask 运行了一个简单的 python 程序

import Flask
app = Flask(__name__)

@app.route('/')
def home():
    return 'Howdy world!'

if __name__ == "__main__":
    app.run(ssl_context='adhoc')

输出:

* Serving Flask app 'backend2'
* Debug mode: off
WARNING: This is a development server. Do not use it in a production deployment. Use a production WSGI server instead.
* Running on https://127.0.0.1:5000

启用以下功能:

sudo a2enmod proxy
sudo a2enmod proxy_http
sudo a2enmod proxy_balancer
sudo a2enmod lbmethod_byrequests
sudo systemctl restart apache2

问题:

  1. Web服务器和Python程序都可以监听443吗?唯一的区别是 Web 服务器和 REST api 的单独 URL。我读到我需要实现 Apache mod_ssl。因此,修改现有的 /etc/apache2/sites-available/default-ssl.conf 文件以进行反向代理

         <IfModule mod_ssl.c>
     <VirtualHost _default_:443>
     DocumentRoot /srv/www/wordpress
     ServerName www.domain-name.com
     SSLEngine on
     SSLCertificateFile /root/cert/domainname.com.crt
     SSLCertificateKeyFile /root/cert/domainname.com.key

     ProxyPreserveHost On
     ProxyPass / http://IPAddr:443/
     ProxyPassReverse / http://IPAddr:443/
     </VirtualHost>
     </IfModule>

不知道反向代理的这个修改是否足够好或者还需要做什么?

  1. 我应该使用以下代码修改 WSGI 服务器:

    import wsgiserver

def my_app(environ, start_response):
status = '200 OK'
response_headers = [('Content-type','text/plain')]
start_response(status, response_headers)
return ['WSGIserver is running!']
server = wsgiserver.WSGIServer(my_app, certfile='cert.pem', keyfile='privkey.pem')
server.start()

另外,REST api 应该能够根据 URL 查询路径/参数调用 Python 程序的不同部分,这意味着需要使用 Apache mod_proxy 和 mod_ssl 或 WSGI 服务器的某些方面来设置某种路由?我想知道从哪里开始以及如何开始:配置 Apache 和/或 WSGI。我知道这两种途径都还需要解决其他问题。请提供建议,以便我可以开始并逐步行动

编辑:按照 @vidarlo 给出的示例 URL 编辑 /etc/apache2/sites-available/default-ssl.conf 并按照建议添加 VirtualHost 代码,以将 https://api.domainname.com 转发localhost:5000。在端口 5000 上启动了 WSGI 服务器,如下所示: wsgi.py 文件内容:

import wsgiserver
def gs_app(environ, start_response):
    status = '200 OK'
    response_headers = [('Content-type','text/plain')]
    start_response(status, response_headers)
    return ['WSGIserver is running!']
server = wsgiserver.WSGIServer(gs_app, host='127.0.0.1', port=5000)
server.start()

运行 python3 wsgi.py 并验证该进程正在端口 5000 上运行现在,当我访问 https:// https://api.domainname.com时,我的控制台窗口中会弹出错误消息,如下所示:

ValueError('WSGI Applications must yield bytes')
Traceback (most recent call last):
  File "/usr/local/lib/python3.8/dist-packages/wsgiserver.py", line 1394, in communicate
    req.respond()
  File "/usr/local/lib/python3.8/dist-packages/wsgiserver.py", line 848, in respond
    self.server.gateway(self).respond()
  File "/usr/local/lib/python3.8/dist-packages/wsgiserver.py", line 2347, in respond
    raise ValueError("WSGI Applications must yield bytes")
ValueError: WSGI Applications must yield bytes
ssl

2 个回答

  1. Best Answer

    Web服务器和Python程序都可以监听443吗?唯一的区别是 Web 服务器和 REST api 的单独 URL

    如果它们绑定到相同的 IP 地址则不会。通常的设置是仅在本地主机上的不同端口上运行 API,并使用 Apache(或 nginx)将特定 URL 反向代理到 API。在这种情况下,Apache 还将负责终止 TLS,因此不需要为 API 实现额外的 TLS。

    • 1

  2. 不,两个服务不能侦听同一端口。最常见的做法是让 Apache 或 Nginx 在 443 上运行,并使用 apache 或 Nginx 代理到在不同端口上运行的工作负载。然后,Apache 或 Nginx 获取工作负载的内容,并以与在 443 上运行相同的方式呈现它。这确实需要在 apache 或 Nginx 中正确配置代理设置。它还提供了一层安全性,因为工作负载不会直接呈现到互联网上,而是由 apache 或 nginx 提供服务

    • 1

相关问题