reverse proxy 越しの IP アクセス制御 with mod_extract_forwarded 編 : にぽたん研究所
前任者から、特に引き継ぎ作業が皆無だった、とある運用中の某サイトで、80 ポートで static content, 8080 ポートで application サーバを立てて dynamic content にし、80 から localhost:8080 に reverse proxy していたのがある (共に Apache)。 ふと気付くと、そこに http://global_addr:8080/ みたいにしてアクセスすると見事に全部が見えてしまい、管理画面で 80 ポート側でのアクセス制御とか設定されているのに一切お構いナシだったことに気付く。 すげーおマヌケ。アフォかっつぅの。 おーい。見てるか前任者。 そう、そこのウエストポーチしてる君だよ。 まぁ、致命的なものは全く置いてない場所だったのが不幸中の幸いでしたが。 んで、ここには、mod_extract_forwarded が入って
mod_rpaf のかわりに mod_extract_forwarded なるものがあるらしい - daily dayflower
今作っているウェブアプリでは -+(A) Apache 2.2 + mod_proxy (画像等のスタティックコンテンツ向け) +(B) Apache 2.2 + mod_perl (アプリサイド)という環境を同一ホストで動かしています。 ただ,このようにリバースプロキシを導入すると,(B) のログファイルではアクセスもとがすべて 127.0.0.1 になってしまいますし,アクセスされる IP によってアプリ上で制限を掛けたい場合,X-Forwarded-For ヘッダを自分でみて判断しなくてはいけなくなってしまい,面倒です。 このようなときに楽に対処できるのが mod_rpaf です(参考: リバースプロキシを導入する際はmod_rpaf - drk7jp)。このモジュールを使うと,Apache の Connection レコードの内容を改変してくれるので,ログには大元のアドレスが記録さ
mizzy.org : mod_rpaf よりも mod_extract_forwarded
リバースプロキシな環境では mod_rpaf 使ったりすることが多いと思いますが、バックエンドの apache でアクセス制限かける場合には、mod_extract_forwarded を使ったほうが良いよ、というお話。 バックエンドの apache 2.0 + mod_rpaf な環境で .htaccess によるアクセス制限をかけようとしても、接続元の IP アドレスではなく、pound の IP アドレスで制限がかかってしまう、という現象に悩まされました。で、ソースを眺めてみると mod_rpaf は ap_hook_post_read_request で実行されているのに対し、mod_access は ap_hook_access_checker で実行されています。おそらく、ap_hook_post_read_request よりも ap_hook_access_checker
pound と apache をバランスよくチューニングする必要性について
もう二ヶ月ほど前の話なのですが、お仕事でサイトが異常に重い(遅い)んだけど・・・という苦情が月に1〜2件ほどきていたので、重い腰を上げて本格的に調査・解析して pound と apache のチューニングを実施しました。チューニング後はサイトが重いという苦情は皆無になりました。(≧∇≦)b 今回のチューニングのキモは pound と apache をバランスよくチューニングするということでした。完全に見落としていた点でもありました。とりあえず苦情がきてた時点までの構成を図にするとこんな感じでした。 何しろ Web サーバの Load Average も CPU 負荷も高くないのでサーバ側は悪くないという思い込みが原因特定を遅らせた一番の原因。この2つの数値はとっても重要なのですが、この数値に真実の見極めを惑わされてはいけません。 以下、調査手順など備忘録的なメモ。途中かなり寄り道したり脱線
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
