Posts Tagged ‘Nginx’

Về nginx caching

Posted: Tháng Mười 31, 2019 in Caching, Nginx, Web Server
Thẻ:

1. Tại sao lại Nginx static cache?

Nginx – ngoài việc phục vụ trực tiếp static file cực kỳ hiệu quả, nó còn có thể phục vụ với vai trò là proxy hoặc web server. Ngoài ra, Nginx còn có thể đảm nhận vai trò caching static file khi nó đứng trước một application server.

Có một số điểm cần biết:

  • Nginx phục vụ trực tiếp static file cực kỳ nhanh, tuy nhiên nó cũng ảnh hưởng đến mặt hiệu suất xử lý của Nginx khi số lượng request tăng cao (cụ thể về CPU và RAM)
  • Nếu sử dụng nginx như static cache thì chỉ tốn về mặt lưu trữ dữ liệu cache (liên quan phần storage), và sử dụng rất ít hiệu suất của server (cụ thể về CPU và RAM), do application server không cần phải xử lý page khi client request, mà nginx cache server sẽ phản hồi trực tiếp nội dung đã lưu cache.
  • Để tăng hơn nữa khả năng phục vụ static file, chúng ta cần lưu trữ cache với storage mà có khả năng read/write cao hơn như ổ SSD. Để phục vụ các tệp tin như audio, video với dung lượng lớn chúng ta lưu trữ cache qua SAN, NAS hoặc qua mạng như glusterfs.

2. Cách Nginx cache

  • Một client request nội dung đến application server
  • Cache kiểm tra xem nội dung đã tồn tại chưa?
    • Nếu kiểm tra phản hồi chưa có bản lưu nội dung được cache, kết quả là thông tin MISS cache, khi đó nội dung sẽ được lấy từ application server.
    • Nếu kiểm tra mà nội dung đã được cache, khi đó kết quả thông tin HIT cache, khi đó nội dung sẽ trả trực tiếp đến client mà không cần contact với application server
  • Một lần nội dung được cache, nó sẽ tiếp tục được phục vụ từ cache cho đến khi cache expire, hoặc khi cache bị clear/purge

3. Một số tùy chọn và tham số cấu hình

proxy_cache_path: Thiết lập vị trí lưu các cache file. Chúng ta thiết lập lưu trong đường dẫn /store/cache/example.com/

  • levels: Chị thì này dùng để thiết lập cách các cache file được lưu đến hệ thống tệp tin (hay là cấp độ tạo thư mục cho lưu cache file). Nếu không định nghĩa, cache file được lưu trực tiếp vào vị trí được định nghĩa. Nếu một số lượng lớn các tệp tin cache được lưu trực tiếp vào một thư mục, khi đó tốc độ truy cập đến tệp tin sẽ chậm đi. Vì vậy, chúng ta định nghĩa levels, ví dụ như trong cấu hình levels=1:2 nghĩa là thư mục được phân thành 2 cấp, khi đó cache file được lưu vào thư mục con của vị trí lưu cache, dựa trên mã md5 hashes.
  • keys_zone: dùng thiết lập shared memory zone cho lưu trữ cache keys và metadata. Một bản sao các keys trong memory sẽ làm cho Nginx nhanh hơn để xác định request nào là HIT hay MISS mà không phải truy cập xuống disk, mục đích tăng tốc độ check. Ở đây, chúng ta định nghĩa keys_zone với tên example.com. Với 1MB zone, có thể lưu trữ dữ liệu cho khoảng 8000 keys, vì thế mà chúng ta cấu hình 400MB, có thể lưu trữ đến 3200000 keys.
  • Inactive: Chỉ thị này được dùng để bảo nginx clear cache một số asset mà không được truy cập trong khoảng time được thiết lập mà không quan tâm đến là cache đó đã expire hay chưa. Inactive content khác với expire content. Nginx không tự động xóa nội dung mà đã expire được định nghĩa bởi một cache control header. Ở đây, chúng ta thiết lập inactive=10d (10 ngày). Mặc định inactive được thiết lập là 10 phút.
  • max_size: Thiết lập không gian disk tối đa mà nginx sử dụng để lưu cache. Nếu không định nghĩa, mặc định nó sử dụng toàn bộ không gian disk có sẵn để sử dụng cho việc lưu cache. Khi cache đạt đến giới hạn được định nghĩa, một tiến trình cache manager được sử dụng để remove các tệp mà được sử dụng gần nhất để đưa cache size về dưới giới hạn được định nghĩa.

proxy_cache_key: Định nghĩa key cho cache. Mặc định cấu hình với giá trị sau:

proxy_cache_key $scheme$proxy_host$uri$is_args$args;

Chúng ta có thể thay thế giá trị các biến sử dụng trong định nghĩa key, tùy thuộc giá trị mong muốn. Ví dụ định nghĩa key cho cache như sau:

proxy_cache_key "$scheme://$host$request_uri";

Khi đó key có kiểu giống như này: https://example.com/abc.jpg

proxy_cache_revalidate: Nếu chỉ thị này enable, Nginx xác minh nội dung cache hiện tại vẫn hợp lệ. Cái này cho phép tiết kiệm bandwidth bởi vì server chỉ gửi item đầy đủ nếu nó đã sửa đổi từ lần được khi lại trong header Last-Modified kèm theo tệp tin khi Nginx tổ chức cache nó.

proxy_cache_min_uses: Thiết lập số lần request một nội dung (item) của một client trước khi Nginx thực hiện cache nó. Mặc định giá trị proxy_cache_min_uses là 1.

proxy_cache_use_stale: Khi origin server down trong một khoảng thời gian (mà chưa refesh) gặp các mã lỗi 5xx, khi đó client request nội dung mà đã được cache từ nginx cache server nó sẽ vẫn nhận thông tin đã cache.

Để bật tính năng này, chúng ta cấu hình như sau:

location / {
    # ...
    proxy_cache_use_stale error timeout http_500 http_502 http_503 http_504;
}

proxy_next_upstream: Chỉ định trường hợp nào một request sẽ được chuyển qua nginx cache server tiếp theo. Chúng ta chỉ định các trường hợp lỗi sau:

proxy_next_upstream error timeout invalid_header http_500 http_502 http_503 http_504;

proxy_ignore_headers: Chỉ thị cho phép Nginx bỏ qua một số header. Ví dụ bỏ qua header Cache-Control và Set-Cookie

proxy_ignore_headers Cache-Control Set-Cookie;

proxy_cache_methods: Chỉ thị cho phép một số method được cache, mặc định GET và HEAD luôn được phép.

proxy_cache_lock: Tùy bật tùy chọn này với giá trị “on”, nếu nhiều client cùng request đến một file mà hiện tại chưa cache, khi đó chỉ có request đầu tiên được phép thực hiện contact với origin server và sau đó nội dung sẽ được cache.

4. Splitting the Cache Across Multiple Hard Drives

Nếu có nhiều hard disk, chúng ta có thể tách vị trí lưu cache đến nhiều vị trí khác nhau. Ví dụ cấu hình sau:

proxy_cache_path /path/to/hdd1 levels=1:2 keys_zone=my_cache_hdd1:10m
                 max_size=10g inactive=60m use_temp_path=off;
proxy_cache_path /path/to/hdd2 levels=1:2 keys_zone=my_cache_hdd2:10m
                 max_size=10g inactive=60m use_temp_path=off;

split_clients $request_uri $my_cache {
              50%          “my_cache_hdd1”;
              50%          “my_cache_hdd2”;
}

server {
    # ...
    location / {
        proxy_cache $my_cache;
        proxy_pass http://my_upstream;
    }
}

Ở đây, chúng ta tách vị trí lưu cache ra 2 hard disk và lưu ở 2 key zone. Sử dụng khối cấu hình “split_clients” định nghĩa key zone chung với biến $my_cache cho 2 key zone và cho phép mỗi hard disk sẽ cache một nửa số lượng request (50%). MD5 hash dựa trên biến $request_uri để xác định cache nào được sử dụng cho mỗi request

Read more

https://www.nginx.com/blog/nginx-caching-guide/

iFrame là gì? iFrame ( inline Frame) là một trang html được nhúng vào một trang html khác trên website. Thẻ iFrame thường được sử dụng để chèn nội dùng từ source khác, giống như các link ảnh, quảng cáo, .. Vì thế mà hacker có thể lợi dụng để insert mã iFrame với source bên ngoài và thực hiện ý đồ mong muốn.

Phương thức mà hacker khai thác khi người dùng click vào link được nhúng ở trên còn gọi là Clickjacking

Để hạn chế, hoặc chặn việc sử dụng iframe, chúng ta có thể sử dụng tham số “X-Frame-Options” HTTP response header trong cấu hình web server

Với X-Frame-Options, chúng ta có 3 giá trị có thể được áp dụng

X-Frame-Options: deny
X-Frame-Options: sameorigin
X-Frame-Options: allow-from uri

Nội dung các giá trị ở trên:

  • deny: Chặn toàn bộ việc đọc dữ liệu từ các trang có gắn frame, iframe

  • sameorigin: Chỉ cho phép đọc dữ liệu từ frame, iframe trong cùng domain

  • allow-from uri: Trang có thể thể đọc dữ liệu từ uri được định nghĩa (ví dụ allow-from uri: http://example.com)

Thiết lập X-Frame-Options trên một số web server phổ biến hiện nay

– Nginx

Tham số X-Frame-Options có thể them vào block http, server hoặc location trong tệp tin cấu hình nginx. Trong phạm vi ứng dụng đến toàn web server, tôi sẽ cấu hình vào block http{ } trong tệp tin cấu hình chính của nginx

add_header X-Frame-Options sameorigin;

Kiểm tra thông tin response header

nginx-frame-options

– Apache

Thêm đoạn sau vào tệp tin cấu hình chính Apache (ví dụ httpd.conf)

Header always set X-Frame-Options "sameorigin"

Kiểm tra thông tin response header

apache-x-frame-options

 

 

Trong các phần trước, chúng ta đã tìm hiểu về Ansible và cách sử dụng playbook

Đối với việc quản lý và triển khai một vài máy chủ thì chỉ cần một tệp tin playbook mà chứa các thông tin cấu hình như: tasks, vars, hosts, … thì có hoàn thành được công việc dễ dàng.

Khi triển khai với số lượng server lớn hơn, nhiều roles, số lượng tasks và vars cũng tăng lên, việc sử dụng các thông tin đó vào chỉ một tệp tin playbook, làm cho tệp tin đó đồ sộ hơn, tất nhiên như thế thì khó khăn hơn trong việc xác định các roles.

Vì vậy mà bài viết này sẽ sử dụng Ansible trong cấu trúc thư mục để dễ dàng hơn xác định roles, cũng như khi cần triển khai các roles cho các service hoặc servers mới (dễ dàng thêm/bỏ roles ).

Trong bài viết này chúng ta sẽ sử dụng Ansible để cài đặt và triển khai “Nginx làm reverse proxy cho LAMP (Linux, Apache, MariaDB và PHP)” cho ứng dụng WordPress nhé

Chúng ta cần cài trên 02 servers và xác định các roles như sau:

  • Nginx reverse proxy, Apache, PHP và WordPress

  • MariaDB

Ta tạo cấu trúc roles dạng cây thư mục như hình dưới:

Ansible- Nginx-LAMP-Wordpress

Nội dung của từng Roles, với thông tin các tệp tin cấu hình mình có tạo một repository tại: Ansible Role – Nginx reverse proxy for Apache MariaDB PHP7 + WordPress

Ở cấu trúc thư mục như trên thì các roles phân tách các thông tin gồm các task, vars, …

– group_vars: chúng ta chứa thông tin các biến toàn cục, mà có thể sử dụng ở toàn bộ cấu hình

– roles: Là thư mục chứa thông tin cấu hình phân tách của từng role. Ở đây gồm các roles: apache, common, mariadb, nginx, php và wordpress. Trong mỗi role đó thì gồm các thông tin cấu hình về tasks, var, .. hoặc templates của riêng mỗi role đó.

– inventory: là tệp tin chứa thông tin ansible host mà chúng ta sẽ khai báo, thay vì sử dụng tệp tin cấu hình mặc định tại đường dẫn “/etc/ansible/hosts”

– playbook.yml: là tệp tin playbook chứa thông tin các play. Nếu không tổ chức playbook theo cấu trúc thư mục thì tất cả thông tin về tasks, templates, vars, … mà chạy của mỗi play sẽ được liệt kê trong một tệp playbook. Với cấu trúc thư mục, chúng ta chỉ cần khai báo thông tin về play mà có các roles sẽ chạy, khi đó nó sẽ có nhiệm vụ gọi đến tasks được khai báo trong các tệp tin cấu hình ở thư mục roles ở trên.

Trong nhiều trường hơn, các roles đó có cùng thông tin các biến, các task thì khi đó chúng ta bố trí cấu trúc khác, để hạn chế việc lặp lại các biến, các task đó. Chúng ta có thể tham khảo thêm cách bố trí cấu trúc thư mục tại: https://docs.ansible.com/ansible/latest/user_guide/playbooks_best_practices.html

 

Trong phần trước, mình có cấu hình Nginx làm reverse proxy cho Apache web server. Với giao thức http – một giao thức chưa được mã hóa. Để đảm bảo an toàn hơn trong giao tiếp giữa client và server qua trình duyệt, chúng ta cần cài đặt chứng chỉ SSL trên server.

Nginx reverse proxy with SSL for Apache webserver

1. Tự tạo self-signed certificate

Đây là certificate mà ta sẽ tự tạo ra trên chính server. Certificate này không được xác thực bởi các nhà cung cấp chứng chỉ số.

Các bước tạo self-signed certificate và cấu hình Nginx sử dụng SSL như sau:

Step1: Tạo private key

mkdir -p /etc/nginx/ssl/example
cd /etc/nginx/ssl/example
# Tạo key với mã hóa RSA
openssl genrsa -des3 -out server.key 2048
# Quá trình tạo key yêu cầu nhập pass phrase
Enter pass phrase for server.key:
Verifying - Enter pass phrase for server.key:
# Chúng ta sẽ remove passphrase bỏ qua quá trình hỏi passphare
openssl rsa -in server.key -out server.key
Enter pass phrase for server.key:
writing RSA key

Step2: Đăng ký certificate

openssl req -new -key server.key -out server.csr

Đăng ký certificate có thể như sau:

Country Name (2 letter code) [XX]:VN
State or Province Name (full name) []:HN
Locality Name (eg, city) [Default City]:HN
Organization Name (eg, company) [Default Company Ltd]:Example
Organizational Unit Name (eg, section) []:
Common Name (eg, your name or your server’s hostname) []:example.local
Email Address []:

Step3:  Tạo certificate

Dựa vào CSR ở trên, chúng ta tạo một self-signed certificate, với hiệu lực 365 ngày

openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt

Step4: Cấu hình Nginx reverse proxy với SSL cho website example.local

Tạo hay sửa đổi tệp tin cấu hình site example.local với nội dung sau:

(vim /etc/nginx/sites-enabled/example.conf)

server {
    listen 80;
    server_name example.local;
    rewrite ^(.*) https://example.local$1 permanent; #redirect from http to https
    #return 301 https://$host$request_uri;
    }
server {
    listen 443;
    server_name example.local;
    root /var/www/example;
    location ~* ^.+\.(jpg|jpeg|gif|css|png|js|ico|txt|srt|swf|zip|rar|html|htm|pdf)$ {
      expires 30d; # caching, expire after 30 days
   }
    access_log /var/log/nginx/nginx.local-access.log;
    error_log /var/log/nginx/nginx.local-error.log;
    ssl on;
    #Only using some protocols, not use SSLv2, SSLv3
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    ssl_certificate /etc/nginx/ssl/example/server.crt;
    ssl_certificate_key /etc/nginx/ssl/example/server.key;
    location / {
        proxy_pass http://localhost:8080; #request to webserver
        include /etc/nginx/proxy_params;
   }
}

2. Sử dụng SSL Certificate miễn phí của Let’s Encrypt

Với self-signed certificate thì chúng ta chỉ sử dụng cho nội bộ công ty. Đối với website public mà cần độ tin tưởng từ người dùng, chúng ta cần phải sử dụng certificate được cung cấp từ CA (certificate authority) nào đó. Nếu là cá nhân hoặc để thử nghiệm website sử dụng SSL, chúng ta có thể sử dụng của Let’s Encrypt.

Let’s Encrypt là nhà cung cấp SSL miễn phí. Hiện tại thì Let’s Encrypt cho phép chúng ta đăng ký certificate miễn phí 3 tháng và sau đó yêu cầu renew.

Để lấy certificate từ Let’s Encrypt chúng ta sử dụng công cụ Certbot

Step1:  Cài đặt Certbot

yum install python-certbot-nginx

Step2: Thông tin cấu hình Nginx khi chưa có SSL

Certbot có thể tự động cấu hình SSL cho Nginx, tuy nhiên điều kiện cần là nó cần xác định được cấu hình website đã tồn tại. Thông tin cấu hình cơ bản như sau cho site vnsys.vn (thay site vnsys.vn với tên site phù hợp chúng ta sử dụng)

server {
  listen 80;
  server_name vnsys.vn;
  root /var/www/vnsys;
  # Select files to be deserved by nginx
  location ~* ^.+\.(jpg|jpeg|gif|css|png|js|ico|txt|srt|swf|zip|rar|html|htm|pdf)$ {
      access_log        off;
      log_not_found     off;
      expires 30d; # caching, expire after 30 days
  }
  location / {
        proxy_pass http://localhost:8080;
        include /etc/nginx/proxy_params;
  }
  ## Only allow GET and HEAD request methods
    if ($request_method !~ ^(GET|HEAD|POST)$ ) {
        return 444;
    }
}

Step3:  Lấy một SSL Certificate

Certficate sẽ được xác thực qua internet đến CA, vì vậy yêu cầu sử dụng site public, trong trường hợp này ta sẽ lấy cert cho site vnsys.vn

certbot --nginx -d vnsys.vn

Thông tin lấy cert như sau:

Saving debug log to /var/log/letsencrypt/letsencrypt.log
Plugins selected: Authenticator nginx, Installer nginx
Starting new HTTPS connection (1): acme-v01.api.letsencrypt.org
Obtaining a new certificate
Performing the following challenges:
http-01 challenge for vnsys.vn
Waiting for verification...
Cleaning up challenges
Deploying Certificate to VirtualHost /etc/nginx/sites-enabled/vnsys.conf

Please choose whether or not to redirect HTTP traffic to HTTPS, removing HTTP access.
-------------------------------------------------------------------------------
1: No redirect - Make no further changes to the webserver configuration.
2: Redirect - Make all requests redirect to secure HTTPS access. Choose this for
new sites, or if you're confident your site works on HTTPS. You can undo this
change by editing your web server's configuration.
-------------------------------------------------------------------------------
Select the appropriate number [1-2] then [enter] (press 'c' to cancel): 2
Redirecting all traffic on port 80 to ssl in /etc/nginx/sites-enabled/vnsys.conf

-------------------------------------------------------------------------------
Congratulations! You have successfully enabled https://vnsys.vn

You should test your configuration at:
https://www.ssllabs.com/ssltest/analyze.html?d=vnsys.vn
-------------------------------------------------------------------------------

IMPORTANT NOTES:
- Congratulations! Your certificate and chain have been saved at:
/etc/letsencrypt/live/vnsys.vn/fullchain.pem
Your key file has been saved at:
/etc/letsencrypt/live/vnsys.vn/privkey.pem

Step4: Tệp tin cấu hình Nginx của site vnsys.vn sau khi lấy certificate

server {
  server_name vnsys.vn;
  root /var/www/vnsys;
  # Select files to be deserved by nginx
  location ~* ^.+\.(jpg|jpeg|gif|css|png|js|ico|txt|srt|swf|zip|rar|html|htm|pdf)$ {
      access_log        off;
      log_not_found     off;
      expires 30d; # caching, expire after 30 days
  }
  location / {
        proxy_pass http://localhost:8080;
        include /etc/nginx/proxy_params;
  }
  ## Only allow GET and HEAD request methods
    if ($request_method !~ ^(GET|HEAD|POST)$ ) {
        return 444;
    }
    listen 443 ssl; # managed by Certbot
    ssl_certificate /etc/letsencrypt/live/example.local/fullchain.pem; # managed by Certbot
    ssl_certificate_key /etc/letsencrypt/live/example.local/privkey.pem; # managed by Certbot
    include /etc/letsencrypt/options-ssl-nginx.conf; # managed by Certbot
    ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem; # managed by Certbot
}
server {
    if ($host = vnsys.vn) {
        return 301 https://$host$request_uri;
    } # managed by Certbot

  listen 80;
  server_name vnsys.vn;
    return 404; # managed by Certbot
}

3.  Cấu hình Apache web server

Trong phần đầu của bài viết “https://vnsys.wordpress.com/2018/07/17/su-dung-nginx-lam-reverse-proxy-cho-apache-web-server/” cũng đã hướng dẫn cài đặt và cấu hình cơ bản Apache web server.

Sau khi cài đặt Apache với hướng dẫn cấu hình Apache như vậy, khi duyệt web và kiểm tra chúng ta thấy có lỗi mixed-content như hình dưới

mixed-content

Để giải quyết mixed-content, cần báo cho Apache là chúng ta đang sử dụng giao thức https, khi Nginx reverse proxy đang phục vụ website mà sử dụng SSL

Thêm nội dung sau vào tệp tin cấu hình chính của Apache ( /etc/httpd/conf/httpd.conf)
<IfModule mod_setenvif.c>
    SetEnvIf X-Forwarded-Proto "^https$" HTTPS
</IfModule>

Trong bài viết này chúng ta sẽ sử dụng Nginx làm Reverse proxy cho Apache web server

Nginx reverse proxy for Apache web server

1. Cài đặt và cấu hình Apache web server

Hiện tại bản mới của Apache web server là 2.4.xx, đã được tích hợp sẵn trong các repo cài đặt trên CentOS 7. Apache-2.4 hỗ trợ đầy đủ tính năng của Event MPM, ngoài ra Apache-2.4 sử dụng lượng memory thấp hơn so với Apache-2.2.

Cài đặt Apache

yum -y install httpd

Cấu hình Apache listen ở port 8080, chúng ta sẽ sử dụng port 80 cho Nginx reverse proxy.

sed -i '/Listen 80/c\Listen 8080' /etc/httpd/conf/httpd.conf

Thay đổi LogFormat, để Apache ghi nhận địa chỉ IP thực của agent từ Nginx, thay vì địa chỉ IP localhost (127.0.0.1). Sửa nội dung directive LogFormat trong tệp tin cấu hình httpd.conf với nội dung sau:

LogFormat "%{X-Forwarded-For}i %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" combined

Tạo virtualhost “example.local

cat >/etc/httpd/conf.d/example.conf <<EOF
<VirtualHost *:8080>
    ServerAdmin webmaster@example.local
    ServerName example.local
    ServerAlias www.example.local
    DocumentRoot /var/www/example/
    #Allow to use .htaccess, enable rewrite module
    <Directory /var/www/example>
        Options FollowSymLinks
        AllowOverride All
        Require all granted
    </Directory>
    ErrorLog /var/log/httpd/example-error.log
    CustomLog /var/log/httpd/example-access.log combined
</VirtualHost>
EOF

Tạo home directory  cho site example.local và thiết lập Apache owner cho home directory

mkdir -p /var/www/example
chown -R apache:apache /var/www/example
  • Start & enable Apache
systemctl start httpd.service
systemctl enable httpd.service

2. Cấu hình sử dụng Nginx làm reverse proxy

Cài đặt Nginx có thể tham khảo bài viết “Cài đặt Nginx từ source”

Hoặc cài đặt từ prebuild từ repo (mặc định đã support proxy): yum -y install nginx

2.1 Cấu hình các tham số chuẩn cho proxy

cat >/etc/nginx/proxy_params <<EOF
proxy_set_header Host \$host;
proxy_set_header X-Real-IP \$remote_addr;
proxy_set_header X-Forwarded-For \$proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto \$scheme;
client_max_body_size    10m;
client_body_buffer_size 128k;
proxy_connect_timeout   90;
proxy_send_timeout      90;
proxy_read_timeout      90;
proxy_buffers           32 4k;
EOF

Trong tệp tin /etc/nginx/proxy_params, chúng ta làm rõ một số tham số:

  • proxy_set_header Host $host: Chúng ta dùng định nghĩa lại trường Host request header mà truyền đến backend khi mà cached được enable trên nginx . $host bằng giá trị server_name trong trường Host request header. Chúng ta thiết lập

  • proxy_set_header X-Real-IP: Truyền Real IP của client vào header khi gửi request đến Backend

  • proxy_set_header X-Forwarded-For: Mặc định client request thì thông tin sẽ chỉ giao tiếp với reverse proxy, vì vậy mà thông tin log của Backend server (Apache web server) sẽ chỉ nhận được là địa chỉ IP của Nginx proxy. Để ghi nhận địa chỉ IP thực của client vào backend web server, chúng ta sử dụng tham số: “proxy_set_header X-Forwarded-For”

  • proxy_set_header X-Forwarded-Proto: Xác định giao thức (http hoặc https) mà client gửi request tới proxy

– client_max_body_size: Thiết lập kích thước tối đa mà client sẽ gửi thông tin đến server

2.2  Reverse proxy cho example.local

  • Mở rộng thêm các tệp tin cấu hình

Thêm dòng sau vào trong khối http { } trong tệp cấu hình nginx.conf

include /etc/nginx/sites-enabled/*;

Tạo thư mục chứa các tệp cấu hình Nginx mở rộng

mkdir /etc/nginx/sites-available/
mkdir /etc/nginx/sites-enabled/
– Tạo tệp tin cấu hình cho site example.local với nội dung sau:
cat >/etc/nginx/sites-available/example.conf<<EOF
server {
  server_name example.local;
  root /var/www/example;
  #Caching static files
  location ~* ^.+\.(jpg|jpeg|gif|css|png|js|ico|txt|srt|swf|zip|rar|html|htm|pdf)$ {
      expires 30d; # caching, expire after 30 days
  }
  location / {
        #pass requests for dynamic content to Apache
        proxy_pass http://example.local:8080;
        include /etc/nginx/proxy_params;
  }
}
EOF

Nginx phục vụ các tệp tin tĩnh nhanh hơn so với Apache. Vì vậy mà, trong tệp tệp tin example.conf ở trên, khi có request static file, Nginx sẽ trực tiếp phục vụ các yêu cầu đó, thay vì phải chuyển tiếp xử lý đến Apache.

– Tham số proxy_pass, dùng để thiết lập giao thức và địa chỉ của máy chủ backend và một URI tùy chọn mà một location sẽ được ánh xạ. Địa chỉ ở đây có thể là domain hoặc địa chỉ IP và một cổng tùy chọn. Trong trường hợp của chúng ta, Nginx phục vụ BackEnd có domain là example.local với port 8080. Trong nhiều trường hợp mà khả năng phân giải tên miền có vấn đề sẽ gây ra lỗi dịch vụ, vì vậy chúng ta nên ưu tiên sử dụng địa chỉ IP

proxy_pass http://127.0.0.1:8080;

– Enable reverse proxy for site example.local

cd /etc/nginx/sites-enabled
ln -s ../sites-available/example.conf .
systemctl restart nginx.service