跳到主要內容

Nginx ssl offload for Tomcat in SmartOS

本篇的目的主要在使用Nginx Reverse Proxy的功能來卸載HTTPS SSL
也就是說Tomcat走HTTP 8080 Port,本身無HTTPS SSL
然後透過Nginx來加上HTTPS SSL,提供HTTPS服務於443 Port上
環境以MiCloud SmartOSPlus64為主

Environment
# uname -a
SunOS MiCloudDBT.local 5.11 joyent_20120808T224832Z i86pc i386 i86pc Solaris

Installation
# pkgin -y in nginx-1.0.4 apache-tomcat-6.0.32 sun-jdk6-6.0.26 

Servers
Tomcat server: 123.123.123.123 (Port: 8080)
Nginx server: 123.123.123.123 (Port: 80, 443)

Nginx Configure (/opt/local/etc/nginx/nginx.conf)
# 說明 - 此部份設定主要包含:
# 1. 建立tomcat - nginx upstream設定
# 2. 設定Nginx https server over 443 port,並指定ssl key
# 3. 設定欲轉址的Tomcat context(ex: http://123.123.123.123:8080/examples/ --> https://123.123.123.123/examples/)
# ps: http 80段落的設定(紫色),是強制將http 80的所有request轉導至https,必須有這個設定,不然每個tomcat的link都會被導到http而非https
user   www  www;
worker_processes  1;
events {
    worker_connections  1024;
}
http {
    include       /opt/local/etc/nginx/mime.types;
    default_type  application/octet-stream;
    sendfile        on;
    keepalive_timeout  65;
    upstream tomcat_server {
        server 123.123.123.123:8080 fail_timeout=0;
    }
    server {
        listen 80;
        rewrite ^(.*) https://$host$1 permanent;
    }
    server {
        listen       443;
        ssl on;
        ssl_certificate /opt/local/etc/openssl/private/selfsigned.pem;
        ssl_certificate_key /opt/local/etc/openssl/private/selfsigned.pem;
        ssl_prefer_server_ciphers on;
        location / {
            root   share/examples/nginx/html;
            index  index.html index.htm;
        }
        error_page   500 502 503 504  /50x.html;
        location = /50x.html {
            root   share/examples/nginx/html;
        }
        location /examples {
            proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
            proxy_set_header Host $http_host;
            proxy_set_header X-Forwarded-Proto https;
            proxy_redirect off;
            proxy_connect_timeout      240;
            proxy_send_timeout         240;
            proxy_read_timeout         240;
            proxy_pass http://tomcat_server;
        }
    }
}

Tomcat Configure (/opt/local/share/tomcat/conf/server.xml)
<!--
設定tomcat 8080 port的reverse proxy轉導的port
如設定port number,則不會直接轉到該port,而不會有協定上的改變(ex: 會變成 http://123.123.123.123:443/examples)
如設定https,則可以直接走預設443 port的HTTPS SSL 
-->
<Connector port="8080" protocol="HTTP/1.1" 
               connectionTimeout="20000" 
               redirectPort="8443" 
               proxyPort="https" />

Test
瀏覽器連線:https://123.123.123.123/examples/

這個網誌中的熱門文章

Oracle LISTAGG

同事介紹的一個Oracle的好用查詢:LISTAGG
SELECT A.GROUP_ID,A.KEY, LISTAGG(A.VALUE,'; ')WITHINGROUP(ORDERBYA.VALUE)as GG  fromSYS_PROPERTIESaGROUP byA.GROUP_ID,A.KEY
LISTAGG可以將group後的結果會總顯示於一個欄位 上述SQL原本A.VALUE會是一個row一個row的排列 使用LISTAGG之後,可以將A.VALUE顯示在同一個row中 並且可以指定間隔符號(在此設定為';') 針對某一些報表查詢非常有用唷 :D

使用 minikube 輕鬆上手 kubernetes

安裝minikube
macOS只需要透過brew即可快速安裝...
brew cask install minikube
Linux環境可以直接下載執行檔,放到環境變數可以吃到的路徑即可...
curl -Lo minikube https://storage.googleapis.com/minikube/releases/latest/minikube-linux-amd64 && \ chmod +x minikube && \
sudo mv minikube /usr/local/bin/
Windows的下載網址如下: https://storage.googleapis.com/minikube/releases/latest/minikube-windows-amd64.exe
如果您的kubectl尚未安裝,可以直接使用google cloud sdk來安裝:
curl https://sdk.cloud.google.com | bash
gcloud components install kubectl
安裝完成後,原則上minikube會在本地端加入minikube的k8s context,我們可以透過下面指令來使用該context…
kubectl config use-context minikube
然後,可檢查一下您的minikube node是否正常運作....

新一代LB - Traefik

新一代LB-Traefik Traefik突破以往我們對loadbalancer的觀點,他是一套直接與docker整合的loadbalancer套件...透過Traefik,我們可以使用label的方式將後面啟動的dockerinstance掛載到loadbalancer中,且無需重新啟動Traefik,可直接生效... Traefik基本介紹 Traefik是以動態重載新加入的dockerinstance的方式來替有附加相同domainlabel的dockerinstance建立網路附載平衡的關聯...因此,設定上,與一般我們建立reverseproxy的過程剛好相反(一般我們會先建立服務,再建立reverseproxy將服務串連起來)... Step1-建立Traefik服務 下面我們用官方的composefile來說明... File:docker-compose.yaml version: '2' services: proxy: image: traefik command: --api --docker --docker.domain=docker.localhost --logLevel=DEBUG networks: - webgateway ports: - "80:80" - "8080:8080" volumes: - /var/run/docker.sock:/var/run/docker.sock - /dev/null:/traefik.toml networks: webgateway: driver: bridge 其中traefik啟動時候,我們需要指定docker.domain來告訴taefik要聆聽的domain是哪一個,然後要事先開啟對應的port,讓外部服務可以連到traefik...,另外,我們將dockersocket掛載進來,這是必要的設定,讓traefik可以透過dockersocket來操控一些東西...,最後,traefik.toml檔案,我們保留空的,讓treafik自己建立... 啟動: docker-compose -f docker…