¶ Описание
Для безопасной передачи данных между несколькими серверами требуется использовать протокол https, в котором есть поддержка шифрования.
Относительно простым решением является создание прокси-сервера через nginx, в котором будет настроена переадресация запросов адрес:порт_службы <-> адрес:порт_с_шифрованием.
Это позволит:
- Отделить внешний ip и порт, по которому будут обращаться сторонние адресаты по протоколу https, и внутренний адрес службы, по которому смогут обращаться локальные сервисы.
- С помощью одного выделенного порта сделать переадресацию на множество локальных портов служб. Даже если порты будут меняться, внешний айпи и порт останется неизменными. У адресатов ничего не сломается.
¶ Создание прокси-сервера
Для работы требуется скачать Nginx-дистрибутив для WIndows с официального сайта (Рекомендуется Mainline version).
¶ Генерация самоподписанного сертификата
- Скачать и установить OpenSSL (Не light версию!).
- Перейти в папку с OpenSSL.exe (Например, C:\Program Files\OpenSSL-Win64\bin) и запустить оттуда консоль PowerShell.
- Сгенерировать самоподписанный сертификат командой
openssl.exe req -x509 -newkey rsa:4096 -sha256 -days 3650 -nodes -keyout cert_name.key -out cert_name.crt -subj "/CN=внешний_айпи" -addext "subjectAltName=IP:внешний_айпи"
Либо для доменного имени
openssl.exe req -x509 -newkey rsa:4096 -sha256 -days 3650 -nodes -keyout cert_name.key -out cert_name.crt -subj "/CN=Домен" -addext "subjectAltName=DNS:домен"
Здесь:
cert_name.crt - открытый ключ, который можно высылать на хостинги. Имя выбирается любое.
cert_name.key - закрытый ключ. Имя выбирается любое.
/CN=внешний_айпи - IP, где развёрнута служба.
/CN=Домен - доменное имя сервера, где развёрнута служба.
IP:внешний_айпи - альтернативный IP, где развёрнута служба.
DNS:домен - альтернативное доменное имя сервера, где развёрнута служба.
Важно! Генерировать сертификат на внешний(белый) IP, так как именно по нему будет обращение к сервису и он же будет указываться в конфигах далее.
- Сертификаты сгенерируются в этой же папке, откуда была запущена консоль. Установить в доверенные сертификаты ключ .crt
¶ Настройка Nginx
Полное руководство находится на официальном сайте. Есть на русском языке.
-
скачать Nginx-дистрибутив и распаковать куда-нибудь на диск.
-
Создать папку certs, куда подложить сгенерированные ключи
-
Если нужно развернуть какую-нибудь html-страницу (Например, с виджетом), то папку с файлами требуется положить в папку html
-
Конфигурация настраивается в папке conf в файле nginx.conf
¶ Заполнение кофигурационного файла Nginx
Простая структура файла:
http {
server {
listen порт;
location / {
настройки
}
}
В блоке server настраиваются порты, к которым будет обращение
В блоке location настраиваются сопоставления адресов.
Таких блоков серверов может быть множество. Ниже представлена конфигурация для проксирования одной службы.
Однако поддержка нескольких служб в nginx должна осуществляться также и на стороне самих служб на программном уровне.
#user nobody;
worker_processes 1;
#error_log logs/error.log;
#error_log logs/error.log notice;
#error_log logs/error.log info;
#pid logs/nginx.pid;
events {
worker_connections 1024;
}
http {
include mime.types;
default_type application/octet-stream;
#log_format main '$remote_addr - $remote_user [$time_local] "$request" '
# '$status $body_bytes_sent "$http_referer" '
# '"$http_user_agent" "$http_x_forwarded_for"';
#access_log logs/access.log main;
sendfile on;
#tcp_nopush on;
#keepalive_timeout 0;
keepalive_timeout 65;
server {
listen порт ssl;
server_name внешний_айпи;
ssl_certificate ../certs/cert_name.crt;
ssl_certificate_key ../certs/cert_name.key;
location / {
proxy_pass http://адрес_службы:порт/;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_http_version 1.1;
proxy_redirect off;
proxy_set_header "Connection" "";
proxy_pass_header Content-Type;
}
}
}
¶ Запуск сервера и дополнительные команды
- сервер запускается командой start nginx
- Перезапускается ./nginx -s reload
- Останавливается ./nginx -s stop
- Проверяется, есть ли запущенные процессы tasklist /fi "imagename eq nginx.exe"
- Также настоятельно рекомендую проверять nginx в запущенных процессах. Завершать можно из диспетчера.
После изменения в файле конфигурации требуется перезапускать nginx.
Чтобы проверить запустился ли сервер после команды start nginx, откройте в браузере страницу localhost, должна открыться страница nginx
На этапе запуска сервера, если что-то не так, в консоль будут выводиться ошибки. Также ошибки можно посмотреть в логах в папке logs.
Итогом должен стать рабочий адрес службы. Проверить это можно, например, зайдя в сваггер службы, либо сделать запрос в консоль curl https://ip:port/
Также можно обернуть nginx в контейнер и запускать из докера. Инструкция и описание reverse_proxy здесь.