Nginx proxy do Tomcat z SSL
Przez pomyłkę opublikowałem to na stackoverflow (https://stackoverflow.com/questions/65942820/nginx-proxy-to-tomcat) i umieszczam to również tutaj w nadziei znalezienia rozwiązania.
Przeszedłem przez dziesiątki samouczków i nie mogę zrozumieć następujących (chociaż powinno to być dość podstawowe):
Mam skompilowaną aplikację vue w /var/www/mydomain.com i chcę, aby była udostępniana jako zawartość statyczna.
Mój backend działający na 8080 przez tomcat z publicznymi API na / api / something ... URLs. Adresy URL są zakodowane na stałe, w tym część „api”.
Chciałbym skonfigurować nginx do proxy moja_domena.com/api/something ... żądania do tomcat i reszta będą obsługiwane statycznie z /var/www/mydomain.com. Wszystko obsługiwane przez SSL.
Nie potrzebuję niczego więcej.
Czy możesz mi pomóc skonfigurować nginx i tomcat, aby to osiągnąć? Dziękuję Ci!
Konfiguracja nginx /etc/nginx/sites-available/mydomain.com
upstream tomcat {
server 127.0.0.1:8080 fail_timeout=0;
}
server {
listen 443 ssl default_server;
#listen [::]:443 ssl default_server;
root /var/www/mydomain.com;
index index.html index.htm index.nginx-debian.html;
server_name _ mydomain.com www.mydomain.com;
location /api/ {
include proxy_params;
proxy_set_header Host $server_name; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme; proxy_pass http://tomcat; } location / { try_files $uri $uri/ /index.html; } ssl_certificate /etc/letsencrypt/live/www.mydomain.com/fullchain.pem; # managed by Certbot ssl_certificate_key /etc/letsencrypt/live/www.mydomain.com/privkey.pem; # managed by Certbot } server { if ($host = www.mydomain.com) {
return 301 https://$host$request_uri;
} # managed by Certbot
if ($host = mydomain.com) { return 301 https://$host$request_uri;
} # managed by Certbot
listen 80 default_server;
listen [::]:80 default_server;
server_name _ mydomain.com www.mydomain.com;
return 404; # managed by Certbot
}
(1) Alternatywny blok lokalizacji, z którym eksperymentuję
location /api/ {
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-Proto https;
proxy_pass http://localhost:8080/api/;
}
(2) Alternatywny blok sugerowany przez Praveen Premaratne.
W ten sposób otrzymuję "GET /api/docs HTTP/1.0" 302 -
i działają również pliki statyczne. Przechodzenie do / api / docs powoduje przekierowanie do miejsca, w domain:8443/api/docs
którym się znajduję ERR_CONNECTION_REFUSED
.
location /api/ {
include proxy_params;
proxy_pass http://tomcat;
}
location / {
try_files $uri $uri/ /index.html;
}
(3) Alternatywnie przy użyciu subdomeny.
Udało mi się stworzyć subdomenę api.moja_domena.com i skonfigurować nginx, aby przechodził stamtąd do strony indeksu (dodając kolejny blok). Nie mam pojęcia, jak później wykonać proxy.
server {
listen 443 ssl;
root /var/www/www.mydomain.com; <- redundand I guess?
index index.html index.htm index.nginx-debian.html; <- redundand I guess?
server_name api.mydomain.com
ssl_certificate /etc/letsencrypt/live/www.mydomain.com/fullchain.pem; # managed by Certbot
ssl_certificate_key /etc/letsencrypt/live/www.mydomain.com/privkey.pem; # managed by Certbot
}
Tomcat config server.xml
<Connector port="8080" protocol="HTTP/1.1"
connectionTimeout="20000"
address="127.0.0.1"
redirectPort="8443" />
<Engine name="Catalina" defaultHost="localhost">
...
<Host name="localhost" appBase="webapps"
unpackWARs="true" autoDeploy="true">
<Valve className="org.apache.catalina.valves.AccessLogValve"
directory="logs"
prefix="localhost_access_log" suffix=".txt"
requestAttributesEnabled="true"
pattern="%h %l %u %t "%r" %s %b" />
<Valve className="org.apache.catalina.valves.RemoteIpValve"
protocolHeader="X-Forwarded-Proto" />
...
Obecna sytuacja jest taka, że kiedy wchodzę na mydomain.com/api/docs, gdzie powinien działać Swagger, zostaje przekierowany z powrotem na mydomain.com lub otrzymuję błąd 500 lub 502.
Odpowiedzi
Ok, więc z pomocą @Praveen Premaratne i @Piotr P.Karwasz oraz tego artykułu wymyśliłem następującą konfigurację:
nie umieszczaj wierszy z „# managed by Certbot”, te są tworzone przez certbot, sprawdź https://www.digitalocean.com/community/tutorials/how-to-secure-nginx-with-let-s-encrypt-on-ubuntu-18-04
etc / nginx / sites-available / mydomain.com
server {
server_name mydomain.com www.mydomain.com;
root /var/www/mydomain.com;
index index.html;
access_log /var/log/nginx/mydomain-access.log;
error_log /var/log/nginx/mydomain-error.log;
location / {
try_files $uri $uri/ /index.html;
}
listen 443 ssl; # managed by Certbot
ssl_certificate /etc/letsencrypt/live/www.mydomain.com/fullchain.pem; # managed by Certbot
ssl_certificate_key /etc/letsencrypt/live/www.mydomain.com/privkey.pem; # managed by Certbot
include /etc/letsencrypt/options-ssl-nginx.conf; # managed by Certbot
ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem; # managed by Certbot
}
server {
if ($host = www.mydomain.com) { return 301 https://$host$request_uri; } # managed by Certbot if ($host = mydomain.com) {
return 301 https://$host$request_uri;
} # managed by Certbot
server_name mydomain.com www.mydomain.com;
listen 80;
return 404; # managed by Certbot
}
/etc/nginx/sites-available/api.mydomain.com
server {
server_name api.mydomain.com;
access_log /var/log/nginx/api-mydomain-access.log;
error_log /var/log/nginx/api-mydomain-error.log;
location / {
proxy_set_header Host $http_host; proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header X-Forwarded-Host $http_host;
proxy_set_header X-Forwarded-Proto $scheme; proxy_pass http://127.0.0.1:8080; } listen 443 ssl; # managed by Certbot ssl_certificate /etc/letsencrypt/live/www.mydomain.com/fullchain.pem; # managed by Certbot ssl_certificate_key /etc/letsencrypt/live/www.mydomain.com/privkey.pem; # managed by Certbot include /etc/letsencrypt/options-ssl-nginx.conf; # managed by Certbot ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem; # managed by Certbot } server { if ($host = api.mydomain.com) {
return 301 https://$host$request_uri;
} # managed by Certbot
server_name api.mydomain.com;
listen 80;
return 404; # managed by Certbot
}
Tomcat server.xml
<Service name="Catalina">
<Connector port="8080" protocol="HTTP/1.1"
connectionTimeout="20000"
address="127.0.0.1"
proxyName="api.mydomain.com"
proxyPort="80"/>
<Engine name="Catalina" defaultHost="localhost">
<Realm className="org.apache.catalina.realm.LockOutRealm">
...
</Realm>
<Host name="localhost" appBase="webapps"
unpackWARs="true" autoDeploy="true">
<Valve className="org.apache.catalina.valves.RemoteIpValve"
remoteIpHeader="x-forwarded-for"
proxiesHeader="x-forwarded-by"
protocolHeader="x-forwarded-proto" />
<Valve className="org.apache.catalina.valves.AccessLogValve" directory="logs"
prefix="localhost_access_log" suffix=".txt"
pattern="%h %l %u %t %r %s %b" />
</Host>
</Engine>
Spróbuj tego:
location / {
try_files $uri @backend;
}
location @backend {
include proxy_params;
proxy_pass http://tomcat;
}
Gdybym miał to zrobić przy użyciu podejścia subdomen, oto jak bym to zrobił.
- Utwórz plik konfiguracyjny Nginx dla interfejsu API zaplecza
- Utwórz plik konfiguracyjny Nginx dla statycznej treści internetowej
Statyczny plik HTML Nginx
mydomain.com.nginx
server {
server_name mydomain.com;
root /var/www/mydomain.com;
index index.html;
access_log /var/log/nginx/mydomain-access.log;
error_log /var/log/nginx/mydomain-error.log;
location / {
try_files $uri $uri/ /index.html;
}
listen 443 ssl; # managed by Certbot
ssl_certificate /etc/letsencrypt/live/www.mydomain.com/fullchain.pem; # managed by Certbot
ssl_certificate_key /etc/letsencrypt/live/www.mydomain.com/privkey.pem; # managed by Certbot
include /etc/letsencrypt/options-ssl-nginx.conf; # managed by Certbot
ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem; # managed by Certbot
}
server {
if ($host = mydomain.com) { return 301 https://$host$request_uri;
} # managed by Certbot
listen 80;
server_name mydomain.com;
return 404; # managed by Certbot
}
Plik konfiguracyjny API Nginx
api.mydomain.com.nginx
server {
server_name api.mydomain.com;
access_log /var/log/nginx/api-mydomain-access.log;
error_log /var/log/nginx/api-mydomain-error.log;
location / {
proxy_set_header X-Forwarded-Host $host:$server_port; proxy_set_header X-Forwarded-Server $host;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_pass http://127.0.0.1:8080; proxy_redirect off; } listen 443 ssl; # managed by Certbot ssl_certificate /etc/letsencrypt/live/api.mydomain.com/fullchain.pem; # managed by Certbot ssl_certificate_key /etc/letsencrypt/live/api.mydomain.com/privkey.pem; # managed by Certbot include /etc/letsencrypt/options-ssl-nginx.conf; # managed by Certbot ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem; # managed by Certbot } server { if ($host = api.mydomain.com) {
return 301 https://$host$request_uri;
} # managed by Certbot
listen 80;
server_name app.mydomain.com;
return 404; # managed by Certbot
}
Możesz je dodać do /etc/nginx/site-available/
katalogu i włączyć.
Ps: Usunąłbym elementy SSL i uruchomiłbym Certbota, aby je zaktualizować, ponieważ musisz wydać nowy certyfikat dla app.mydomain.com , więc po prostu zaktualizowałby same pliki