質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

ただいまの
回答率

90.47%

  • nginx

    879questions

    nginixは軽量で高性能なwebサーバーの1つです。BSD-likeライセンスのもとリリースされており、あわせてHTTPサーバ、リバースプロキシ、メールプロキシの機能も備えています。MacOSX、Windows、Linux、上で動作します。

  • GitLab

    130questions

    GitLabは Gitoliteをブラウザから管理できるようにする Rubyアプリケーションで、 GitHubのようなサービスをクローズドな環境に独自で構築できるように 公開されたものです。

ロードバランサを使った場合のGITlabのサーバ設定(httpsとhttp)

解決済

回答 3

投稿 編集

  • 評価
  • クリップ 2
  • VIEW 2,046

DAIJIRO

score 5

社用でGitLab+nginx(オム二版)をRedHutLinuxに入れて使おうと思っています。
しかし、ロードバランサ(LB)を介しているせいかうまく通信できません。
ブラウザ(Chrome、Firefox、IE)から
https://hogehoge.jp:8443/ にアクセスすると、一度目はリダイレクトされたようで
http://hogehoge.jp:8443/users/sign_in となりアクセスできません。
手動でhttps://hogehoge.jp:8443/users/sign_in と修正して、
やっとログイン画面にたどりつきます。
ログイン後も遷移によってhttpに変更され、何度も手で打ち直しています。
来週から社外パートナーに使用してもらう予定で、なんとかFIXしたいところです。
社内からのLBを介さないhttpでの直接通信は全く問題ありません。

下記構成で常にhttps通信させたいのですが、今できていません。
サーバへの何らかの設定で勝手にhttpに変わらずhttps固定にさせられないでしょうか?
よろしくお願いします。


NW構成

外部インターネット----(https)---->LB----(http)---->GitLabサーバ
  1.   LBが入りますがサーバは1台です。
  1.   外部からはSSL通信をさせます。
  1.   LBにサーバ証明書を入れて復号化しています。後段はhttp通信です。
  1.   外部からLBまではポート8443、LBからGitLabサーバまではポート80の平文通信です。
  1.   LBにはVIPを割付て、DNS登録しています。(123.456.7.8=hogehoge.jp)
  1.   サーバは実IPでDNS登録していませんがホスト名gitlab01をつけています。(123.456.7.50=gitlab01)


サーバ設定

  1.  HTTP、80ポート使用
  1.  専らhttp通信の設定を入れています。
  1.  gitlab.rbの設定
 external_url 'http://hogehoge.jp' としています
(このせいでリダイレクトされていると思い、httpsにしてみましたが、通信自体ができなくなります)

サーババージョン

  • GitLab 7.9.4
  • GitLab Shell 2.6.2
  • GitLab API v3
  • Ruby 2.1.5p273
  • Rails 4.1.9

補足

  • 社内規定によりLBの証明書をはずして、直接サーバに入れることは極めて難しいです。
- 外部からサーバに直接アクセスさせるのも困難です。
  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

回答 3

check解決した方法

0

ありがとうございました。

Apacheをあげて、リバースプロキシを使いました。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

0

試していないのですが、
ここで議論されている内容からすると、以下の設定で実現できそうです。

1. external_urlでhttpsを指定する。
2. nginx['listen_https']をfalseに設定する。
3. "X-Forwarded-Proto: https"と"X-Forwarded-Ssl: on"をリクエストヘッダに入れる様にロードバランサを設定する。

# 英語を誤読していたらすみません。

投稿

編集

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2015/06/26 01:04

    eripong様
    ご回答ありがとうございます。こちらも詳細英語見てみます。
    ただ、LBはこちらの管理下になく結構な手続きを要します。検証も難しくなんとかLBに手を入れず実現したいところです・・・。

    キャンセル

  • 2015/06/26 07:32

    なるほど。
    "X-Forwarded-Ssl: on"がリクエストヘッダに入れば良いので、
    小細工になりますが、LBとGitLabサーバの間にプロキシを挟んで、
    "X-Forwarded-Ssl: on"を追加してやれば、動くかもしれません。

    キャンセル

  • 2015/06/26 14:18

    "X-Forwarded-Ssl: on"は、既にLBで追加されているかも知れないため、
    手順としては不要かも知れません。

    1.と2.だけ設定して、試してみても良いかと思います。
    余裕があれば、tcpdumpなどでリクエストヘッダを確認して見ると良いかと。

    キャンセル

  • 2015/06/27 00:19

    "X-Forwarded-Proto: https"も必要そうなので追記しました。

    キャンセル

  • 2015/06/27 12:59 編集

    eripong様
    追記ありがとうございました。1をhttpsにするとつなげなくなります。2はgitlab.rbに項目がなかったので追記しましたが、以前と状態変わらずでした。
    GIT+nginxを積んでいるサーバのtcpdumpをとって、外部からLB経由でアクセスしたときの今のヘッダを確認してみました。
    "X-Forwarded-Ssl: on"、"X-Forwarded-Proto: https"は入っていないようです。
    LBにアクセスしたIPアドレスを示す"X-Client: 123.456.78.90"は入っていました。
    引き続きサーバ側で何かできないか探って見ます。

    キャンセル

  • 2015/06/27 22:14 編集

    ヘッダが入っていませんか。

    https://gitlab.com/gitlab-org/omnibus-gitlab/blob/master/doc/settings/nginx.md
    を見ても、ヘッダは必要そうです。
    プロキシを挟むことも難しいでしょうか?

    また、「通信自体ができなくなります。」や「つなげなくなります」と言うのは、
    ポートは開いているのでしょうか?それとも、エラー画面になる、
    エラーログが出るなどでしょうか?

    キャンセル

  • 2015/06/28 01:14

    AWS で用意されている AMI をさわってみました。

    Nginx が gitlab unicorn のリバースプロキシーで、https を有効にすると、80番、443番で Listen し、443番で受けたときに "X-Forwarded-Ssl: on" ヘッダを付けてバックエンドに渡すよう設定されます(/var/opt/gitlab/nginx/conf/gitlab-http.conf)。

    https を有効にしない場合、Nginx は 80番のみで Listen し、"X-Forwarded-Ssl: on" ヘッダは付きませんが、無理やり設定ファイルを修正してヘッダを付けるようにするとどうでしょうか。

    server {
    listen *:80;
    (略)

    location /uploads/ {
    (略)
    proxy_set_header X-Forwarded-Ssl on; ★追加

    proxy_pass http://gitlab;
    }

    location @gitlab {
    (略)
    proxy_set_header X-Forwarded-Ssl on; ★追加

    proxy_pass http://gitlab;
    }
    }

    ※先頭の空白が消えてしまうかもしれません。

    ただし、"gitlab-ctl reconfigure" を実行すると、設定がリセットされてしまうようです。

    キャンセル

0

LB が Nginx ですか? それともバックエンドWebサーバーが Nginx ですか?
 
バックエンドWebサーバーからの応答の Location ヘッダにリダイレクト先(http://〜)がありますので、LB で変換する必要があります。Apache httpd なら ProxyPassReverse、Nginx なら proxy_redirect です。
(LB が Nginx の場合の設定例)
proxy_pass      http://backend.example.com/;
proxy_redirect  http://backend.example.com/ /;
 
バックエンドWebサーバーからの応答が「Location: http://backend.example.com/users/sign_in」ならば、「/users/sign_in」に変換し、プロトコル、ホスト名を補完して「Location: https://hogehoge.jp:8443/users/sign_in」でブラウザに返します。
 
LB が Nginx でない場合、LB に同等の機能はありませんでしょうか。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2015/06/26 01:15

    TaichiYanagiyaさま
    ご回答ありがとうございます。 LBは当方の管理下になく、OS等の情報はわかりません。
    バックエンドのWebサーバはnginxです。GitLabにバンドルされてインストールしたものです。完全ではありませんが、おっしゃった意味は少し理解できました。プロトコル、ホスト名を補完するのは、LBなんですよね。
    やっぱりLBに手を入れる必要があるんですかね…。

    キャンセル

15分調べてもわからないことは、teratailで質問しよう!

  • ただいまの回答率 90.47%
  • 質問をまとめることで、思考を整理して素早く解決
  • テンプレート機能で、簡単に質問をまとめられる

関連した質問

同じタグがついた質問を見る

  • nginx

    879questions

    nginixは軽量で高性能なwebサーバーの1つです。BSD-likeライセンスのもとリリースされており、あわせてHTTPサーバ、リバースプロキシ、メールプロキシの機能も備えています。MacOSX、Windows、Linux、上で動作します。

  • GitLab

    130questions

    GitLabは Gitoliteをブラウザから管理できるようにする Rubyアプリケーションで、 GitHubのようなサービスをクローズドな環境に独自で構築できるように 公開されたものです。