nginxをリバースプロキシサーバにする設定について

前提・実現したいこと

前提：
新人のプログラマです。なぜか常駐先で環境構築をすることになりました。私自身WordpressをVPSにデプロイするような本を少し読んだ程度の知識しかありません。お手柔らかにお願いします！

参考にさせていただいたサイト：8.1 プロクシー

実現したいこと：
①昨日nginxをリバースプロキシ化したのですがその際にdefault.confのlocation内にproxy_set_headerという文言を見つけました。これらは何のために設定するものなのでしょうか？proxy_redirectもよく解っておらず、ググった結果、「プロクシーサーバの返すレスポンスの "Location", "Refresh" ヘッダをどのように書き換えるべきかを指定します。」ということがとあるサイトに書かれていました。その部分も設定すべきか判別がつきません。

②ここまで環境構築の勉強をしてきて思ったのですが、皆様はこのようなサーバの設定の知識などはどこで勉強しているのでしょうか？

①や②どちらか片方でも良いのでご回答よろしくおねがいします！

該当のソースコード

【default.conf】

nginx
1### httpでアクセスしてきた場合はhttpsにリダイレクト
2#server {
3#    listen 80;
4#    server_name localhost;
5#    return 301 https://$host$request_uri;
6#}
7
8### https設定
9server {
10    # listen       80;
11
12    ## 追加7/13
13    listen       443 ssl;
14
15    server_name  localhost;
16
17    ## 追加7/13
18    ssl_certificate /etc/nginx/localhost.crt;
19    ssl_certificate_key /etc/nginx/localhost.key;
20    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
21    ssl_ciphers HIGH:!aNULL:!MD5;
22
23    #charset koi8-r;
24    #access_log  /var/log/nginx/host.access.log  main;
25
26    ## コメントアウト7/18
27    #location / {
28    #    root   /usr/share/nginx/html;
29    #    index  index.html index.htm;
30    #}
31
32    ## 追加7/18
33    location / {
34        proxy_pass http://192.168.100.110:8090;
35#        proxy_redirect                         off;
36#        proxy_set_header Host                  $host;
37#        proxy_set_header X-Real-IP             $remote_addr;
38#        proxy_set_header X-Forwarded-Host      $host;
39#        proxy_set_header X-Forwarded-Server    $host;
40#        proxy_set_header X-Forwarded-For       $proxy_add_x_forwarded_for;
41    }
42
43    #error_page  404              /404.html;
44
45    # redirect server error pages to the static page /50x.html
46    #
47    error_page   500 502 503 504  /50x.html;
48    location = /50x.html {
49        root   /usr/share/nginx/html;
50    }
51
52    # proxy the PHP scripts to Apache listening on 127.0.0.1:80
53    #
54    #location ~ .php$ {
55    #    proxy_pass   http://127.0.0.1;
56    #}
57
58    # pass the PHP scripts to FastCGI server listening on 127.0.0.1:9000
59    #
60    #location ~ .php$ {
61    #    root           html;
62    #    fastcgi_pass   127.0.0.1:9000;
63    #    fastcgi_index  index.php;
64    #    fastcgi_param  SCRIPT_FILENAME  /scripts$fastcgi_script_name;
65    #    include        fastcgi_params;
66    #}
67
68    # deny access to .htaccess files, if Apache's document root
69    # concurs with nginx's one
70    #
71    #location ~ /.ht {
72    #    deny  all;
73    #}
74}

補足情報（FW/ツールのバージョンなど）

フレームワーク：MVVMフレームワーク(フレームワークもどきと呼ばれてました)

$ cat /etc/redhat-release
CentOS release 6.10 (Final)

$ nginx -v
nginx version: nginx/1.14.0

$ httpd -v
Server version: Apache/2.2.15 (Unix)
Server built:   Jun 19 2018 15:45:13

$ php -v
PHP 5.6.13 (cli) (built: Sep  3 2015 14:19:17)
Copyright (c) 1997-2015 The PHP Group
Zend Engine v2.6.0, Copyright (c) 1998-2015 Zend Technologies

$ php-fpm -v
PHP 5.6.36 (fpm-fcgi) (built: Apr 25 2018 10:12:10)
Copyright (c) 1997-2016 The PHP Group
Zend Engine v2.6.0, Copyright (c) 1998-2016 Zend Technologies

行動規範の内容に同意します

回答2件

ベストアンサー

①昨日nginxをリバースプロキシ化したのですがその際にdefault.confのlocation内にproxy_set_headerという文言を見つけました。これらは何のために設定するものなのでしょうか？

バックエンド(設定例では 192.168.100.110:8090)がそのヘッダを必要としているからだと思います。

例えば、proxy_set_header Host $host; 設定がないと、Nginx からバックエンドへのリクエストは「Host: 192.168.100.110:8090」となります。
バックエンドが Host ヘッダによらず正しく処理できるのであればいいのですが、「Host: www.example.com」(リバースプロキシーのURL のホスト名)じゃないとうまく処理できないのであれば、それに合わせて Nginx で Host ヘッダを付け替える必要があります。

proxy_redirectもよく解っておらず、ググった結果、「プロクシーサーバの返すレスポンスの "Location", "Refresh" ヘッダをどのように書き換えるべきかを指定します。」ということがとあるサイトに書かれていました。その部分も設定すべきか判別がつきません。

バックエンドが 301 や 302 でリダイレクトを返す場合、「Location: http://192.168.100.110:8090/〜」を応答するかもしれません。
Nginx がそのままブラウザに返しても、ブラウザからは 192.168.100.110:8090 にアクセスできませんので、proxy_redirect で変換する必要があります。
逆に、バックエンドが Host ヘッダなどを見て「Location: https://www.example.com/〜」を返すのであれば、変換は不要です。

バックエンドがどう処理するかによりますので、環境により設定は異なります。
実際に試してみて、うまくいかなければリクエスト、レスポンスのヘッダを確認して調整するということになると思います。

投稿2018/07/20 01:16

TaichiYanagiya

総合スコア12173

sekkati

2018/07/20 02:26 編集

TaichiYanagiya 様ご回答ありがとうございます。すみません知識が乏しく、半分も理解できていないというところが正直なところです。 # proxy_redirect off; # proxy_set_header Host $host; # proxy_set_header X-Real-IP $remote_addr; # proxy_set_header X-Forwarded-Host $host; # proxy_set_header X-Forwarded-Server $host; # proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; を設定をした場合、しなかった場合でそれぞれchromeのディベロッパツールでリクエストヘッダレスポンスヘッダを確認したのですが、特に差があるようには思えませんでした。ということは、ご指摘いただいた「バックエンドが Host ヘッダによらず正しく処理できる」ということになるのでしょうか？またこのテストをするにあたって、default.confを再読み込みを実行したくなりました。 nginx -s reload service nginx reload service nginx restart 解らなかった為それぞれ実行しました。このようなconfの読み直しは上記のどのコマンドを実行すればよいのでしょうか？

sekkati

2018/07/20 02:33 編集

今まで[クライアント]→[Apache] はIPアドレスでアクセスし、ポート番号で画面が分かれていました。それを[クライアント]→[Nginx]→[Apache] と設定したという認識です。その際、Nginx-Apache間でクライアントから送られているヘッダー情報が、Nginxのヘッダー情報で上書きされてしまうのを防いでいる。という認識でよろしいでしょうか？

TaichiYanagiya

2018/07/20 03:12

> chromeのディベロッパツールでリクエストヘッダレスポンスヘッダを確認したのですが Nginx - バックエンド間のヘッダを確認しないと。設定再読み込みはどれでもいいと思います。 > その際、Nginx-Apache間でクライアントから送られているヘッダー情報が、Nginxのヘッダー情報で上書きされてしまうのを防いでいる。という認識でよろしいでしょうか？ proxy_set_header で「防いでいる」のか、逆に「邪魔している」かはバックエンドによります。バックエンドが所望の動作をするように、リクエストヘッダを調整するということです。

sekkati

2018/07/20 03:44 編集

TaichiYanagiya 様再度ご回答ありがとうございます！！ >バックエンドが所望の動作をするように、リクエストヘッダを調整するということ。つまり、自分の環境でいう[nginx]-[apache]間のリクエストヘッダを調整しているという感じでよろしいでしょうか？自分がクロームで見たリクエストヘッダ情報は[クライアント]-[nginx]間ということでしょうか？もしそうであれば、サーバ間のリクエストヘッダの確認方法がわかりません。そこでもう一点疑問が沸いてしまったのですが、Apacheはこの受け取ったリクエストヘッダで何か処理分けができるものなのでしょうか？(例えばhost部分が○○なら、弾くなど)

TaichiYanagiya

2018/07/20 04:23

> サーバ間のリクエストヘッダの確認方法がわかりません。 tcpdump, wireshark などでパケットキャプチャするとか、Apache httpd の mod_dumpio でログに出すとか。 Nginx でもログに出力できると思います。 > Apacheはこの受け取ったリクエストヘッダで何か処理分けができるものなのでしょうか？ Host ヘッダについては、VirtualHost を分けるとか、Webアプリケーション側でホスト名、ドメイン名で制限しているとか、リダイレクトの URL を組み立てるのに用いるとか、いろいろあると思います。接続元(クライアントの)IPアドレスをどのヘッダに載せるのか、Nginx とバックエンドで取り決めて、アクセス制限するとか、ログに記録するとか。

sekkati

2018/07/20 05:19

TaichiYanagiya 様ご回答ありがとうございます。ご丁寧に教えていただきありがとうございます。パケットキャプチャ周辺の知識も調べてみたいと思います！

行動規範の内容に同意します

多分、難しく考えすぎていると思います。

リーバスプロキシーを入れると、バックエンドのサーバには
ブラウザから直接アクセスした時とは違った情報(ヘッダー）が伝わる場合があります。

例えば、アクセス元のアドレス(REMOTE_ADDR)ですが常にリバースプロキシーのアドレスになります。
ところが、バックエンド側では、アクセス元に応じて、処理を変える（アクセス制限など）場合があります。
そのために。
proxy_set_header X-Real-IP $remote_addr;
で、リバースプロキシーへのアクセス元のアドレスを、バックエンドに渡します。
また。
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
は、多段プロキシーでアクセスされた場合に、経路がわかる様にプロキシーサーバのアドレスをどんどん追加します。(なので add)

また、プロキシーサーバには、www.example.comでアクセスして
バックエンド側の設定では、www.exmaple.jpで設定されてる様な場合

proxy_set_header Host $host;
ではなく

proxy_set_header Host www.exmaple.jp;
みたいに強制的にセットすることもあります。

また、HTTPSをプロキシーサーバで受けて、バックエンドにはHTTPでアクセスすることが多いと思います。
この時、バックエンド側で、HTTPSにリダイレクトするみたいな処理をしてると、無限のリダイレクトループになります。
そこで、

HTTPSのエントリーで
proxy_set_header X-Forwarded-Proto https;
としてバックエンドに渡して
バックエンド側で
if(isset($_SERVER["HTTP_X_FORWARDED_PROTO"])&& $_SERVER["HTTP_X_FORWARDED_PROTO"]=="https"){
$_SERVER['HTTPS'] = "on";
}

みたいにして、バックエンドを騙します。
proxy_set_header https on;
とすれば良さそうですが、バックエンドが自分でセットするのでダメです。

そのほか必要に応じて、バックエンドに渡すのが、
proxy_set_headerです、なので、ブラウザ側から観ても何も変わらないのです。

バックエンドに対してどう伝わってるかは、phpであれば、phpinfoでわかります。

投稿2018/07/22 05:37