Nginx tip & tricks: differenze tra le versioni

Versione attuale delle 15:35, 15 feb 2024

Forward dell'IP reale del client

Per la natura dell'infrastruttura server, l'IP reale del client viene perso dopo la chiamata a Nginx.
Il giro è
Client -> Nginx -> IIS
di conseguenza ad IIS arriva come client IP quello di Nginx e la geolocalizzazione va a puttane
Per sistemare il problema il dato dev'essere passato tramite le varie request all'interno di un header specializzato: X-FORWARDED-FOR.

Essendo il primo punto di passaggio è l'unico che possiede il reale client-IP. Nella configurazione vista del paragrafo precedente si vede l'assegnazione del client-IP nel req header X-FORWARDED-FOR.

#...
location / {
  proxy_pass http://127.0.0.1:80;
  # Set di un header X-Real-IP che serve a varnish
  proxy_set_header X-Real-IP  $remote_addr;
  # Set dell'header X-Forwarded-For per conservare il real IP tramite le varie request che portano ad IIS
  proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
  proxy_set_header X-Forwarded-Proto https;
  proxy_set_header X-Forwarded-Port 443;
  proxy_set_header Host $host;
}
#...

Brotli compression

La compressione brotli che sostituisce gzip quando possibile è stata approfondita qua
Nginx modulo Brotli (text compression)

Leggere i LOG del web-server

Purtroppo i log non potranno più essere letti comodamente dall'IIS di Windows perché davanti a lui c'è nginx.
Il consiglio è quello di creare uno share in Samba come questo

[NginxLogs]
  comment = Cartella di condivisione dei log di nginx
  read only = yes
  locking = no
  path = /var/log/nginx
  guest ok = no

e di rendere il proprio utente facente parte del gruppo adm affinché abbia i permessi di lettura.

  sudo adduser nomeutente adm

LOG configurazione avanzata

Avendo diversi siti su Nginx bisogna dividere i log nelle cartelle
es.

/media/discodati/logs/nomesito1.com
/media/discodati/logs/nomesito2.it
/media/discodati/logs/immagini.sito2.com

assicurandosi di mettere i permessi adatti
es.

sudo chown www-data:adm /media/discodati/logs -R
sudo chmod 775 /media/discodati/logs -R

E di conseguenza configurare i singoli virtual host con la cartella giusta

server {

        # ...
	
	server_name nomesito.com;

        error_log /media/discodati/nomesito.com/error.log;
        access_log /media/discodati/nomesito.com/access.log;

        # ...
}

A questo punto tutti i log verranno riversati nei 2 file error.log e access.log.
Per fare in modo che vengano divisi e compressi (una volta che diventano vecchi) automaticamente è necessario configurare LOGROTATE.

sudo nano /etc/logrotate.d/nginx

e modificare come da esempio

/var/log/nginx/*.log /media/discodati/logs/*/*.log {
	su www-data adm
	daily
	missingok
	rotate 14
	compress
	delaycompress
	notifempty
	create 0640 www-data adm
	sharedscripts
	prerotate
		if [ -d /etc/logrotate.d/httpd-prerotate ]; then \
			run-parts /etc/logrotate.d/httpd-prerotate; \
		fi \
	endscript
	postrotate
		invoke-rc.d nginx rotate >/dev/null 2>&1
	endscript
}

Per forzare il logrotate usare

sudo logrotate -f /etc/logrotate.d/nginx

@@ Riga 1: / Riga 1: @@
-Varnish Cache server non supporta SSL perché lo sviluppatore non ha voglia di includerlo (fonte [https://varnish-cache.org/docs/4.1/phk/ssl.html non ha voglia]).<br/>
+== Forward dell'IP reale del client ==
+Per la natura dell'infrastruttura server, l'IP reale del client viene perso dopo la chiamata a Nginx.<br/>
+Il giro è<br/>
+<code>Client -> Nginx -> IIS</code><br/>
+di conseguenza ad IIS arriva come client IP quello di Nginx e la geolocalizzazione va a puttane<br/>
+Per sistemare il problema il dato dev'essere passato tramite le varie request all'interno di un header specializzato: '''X-FORWARDED-FOR'''.<br/>
-Per ovviare al problema è necessario installare '''nginx''' , un web-server/reverse-proxy in grado di catturare la chiamata https e redirigerla a Varnish.<br/><br/>
+Essendo il primo punto di passaggio è l'unico che possiede il reale client-IP. Nella configurazione vista del paragrafo precedente si vede l'assegnazione del client-IP nel req header ''X-FORWARDED-FOR''.
+<syntaxhighlight lang="bash">
+#...
+location / {
+  proxy_pass http://127.0.0.1:80;
+  # Set di un header X-Real-IP che serve a varnish
+  proxy_set_header X-Real-IP  $remote_addr;
+  # Set dell'header X-Forwarded-For per conservare il real IP tramite le varie request che portano ad IIS
+  proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
+  proxy_set_header X-Forwarded-Proto https;
+  proxy_set_header X-Forwarded-Port 443;
+  proxy_set_header Host $host;
+}
+#...
+</syntaxhighlight>
-== Procedura per installazione ==
+== Brotli compression ==
-Sulla macchina che ha già VARNISH, <u>installare nginx</u>
+La compressione '''brotli''' che sostituisce ''gzip'' quando possibile è stata approfondita qua<br/>
-<syntaxhighlight>
+[[Nginx modulo Brotli (text compression)]]
-sudo apt-get install nginx
-</syntaxhighlight >
-L'installazione andrà a buon fine ma verrà mostrato un errore, nginx non riesce a partire perché Varnish è già attivo sulla porta 80. È necessario configurarlo in modo che accolga solo le richieste https.<br/><br/>
-Per prima cosa dobbiamo <u>generare un certificato autofirmato</u>
-<syntaxhighlight>
-sudo mkdir /etc/nginx/ssl
-sudo openssl req -x509 -nodes -days 3650 -newkey rsa:2048 -keyout /etc/nginx/ssl/nginx.key -out /etc/nginx/ssl/nginx.crt
-</syntaxhighlight >
-Alla domanda sul ''common name'' è necessario scrivere il nome della macchina sul dominio (lo stesso di a <code>/etc/hostname</code>).<br/><br/>
+== Leggere i LOG del web-server ==
+Purtroppo i log non potranno più essere letti comodamente dall'IIS di Windows perché davanti a lui c'è '''nginx'''.<br/>
+Il consiglio è quello di creare uno share in Samba come questo
+<syntaxhighlight lang="bash">
+[NginxLogs]
+  comment = Cartella di condivisione dei log di nginx
+  read only = yes
+  locking = no
+  path = /var/log/nginx
+  guest ok = no
+</syntaxhighlight>
+e di rendere il proprio utente facente parte del gruppo ''adm'' affinché abbia i permessi di lettura.
+<syntaxhighlight lang="bash">
+  sudo adduser nomeutente adm
+</syntaxhighlight>
-Ora apriamo la configurazione di nginx e lo istruiamo per rispondere alle richieste https
+== LOG configurazione avanzata ==
+Avendo diversi siti su Nginx bisogna dividere i log nelle cartelle<br/>
+es.
 <syntaxhighlight>
-sudo vi /etc/nginx/sites-enabled/default
+/media/discodati/logs/nomesito1.com
-</syntaxhighlight >
+/media/discodati/logs/nomesito2.it
-Il seguente è la configurazione del server di test BRUNOPROXY,
+/media/discodati/logs/immagini.sito2.com
-il valore di <code>server_name</code> deve corrispondere con il <code>common name</code> che è stato dato al certificato.
+</syntaxhighlight>
+assicurandosi di mettere i permessi adatti<br/>
+es.
 <syntaxhighlight lang="bash">
-##
+sudo chown www-data:adm /media/discodati/logs -R
-# You should look at the following URL's in order to grasp a solid understanding
+sudo chmod 775 /media/discodati/logs -R
-# of Nginx configuration files in order to fully unleash the power of Nginx.
+</syntaxhighlight><br/>
-# http://wiki.nginx.org/Pitfalls
-# http://wiki.nginx.org/QuickStart
-# http://wiki.nginx.org/Configuration
-#
-# Generally, you will want to move this file somewhere, and start with a clean
-# file but keep this around for reference. Or just disable in sites-enabled.
-#
-# Please see /usr/share/doc/nginx-doc/examples/ for more detailed examples.
-##
-# Default server configuration
+E di conseguenza configurare i singoli virtual host con la cartella giusta
-#
+<syntaxhighlight lang="bash">
 server {
-	# listen 80 default_server;
-	# listen [::]:80 default_server;
-	# SSL configuration
+        # ...
-	#
-	listen 443 ssl default_server;
+	server_name nomesito.com;
-	listen [::]:443 ssl default_server;
-	#
-	# Self signed certs generated by the ssl-cert package
-	# Don't use them in a production server!
-	#
-	# include snippets/snakeoil.conf;
-	#root /var/www/html;
+        error_log /media/discodati/nomesito.com/error.log;
+        access_log /media/discodati/nomesito.com/access.log;
-	# Add index.php to the list if you are using PHP
+        # ...
-	index index.html index.htm index.nginx-debian.html;
+}
+</syntaxhighlight><br/>
-	server_name BRUNOPROXY;
+A questo punto tutti i log verranno riversati nei 2 file <code>error.log</code> e <code>access.log</code>.<br/>
-	ssl_certificate /etc/nginx/ssl/brunoproxy.crt;
+Per fare in modo che vengano '''divisi''' e '''compressi''' (una volta che diventano vecchi) automaticamente è necessario configurare '''LOGROTATE'''.
-	ssl_certificate_key /etc/nginx/ssl/brunoproxy.key;
+<syntaxhighlight lang="bash">
+sudo nano /etc/logrotate.d/nginx
-	location / {
+</syntaxhighlight>
-		# First attempt to serve request as file, then
+e modificare come da esempio
-		# as directory, then fall back to displaying a 404.
+<syntaxhighlight lang="bash">
-		#try_files $uri $uri/ =404;
+/var/log/nginx/*.log /media/discodati/logs/*/*.log {
-		proxy_pass http://127.0.0.1:80;
+	su www-data adm
-		proxy_set_header X-Real-IP  $remote_addr;
+	daily
-		proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
+	missingok
-		proxy_set_header X-Forwarded-Proto https;
+	rotate 14
-		proxy_set_header X-Forwarded-Port 443;
+	compress
-		proxy_set_header Host $host;
+	delaycompress
-	}
+	notifempty
+	create 0640 www-data adm
-	# pass the PHP scripts to FastCGI server listening on 127.0.0.1:9000
+	sharedscripts
-	#
+	prerotate
-	#location ~ \.php$ {
+		if [ -d /etc/logrotate.d/httpd-prerotate ]; then \
-	#	include snippets/fastcgi-php.conf;
+			run-parts /etc/logrotate.d/httpd-prerotate; \
-	#
+		fi \
-	#	# With php5-cgi alone:
+	endscript
-	#	fastcgi_pass 127.0.0.1:9000;
+	postrotate
-	#	# With php5-fpm:
+		invoke-rc.d nginx rotate >/dev/null 2>&1
-	#	fastcgi_pass unix:/var/run/php5-fpm.sock;
+	endscript
-	#}
-	# deny access to .htaccess files, if Apache's document root
-	# concurs with nginx's one
-	#
-	#location ~ /\.ht {
-	#	deny all;
-	#}
 }
+</syntaxhighlight>
+Per forzare il logrotate usare
+<syntaxhighlight lang="bash">
+sudo logrotate -f /etc/logrotate.d/nginx
+</syntaxhighlight>
-# Virtual Host configuration for example.com
+[[Category:IT]]
-#
+[[Category:Linux]]
-# You can move that to a different file under sites-available/ and symlink that
-# to sites-enabled/ to enable it.
-#
-#server {
-#	listen 80;
-#	listen [::]:80;
-#
-#	server_name example.com;
-#
-#	root /var/www/example.com;
-#	index index.html;
-#
-#	location / {
-#		try_files $uri $uri/ =404;
-#	}
-#}
-</syntaxhighlight>

Anonimo

Ricerca

Nginx tip & tricks: differenze tra le versioni

Namespace

Altro

Azioni sulla pagina

Versione attuale delle 15:35, 15 feb 2024

Indice

Forward dell'IP reale del client

Brotli compression

Leggere i LOG del web-server

LOG configurazione avanzata

Navigazione

Navigazione

Strumenti wiki

Strumenti wiki

Anonimo

Ricerca

Nginx tip & tricks: differenze tra le versioni

Versione attuale delle 15:35, 15 feb 2024

Forward dell'IP reale del client

Brotli compression

Leggere i LOG del web-server

LOG configurazione avanzata

Navigazione

Strumenti wiki

Strumenti pagine

Categorie