Chapril DokuWiki

Outils pour utilisateurs

Outils du site

Vous êtes ici : start » admin » procedures » ajout-host-reverse-proxy-nginx
admin:procedures:ajout-host-reverse-proxy-nginx

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentesRévision précédente
Prochaine révision		Révision précédente
admin:procedures:ajout-host-reverse-proxy-nginx [2017/07/12 09:52] – [Déploiement de l'host avec TLS] fpoulainadmin:procedures:ajout-host-reverse-proxy-nginx [2025/04/04 23:36] (Version actuelle) – [Déploiement de l'host avec TLS] C'est le port 442 qui est utilisé (le port 443 étant partagé avec XMPP #5614) pilou
Ligne 4: Ligne 4:
  
 Les manipulations sont à faire sur le [[admin:machines_virtuelles:bastion|bastion]]. Les manipulations sont à faire sur le [[admin:machines_virtuelles:bastion|bastion]].
- 
 ===== Prérequis ===== ===== Prérequis =====
  
Ligne 19: Ligne 18:
     server_name bling.chapril.org;      server_name bling.chapril.org; 
  
-    access_log /var/log/nginx/bling.chapril.org/bling.chapril.org.access_log+    access_log /var/log/nginx/bling.chapril.org/bling.chapril.org-access.log
-    error_log /var/log/nginx/bling.chapril.org/bling.chapril.org.error_log;+    error_log /var/log/nginx/bling.chapril.org/bling.chapril.org-error.log;
  
     include /etc/nginx/acme-challenge;     include /etc/nginx/acme-challenge;
 +    include /etc/nginx/sexy-chapril;
 } }
 </code> </code>
Ligne 42: Ligne 42:
 ===== Obtention d'un certificat TLS ===== ===== Obtention d'un certificat TLS =====
  
-On ajoute dans /etc/dehydrated/domains.txt :+On ajoute dans ''/etc/dehydrated/domains.txt'' :
 <code conf /etc/dehydrated/domains.txt> <code conf /etc/dehydrated/domains.txt>
 bling.chapril.org bling.chapril.org
Ligne 50: Ligne 50:
   dehydrated -c   dehydrated -c
  
-Le couple clé/certificat obtenu est dans /var/lib/dehydrated/certs/bling.chapril.org+Le couple clé/certificat obtenu est dans ''/var/lib/dehydrated/certs/bling.chapril.org''.
  
 ===== Déploiement de l'host avec TLS ===== ===== Déploiement de l'host avec TLS =====
Ligne 57: Ligne 57:
 <code C /etc/nginx/sites-available/bling.chapril.org> <code C /etc/nginx/sites-available/bling.chapril.org>
     include /etc/nginx/acme-challenge;     include /etc/nginx/acme-challenge;
- +    include /etc/nginx/sexy-chapril; # favicon.{ico,png} 
-    rewrite ^(.*)$ https://$host$request_uri permanent+    include /etc/nginx/force-ssl
 +    include /etc/nginx/custom_50x; 
 +    #include /etc/nginx/maintenance; # utilisé en cas de maintenance
 } }
 </code> </code>
Ligne 66: Ligne 67:
 <code C /etc/nginx/sites-available/bling.chapril.org> <code C /etc/nginx/sites-available/bling.chapril.org>
 server { server {
-    listen 443 ssl; +    listen 442 http2 ssl proxy_protocol
-    listen [::]:443 ssl;+    listen [::]:442 http2 ssl proxy_protocol;
  
     server_name bling.chapril.org;     server_name bling.chapril.org;
  
-    access_log /var/log/nginx/bling.chapril.org/bling.chapril.org.access_log+    access_log /var/log/nginx/bling.chapril.org/bling.chapril.org-access.log
-    error_log /var/log/nginx/bling.chapril.org/bling.chapril.org.error_log;+    error_log /var/log/nginx/bling.chapril.org/bling.chapril.org-error.log;
  
     ssl_certificate     /var/lib/dehydrated/certs/bling.chapril.org/fullchain.pem;     ssl_certificate     /var/lib/dehydrated/certs/bling.chapril.org/fullchain.pem;
     ssl_certificate_key /var/lib/dehydrated/certs/bling.chapril.org/privkey.pem;     ssl_certificate_key /var/lib/dehydrated/certs/bling.chapril.org/privkey.pem;
 +
 +    include /etc/nginx/acme-challenge;
 +    include /etc/nginx/sexy-chapril;
 +    include /etc/nginx/custom_50x;
 +    include /etc/nginx/chapril-banner-location; # ⚠️ en fonction des services, met à dispo la bannière via /Chapril-banner
  
     location / {     location / {
 +        include /etc/nginx/chapril-banner-v2; # en fonction des services, inject la bannière (requiert /Chapril-banner)
         # remplacer par le nom de la machine qui héberge le service :         # remplacer par le nom de la machine qui héberge le service :
         proxy_pass http://bling;         proxy_pass http://bling;
- 
-        proxy_set_header Host $host; 
-        proxy_set_header Proxy ""; 
     }     }
 } }
Ligne 96: Ligne 100:
  
 Et normalement l'host est fonctionnel. ''curl -i'' ou ''curl -I'' sont vos amis pour le debug. Et normalement l'host est fonctionnel. ''curl -i'' ou ''curl -I'' sont vos amis pour le debug.
 +
 +===== Monitoring =====
 +
 +Il faut impérativement penser à [[admin:monitoring:add-host|monitorer]] le service une fois terminé.
 +
 +Il suffit pour cela, sur la machine [[admin:machines_virtuelles:admin|admin]], dans le fichier ''/etc/icinga2/zones.d/master/cluster/bling.conf'' (remplacer bling par le nom de la machine concernée) d'ajouter quelque chose comme :
 +<code bash /etc/icinga2/zones.d/master/cluster/bling.conf >
 +  vars.http_vhosts["Bling page"] = {
 +    http_vhost = "bling.chapril.org"
 +    http_uri = "/"
 +    http_string = "<title>bling !</title>"
 +    http_ssl = true
 +  }
 +</code>
 +
 +Si vous avez des besoins exotiques, n'hésitez pas à jeter un œil à la doc : https://docs.icinga.com/icinga2/latest/doc/module/icinga2/chapter/plugin-check-commands#plugin-check-command-http
 +
 +On teste la conf :
 +  icinga2 daemon -C
 +
 +Et on reload Icinga :
 +  /etc/init.d/icinga2 reload
admin/procedures/ajout-host-reverse-proxy-nginx.1499853121.txt.gz · Dernière modification : 2017/07/12 09:52 de fpoulain