Funktionsweise (Reverse Proxy)
Aufruf
Der Reverse Proxy stellt die Schnittstelle zwischen den externen Anfragen und dem internen Server (API, WebUI, WebDAV) dar.
Weiterleitung
Wie in der Übersicht der Infrastruktur zu sehen ist, behandelt der Reverse Proxy sämtliche Weiterleitungen in das interne Netz. Wichtig hierbei sind folgende Zugriffe:
|
URL
|
Interner Server
|
Info
|
|
|---|---|---|---|
| Web-Client (:8080) | Alle Aufrufe für den Root-Pfad müssen an den Web-Client weitergeleitet werden | ||
| API (:8080) | Die /api Aufrufe müssen an den API Server weitergeleitet werden | ||
| WebDAV Proxy (:8090) |
|
Wichtig ist ebenso, dass der Host Header durch den Reverse Proxy nicht ersetzt wird.
Mandantenfähigkeit
Die Abbildung der Mandantenfähigkeit wird beim Reverse Proxy mittels der Direktive umgesetzt. Da pro Mandant ein Zertifikat notwendig ist, empfiehlt es sich hier auch jeweils einen VirtualHost entsprechend anzulegen.
Konfigurationsdatei (Reverse Proxy) - Apache Linux
Die Beschreibung der einzelnen Optionen sind direkt in der Konfigurationsdatei zu finden:
[root@localhost mac]# cat /etc/httpd/conf.d/00_sds.conf
# Rewrite von allen Anfragen auf :80 nach :443
<VirtualHost *:80>
RewriteEngine On
Options +FollowSymlinks
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{SERVER_NAME}$1 [L,R]
</VirtualHost>
# VirtualHost fuer den Tenant
<VirtualHost *:443>
ServerName dracoon.team
ProxyRequests Off
# Fuer die Mandantenfaehigkeit ist es wichtig den hostnamen
# in den Anfragen beizubehalten
ProxyPreserveHost On
# Die Zertifikatsinformationen befinden sich bei CentOS unter /etc/pki/tls/
SSLEngine on
SSLCertificateFile "/etc/pki/tls/certs/localhost.crt"
SSLCertificateKeyFile "/etc/pki/tls/private/localhost.key"
SSLCACertificateFile "/etc/pki/tls/certs/ca-bundle.crt"
SSLProxyEngine On
# Die gewuenschten Cipher Einstellungen koennen hier vorgenommen werden
# Achtung: Zu restriktive Einstellungen koennen zu Problemen mit Clients fuehren (bsp. Windows WebDAV)
SSLProtocol ALL -SSLv2 -SSLv3
RequestHeader set ClientProtocol https
SSLOptions +ExportCertData
SSLHonorCipherOrder On
SSLCipherSuite ECDH+AESGCM:ECDH+AES256:DH+AESGCM:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS
# Weiterleitungn
<Location /webdav/>
ProxyPass http://webdav-proxy:8090/webdav/ retry=0 timeout=15
ProxyPassReverse http://webdav-proxy:8090/webdav/
</Location>
<Location /api/>
ProxyPass http://core-server:8080/api/ retry=0 timeout=15
ProxyPassReverse http://core-server:8080/api/
</Location>
# Alles weiter zum Web-Client
ProxyPass / http://web-client:8080/ retry=0 timeout=15
ProxyPassReverse / http://web-client:8080/
</VirtualHost>Konfigurationsdatei (Reverse Proxy) - HAProxy Linux
[root@localhost mac]# cat /etc/haproxy/haproxy.cfg
#---------------------------------------------------------------------
# Global settings
#---------------------------------------------------------------------
global
log 127.0.0.1 local2
chroot /var/lib/haproxy
pidfile /var/run/haproxy.pid
maxconn 100000
user haproxy
group haproxy
daemon
# turn on stats unix socket
stats socket /var/lib/haproxy/stats
tune.ssl.default-dh-param 2048
ssl-default-bind-ciphers ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:!DSS
ssl-default-bind-options no-sslv3 no-tls-tickets
ssl-default-server-ciphers ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:!DSS
ssl-default-server-options no-sslv3 no-tls-tickets
#---------------------------------------------------------------------
# Defaults that all the 'listen' and 'backend' sections will
# use if not designated in their block
#---------------------------------------------------------------------
defaults
mode http
log global
option httplog
option dontlognull
option redispatch
retries 3
timeout http-request 10s
timeout queue 1m
timeout connect 10s
timeout client 1m
timeout server 1m
timeout http-keep-alive 10s
timeout check 10s
maxconn 100000
#---------------------------------------------------------------------
# Frontend HTTP and HTTPS
#---------------------------------------------------------------------
frontend http_https
mode http
bind :443 ssl crt /etc/pki/tls/private/sds_haproxy.pem
bind :80
redirect scheme https code 301 if !{ ssl_fc }
# HSTS (15768000 seconds = 6 months)
#http-response set-header Strict-Transport-Security max-age=15768000
# Content-Security-Policy as restrictive as currently possible
#http-response set-header Content-Security-Policy default-src\ 'self';\ script-src\ 'self'\ 'unsafe-inline'\ 'unsafe-eval';\ style-src\ 'self'\ 'unsafe-inline'
# X-Content-Type-Options
#http-response set-header X-Content-Type-Options nosniff
# X-Xss-Protection (for Chrome, Safari, IE)
#http-response set-header X-Xss-Protection 1;\ mode=block
# X-Frame-Options (DENY or SELF)
#http-response set-header X-Frame-Options DENY
# Delete Server Header
#http-response del-header Server
#stats enable
#stats auth haadmin:haadmin
#stats uri /hastats
#stats refresh 10s
acl api_acl path_beg -i /api
acl oauth_acl path_beg -i /oauth
acl webdav_acl path_beg -i /webdav
use_backend api_server if api_acl
use_backend oauth_server if oauth_acl
use_backend webdav_server if webdav_acl
default_backend webui_server
#---------------------------------------------------------------------
# Backend API
#---------------------------------------------------------------------
backend api_server
mode http
balance roundrobin
option http-server-close
server api01 api-server:8080 check inter 5s fastinter 1s downinter 3s rise 2 fall 5
#---------------------------------------------------------------------
# Backend Oauth
#---------------------------------------------------------------------
backend oauth_server
mode http
balance roundrobin
option http-server-close
server oauth01 oauth-server:8080 check inter 5s fastinter 1s downinter 3s rise 2 fall 5
#---------------------------------------------------------------------
# Backend WebDAV
#---------------------------------------------------------------------
backend webdav_server
mode http
balance leastconn
cookie WEBDAVSERVER insert indirect nocache
option http-server-close
option http-pretend-keepalive
server webdav01 webdav-server:8090 cookie webdav01 check inter 5s fastinter 1s downinter 3s rise 2 fall 5
#---------------------------------------------------------------------
# Backend WebUI
#---------------------------------------------------------------------
backend webui_server
mode http
balance roundrobin
option http-server-close
server webui01 webui-server:8080 check inter 5s fastinter 1s downinter 3s rise 2 fall 5
Kommentare
0 Kommentare
Zu diesem Beitrag können keine Kommentare hinterlassen werden.