Задать вопрос
Berkutman
@Berkutman

Как настроить правильно nginx front end apache2 ( Drupal 8, Moodle)?

Имеется веб сервер на Debian 10 , PHP Версия 7.3.4-2 , СУБД 5.5.5-10.3.17-MariaDB-0+deb10u1, Apache/2.4.38 (Debian) , Nginx 1.14.2 и модуль mod_rpaf 0.8.4 для проброски адреса клиента к серверу

На данном сервере будут крутится на данный момент два веб сайта , один на основе Drupal 8 , другой на основе moodle 3.7.2
D8 - example.com
Moodle 3.7.2 - moodle.example.com

Почитав решил сделать nginx front end apache2 + mod_rpaf
Конфигурация следующая:
Apache2:
/etc/apache2/apache2.conf
замена
LogFormat "%v:%p %h %l %u %t \"%r\" %>s %O \"%{Referer}i\" \"%{User-Agent}i\"" vhost_combined
 на
 LogFormat "%v:%p %{X-Forwarded-For}i %l %u %t \"%r\" %>s %O \"%{Referer}i\" \"%{User-Agent}i\"" vhost_combined

/etc/apache2/ports.conf
Listen 127.0.0.1:81

<VirtualHost 127.0.0.1:81>
	ServerName example.com
	ServerAlias www.example.com
	ServerAdmin admin@example.com
	DocumentRoot /var/www/example_com/web
	<Directory /var/www/example_com/web>
		Options FollowSymLinks
		AllowOverride All
	</Directory>
	ErrorLog ${APACHE_LOG_DIR}/example_com_error.log
	CustomLog ${APACHE_LOG_DIR}/example_com_access.log vhost_combined
	ProxyPassMatch "^/(.*\.php(/.*)?)$" "unix:/var/run/php/php7.3-fpm.sock|fcgi://localhost/var/www/example_com/web"
</VirtualHost>

<VirtualHost 127.0.0.1:81>
	ServerName moodle.example.com
	ServerAdmin admin@moodle.example.com
	DocumentRoot /var/www/moodle_example_com/web
	<Directory /var/www/moodle_example_com/web>
		Options FollowSymLinks
		AllowOverride All
	</Directory>
	ErrorLog ${APACHE_LOG_DIR}/moodle_example_com_error.log
	CustomLog ${APACHE_LOG_DIR}/moodle_example_com_access.log vhost_combined
	ProxyPassMatch "^/(.*\.php(/.*)?)$" "unix:/var/run/php/php7.3-fpm.sock|fcgi://localhost/var/www/moodle_example_com/web"
</VirtualHost>

/etc/apache2/mods-available/rpaf.conf
<IfModule rpaf_module>
	RPAF_Enable             On
	RPAF_ProxyIPs           127.0.0.1 ::1
	RPAF_SetHostName        On
	RPAF_SetHTTPS           On
	RPAF_SetPort            On
	RPAF_ForbidIfNotProxy   Off
	RPAF_Header				 X-Forwarded-For
</IfModule>

Nginx:
server {
	listen 80;
	listen [::]:80;
	
	server_name example.com www.example.com;

	return 301 https://example.com$request_uri;
}
server {
	listen 443 ssl http2;
	listen [::]:443 ssl http2;
	root /var/www/example_com/web;
	index index.php index.html index.htm;
	server_name example.com www.example.com;
	 
location / {
		proxy_pass http://127.0.0.1:81;
		proxy_redirect        on;
		set_real_ip_from 1.2.3.4;
		real_ip_recursive on;
		proxy_set_header Host $host;
		proxy_set_header X-Real-IP $remote_addr;
		proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
		proxy_set_header X-Forwarded-Proto $scheme;
		proxy_pass_header Set-Cookie;
    }

	location ~ /\.ht {
		deny all;
    }

	location ~* \.(ico|docx|doc|xls|xlsx|rar|zip|jpg|jpeg|txt|xml|pdf|gif|png|css|js|html)$ {
		root   /var/www/example_com/web;
	}
	
	ssl_certificate			/etc/nginx/ssl/example_com.crt;
	ssl_certificate_key		/etc/nginx/ssl/example_com.key;
}

server {
	listen 80;
	listen [::]:80;
	server_name moodle.example.com;
}
server {
	listen 443 ssl http2;
	listen [::]:443 ssl http2;
	root /var/www/moodle_example_com/web;
	index index.php;

	server_name moodle.example.com;
	
	location / {
		proxy_pass http://127.0.0.1:81;
		proxy_redirect        on;
		set_real_ip_from 1.2.3.4;
		real_ip_recursive on;
		proxy_set_header Host $host;
		proxy_set_header X-Real-IP $remote_addr;
		proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
		proxy_set_header X-Forwarded-Proto $scheme;
		proxy_pass_header Set-Cookie;
    }

	ssl_certificate			/etc/nginx/ssl/moodle_example_com.crt;
	ssl_certificate_key		/etc/nginx/ssl/moodle_example_com.key;
}


Ошибок никаких не вызывает, веб сайты работают.
Но есть одна проблема, которую я не понял как решить.

Мысль следующая:
На D8 стоит плагин CAS Server , на Moodle стоит плагин CAS Auth
При попытке авторизоваться на Moodle через CAS Server который на D8 вылазит следующая оиюка только в логах nginx
2019/09/14 20:33:28 [error] 10802#10802: *105 upstream timed out (110: Connection timed out) while reading response header from upstream, client: 1.2.3.4, server: moodle.example.com, request: "GET /login/index.php?authCASattras=CAS&ticket=ST-qXn8UiwEbFsYpX0nobVmGMS-ZARMGrXcm3Hbo7_uj2s HTTP/2.0", upstream: "http://127.0.0.1:81/login/index.php?authCASattras=CAS&ticket=ST-qXn8UiwEbFsYpX0nobVmGMS-ZARMGrXcm3Hbo7_uj2s", host: "moodle.example.com", referrer: "https://example.com/cas/login?service=https%3A%2F%2Fmoodle.example.com%2Flogin%2Findex.php%3FauthCASattras%3DCAS"


Что я сделал, я создал сайт на хостинге( который не мой сервер) назвал его d8.example.com ( Drupal 8) и md.example.com ( Moodle 3.7.2)
Получается :
На моем сервере сайты - example.com и moodle.example.com
На хостинге - d8.example.com и md.example.com

Сделал d8.example.com CAS Server , md.example.com и example.com и moodle.example.com CAS client

На всех трех сайтах я авторизовался под пользователем CAS Server который на d8.example.com

Далее я сделал example.com CAS Server , md.exemple.com и d8.example.com и moodle.example.com

Авторизация прошла и на md.exemple.com и на d8.example.com , на moodle.example.com вышла та ошибка.

Где я накосячил с конфигурацией, как я понял из ошибка он пытается отправить запрос с 127.0.0.1:81 на внешний адрес moodle.example.com.
Как это можно полечить? Редирект?
  • Вопрос задан
  • 761 просмотр
Подписаться 1 Простой Комментировать
Решения вопроса 2
Вот тебе конфиг рабочий для 80 порта тупо ударишь лишнее.
Апачь при этом может быть практически любой поскольку главное прокся а что там сзади уже не важно.
Так же не нужно использовать домен в бэке хватит и 127.0.0.1 поскольку там все-равно по заголовкам будет разбор а не по домену в проксе.
реальный nginx
server {

######################################################################
## Server configuration 
######################################################################
	listen *:443 ssl http2;
		server_name 5job.ru www.5job.ru   ;
	root /var/www/5job.ru/web;
######################################################################
## Enable gzip for proxied requests and static files
######################################################################
    # Enable gzip for proxied requests and static files
    gzip on;
    gzip_proxied any;
    gzip_vary on;
    gzip_http_version 1.1;
    gzip_types application/javascript application/json text/css text/xml;
    gzip_comp_level 4;

######################################################################
## SSL configuration
######################################################################
# recommended but not manditory directive
# leave commented out unless you know what it is doing
#more_set_headers 'Strict-Transport-Security: max-age=15768000';
	ssl on;
	ssl_session_cache  shared:SSL:10m;
	ssl_session_timeout 1h;
	ssl_protocols TLSv1.2 TLSv1.1;
	add_header Strict-Transport-Security "max-age=15768000" always;
	ssl_stapling on;
	ssl_stapling_verify on;
	ssl_prefer_server_ciphers on;
	ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!3DES:!MD5:!PSK;
	ssl_certificate /var/www/clients/client26/web28/ssl/5job.ru-le.crt;
	ssl_certificate_key /var/www/clients/client26/web28/ssl/5job.ru-le.key;
	ssl_dhparam /etc/nginx/ssl/dhparam.pem;
######################################################################
## Log configuration
######################################################################
#Все логи отключены  
        error_log /dev/null crit;
        access_log off;
######################################################################
## 555 Еrror requires password password 
######################################################################
# Дев сайты закрыты htpass  login:dev pass:dev (второй кусок ниже)
	error_page 555 = @pass;
	location @pass {
		auth_basic	"Unauthorized";
		auth_basic_user_file	/var/www/dev_htpasswd;
		proxy_pass		https://127.0.0.1:4443;
		proxy_set_header 	Host		$host;
		proxy_set_header	X-Real-IP	$remote_addr;
		proxy_set_header	X-Forwarded-For	$proxy_add_x_forwarded_for;
		proxy_set_header	HTTPS		YES;
		}
######################################################################
## Errors send to apache2
######################################################################
# у апача своих алиасов куча,  а так же некоторая статика отдается 
# средствамси php, по этому все ошибки обрабатывать только apache2
	error_page 401 403 404 405 500 502 503 = @fallback;
	location @fallback {
		proxy_pass		https://127.0.0.1:4443;
		proxy_set_header 	Host		$host;
		proxy_set_header	X-Real-IP	$remote_addr;
		proxy_set_header	X-Forwarded-For	$proxy_add_x_forwarded_for;
		proxy_set_header	HTTPS		YES;
		}

######################################################################
## Locations configuration
######################################################################
#Отключаем логирование ошибок No such file or directory
## Disable .htaccess files

	location ~ /\.ht {
		deny all;

		access_log off;
		log_not_found off;
	}
	##
	location = /favicon.ico {
		log_not_found off;
		access_log off;
	}
	##
	location = /robots.txt {
		allow all;
		log_not_found off;
		access_log off;
	}
	##
######################################################################
# сервисы  на сайте phpmyadmin почта и letxencrypt
	location /phpmyadmin/ {
		deny all;
		# поставить пароль на phpmyadmin
		return 555;
		root  /usr/share/phpmyadmin/;
	}
	##
	location /webmail/ {
		rewrite ^/(.*)$ https://$http_host:8080/$1 permanent;
	}
	# letsencrypt 
	 location /.well-known/acme-challenge/ { 
	 	alias /usr/local/ispconfig/interface/acme/;
	 	default_type text/plain;

	 }
# static content 
# Отдаем статику напрямую с nginx
	location ~* ^.+\.(jpg|jpeg|svg|gif|png|ico|css|zip|tgz|gz|rar|bz2|doc|xls|exe|pdf|ppt|txt|tar|mid|midi|wav|bmp|rtf|js|swf|flv|mp3)$ {
		root  /var/www/5job.ru/web;
		access_log off;
		expires 30d;
		gzip_static on;
	}

# default location
	location / {
		index index.php index.html index.htm;
		proxy_pass		https://127.0.0.1:4443;
		proxy_set_header 	Host		$host;
		proxy_set_header	X-Real-IP	$remote_addr;
		proxy_set_header	X-Forwarded-For	$proxy_add_x_forwarded_for;
		proxy_set_header	HTTPS		YES;
		######################################################################
		## Dev site Protection Requests in location /
		######################################################################
		# Дабы дев сайты не индексировались поисковиками, принудительно
		# Ставим пароли на них,  все что начинается с dev,old. или домен ks03
			if ($http_host ~* "^(dev|old|www.old|www.dev)\..*\..{2,8}$"){
		                return 555;
		                }
		                if ($http_host ~* "^.*\.ks03\.ru$"){
		                return 555;
		                }
		            
				proxy_set_header X-Forwarded-Proto https;
				include /etc/nginx/locations.d/*.conf;
		}
}


А еще лучше поставь веб морду дабы они есть вналичие
brainycp
vestacp
ispconfig3
bitrix-vm ( морда консольная)
Ответ написан
Комментировать
Berkutman
@Berkutman Автор вопроса
brainycp - за натом работает плохо. Нужна костыльная доработка
vestacp - отлично работает за натом, решил мою проблему.

До других продуктов не дошел. остановился на vestacp
Ответ написан
Пригласить эксперта
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы