我正在尝试找出处理外部请求的最佳方法。我正在开发一个系统,其中应用程序当前位于外部(DMZ),而数据库位于内部。数据库访问所需的特定端口已从 DMZ 计算机打开到数据库计算机。
经过与团队讨论,我们一致认为 DMZ 不应直接连接到数据库。经过进一步讨论,我们已将以下两种方法列为可能的解决方案。
对我来说,就安全性而言,两者似乎是相同的,因为我们使用相同的通信协议和相同数量的层。
我的理解正确吗?如果正确,B更合理的选择是什么?A这意味着我们有一个自定义数据访问服务,可以处理来自的请求APP并读取/写入数据。
最后,如果我们确实采用B,是否建议我们仍然使用Data Access Service但它是内部的(即APP -> Data Access Service -> DB)
我正在配置我的域,我想将 HAProxy 设置为我所有子域的反向代理。不知何故,我配置不正确,我完全不知道哪里出了问题。这是我的完整 HAProxy 配置:
global
log /dev/log local0
log /dev/log local1 notice
chroot /var/lib/haproxy
stats socket /run/haproxy/admin.sock mode 660 level admin
stats timeout 30s
user haproxy
group haproxy
daemon
# Default SSL material locations
ca-base /etc/ssl/certs
crt-base /etc/ssl/private
# See: https://ssl-config.mozilla.org/#server=haproxy&server-version=2.0.3&config=intermediate
ssl-default-bind-ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POL>
ssl-default-bind-ciphersuites TLS_AES_128_GCM_SHA256:TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256
ssl-default-bind-options ssl-min-ver TLSv1.2 no-tls-tickets
defaults
log global
mode http
option httplog
option dontlognull
timeout connect 5000
timeout client 50000
timeout server 50000
errorfile 400 /etc/haproxy/errors/400.http
errorfile 403 /etc/haproxy/errors/403.http
errorfile 408 /etc/haproxy/errors/408.http
errorfile 500 /etc/haproxy/errors/500.http
errorfile 502 /etc/haproxy/errors/502.http
errorfile 503 /etc/haproxy/errors/503.http
errorfile 504 /etc/haproxy/errors/504.http
frontend http-in
bind *:80
acl subhome hdr_sub(host) -i homeassistant.exampledomain.com
use_backend habackend if subhome
backend habackend
mode http
option forwardfor
server homeassistant 192.168.5.1:8123
HAProxy 本身肯定是有效的,因为当我尝试访问我的域的根目录时,它会给我一个 503 服务不可用(应该如此),但是当我尝试访问子域时,它只是没有返回任何内容。
有没有什么解决方案不仅可以代理 NTLM,而且可以将输入端的 HTTP Basic Auth 转换为输出端的 NTLM?
背景:使用 NTLM Auth 的内部 SharePoint 服务器应该可以通过 Apache 反向代理进行访问。问题是 NTLM 是有状态的,mod_proxy 无法处理它。现在,带有 mod_proxy 的 Apache 可以只提供基本身份验证(并通过 passwd 文件或类似文件进行身份验证)并代理到另一个内部基本身份验证到 NTLM 转换器。这只是读取我们的 http 身份验证凭据并将其传递到 SharePoint 服务器。
我有一个 VMWare Unified Access Gateway Appliance v3.10,将其用作反向代理服务器。
反向代理运行良好,但它仅侦听外部接口侧的端口 443。
我想要反向代理端口 3000。也就是说,我想要反向
https://uag.mydomain.com/ 代理到https://internal.mydomain.com/
并且
https://uag.mydomain.com:3000/ 反向代理到https://internal.mydomain.com:3000/
内部部分工作正常。问题是,我怎样才能(或者根本不能?)让 UAG 监听端口 3000?
谢谢。
更新
这是我的配置(至少,不是完全空的部分)。没那么重要。
Proxy Destination URL https://internal.mydomain.com:3000
External URL https://uag.mydomain.com:3000
Proxy Pattern /.*
/请注意,两个 URL 的末尾都没有。我省略了“代理主机模式”,因为两个代理都使用相同的主机名,我担心一个代理会超过另一个。
当 UAG 尝试连接到自己的端口 3000 时,我得到
root@uag-7a17d053-0619-41f3-ae74-5d75879b8ea6 [ ~ ]# curl -kI https://localhost:3000/
curl: (7) Failed to connect to localhost port 3000: Connection refused
即使端口 443 工作正常
root@uag-7a17d053-0619-41f3-ae74-5d75879b8ea6 [ ~ ]# curl -kI https://localhost:443/
HTTP/1.1 200 OK
我背后有反向代理和多个 WebSocket 服务器。我很困惑从扩展的角度来看这是否有意义,因为我是这样看的:
所有连接均通过反向代理。所以我猜我的代理有 50,000 个活动连接,因为它会将每个连接代理到适当的 WebSocket 服务器(或者也许它不能那样工作?我不确定)
那么仅从扩展和性能的角度来看,反向代理 WebSocket 服务器是否有意义?
我的 OwnCloud 在我的服务器上的 nginx 反向代理后面运行。我按照以下说明通过 docker-compose.yml 安装了它:https://doc.owncloud.com/server/next/admin_manual/installation/docker/
除了一件事之外,一切都按我的预期进行。左下角的 WebDav 链接显示为 http://localhost:9001/... 而不是实际域。此外,注销按钮重定向到本地主机。其他一切都很好。
这是我的问题的图片:
这是我的 .env 配置文件:
OWNCLOUD_VERSION=10.12
OWNCLOUD_DOMAIN=cloud.EXAMPLE.org
OWNCLOUD_TRUSTED_DOMAINS=cloud.EXAMPLE.org
ADMIN_USERNAME=admin
ADMIN_PASSWORD=REDACTED
HTTP_PORT=8080
这是我的反向代理:
server {
server_name cloud.EXAMPLE.org;
listen 443 ssl;
location / {
proxy_pass http://localhost:9001/;
}
ssl_certificate /etc/letsencrypt/live/EXAMPLE.de/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/EXAMPLE.de/privkey.pem;
}
在此先感谢您的帮助!
我是 proxypass 的新手,假设这是我们的配置:
<IfModule mod_ssl.c>
<VirtualHost *:443>
# The ServerName directive sets the request scheme, hostname and port that
# the server uses to identify itself. This is used when creating
# redirection URLs. In the context of virtual hosts, the ServerName
# specifies what hostname must appear in the request's Host: header to
# match this virtual host. For the default virtual host (this file) this
# value is not decisive as it is used as a last resort host regardless.
# However, you must set it for any further virtual host explicitly.
#ServerName www.example.com
ServerAdmin webmaster@localhost
DocumentRoot /var/www/html
# Available loglevels: trace8, ..., trace1, debug, info, notice, warn,
# error, crit, alert, emerg.
# It is also possible to configure the loglevel for particular
# modules, e.g.
#LogLevel info ssl:warn
ErrorLog ${APACHE_LOG_DIR}/error.log
CustomLog ${APACHE_LOG_DIR}/access.log combined
# For most configuration files from conf-available/, which are
# enabled or disabled at a global level, it is possible to
# include a line for only one particular virtual host. For example the
# following line enables the CGI configuration for this host only
# after it has been globally disabled with "a2disconf".
#Include conf-available/serve-cgi-bin.conf
ServerName www.xzos.net
Include /etc/letsencrypt/options-ssl-apache.conf
ServerAlias xzos.net
SSLCertificateFile /etc/letsencrypt/live/www.xzos.net/fullchain.pem
SSLCertificateKeyFile /etc/letsencrypt/live/www.xzos.net/privkey.pem
<LocationMatch "/ray/">
ProxyPass ws://127.0.0.1:1080/ray/ upgrade=WebSocket
ProxyAddHeaders Off
ProxyPreserveHost On
RequestHeader set Host %{HTTP_HOST}s
RequestHeader set X-Forwarded-For %{REMOTE_ADDR}s
</LocationMatch>
</VirtualHost>
</IfModule
由于我们将这些提供给 apache
SSLCertificateFile /etc/letsencrypt/live/www.xzos.net/fullchain.pem
SSLCertificateKeyFile /etc/letsencrypt/live/www.xzos.net/privkey.pem
我们不应该也需要在运行的 websocket 服务器中使用它们,对ws://127.0.0.1:1080/ray/吗?
即使我们可以做到,但 Apache 处理得对吗?我想,因为这是本地服务器,所以专门做两次是多余的。我认为如果我们这样做,那么ws://127.0.0.1:1080/ray/需要成为wss://127.0.0.1:1080/ray/我们提供相同证书密钥的 websocket 服务器内部。
我正在尝试将 FreeIPA Web 界面配置为在我的 HAProxy 实例后面工作。我找到了配置的旧 GitHub Gist ( https://gist.github.com/m4ce/d081ab39654c3e13bbe8b150986526a3 ) 以及一篇中等文章 ( https://medium.com/@michalmedvecky/running-freeipa-behind-haproxy- 77620736698e),但在这两种情况下,它们都使用rspirep命令,HAProxy 不再支持该命令。到目前为止,我得到了这个:
balance roundrobin
# Set cookie to ensure same server is used
cookie SERVERID insert indirect nocache httponly secure
# Modify headers
http-request set-header Referer https://1.ipa.example.com/ipa
# Set cookies domain
acl hdr_set_cookie_dom_1 res.hdr(Set-cookie) -m sub Domain= 1.ipa.example.com
http-response replace-header Set-Cookie ^Domain=1\.ipa\.example\.com(.*)$ Domain=authenticate\.example\.com\1 if hdr_set_cookie_dom_1
server 1.ipa 1.ipa.example.com:443 check ssl verify none cookie 1
但这只会导致客户端被重定向authenticate.example.com到1.ipa.example.com。
有没有人有关于如何配置这个或任何可能导致问题的想法的最新指南?
我正在尝试使用基本身份验证关闭端口(对于普罗米修斯的推送网关),所以不是 nginx 的大专家,所以有人可以给我和建议我哪里错了吗?
我有 9091 端口,应该在 auth 前面从外部关闭。此端口正在被 pushgateway 使用
我当前的 nginx 配置:
events { }
http {
upstream prometheus {
server 127.0.0.1:9090;
keepalive 64;
}
upstream pushgateway {
server 127.0.0.1:9091;
keepalive 64;
}
server {
root /var/www/example;
listen 0.0.0.0:80;
server_name __;
location / {
auth_basic "Prometheus server authentication2";
auth_basic_user_file /etc/nginx/.htpasswd;
proxy_pass http://prometheus;
}
}
server {
root /var/www/example;
listen 0.0.0.0:3001;
server_name __;
location / {
auth_basic "Pushgateway server authentication";
auth_basic_user_file /etc/nginx/.htpasswd;
proxy_pass http://pushgateway;
}
}
}
所以基本身份验证适用于:3001,但 9091 仍然打开。我试图改变它的下一个方式:
server {
root /var/www/example;
listen 0.0.0.0:3001;
listen 0.0.0.0:9091;
server_name __;
location / {
auth_basic "Pushgateway server authentication";
auth_basic_user_file /etc/nginx/.htpasswd;
proxy_pass http://pushgateway;
}
}
并且工作正常,但是...... pushgateway 无法开始尝试监听:9091 并抛出“bind:address is already in use”。我怎样才能避免它并将pushgateway隐藏在nginx前面?
Pushgatewa 的配置:
ExecStart=/usr/local/bin/pushgateway --web.listen-address=":9091" --web.telemetry-path="/metrics" --persistence.file="/tmp/metric.store" --persistence.interval=5m --log.level="info" --log.format="logger:stdout?json=true"
我正在按照教程设置 API 代理,我正在同一个 VPS 上运行生产和开发服务器应用程序
https://www.nginx.com/blog/deploying-nginx-plus-as-an-api-gateway-part-1/
我通过 certbot 使用 SSL 管理我的域,live.domain.com并且dev.domain.com
我被困在“定义仓库 API” 问题是解释的路由是基于 URL 路径位置的,它没有解释如何处理在它之上设置的子域。
我有设置:api_gateway
include api_backends.conf;
include api_keys.conf;
server {
access_log /var/log/nginx/api_live.log main; # Each API may also log to a
# separate file
listen 443 ssl;
server_name live.domain.com;
# TLS config
ssl_certificate /etc/letsencrypt/live/live.domain.com/fullchain.pem; # managed by Certbot
ssl_certificate_key /etc/letsencrypt/live/live.domain.com/privkey.pem; # managed by Certbot
include /etc/letsencrypt/options-ssl-nginx.conf; # managed by Certbot
ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem; # managed by Certbot
ssl_session_cache shared:SSL:10m;
ssl_session_timeout 5m;
ssl_ciphers HIGH:!aNULL:!MD5;
ssl_protocols TLSv1.2 TLSv1.3;
# API definitions, one per file
include api_conf.d/*.conf;
# Error responses
error_page 404 = @400; # Treat invalid paths as bad requests
proxy_intercept_errors on; # Do not send backend errors to client
include api_json_errors.conf; # API client-friendly JSON errors
default_type application/json; # If no content-type, assume JSON
}
# *repeated for dev.domain.com*
api_backends
upstream live {
zone live_service 64k;
server 127.0.0.1:4000
}
upstream dev {
zone dev_service 64k;
server 127.0.0.1:2000
}
我可以通过以下任何方式管理它:
location / {
# Policy configuration here (authentication, rate limiting, logging...)
#
access_log /var/log/nginx/warehouse_api.log main;
# URI routing
#
# if subdomain live
location / {
proxy_pass http://live;
}
# else if subdomain dev
location / {
proxy_pass http://dev;
}
return 404; # Catch-all
}
也许我可以使用我找到的这个片段。
if ($host = live.domain.com) {
return 301 https://$host$request_uri;
} # managed by Certbot
这可能吗?
if ($host = live.domain.com){
location /api {
proxy_pass http://live/api;
}
# AND/OR
location /docs/ {
proxy_pass https://live$request_uri
}
}