reverse proxy 越しの IP アクセス制御 with mod_extract_forwarded 編 : にぽたん研究所
前任者から、特に引き継ぎ作業が皆無だった、とある運用中の某サイトで、80 ポートで static content, 8080 ポートで application サーバを立てて dynamic content にし、80 から localhost:8080 に reverse proxy していたのがある (共に Apache)。 ふと気付くと、そこに http://global_addr:8080/ みたいにしてアクセスすると見事に全部が見えてしまい、管理画面で 80 ポート側でのアクセス制御とか設定されているのに一切お構いナシだったことに気付く。 すげーおマヌケ。アフォかっつぅの。 おーい。見てるか前任者。 そう、そこのウエストポーチしてる君だよ。 まぁ、致命的なものは全く置いてない場所だったのが不幸中の幸いでしたが。 んで、ここには、mod_extract_forwarded が入って
mod_rpaf のかわりに mod_extract_forwarded なるものがあるらしい - daily dayflower
今作っているウェブアプリでは -+(A) Apache 2.2 + mod_proxy (画像等のスタティックコンテンツ向け) +(B) Apache 2.2 + mod_perl (アプリサイド)という環境を同一ホストで動かしています。 ただ,このようにリバースプロキシを導入すると,(B) のログファイルではアクセスもとがすべて 127.0.0.1 になってしまいますし,アクセスされる IP によってアプリ上で制限を掛けたい場合,X-Forwarded-For ヘッダを自分でみて判断しなくてはいけなくなってしまい,面倒です。 このようなときに楽に対処できるのが mod_rpaf です(参考: リバースプロキシを導入する際はmod_rpaf - drk7jp)。このモジュールを使うと,Apache の Connection レコードの内容を改変してくれるので,ログには大元のアドレスが記録さ
mizzy.org : mod_rpaf よりも mod_extract_forwarded
リバースプロキシな環境では mod_rpaf 使ったりすることが多いと思いますが、バックエンドの apache でアクセス制限かける場合には、mod_extract_forwarded を使ったほうが良いよ、というお話。 バックエンドの apache 2.0 + mod_rpaf な環境で .htaccess によるアクセス制限をかけようとしても、接続元の IP アドレスではなく、pound の IP アドレスで制限がかかってしまう、という現象に悩まされました。で、ソースを眺めてみると mod_rpaf は ap_hook_post_read_request で実行されているのに対し、mod_access は ap_hook_access_checker で実行されています。おそらく、ap_hook_post_read_request よりも ap_hook_access_checker
pound と apache をバランスよくチューニングする必要性について
もう二ヶ月ほど前の話なのですが、お仕事でサイトが異常に重い(遅い)んだけど・・・という苦情が月に1〜2件ほどきていたので、重い腰を上げて本格的に調査・解析して pound と apache のチューニングを実施しました。チューニング後はサイトが重いという苦情は皆無になりました。(≧∇≦)b 今回のチューニングのキモは pound と apache をバランスよくチューニングするということでした。完全に見落としていた点でもありました。とりあえず苦情がきてた時点までの構成を図にするとこんな感じでした。 何しろ Web サーバの Load Average も CPU 負荷も高くないのでサーバ側は悪くないという思い込みが原因特定を遅らせた一番の原因。この2つの数値はとっても重要なのですが、この数値に真実の見極めを惑わされてはいけません。 以下、調査手順など備忘録的なメモ。途中かなり寄り道したり脱線
Pound でローカルのWebサーバに HTTPS であることを教える方法
Pound を使ってリバースプロキシ兼ソフトウェアバランサを機能させている状態で、ローカル側のWebサーバにHTTPS通信であることを知らせる必要が出てきた場合の設定メモ。 pound.cfg を下記のように設定しておく。 ListenHTTPS Address [HTTPS通信を受け取るリバースプロキシサーバのIPアドレス] Port 443 Cert [SSLで使用するCRTファイル] AddHeader "X_FORWARDED_PROTO: https" ←これを追加 Service ..... End End ※なんか改行が変。あとで直す。 AddHeader で ローカル側のWebサーバに伝えるヘッダを追加できる。 「X_FORWARDED_PROTO: https」を追加しておくと、PHPの場合 $_SERVER['HTTP_X_FORWARDED_
Poundの導入 |
GLANTANKでWebサーバを立て、DynDNSで公開していました。更にApacheでName Based Virtual Hostを設定し、SVNサーバも運用していました。具体的には例えば、 foo.dyndns.org:80 www.foo.dyndns.org:80 svn.foo.dyndns.org:443 といったような3つの Host(VirtualHost) を1つの GlobalIP で DynamicDNS の WildCard オプションを利用して運用していた訳です。 で、さらに bar.foo.dyndns.org:80 へのアクセスを、LAN 内の別サーバにアクセスさせたいという要望がでてきました。 そこでリバースプロキシとして Pound を導入することにしました。Squidなどでもリバースプロキシとして動作させることが可能ですが、フォワードプロキシやキャッシ
poundでリバースプロキシ - Nobody is perfect.
なかなか毎日更新って難しいんですね。 はてなのデザイン変えた。 なかなか気に入っている。 今度自分でテンプレート作ってみようかな。 さてさて、本題。 今、大学でそれなりに大きいシステム(自分なりに)を構築してるですが、WEBサーバを複数代持った時(例えば開発用、本番用)にサブドメインによる振り分けと負荷分散をリバースプロキシで実現できるのを知ったので導入です。 あれ…? yum install -y pound 何にもインストールしてくれません。 そうです。初期のyumの状態ではインストール出来ないんです。 設定方法はこのサイトをご覧ください。 蝸牛の宿(別館) http://blog.denden-cafe.com/blog/2007/07/pound_0453.html add useradd pound groupadd pound 設定ファイルの創り方 yumでインストールした場合
Pound
POUND – REVERSE-PROXY AND LOAD-BALANCER The Pound program is a reverse proxy, load balancer and HTTPS front-end for Web server(s). Pound was developed to enable distributing the load among several Web-servers and to allow for a convenient SSL wrapper for those Web servers that do not offer it natively. Pound is distributed under the GPL – no warranty, it’s free to use, copy and give away. WHAT POU
Poundで作るロードバランサとSSLラッパ
Poundによる負荷分散とSSLラッパ Squidは高機能なプロキシサーバであり、単なるリバースプロキシとして使用するのはSquidにとって力不足といえるでしょう。逆に、ロードバランサとしての機能には不十分な面があります。 Poundとは そこで、さらに一歩進めてPoundを使用します。Poundはもともとリバースプロキシ専用として作られているため、プログラムも大変小さく導入も簡単です。また、リバースプロキシに加えて以下の処理が可能です。 SSLラッパとは、HTTPSに対応していないWebサーバに代わり、PoundがクライアントとHTTPS通信を行う機能です。Pound−Webサーバ間はHTTPで通信を行い、Pound−クライアント間ではHTTPSで通信します。 Pound配布元 http://www.apsis.ch/pound/ Poundのインストール Poundのビルド済みパッケー
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
http://sj6.org/pound%E3%82%92%E4%BD%BF%E3%81%A3%E3%81%A6%E3%83%AA%E3%83%90%E3%83%BC%E3%82%B9%E3%83%97%E3%83%AD%E3%82%AD%E3%82%B7%EF%BC%86%E3%83%AD%E3%83%BC%E3%83%89%E3%83%90%E3%83%A9%E3%83%B3%E3%82%B5/
shin3tky blog: Pound reverse proxy メモ
技林ブログ: 手軽なロードバランサ Pound を導入してみました