Q&A
ややこしいことは全くないです、ややこしくなるような特殊な構成であれば別だと思いますが。バックエンドにhttpsで行く必要はないですよ。今まではバックエンド各々にも証明書を用意する必要があり、コスト的にもhttpにするメリットがありました。現状はacmで無償提供されていたりするので特にコスト面でのメリットはありませんが。
取得したドメインにhttpでアクセスしてもhttpsでリダイレクトするようにNginxで設定したいと考えています
構成は証明書が乗ったELBが一台とそれに紐づくEC2が二台という単純なもので、それぞれのEC2内では同じ設定のNginxサーバーとRailsアプリが乗っています
現在問題になっているのは、おそらくNginxの設定がおかしいために、http、httpsのいずれでアクセスしても、延々と待たされてエラーすら出ない状況になっているということです。
ELBのListener設定は、以下のようにしてあります
またNginxの設定はこちらです
upstream app { server unix:/data/myapp/shared/tmp/sockets/puma.sock fail_timeout=0; } server { listen 80; server_name example.com; root /data/myapp/current/public; access_log /var/log/nginx/myapp.access.log; error_log /var/log/nginx/myapp.error.log; return 301 https://example.com$request_uri; } server { listen 443; server_name example.com; root /data/myapp/current/public; access_log /var/log/nginx/myapp.access.log; error_log /var/log/nginx/myapp.error.log; location @app { proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header X-Forwarded-Host $host; proxy_set_header X-Forwarded-Proto $http_x_forwarded_proto; proxy_set_header X-Forwarded-Ssl on; client_max_body_size 10m; client_body_buffer_size 128k; proxy_connect_timeout 90; proxy_send_timeout 90; proxy_read_timeout 90; proxy_buffers 32 4k; proxy_pass http://app; } location / { try_files $uri/index.html $uri @app; } }
おそらくproxy_set_header周りで何か足りない、間違っているものがあるのかとは思うのですが、知識足らずで何をどうしていいのかがよくわからないのです。
教えていただけると幸いです。よろしくお願いいたします
追伸ですが、以前は以下のような設定で問題なく見れていました
わざわざ変えたのは、よくよく考えたらhttpsはhttps接続のまま渡さないとややこしいのでは?と考えたからです。
参考になるかわかりませんが、よろしくお願いいたします
upstream app { server unix:/data/myapp/shared/tmp/sockets/puma.sock fail_timeout=0; } server { listen 80; server_name example.com; root /data/myapp/current/public; access_log /var/log/nginx/myapp.access.log; error_log /var/log/nginx/myapp.error.log; location @app { proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header X-Forwarded-Host $host; client_max_body_size 10m; client_body_buffer_size 128k; proxy_connect_timeout 90; proxy_send_timeout 90; proxy_read_timeout 90; proxy_buffers 32 4k; proxy_pass http://app; } location / { try_files $uri/index.html $uri @app; } }
t_obaraさん。返信が遅れて申し訳ありません。そしてありがとうございます。ややこしいものなのかどうかはむしろ初心者なのでなんとも言えないのですが、とりあえず裏ではhttpでつうしんすることにしました。
回答2件
0
その環境ならCloudFrontでhttpからhttpsにリダイレクトさせるのが一番簡単ですよ。
nginxで設定とかAWSらしくない。
クライアント-ELB間はHTTPS、
ELB-EC2間はHTTPでいいので
後半のままで問題ないです。
HTTPS部分は全部ELBが対応するのでEC2は気にしない。
投稿2017/09/22 05:54
総合スコア10377
kawaxさん
ご返答ありがとうございます
そして返答が遅れて申し訳ありません
そうなのですか。
ただ気になる点があるのでそれだけ確認させてください。
知り合いのインフラのベテランの方が、443から80に接続していると後々面倒なことになりやすいとおっしゃっていたのですが、kawaxはどのように考えていらっしゃるのでしょうか?
よろしくお願いいたします
0
ベストアンサー
HTTPS:443 -> HTTPS:443 にするのであれば、Nginx でも 443 番ポートを ssl で受ける必要があります。
server { listen 443 ssl; # 他、ssl_certificate, ssl_certificate_key などの設定も。 }
そうではなく、ELB で以下のように転送するといいと思います。
HTTPS:443 -> HTTP:80 HTTP:80 -> HTTP:8080 (Nginx でリダイレクト)
あるいは、ELB が Classic Load Balancer であれば、HTTP, HTTPS のどちらで受けたのか、X-Forwarded-Proto, X-Forwarded-Port ヘッダでわかりますので、両方とも HTTP:80 で受けて、Nginx 側でヘッダを見て処理を分ける方法もあります。
http://docs.aws.amazon.com/ja_jp/elasticloadbalancing/latest/classic/x-forwarded-headers.html
投稿2017/09/22 14:38
総合スコア12146
TaichiYanagiyaさん
ご返答ありがとうございます
そして返答が遅れて申し訳ありません
色々調べて見たのですが、なぜsshなのに8080にリダイレクトする必要があるのかがわからないのです。
そこの解説をお願いできないでしょうか........?
リダイレクト設定の前は HTTPS:443 -> HTTP:80 で問題なくアクセスできていたようですので、それはそのまま。
HTTP:80 -> HTTP:8080 と別ポートにし、Nginx 側で "listen 8080;" の server を追加し、そちらでリダイレクト設定するということです。
早速のご返答感謝いたします
つまりAWSとNginxを連携させ、且つsshをAWSに任せるのなら、Nginx内で443設定をするのはややこしくなる(ssh周りの設定が)からこのような手法をとるという解釈で良いのでしょうか?
はい。SSL はすべて ELB に任せて、Nginx は HTTP のみ受け付けます。
ELB へのアクセスが HTTP/HTTPS かで、Nginx 側のポート番号を変えることで判別しますので、
HTTPS:443 -> HTTP:8080
HTTP:80 -> HTTP:80 (リダイレクト)
でも、
HTTPS:443 -> HTTP:443 (HTTPS ではない)
HTTP:80 -> HTTP:80 (リダイレクト)
でもいいです。
ありがとうございます
非常に参考になりました
あなたの回答
tips
プレビュー
