07 Slides - Web Server e Proxy Reverso Nginx

Nginx Webserver Proxy Reverso
O Webserver Nginx é mais que uma outra alternativa ao Apache, é

um serviço que também pode trabalhar em conjunto tanto com o
Apache como com outros Webservers.
A nível de performance fca claro que o Nginx é superior ao Apache

ao lidar com conteúdo estático, além disso com a devidas
confgurações ele pode apresentar performance superior com
processamento de código PHP devido a sua arquitetura de
execução.
Na implementação do ambiente ASF o Nginx apresentará o front-
end de aplicações, será o responsável por apresentar o conteúdo
estático de aplicações e fará função de proxy reverso para
requisições a páginas PHP.
Como proxy reverso o Nginx encaminhará qualquer requisição a

conteúdo PHP para o apache, caso a requisição seja para
conteúdos estáticos ele mesmo reponderá ao cliente. Podemos dizer
que o Nginx estaá como front-end e o Apache como back-end para
a aplicação externa da ASF.
Essa arquitetura será responsável por mais uma camada de
segurança no ambiente, como o back-end estará isolado em uma
rede segregada, não será possível a um cliente interagir diretamente
com o Apache.
Implementaremos também o HTTPS sobre o Nginx para servir o

tunelamento de conexão a clientes que acessarem qualquer
aplicação PHP no Apache com um certifcado único, um recurso que
normalmente é chamado de wildcard.
Logue no node Storage e confgure acesso ao repositório epel
# yum install epel-release
Atualize o índice de pacotes da distro e atualize o sistema

# yum check-update
# yum update -y
Instale o pacote Nginx, levante o serviço e habilite seu startup

# yum install nginx -y
# systemctl enable nginx && systemctl start nginx
Habilite a entrada de pacotes pelo frewall
# frewall-cmd --add-service=http --permanent
# frewall-cmd --add-service=https --permanent
Releia as confgurações do Firewall

# frewall-cmd rreload
Logue no node Gateway e habilite o acesso ao Nginx para o node

Externo no script de frewall, para isso será necessário entrar no
diretório linux, contido na raiz e executar um pull no git para obter a
nova versão do script com ajustes necessários as novas
implementações.
No node gateway, execute
# cd /root/linux/
# git pull
Copie o script para frewall para o diretório sbin

# cp /gateway/frewall.sh /sbin/
Aplique permissões de execução e releia o script

# chmod u+x /sbin/frewall.sh
Descomente e edite as regras de frewall nas sessões abaixo:
# 4 - Habilita acesso do cliente Externo a aplicacao

iptables -t nat -A PREROUTING -p tcp -i enp0s9 -s $EXT -d $FWL1
--dport 80 -j DNAT --to-destination $STG:80
done
# 9 - Habilita o FORWARD para acesso ao WWW

iptables -A FORWARD -p tcp -s $EXT -d $STG --dport 80 -j
ACCEPT
Execute as novas confgurações do frewall
# frewall.sh
Teste um acesso via node externo

$ frefox http://www.asf.com
No node Storage, pare o serviço do Nginx

# systemctl stop Nginx
Verifque seu status

# systemctl status nginx
Faça um backup do arquivo de confguração do Nginx
# mv /etc/nginx/nginx.conf /etc/nginx/nginx.orig
Crie um novo arquivo para Nginx conforme abaixo

# vim /etc/nginx/nginx.conf
# Usuario de execucao do servico

user nginx;
# Execucao de processos em relacao a cores de CPU

worker_processes auto;
# Arquivo de despejo de logs
error_log /var/log/nginx/error.log;
# Arquivo de PID de excucao
pid /run/nginx.pid;
# Carregamento dinamico de modulos
include /usr/share/nginx/modules/*.conf;
# Conexoes simultaneas
events {
worker_connections 1024;
}
# Confguracoes internas do servico
http {
log_format main '$remote_addr - $remote_user [$time_local]
"$request" '
'$status $body_bytes_sent "$http_referer" '
'"$http_user_agent" "$http_x_forwarded_for"';
# Log de acesso
access_log /var/log/nginx/access.log main;
sendfle on;
tcp_nopush on;
tcp_nodelay on;
keepalive_timeout 65;
types_hash_max_size 2048;
server_tokens of;
include /etc/nginx/mime.types;
default_type application/octet-stream;
# Carregamento dinamico de modulos

include /etc/nginx/conf.d/*.conf;
# Cofguracoes padroes do servidor
server {
listen 80 default_server;
server_name www.asf.com;
root /usr/share/nginx/html;
index index.php index.html index.htm;
# Carregamento dinamico de blocos de confguracoes
include /etc/nginx/default.d/*.conf;
Location / {
try_fles $uri $uri/ /index.php;
}
error_page 404 /404.html;
location = /40x.html {
}
# Processamento de páginas PHP direcionado para o Apache
location ~ \.php$ {
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $remote_addr;
proxy_set_header Host $host;
# Redirecionamento de requisicoes para o Apache
proxy_pass http://127.0.0.1:8080;
}
error_page 500 502 503 504 /50x.html;
location = /50x.html {
}
}
Grave o arquivo e reinicie o serviço

# systemctl start nginx
# systemctl status nginx
Teste um acesso via node externo

$ frefox http://www.asf.com
Instale o webser Apache
# yum install httpd
Crie o diretório de virtualhosts do httpd

# mkdir /etc/httpd/sites-enabled
Faça um backup do arquivo original do httpd

# mv /etc/httpd/conf/httpd.conf /etc/httpd/conf/httpd.conf.orig
Crie um novo arquivo com as seguintes confgurações

# vim /etc/httpd/conf/httpd.conf
ServerRoot "/etc/httpd"
Listen 127.0.0.1:8080
Include conf.modules.d/*.conf
User apache
Group apache
ServerAdmin root@localhost
<Directory />
Options None
Order deny,allow
Deny from all
</Directory>
DocumentRoot "/usr/share/nginx/html"
ErrorLog "logs/error_log"
LogLevel warn
<Directory "/usr/share/nginx/html">
Options -Indexes -FollowSymlinks -ExecCGI -Includes
AllowOverride None
Require all granted
<LimitExcept GET POST HEAD>
deny from all
</LimitExcept>
</Directory>
<Directory "/usr/share/nginx/html">
AllowOverride None
Require all granted
</Directory>
<IfModule mod_headers.c>
Header set X-XSS-Protection "1; mode=block"
Header edit Set-Cookie ^(.*)$ $1;HttpOnly;Secure
</IfModule>
<IfModule dir_module>
DirectoryIndex index.html
</IfModule>
<Files ".ht*">
Require all denied
</Files>
<IfModule alias_module>
ScriptAlias /cgi-bin/ "/usr/share/nginx/www/cgi-bin/"
</IfModule>
<IfModule alias_module>
ScriptAlias /cgi-bin/ "/var/www/cgi-bin/"
</IfModule>
<IfModule log_confg_module>
LogFormat "%h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%
{User-Agent}i\"" combined
LogFormat "%h %l %u %t \"%r\" %>s %b" common
<IfModule logio_module>
LogFormat "%h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%
{User-Agent}i\" %I %O" combinedio
</IfModule>
CustomLog "logs/access_log" combined
</IfModule>
<Directory "/usr/share/nginx/www/cgi-bin">
AllowOverride None
Options None
Require all granted
</Directory>
<IfModule mime_magic_module>
MIMEMagicFile conf/magic
</IfModule>
EnableSendfle on
AddDefaultCharset UTF-8
<IfModule mime_module>
TypesConfg /etc/mime.types
AddType application/x-compress .Z
AddType application/x-gzip .gz .tgz
AddType text/html .shtml
AddOutputFilter INCLUDES .shtml
</IfModule>
AddDefaultCharset UTF-8
EnableSendfle on
ServerSignature Of
ServerTokens Prod
TraceEnable Of
Header append X-FRAME-OPTIONS "SAMEORIGIN"
FileETAG None
Grave o arquivo e crie o diretório abaixo

# mkdir /usr/share/nginx/cgi-bin
Instale o módulo php no servidor

# yum install php
Inicie o serviço do HTTPD e verfque seu status
# systemctl start httpd
# systemctl status httpd
Verifque o socket de conexão do HTTPD

# ss -nltp | grep httpd
Próximos passos:
Teste de proxy reverso
Disponibilização de aplicação externa
Implementação do HTTPS no Nginx

07 Slides - Web Server e Proxy Reverso Nginx

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

07 Slides - Web Server e Proxy Reverso Nginx

Enviado por

Direitos autorais:

Formatos disponíveis

Nginx Webserver Proxy Reverso

O Webserver Nginx é mais que uma outra alternativa ao Apache, é

A nível de performance fca claro que o Nginx é superior ao Apache

Como proxy reverso o Nginx encaminhará qualquer requisição a

Implementaremos também o HTTPS sobre o Nginx para servir o

Atualize o índice de pacotes da distro e atualize o sistema

Instale o pacote Nginx, levante o serviço e habilite seu startup

Releia as confgurações do Firewall

Logue no node Gateway e habilite o acesso ao Nginx para o node

Copie o script para frewall para o diretório sbin

Aplique permissões de execução e releia o script

# 4 - Habilita acesso do cliente Externo a aplicacao

# 9 - Habilita o FORWARD para acesso ao WWW

Teste um acesso via node externo

No node Storage, pare o serviço do Nginx

Verifque seu status

Crie um novo arquivo para Nginx conforme abaixo

# Usuario de execucao do servico

# Execucao de processos em relacao a cores de CPU

# Carregamento dinamico de modulos

Grave o arquivo e reinicie o serviço

Teste um acesso via node externo

Crie o diretório de virtualhosts do httpd

Faça um backup do arquivo original do httpd

Crie um novo arquivo com as seguintes confgurações

Grave o arquivo e crie o diretório abaixo

Instale o módulo php no servidor

Verifque o socket de conexão do HTTPD

Você também pode gostar