Как настроить правильно nginx front end apache2 ( Drupal 8, Moodle)?

Question

Berkutman @Berkutman

Как настроить правильно nginx front end apache2 ( Drupal 8, Moodle)?

Имеется веб сервер на Debian 10 , PHP Версия 7.3.4-2 , СУБД 5.5.5-10.3.17-MariaDB-0+deb10u1, Apache/2.4.38 (Debian) , Nginx 1.14.2 и модуль mod_rpaf 0.8.4 для проброски адреса клиента к серверу

На данном сервере будут крутится на данный момент два веб сайта , один на основе Drupal 8 , другой на основе moodle 3.7.2
D8 - example.com
Moodle 3.7.2 - moodle.example.com

Почитав решил сделать nginx front end apache2 + mod_rpaf
Конфигурация следующая:
Apache2:

/etc/apache2/apache2.conf
замена
LogFormat "%v:%p %h %l %u %t \"%r\" %>s %O \"%{Referer}i\" \"%{User-Agent}i\"" vhost_combined
 на
 LogFormat "%v:%p %{X-Forwarded-For}i %l %u %t \"%r\" %>s %O \"%{Referer}i\" \"%{User-Agent}i\"" vhost_combined

/etc/apache2/ports.conf
Listen 127.0.0.1:81

<VirtualHost 127.0.0.1:81>
	ServerName example.com
	ServerAlias www.example.com
	ServerAdmin admin@example.com
	DocumentRoot /var/www/example_com/web
	<Directory /var/www/example_com/web>
		Options FollowSymLinks
		AllowOverride All
	</Directory>
	ErrorLog ${APACHE_LOG_DIR}/example_com_error.log
	CustomLog ${APACHE_LOG_DIR}/example_com_access.log vhost_combined
	ProxyPassMatch "^/(.*\.php(/.*)?)$" "unix:/var/run/php/php7.3-fpm.sock|fcgi://localhost/var/www/example_com/web"
</VirtualHost>

<VirtualHost 127.0.0.1:81>
	ServerName moodle.example.com
	ServerAdmin admin@moodle.example.com
	DocumentRoot /var/www/moodle_example_com/web
	<Directory /var/www/moodle_example_com/web>
		Options FollowSymLinks
		AllowOverride All
	</Directory>
	ErrorLog ${APACHE_LOG_DIR}/moodle_example_com_error.log
	CustomLog ${APACHE_LOG_DIR}/moodle_example_com_access.log vhost_combined
	ProxyPassMatch "^/(.*\.php(/.*)?)$" "unix:/var/run/php/php7.3-fpm.sock|fcgi://localhost/var/www/moodle_example_com/web"
</VirtualHost>

/etc/apache2/mods-available/rpaf.conf
<IfModule rpaf_module>
	RPAF_Enable             On
	RPAF_ProxyIPs           127.0.0.1 ::1
	RPAF_SetHostName        On
	RPAF_SetHTTPS           On
	RPAF_SetPort            On
	RPAF_ForbidIfNotProxy   Off
	RPAF_Header				 X-Forwarded-For
</IfModule>

Nginx:

server {
	listen 80;
	listen [::]:80;
	
	server_name example.com www.example.com;

	return 301 https://example.com$request_uri;
}
server {
	listen 443 ssl http2;
	listen [::]:443 ssl http2;
	root /var/www/example_com/web;
	index index.php index.html index.htm;
	server_name example.com www.example.com;
	 
location / {
		proxy_pass http://127.0.0.1:81;
		proxy_redirect        on;
		set_real_ip_from 1.2.3.4;
		real_ip_recursive on;
		proxy_set_header Host $host;
		proxy_set_header X-Real-IP $remote_addr;
		proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
		proxy_set_header X-Forwarded-Proto $scheme;
		proxy_pass_header Set-Cookie;
    }

	location ~ /\.ht {
		deny all;
    }

	location ~* \.(ico|docx|doc|xls|xlsx|rar|zip|jpg|jpeg|txt|xml|pdf|gif|png|css|js|html)$ {
		root   /var/www/example_com/web;
	}
	
	ssl_certificate			/etc/nginx/ssl/example_com.crt;
	ssl_certificate_key		/etc/nginx/ssl/example_com.key;
}

server {
	listen 80;
	listen [::]:80;
	server_name moodle.example.com;
}
server {
	listen 443 ssl http2;
	listen [::]:443 ssl http2;
	root /var/www/moodle_example_com/web;
	index index.php;

	server_name moodle.example.com;
	
	location / {
		proxy_pass http://127.0.0.1:81;
		proxy_redirect        on;
		set_real_ip_from 1.2.3.4;
		real_ip_recursive on;
		proxy_set_header Host $host;
		proxy_set_header X-Real-IP $remote_addr;
		proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
		proxy_set_header X-Forwarded-Proto $scheme;
		proxy_pass_header Set-Cookie;
    }

	ssl_certificate			/etc/nginx/ssl/moodle_example_com.crt;
	ssl_certificate_key		/etc/nginx/ssl/moodle_example_com.key;
}

Ошибок никаких не вызывает, веб сайты работают.
Но есть одна проблема, которую я не понял как решить.

Мысль следующая:
На D8 стоит плагин CAS Server , на Moodle стоит плагин CAS Auth
При попытке авторизоваться на Moodle через CAS Server который на D8 вылазит следующая оиюка только в логах nginx

2019/09/14 20:33:28 [error] 10802#10802: *105 upstream timed out (110: Connection timed out) while reading response header from upstream, client: 1.2.3.4, server: moodle.example.com, request: "GET /login/index.php?authCASattras=CAS&ticket=ST-qXn8UiwEbFsYpX0nobVmGMS-ZARMGrXcm3Hbo7_uj2s HTTP/2.0", upstream: "http://127.0.0.1:81/login/index.php?authCASattras=CAS&ticket=ST-qXn8UiwEbFsYpX0nobVmGMS-ZARMGrXcm3Hbo7_uj2s", host: "moodle.example.com", referrer: "https://example.com/cas/login?service=https%3A%2F%2Fmoodle.example.com%2Flogin%2Findex.php%3FauthCASattras%3DCAS"

Что я сделал, я создал сайт на хостинге( который не мой сервер) назвал его d8.example.com ( Drupal 8) и md.example.com ( Moodle 3.7.2)
Получается :
На моем сервере сайты - example.com и moodle.example.com
На хостинге - d8.example.com и md.example.com

Сделал d8.example.com CAS Server , md.example.com и example.com и moodle.example.com CAS client

На всех трех сайтах я авторизовался под пользователем CAS Server который на d8.example.com

Далее я сделал example.com CAS Server , md.exemple.com и d8.example.com и moodle.example.com

Авторизация прошла и на md.exemple.com и на d8.example.com , на moodle.example.com вышла та ошибка.

Где я накосячил с конфигурацией, как я понял из ошибка он пытается отправить запрос с 127.0.0.1:81 на внешний адрес moodle.example.com.
Как это можно полечить? Редирект?

Вопрос задан более трёх лет назад
754 просмотра

Комментировать

Подписаться 1 Простой Комментировать

Решения вопроса 2

Комментировать

1 комментарий

leili @leili

Подскажите, пожалуйста, как все таки настроили связку мудл в апаче на бэкенде и энджинкс на фронте? У меня апач и nginx на разных IP (на разных виртуальных машинах)

Мудл 3.8, убунту 20.04, Apache 2.4.4, mySQL 8, php 7.4, python 3.8
Последние действия - настроила нормальный адрес вместо nameserver/moodle просто nameserver,
настроила cron, в апач /etc/apache2/sites-available настроила virtual host.

nginx - прокси. На убунту 18.04, php 7.2 (не знаю, повлияет ли)
В каталоге /etc/nginx/nginx.conf создала конфиг do.servername.ru.conf
Выпустила ssl letcencrypt. Но так до конца связку энджинкс-апач настроить не получилось, в локалке открывается сайт нормально, но по http, а вне локалки - по https открывается в очень некрасивом виде, да еще и на сертификат ругается, мол, содержимое защищено не полностью. Так поняла, добавив в просмотре кода страницы в стилях к адресу https, проблема вида решится инструментом в moodle "переход на https". Но у меня еще в локалке http... Плюс я не знаю, придется ли трогать почти дефолтный config.php в каталоге с мудл.
Помогите, пожалуйста, с направлением или последовательностью настройки nginx + apache c moodle. Просто боюсь настроить так, что nginx будет либо некорректно обрабатывать запросы с apache или еще что... Что в первую очередь проверить и сделать? Я так поняла, что если загружу полученные на фронт сертификаты нгинкса в апач и включу там ssl, то сайт будет открываться, но через 3 месяца придется новые закидывать, а можно редирект сделать?

Написано более трёх лет назад

Пригласить эксперта

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы

Apache HTTP Server

+3 ещё

Сложный
Не проходит сквозная авторизация через браузер 1c8 apache2.4 auth_gssapi?
- 1 подписчик
- 3 часа назад
- 12 просмотров
0

ответов
Ubuntu

+2 ещё

Средний
Запускаю сайты на apache2 и выдает такую ошибку DNS_PROBE_FINISHED_NXDOMAIN?
- 1 подписчик
- вчера
- 54 просмотра
0

ответов
Nginx

+1 ещё

Сложный
Как настроить HTTPS прокси сервер на одном IP, что backend сервера видели IP клиента?
- 1 подписчик
- вчера
- 89 просмотров
4

ответа
MySQL

+2 ещё

Средний
Почему падает соединение с mysql за nginx?
- 2 подписчика
- 19 нояб.
- 159 просмотров
0

ответов
Nginx

+2 ещё

Простой
Reverse proxy и Mikrotik, как запустить?
- 1 подписчик
- 18 нояб.
- 180 просмотров
1

ответ
Nginx

Простой
У меня nginx не видит файлы в папке, почему?
- 1 подписчик
- 18 нояб.
- 184 просмотра
2

ответа
Apache HTTP Server

+1 ещё

Простой
Как убрать запись Perl warnings в лог ошибок Apache?
- 1 подписчик
- 17 нояб.
- 33 просмотра
2

ответа
Nginx

Простой
Настройка nginx для нескольких статич сайтов (прилоджений реакт)?
- 1 подписчик
- 14 нояб.
- 93 просмотра
1

ответ
Nginx

+1 ещё

Простой
Почему при наличии системной переменной Debian 12.8 в «/usr/sbin/nginx» — при вводе команды «# nginx -v» ошибка «команда не найдена»?
- 2 подписчика
- 14 нояб.
- 135 просмотров
1

ответ
Nginx

Простой
Как правильно настроить конфиг Nginx?
- 1 подписчик
- 12 нояб.
- 210 просмотров
1

ответ
Показать ещё Загружается…

Прикладной администратор SberApps

Сбер • Москва

от 230 000 ₽

Go Developer

Karma8

До 600 000 ₽

Devops (Персона)

Сбер • Москва

от 230 000 ₽

Перерисовать логотип в векторе

22 нояб. 2024, в 00:55

500 руб./за проект

Разработка алгоритма на python (Data engineering)

21 нояб. 2024, в 23:30

300000 руб./за проект

Верстка Flutter + API

21 нояб. 2024, в 22:21

3000 руб./в час

Answer 1 · 2019-09-14 20:50:48

Вот тебе конфиг рабочий для 80 порта тупо ударишь лишнее.
Апачь при этом может быть практически любой поскольку главное прокся а что там сзади уже не важно.
Так же не нужно использовать домен в бэке хватит и 127.0.0.1 поскольку там все-равно по заголовкам будет разбор а не по домену в проксе.

реальный nginx

server {

######################################################################
## Server configuration 
######################################################################
	listen *:443 ssl http2;
		server_name 5job.ru www.5job.ru   ;
	root /var/www/5job.ru/web;
######################################################################
## Enable gzip for proxied requests and static files
######################################################################
    # Enable gzip for proxied requests and static files
    gzip on;
    gzip_proxied any;
    gzip_vary on;
    gzip_http_version 1.1;
    gzip_types application/javascript application/json text/css text/xml;
    gzip_comp_level 4;

######################################################################
## SSL configuration
######################################################################
# recommended but not manditory directive
# leave commented out unless you know what it is doing
#more_set_headers 'Strict-Transport-Security: max-age=15768000';
	ssl on;
	ssl_session_cache  shared:SSL:10m;
	ssl_session_timeout 1h;
	ssl_protocols TLSv1.2 TLSv1.1;
	add_header Strict-Transport-Security "max-age=15768000" always;
	ssl_stapling on;
	ssl_stapling_verify on;
	ssl_prefer_server_ciphers on;
	ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!3DES:!MD5:!PSK;
	ssl_certificate /var/www/clients/client26/web28/ssl/5job.ru-le.crt;
	ssl_certificate_key /var/www/clients/client26/web28/ssl/5job.ru-le.key;
	ssl_dhparam /etc/nginx/ssl/dhparam.pem;
######################################################################
## Log configuration
######################################################################
#Все логи отключены  
        error_log /dev/null crit;
        access_log off;
######################################################################
## 555 Еrror requires password password 
######################################################################
# Дев сайты закрыты htpass  login:dev pass:dev (второй кусок ниже)
	error_page 555 = @pass;
	location @pass {
		auth_basic	"Unauthorized";
		auth_basic_user_file	/var/www/dev_htpasswd;
		proxy_pass		https://127.0.0.1:4443;
		proxy_set_header 	Host		$host;
		proxy_set_header	X-Real-IP	$remote_addr;
		proxy_set_header	X-Forwarded-For	$proxy_add_x_forwarded_for;
		proxy_set_header	HTTPS		YES;
		}
######################################################################
## Errors send to apache2
######################################################################
# у апача своих алиасов куча,  а так же некоторая статика отдается 
# средствамси php, по этому все ошибки обрабатывать только apache2
	error_page 401 403 404 405 500 502 503 = @fallback;
	location @fallback {
		proxy_pass		https://127.0.0.1:4443;
		proxy_set_header 	Host		$host;
		proxy_set_header	X-Real-IP	$remote_addr;
		proxy_set_header	X-Forwarded-For	$proxy_add_x_forwarded_for;
		proxy_set_header	HTTPS		YES;
		}

######################################################################
## Locations configuration
######################################################################
#Отключаем логирование ошибок No such file or directory
## Disable .htaccess files

	location ~ /\.ht {
		deny all;

		access_log off;
		log_not_found off;
	}
	##
	location = /favicon.ico {
		log_not_found off;
		access_log off;
	}
	##
	location = /robots.txt {
		allow all;
		log_not_found off;
		access_log off;
	}
	##
######################################################################
# сервисы  на сайте phpmyadmin почта и letxencrypt
	location /phpmyadmin/ {
		deny all;
		# поставить пароль на phpmyadmin
		return 555;
		root  /usr/share/phpmyadmin/;
	}
	##
	location /webmail/ {
		rewrite ^/(.*)$ https://$http_host:8080/$1 permanent;
	}
	# letsencrypt 
	 location /.well-known/acme-challenge/ { 
	 	alias /usr/local/ispconfig/interface/acme/;
	 	default_type text/plain;

	 }
# static content 
# Отдаем статику напрямую с nginx
	location ~* ^.+\.(jpg|jpeg|svg|gif|png|ico|css|zip|tgz|gz|rar|bz2|doc|xls|exe|pdf|ppt|txt|tar|mid|midi|wav|bmp|rtf|js|swf|flv|mp3)$ {
		root  /var/www/5job.ru/web;
		access_log off;
		expires 30d;
		gzip_static on;
	}

# default location
	location / {
		index index.php index.html index.htm;
		proxy_pass		https://127.0.0.1:4443;
		proxy_set_header 	Host		$host;
		proxy_set_header	X-Real-IP	$remote_addr;
		proxy_set_header	X-Forwarded-For	$proxy_add_x_forwarded_for;
		proxy_set_header	HTTPS		YES;
		######################################################################
		## Dev site Protection Requests in location /
		######################################################################
		# Дабы дев сайты не индексировались поисковиками, принудительно
		# Ставим пароли на них,  все что начинается с dev,old. или домен ks03
			if ($http_host ~* "^(dev|old|www.old|www.dev)\..*\..{2,8}$"){
		                return 555;
		                }
		                if ($http_host ~* "^.*\.ks03\.ru$"){
		                return 555;
		                }
		            
				proxy_set_header X-Forwarded-Proto https;
				include /etc/nginx/locations.d/*.conf;
		}
}

А еще лучше поставь веб морду дабы они есть вналичие
brainycp
vestacp
ispconfig3
bitrix-vm ( морда консольная)

Answer 2 · 2019-09-16 18:27:55

brainycp - за натом работает плохо. Нужна костыльная доработка
vestacp - отлично работает за натом, решил мою проблему.

До других продуктов не дошел. остановился на vestacp

Как настроить правильно nginx front end apache2 ( Drupal 8, Moodle)?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт