Nếu bàn là một admin server và bạn có một web server mà bạn chọn như Apache hoặc Nginx. Apache là một web server rất nổi tiếng có từ những năm 1990s. Còn Nginx được phát triển sau này vào năm 2004, tuy nhiên Nginx phát triển rất nhanh và trở thành một web server rất mạnh mẽ, tốc độ xử lý rất nhanh cho những file html, và những file tỉnh khác.
Cả 2 Apache và Nginx đề hỗ trợ virtua hosting, có nghĩa là bạn có thể host rất nhiều website hoặc những ứng dụng web trên cùng một máy chủ. Tuy nhiên, bạn gặp phải tình huống là bạn có một website đang chạy trên web server này nhưng một ứng dụng web khác lại đòi hỏi phải chạy trên loại web server khác trên cùng một máy chủ. Port 80 và 443 đại điện trên địa chỉ IP Public và chỉ có thể được sử dụng cho một process. Nếu Apache đang sử dụng port này thì Nginx không thể sử dụng được nữa. Vì thể chúng ta phải làm gì trong tình huống này?
Bạn có thể cấu hình Nginx như là một reverse proxy cho Apache, Nginx có thể redirect nhưng request HTTP tới Apache. Theo kinh nghiệm của mình, tôi thấy rằng đây không phải lúc nào cũng là cách tốt nhất vì nó đã từng gây ra các vấn đề kỳ lạ mà tôi không thể khắc phục. Thay vì đó tôi sẽ sử dụng HAProxy để làm reverse proxy cho cả hai Apache và Nginx. HAProxy miễn phí, Open source là một Load Balancer có độ sẵn sàng cao và là một proxy server cho những ứng dụng TCP và những ứng dụng trên nền HTTP.
Cấu hình Apache, Nginx và HAProxy trên cùng máy chủ
Bên dưới là một số thông tin chuẩn bị để cấu hình.
- Nginx lắng nghe ở 127.0.0.1:80 và 127.0.0.1:443
- Apache lắng nghe 127.0.0.2:80 và 127.0.0.2:443
- HAProxy lắng nghe port 80 và 443 trên địa chỉ IP Public. Nginx chuyển hướng kết nối HTTP ở port 80 thành port 443. Khi một kết nối đến port 443, nó sẽ chọn giữa Nginx và Apache dựa vào SNI (Server Name Indication) header trong kết nối HTTPS.
Thực tế, Cloudflare nhà cung cấp dịch vụ CDN cũng sử dụng SNI header để xác định làm sao route kết nối HTTPS tới máy chủ web.
Bước 1: Tạm dừng dịch vụ Nginx và Apache
Để dừng dịch vụ Nginx trên Debian, Ubuntu và CentOS, chạy lệnh như bên dưới.
sudo systemctl stop nginx
Đê dừng dịch vụ Apache trên Debian/Ubuntu, chạy lện bên dưới.
sudo systemctl stop apache2
Để dừng dịch vụ Apache trên CentOS, chạy lệnh.
sudo systemctl stop httpd
Bước 2: Thay đổi port lắng nghe trên Nginx
Chúng ta cần thay đổi port Nginx lắng nghe ở địa chỉ 127.0.0.1:80. Mở file cấu hình Nginx ở thư mục /etc/nginx/conf.d/
hoặc /etc/nginx/sites-enabled/
listen 80;
Thay đổi thành
listen 127.0.0.1:80;
Nếu port https (443) được mở trên Nginx, bạn cũng phải thay đổi như bên dưới, tìm:
listen 443 ssl;
Thay đổi thành
listen 127.0.0.1:443 ssl;
File cấu hình chính của Nginx/etc/nginx/nginx.conf
bao gồm virtual host mặt định lắng nghe ở port 80 và 443, vì thế bạn cần phải chỉnh sửa file này.
Khởi động Nginx để thay đổi cấu hình.
sudo systemctl restart nginx
Bước 3: Thay đổi port lắng nghe trên Apache
Chúng ta cũng cần phải thay đổi port lắng nghe trên Apache 127.0.0.2:80.
Debian/Ubuntu
Trên Debian và Ubuntu, chỉnh sửa file /etc/apache2/ports.conf
.
sudo nano /etc/apache2/ports.conf
Tìm 2 dòng
Listen 80 Listen 443
Thay đổi thành
Listen 127.0.0.2:80 Listen 127.0.0.2:443
Lưu cấu hình và tắt mở file, vào thư mục /etc/apache2/sites-enabled/
để chỉnh sửa virtual host.
Thay đổi
<VirtualHost *:80>
Thành
<VirtualHost 127.0.0.2:80>
Nếu bạn có sử dụng SSL thì cũng cần file thay đổi cấu hình virtual host cho SSL.
<VirtualHost *:443>
Thành
<VirtualHost 127.0.0.2:443>
Khởi động lại Apache
sudo systemctl restart apache2
Trên CentOS
Trên CentOS, chỉnh sửa file /etc/httpd/conf/httpd.conf
.
sudo nano /etc/httpd/conf/httpd.conf
Tìm
Listen 80
Thay đổi thành
Listen 127.0.0.2:80
Lưu lại và tắt mở file, sau đó vào thử mục/etc/httpd/conf.d/
, để chỉnh sửa virtual host.
<VirtualHost *:80>
Thay đổi thành
<VirtualHost 127.0.0.2:80>
Nếu bạn có sử dụng SSL virtual host thì cũng cần thay đổi cấu hình virtual host cho SSL
<VirtualHost *:443>
Thay đổi thành
<VirtualHost 127.0.0.2:443>
Trong file cấu hình /etc/httpd/conf.d/ssl.conf
Listen 443 https
Thay đổi thành
Listen 127.0.0.2:443 https
Lưu lại và đóng mở file, khởi động lại Apache để thay đổi cấu hình.
sudo systemctl restart httpd
Bước 4: Cấu hình HAProxy
Cài đặt và cấu hình HAProxy.
Trên Debian/Ubuntu
sudo apt install haproxy
Trên CentOS
sudo dnf install haproxy
Chỉnh sửa file cấu hình HAProxy.
sudo nano /etc/haproxy/haproxy.cfg
Thêm đoạn cấu hình bên dưới vào cuối file, đoạn cấu hình này sẽ cho HAProxy lắng nghe ở port 80 trên địa chỉ IP Public và chuyển hướng kết nối ở port 80 thành port 443. Thay đổi IP 12.34.56.78 thành địa chỉ IP phù hợp với IP trên máy chủ của bạn.
frontend http bind 12.34.56.78:80 mode http redirect scheme https code 301
Chúng ta cũng cần thêm đoạn cấu hình HTTPS ở front end.
frontend https bind 12.34.56.78:443 mode tcp tcp-request inspect-delay 5s tcp-request content accept if { req_ssl_hello_type 1 }
Sau đó chúng ta định nghĩa Nginx và Apache back end và tham số check
nói cho HAProxy thực hiện health checks với back end bằng cách gửi TCP packet.
backend nginx mode tcp option ssl-hello-chk server nginx 127.0.0.1:443 check backend apache mode tcp option ssl-hello-chk server apache 127.0.0.2:443 check
Bạn cũng có thể định nghĩa thêm default back end với tham số bên dưới.
default_backend nginx
Chúng ta sẽ sử dụng SNI header trong kết nôi HTTPS để chuyển hướng chính xác tới back end. Ví dụ, nếu Nginx phục vụ cho domain1.com và Apache phục vụ cho domain2.com thì chúng ta thêm 2 dòng cấu hình sau:
use_backend nginx if { req_ssl_sni -i domain1.com } use_backend apache if { req_ssl_sni -i domain2.com }
Chú ý 2 tham số default_backend
vàuse_backend
được định nghĩa ở trên.
Trong cấu hình ở trên chúng ta sử SNI (Server Name Indication) trong TLS để phân loại HTTPS tracffic khác nhau.
- Khi kết nối đến domain1.com, mà domain1.com ở trong TLS Client Hello, HAProxy sẽ chuyển hướng kết nối đến
nginx
backend. - Khi kết nối đến domain2.com, mà domain2.com ở trong TLS Client Hello, HAProxy sẽ chuyển hướng kết nôi đến
apache
backend.
Nếu bạn không chỉ ra domain name trong TLS Client Hello, HAproxy sẽ sử dụng default back end nginx như đã khai báo ở trên.
Lưu lại và đóng file cấu hình, khởi động lại HAProxy.
sudo systemctl restart haproxy
Bây giờ Apache, Nginx và HAProxy chạy trên cùng máy chủ.
Làm sao để chuyển hướng địa chỉ IP của Client tới Back end
Mặt đinh, Apache và Nginx chỉ có thể thấy địa chỉ IP của HAProxy.
By default, Apache and Nginx can only see HAProxy’s IP address. Để lấy địa chỉ IP thực của của client, thêm tham số send-proxy-v2
vào đoạn cấu hình back end của HAProxy như bên dưới.
server nginx 127.0.0.1:443 send-proxy-v2 check server apache 127.0.0.2:443 send-proxy-v2 check
Chúng ta cũng cần thêm một vài tham số cấu hình cho Nginx và Apache để đảm bảo hoạt động, nếu không sẽ không chạy.
Nginx
Thêm tham số proxy_protocol
vào Nginx listen
như bên dưới.
listen 127.0.0.2:443 ssl http2 proxy_protocol;
Sau đó thêm 2 tham số Nginx vào chỗ http { }
trong file cấu hình /etc/nginx/nginx.conf
set_real_ip_from 127.0.0.1; real_ip_header proxy_protocol;
Lưu lại và thoát, sau đó restart lại Nginx.
sudo systemctl reload nginx
Chú ý: Nếu website của bạn đang chạy phía sau Cloudflare CDN, bạn nên thay đôi
Chú ý: Nếu website của bạn đang chạy phía sau Cloudflare CDN, bạn nên thay đổi real_ip_header proxy_protocol;
thành real_ip_header CF-Connecting-IP;
để hiển thị địa chỉ IP thực của client. Bạn cũng có thể thêm tham số real_ip_header
tới những block file cấu hình riêng để override file cấu hình global trong /etc/nginx/nginx.conf
Cuối cùng, khởi động lại HAProxy.
sudo systemctl restart haproxy
Apache
Nếu bạn sử dụng Apache trên Debian/Ubuntu, bạn cần phải enable remoteip module. (Mặt đinh, module này đã được enable trong CentOS)
sudo a2enmod remoteip
Sau đó bạn thêm 3 dòng cấu hình trong cấu hình virtual host của Apache.
RemoteIPProxyProtocol On RemoteIPHeader X-Forwarded-For RemoteIPTrustedProxy 127.0.0.1
Ví dụ như bên dưới.
<VirtualHost 127.0.0.2:443> ServerName tungdt.net RemoteIPProxyProtocol On RemoteIPHeader X-Forwarded-For RemoteIPTrustedProxy 127.0.0.1
Lưu lại và thoát, sau đó bạn cũng cần thay đổi tham số trong định dạng combined
log file.
sudo nano /etc/apache2/apache2.conf
Hoặc
sudo nano /etc/httpd/conf/httpd.conf
Tìm dòng bên dưới
LogFormat "%h %l %u %t \"%r\" %>s %O \"%{Referer}i\" \"%{User-Agent}i\"" combined
Thay thế thành
LogFormat "%a %l %u %t \"%r\" %>s %O \"%{Referer}i\" \"%{User-Agent}i\"" combined
Lưu lại và thoát, sau đó khởi động lại Apache
sudo systemctl restart apache2
Hoặc
sudo systemctl restart httpd
Chú ý: Tham số RemoteIPProxyProtocol On
chỉ có ở phiên bản Apache 2.4.31 và mới nhất. Để kiểm tra phiên bản Apache chạy lệnh
sudo apache2 -v
Hoặc
sudo httpd -v
Trên Ubuntu 18.04 có sẵn phiên bản Apache 2.4.29. Nếu webserver Apache của bạn không phù hợp với yêu cầu thi bạn nên bỏ tham số send-proxy-v2
trong file cấu hình back end HAProxy như đã định nghĩa. Trên CentOS 8 phiên bản Apache 2.4.37.
Cuối cùng, khởi động lại HAProxy
sudo systemctl restart haproxy
Cài đặt và cấu hình Let’s Encrypt SSL Certificate
Để cài đặt Let’s Encrypt certificate cho virtual host/server block, chỉ có thể sử dụng kiểu dns-01
.Còn 2 kiểu http-01
vàtls-alpn-01
sẽ không hoạt động.
Đẩu tiền, bạn cần phải cài đặt Certbot DNS plugin, chúng có vài DNS plugins có sẵn trong Debian và Ubuntu, bạn có thể tìm với từ khóa.
apt search python3-certbot-dns
Thông tin hiển thị kết quả tìm:
python3-certbot-dns-cloudflare/bionic,bionic 0.23.0-1 all Cloudflare DNS plugin for Certbot python3-certbot-dns-digitalocean/bionic,bionic 0.23.0-1 all DigitalOcean DNS plugin for Certbot python3-certbot-dns-dnsimple/bionic,bionic 0.23.0-1 all DNSimple DNS plugin for Certbot python3-certbot-dns-google/bionic,bionic 0.23.0-1 all Google DNS plugin for Certbot python3-certbot-dns-rfc2136/bionic,bionic 0.23.0-1 all RFC 2136 DNS plugin for Certbot python3-certbot-dns-route53/bionic,bionic 0.23.0-1 all Route53 DNS plugin for Certbot
Trên CentOS 8, bạn có thể tìm Certbot DNS plugins từ EPEL repository. Chú ý bạn cần cài đặt Certbot từ repository mặc định của CentOS.
sudo dnf install certbot
Tìm DNS plugins từ EPEL repository.
sudo dnf install epel-release dnf search certbot-dns
Thôn tin hiển thị kết quả tìm:
python3-certbot-dns-ovh.noarch : OVH DNS Authenticator plugin for Certbot python3-certbot-dns-nsone.noarch : NS1 DNS Authenticator plugin for Certbot python3-certbot-dns-gehirn.noarch : Gehirn Infrastructure Service DNS Authenticator plugin for Certbot python3-certbot-dns-google.noarch : Google Cloud DNS Authenticator plugin for Certbot python3-certbot-dns-linode.noarch : Linode DNS Authenticator plugin for Certbot python3-certbot-dns-luadns.noarch : LuaDNS Authenticator plugin for Certbot python3-certbot-dns-rfc2136.noarch : RFC 2136 DNS Authenticator plugin for Certbot python3-certbot-dns-route53.noarch : Route53 DNS Authenticator plugin for Certbot python3-certbot-dns-cloudxns.noarch : CloudXNS DNS Authenticator plugin for Certbot python3-certbot-dns-dnsimple.noarch : DNSimple DNS Authenticator plugin for Certbot python3-certbot-dns-cloudflare.noarch : Cloudflare DNS Authenticator plugin for Certbot python3-certbot-dns-cloudflare.noarch : Cloudflare DNS Authenticator plugin for Certbot python3-certbot-dns-dnsmadeeasy.noarch : DNS Made Easy DNS Authenticator plugin for Certbot python3-certbot-dns-sakuracloud.noarch : Sakura Cloud DNS Authenticator plugin for Certbot
Việc cài đặt những plugin này dựa vào dịch vụ DNS hosting mà bạn đang sử dụng. Tôi đang sử dụng Cloudflare, vì thế tôi sẽ sử dụng Cloudflare làm ví dụ. Chạy những lệnh bên dưới để cài đặt gói python3-certbot-dns-cloudflare
trên Debian/Ubuntu.
sudo apt install python3-certbot-dns-cloudflare
Sau đó tạo file cấu hình cho Cloudflare.
sudo nano /etc/letsencrypt/cloudflare.ini
Chúng ta cần thêm địa chỉ email Cloudflare và API key vào file cấu hình này.
# Cloudflare API credentials used by Certbot dns_cloudflare_email = tungdt@tungdt.com dns_cloudflare_api_key = 0123456789abcdef0123456789abcdef01234567
Bạn có thể tìm API key của Cloudflare ở địa chỉ https://dash.cloudflare.com/profile
. Chú ý Certbot Cloudflare plugin hiện tại không hỗ trợ API Tokens của Cloudflare, vì thế bạn phải sử dụng “Global API Key” để xác thực.
Lưu lại và thoát, API key sẽ bypasses two-factor authentication củaCloudflare, vì thế bạn chỉ nên cho phép user root đọc được file này.
sudo chmod 600 /etc/letsencrypt/cloudflare.ini
Bây giờ bạn có thể chạy lệnh certbot.
sudo certbot --agree-tos -a dns-cloudflare -i nginx --redirect --hsts --staple-ocsp --email you@example.com -d www.your-domain.com,your-domain.com
Trong lệnh trên, chúng ta chỉ ra sử dụng dns-cloudflare
như là authenticator cài đặt TLS certificate và sử dụng nginx
plugin để tạo HTTPS server block. Nếu bạn sử dụng Apache, bạn thay thế nginx
thànhapache
.
Lệnh này sẽ hỏi bạn nhập đường dẫn chứa file .ini
, nhập đường dẫn /etc/letsencrypt/cloudflare.ini
.
Sau khi SSL certificate được cài đặt vào file cấu hình webserver. Bạn cần cấu hình web server lắng nghe trên 127.0.0.1:443 hoặc 127.0.0.2:443. Ví dụ, nếu bạn sử dụng Nginx
listen 443 ssl
Thay đổi thành
listen 127.0.0.1:443 ssl http2
Và cũng thay đổi port 80 thành
listen 127.0.0.1:80;
Lưu lại và thoát, sau đó khởi động lại web server.
Một số lỗi thông dụng
Sai tên miền
Nếu bạn có nhiều Nginx virtual host trên một máy chủ và khi bạn nhập một tên miền, trình duyệt web sẽ đưa bạn đến một tên miền khác được lưu trữ trên cùng một máy chủ, có thể file cấu hình Nginx virtual host không được lưu dưới dạng đuôi mở rộng .conf, vì vậy Nginx nhận biết cấu hình virtual host cho tên miền này. Cũng có thể là bạn đã thiết lập bản ghi AAAA cho tên miền, nhưng bạn chưa định nghĩa cấu hình Nginx để phân phối tên miền trong IPv6.
Vấn đề ở trên cũng tương tự cho Apache.
Vi phạm giao thức mạng
Nếu bạn thiết lập send-proxy-v2
header trong cấu hình HAProxy, nhưng bạn không enable proxy_protocol
trong Nginx hoặc Apache, thì website của bạn sẽ hiển thị lỗi như bên dưới.
The site has experienced a network protocol violation that cannot be repaired.
Lưu ý, sau khi thay đổi cấu hình bạn phải restart lại Nginx hoặc Apache.
Lỗi PR_CONNECT_RESET_ERROR
Nếu bạn enable proxy_protocol
trong Nginx hoặc Apache, nhưng bạn không thiết lập send-proxy-v2
header trong cấu hình HAProxy, website của bạn sẽ hiển thị lỗi như bên dưới.
secure connection failed. PR_CONNECT_RESET_ERROR
Và bạn cũng tìm thấy lỗi trong log file Nginx hoặc Apache như bên dưới
broken header while reading PROXY protocol
Lưu ý, sau khi thay đổi cấu hình bạn phải restart lại Nginx hoặc Apache.
Chú ý, nếu bạn enable proxy protocol
một trong các file cấu hình virtual host của Nginx hoặc Apache, thì cũng ngầm hiểu rằng nó cũng enable cho tất cả virtual host khác. Không có cách nào để disable proxy_protocol
cho những virtual host riêng lẻ. Chính vì thế nếu bạn dự định chạy Apache và Nginx trên cùng máy chủ thì bạn nên enable proxy protocol trong Nginx và không enable trong Apache. Nếu một virual host không cần nhận IP thực của client thì cấu hình nó trong Apache.
Chú ý: Bạn có thể thiết lập Apache/Nginx virtual host mới trên địa chỉ loopback khác như 127.0.0.4. Bằng cách này, virtual host mới không enable proxy protocol.
Lỗi PR_END_OF_FILE_ERROR
Nếu bạn enable proxy protocol trong Apache/Nginx, nhưng bạn truy cập trực tiếp virtual host (bypass HAProxy), bạn sẽ thấy lỗi như bên dưới.
PR_END_OF_FILE_ERROR
Kết thúc
Tôi hi vọng bài viết này sẽ giúp bạn hiểu rõ cách Apache, Nginx và HAProxy chạy cùng trên một máy chủ.
* KHOÁ HỌC ORACLE DATABASE A-Z ENTERPRISE trực tiếp từ tôi giúp bạn bước đầu trở thành những chuyên gia DBA, đủ kinh nghiệm đi thi chứng chỉ OA/OCP, đặc biệt là rất nhiều kinh nghiệm, bí kíp thực chiến trên các hệ thống Core tại VN chỉ sau 1 khoá học.
* CÁCH ĐĂNG KÝ: Gõ (.) hoặc để lại số điện thoại hoặc inbox https://m.me/tranvanbinh.vn hoặc Hotline/Zalo 090.29.12.888
* Chi tiết tham khảo:
https://bit.ly/oaz_w
=============================
KẾT NỐI VỚI CHUYÊN GIA TRẦN VĂN BÌNH:
📧 Mail: binhoracle@gmail.com
☎️ Mobile: 0902912888
⚡️ Skype: tranbinh48ca
👨 Facebook: https://www.facebook.com/BinhOracleMaster
👨 Inbox Messenger: https://m.me/101036604657441 (profile)
👨 Fanpage: https://www.facebook.com/tranvanbinh.vn
👨 Inbox Fanpage: https://m.me/tranvanbinh.vn
👨👩 Group FB: https://www.facebook.com/groups/DBAVietNam
👨 Website: https://www.tranvanbinh.vn
👨 Blogger: https://tranvanbinhmaster.blogspot.com
🎬 Youtube: http://bit.ly/ytb_binhoraclemaster
👨 Tiktok: https://www.tiktok.com/@binhoraclemaster?lang=vi
👨 Linkin: https://www.linkedin.com/in/binhoracle
👨 Twitter: https://twitter.com/binhoracle
👨 Địa chỉ: Tòa nhà Sun Square - 21 Lê Đức Thọ - Phường Mỹ Đình 1 - Quận Nam Từ Liêm - TP.Hà Nội
=============================
Cấu hình Apache, Nginx và HAProxy chạy trên cùng Server (Debian, Ubuntu, CentOS), học oracle database, Tự học Oracle, Tài liệu Oracle 12c tiếng Việt, Hướng dẫn sử dụng Oracle Database, Oracle SQL cơ bản, Oracle SQL là gì, Khóa học Oracle Hà Nội, Học chứng chỉ Oracle ở đầu, Khóa học Oracle online,khóa học pl/sql, học dba, học dba ở việt nam, khóa học dba, khóa học dba sql, tài liệu học dba oracle, Khóa học Oracle online, học oracle sql, học oracle ở đâu tphcm, học oracle bắt đầu từ đâu, học oracle ở hà nội, oracle database tutorial, oracle database 12c, oracle database là gì, oracle database 11g, oracle download, oracle database 19c, oracle dba tutorial, oracle tunning, sql tunning , oracle 12c, oracle multitenant, Container Databases (CDB), Pluggable Databases (PDB), oracle cloud, oracle security, oracle fga, audit_trail, oracle dataguard, oracle goldengate, mview, oracle exadata, oracle oca, oracle ocp, oracle ocm , oracle weblogic, middleware, hoc solaris, hoc linux, hoc aix, unix, securecrt, xshell, mobaxterm, putty