Nginx Proxy à Tomcat avec SSL
J'ai posté ceci sur Stackoverflow par erreur ( https://stackoverflow.com/questions/65942820/nginx-proxy-a-tomcat ) Et je le mettant ici aussi dans l'espoir de trouver une certaine solution .
J'ai traversé des dizaines de tutoriels et je ne peux pas comprendre le suivant (Althougt, il devrait être assez basique):
J'ai ma compilée vue dans /var/www/mydomain.com et je souhaite que cela soit partagé en tant que contenu statique.
Mon backend fonctionne sur 8080 par Tomcat avec des API publiques sur/API/quelque chose ... URLS. Les URL sont codées en papier, y compris la partie "API".
Je souhaite configurer Nginx à proxy Mydomain.com/api/something ... Les demandes de tomcat et de repos soient servies statiquement à partir de /var/mydomain.com. Tout servi par SSL.
Je n'ai pas besoin de rien d'autre.
Pouvez-vous m'aider à configurer NGinx et Tomcat pour y parvenir? Merci!
nginx config /etc/nginx/sites-Available/mydomain.com
upstream Tomcat {
server 127.0.0.1:8080 fail_timeout=0;
}
server {
listen 443 ssl default_server;
#listen [::]:443 ssl default_server;
root /var/www/mydomain.com;
index index.html index.htm index.nginx-debian.html;
server_name _ mydomain.com www.mydomain.com;
location /api/ {
include proxy_params;
proxy_set_header Host $server_name;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_pass http://Tomcat;
}
location / {
try_files $uri $uri/ /index.html;
}
ssl_certificate /etc/letsencrypt/live/www.mydomain.com/fullchain.pem; # managed by Certbot
ssl_certificate_key /etc/letsencrypt/live/www.mydomain.com/privkey.pem; # managed by Certbot
}
server {
if ($Host = www.mydomain.com) {
return 301 https://$Host$request_uri;
} # managed by Certbot
if ($Host = mydomain.com) {
return 301 https://$Host$request_uri;
} # managed by Certbot
listen 80 default_server;
listen [::]:80 default_server;
server_name _ mydomain.com www.mydomain.com;
return 404; # managed by Certbot
}
1) Bloc de localisation alternatif que j'essaye
location /api/ {
proxy_set_header Host $Host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-Proto https;
proxy_pass http://localhost:8080/api/;
}
2) Bloc alternatif suggéré par Praveen Pravaratne.
De cette façon, je reçois "GET /api/docs HTTP/1.0" 302 - et les fichiers statiques fonctionnent également. Aller à/API/Docs fait rediriger vers domain:8443/api/docs où je reçois ERR_CONNECTION_REFUSED.
location /api/ {
include proxy_params;
proxy_pass http://Tomcat;
}
location / {
try_files $uri $uri/ /index.html;
}
3) Alternative à l'aide de sous-domaines.
J'ai pu créer des sous-domaines API.MYDOMAINE.com et configurer NGinx pour passer à la page d'index à partir de là (ajouter le bloc suivant). Aucune idée de la façon de faire la proxe après.
server {
listen 443 ssl;
root /var/www/www.mydomain.com; <- redundand I guess?
index index.html index.htm index.nginx-debian.html; <- redundand I guess?
server_name api.mydomain.com
ssl_certificate /etc/letsencrypt/live/www.mydomain.com/fullchain.pem; # managed by Certbot
ssl_certificate_key /etc/letsencrypt/live/www.mydomain.com/privkey.pem; # managed by Certbot
}
Tomcat Config Server.xml
<Connector port="8080" protocol="HTTP/1.1"
connectionTimeout="20000"
address="127.0.0.1"
redirectPort="8443" />
<Engine name="Catalina" defaultHost="localhost">
...
<Host name="localhost" appBase="webapps"
unpackWARs="true" autoDeploy="true">
<Valve className="org.Apache.catalina.valves.AccessLogValve"
directory="logs"
prefix="localhost_access_log" suffix=".txt"
requestAttributesEnabled="true"
pattern="%h %l %u %t "%r" %s %b" />
<Valve className="org.Apache.catalina.valves.RemoteIpValve"
protocolHeader="X-Forwarded-Proto" />
...
La situation actuelle est que lorsque je vais à Mydomain.com/api/docs où Swagger devrait être en cours d'exécution, je suis redirigé vers Mydomain.com ou obtenir une erreur 500 ou 502.
Si je devais faire cela en utilisant l'approche des sous-domaines, voici comment je le ferais.
- Créez un fichier de configuration NGinx pour l'API backend
- Créez un fichier de configuration Nginx pour le contenu Web statique
Statique HTML NGINX Fichier
mydomain.com.nginx
server {
server_name mydomain.com;
root /var/www/mydomain.com;
index index.html;
access_log /var/log/nginx/mydomain-access.log;
error_log /var/log/nginx/mydomain-error.log;
location / {
try_files $uri $uri/ /index.html;
}
listen 443 ssl; # managed by Certbot
ssl_certificate /etc/letsencrypt/live/www.mydomain.com/fullchain.pem; # managed by Certbot
ssl_certificate_key /etc/letsencrypt/live/www.mydomain.com/privkey.pem; # managed by Certbot
include /etc/letsencrypt/options-ssl-nginx.conf; # managed by Certbot
ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem; # managed by Certbot
}
server {
if ($Host = mydomain.com) {
return 301 https://$Host$request_uri;
} # managed by Certbot
listen 80;
server_name mydomain.com;
return 404; # managed by Certbot
}
Fichier de configuration API NGINX
api.mydomain.com.nginx
server {
server_name api.mydomain.com;
access_log /var/log/nginx/api-mydomain-access.log;
error_log /var/log/nginx/api-mydomain-error.log;
location / {
proxy_set_header X-Forwarded-Host $Host:$server_port;
proxy_set_header X-Forwarded-Server $Host;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_pass http://127.0.0.1:8080;
proxy_redirect off;
}
listen 443 ssl; # managed by Certbot
ssl_certificate /etc/letsencrypt/live/api.mydomain.com/fullchain.pem; # managed by Certbot
ssl_certificate_key /etc/letsencrypt/live/api.mydomain.com/privkey.pem; # managed by Certbot
include /etc/letsencrypt/options-ssl-nginx.conf; # managed by Certbot
ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem; # managed by Certbot
}
server {
if ($Host = api.mydomain.com) {
return 301 https://$Host$request_uri;
} # managed by Certbot
listen 80;
server_name app.mydomain.com;
return 404; # managed by Certbot
}
Vous pouvez les ajouter à la /etc/nginx/site-available/ répertoire et leur permettre.
PS: Je supprimerais la SSL Stuff et exécuteriez CrossTot pour les mettre à jour puisque vous devez émettre un nouveau certificat pour le app.mydomain.com, donc ce serait donc Il suffit de mettre à jour les fichiers elle-même