Cách cấu hình Nginx làm web server và reverse-proxy (reverse proxy) cho Apache trên một server Ubuntu 18.04

Apache và Nginx là hai web server open-souce phổ biến thường được sử dụng với PHP. Có thể hữu ích khi chạy cả hai trên cùng một máy ảo khi lưu trữ nhiều trang web có các yêu cầu khác nhau. Giải pháp chung để chạy hai web server trên một hệ thống là sử dụng nhiều địa chỉ IP hoặc số cổng khác nhau.

---

Server có cả địa chỉ IPv4 và IPv6 có thể được cấu hình để phục vụ các trang Apache trên một giao thức và các trang Nginx trên một giao thức khác, nhưng điều này hiện không thực tế, vì việc sử dụng IPv6 của các ISP vẫn chưa phổ biến. Có một số cổng khác như 81 hoặc 8080 cho web server thứ hai là một giải pháp khác, nhưng chia sẻ URL với số cổng (chẳng hạn như http://example.com:81 ) không phải lúc nào cũng hợp lý hoặc lý tưởng.

Trong hướng dẫn này, bạn sẽ cấu hình Nginx vừa là một web server vừa là một Reverse Proxy cho Apache - tất cả trên một server duy nhất.

Tùy thuộc vào ứng dụng web, các thay đổi mã có thể được yêu cầu để giữ cho Apache nhận biết Reverse Proxy , đặc biệt khi các trang web SSL được cấu hình . Để tránh điều này, bạn sẽ cài đặt một module Apache có tên là mod_rpaf , module này sẽ viết lại các biến môi trường nhất định để có vẻ như Apache đang trực tiếp xử lý các yêu cầu từ client web.

Ta sẽ lưu trữ bốn domain trên một server . Hai sẽ được cung cấp bởi Nginx: example.com ( server ảo mặc định) và sample.org . Hai phần còn lại, foobar.net và test.io , sẽ được Apache phục vụ. Ta cũng sẽ cấu hình Apache để phục vụ các ứng dụng PHP bằng PHP-FPM, mang lại hiệu suất tốt hơn mod_php .

Yêu cầu

Để hoàn thành hướng dẫn này, bạn cần những thứ sau:

• Server Ubuntu 18.04 mới được cấu hình theo Cài đặt server ban đầu với Ubuntu 18.04 , với user không phải root có quyền sudo và firewall .
• Bốn domain đủ điều kiện được cấu hình để trỏ đến địa chỉ IP server của bạn. Xem Bước 3 của Cách cài đặt Tên Server với DigitalOcean để biết ví dụ về cách thực hiện việc này. Nếu bạn lưu trữ DNS của domain của bạn ở nơi khác, bạn nên tạo các bản ghi A thích hợp ở đó.

Bước 1 - Cài đặt Apache và PHP-FPM

Hãy bắt đầu bằng cách cài đặt Apache và PHP-FPM.

Ngoài Apache và PHP-FPM, ta cũng sẽ cài đặt module PHP FastCGI Apache, libapache2-mod-fastcgi , để hỗ trợ các ứng dụng web FastCGI.

Trước tiên, hãy cập nhật danh sách gói của bạn đảm bảo bạn có các gói mới nhất.

sudo apt update 

Tiếp theo, cài đặt các gói Apache và PHP-FPM:

sudo apt install apache2 php-fpm 

Mô-đun FastCGI Apache không có sẵn trong repository lưu trữ của Ubuntu, vì vậy hãy download từ kernel.org và cài đặt bằng lệnh dpkg .

wget https://mirrors.edge.kernel.org/ubuntu/pool/multiverse/liba/libapache-mod-fastcgi/libapache2-mod-fastcgi_2.4.7~0910052141-1.2_amd64.deb 
sudo dpkg -i libapache2-mod-fastcgi_2.4.7~0910052141-1.2_amd64.deb 

Tiếp theo, hãy thay đổi cấu hình mặc định của Apache để sử dụng PHP-FPM.

Bước 2 - Cấu hình Apache và PHP-FPM

Trong bước này, ta sẽ thay đổi số cổng của Apache thành 8080 và cấu hình nó hoạt động với PHP-FPM bằng cách sử dụng module mod_fastcgi . Đổi tên file cấu hình ports.conf của Apache:

sudo mv /etc/apache2/ports.conf /etc/apache2/ports.conf.default 

Tạo một file ports.conf mới với cổng được đặt thành 8080 :

echo "Listen 8080" | sudo tee /etc/apache2/ports.conf 

Lưu ý: Các web server thường được đặt để lắng nghe trên 127.0.0.1:8080 khi cấu hình Reverse Proxy nhưng làm như vậy sẽ đặt giá trị của biến môi trường của PHP là SERVER_ADDR thành địa chỉ IP lặp lại thay vì IP công khai của server . Mục đích của ta là cài đặt Apache theo cách mà các trang web của nó không nhìn thấy Reverse Proxy trước nó. Vì vậy, ta sẽ cấu hình nó để lắng nghe trên 8080 trên tất cả các địa chỉ IP.

Tiếp theo, ta sẽ tạo một file server ảo cho Apache. Chỉ thị <VirtualHost> trong file này sẽ được đặt để chỉ phục vụ các trang web trên cổng 8080 .

Tắt server ảo mặc định:

sudo a2dissite 000-default 

Sau đó, tạo một file server ảo mới, sử dụng trang web mặc định hiện có:

sudo cp /etc/apache2/sites-available/000-default.conf /etc/apache2/sites-available/001-default.conf 

Bây giờ hãy mở file cấu hình mới:

sudo nano /etc/apache2/sites-available/001-default.conf 

Thay đổi cổng nghe thành 8080 :

<VirtualHost *:8080>     ServerAdmin webmaster@localhost     DocumentRoot /var/www/html     ErrorLog ${APACHE_LOG_DIR}/error.log     CustomLog ${APACHE_LOG_DIR}/access.log combined </VirtualHost> 

Lưu file và kích hoạt file cấu hình mới:

sudo a2ensite 001-default 

Sau đó reload Apache:

sudo systemctl reload apache2 

Xác minh Apache hiện đang nghe trên 8080 :

sudo netstat -tlpn 

Đầu ra sẽ giống như ví dụ sau, với apache2 đang nghe trên 8080 :

Output
Active Internet connections (only servers) Proto Recv-Q Send-Q Local Address     Foreign Address      State    PID/Program name tcp        0      0 0.0.0.0:22        0.0.0.0:*            LISTEN   1086/sshd tcp6       0      0 :::8080           :::*                 LISTEN   4678/apache2 tcp6       0      0 :::22             :::*                 LISTEN   1086/sshd 

Khi bạn xác minh Apache đang lắng nghe trên đúng cổng, bạn có thể cấu hình hỗ trợ cho PHP và FastCGI.

Bước 3 - Cấu hình Apache để sử dụng mod_fastcgi

Apache phục vụ các trang PHP sử dụng mod_php theo mặc định, nhưng nó yêu cầu cấu hình bổ sung để hoạt động với PHP-FPM.

Lưu ý: Nếu bạn đang thử hướng dẫn này trên cài đặt hiện có của LAMP với mod_php, hãy tắt nó trước với sudo a2dismod php7.2 .

Ta sẽ thêm một đoạn cấu hình cho mod_fastcgi phụ thuộc vào mod_action . mod_action bị tắt theo mặc định, vì vậy trước tiên ta cần bật nó:

sudo a2enmod actions 

Đổi tên file cấu hình FastCGI hiện có:

sudo mv /etc/apache2/mods-enabled/fastcgi.conf /etc/apache2/mods-enabled/fastcgi.conf.default 

Tạo file cấu hình mới:

sudo nano /etc/apache2/mods-enabled/fastcgi.conf 

Thêm các lệnh sau vào file để chuyển yêu cầu file .php đến socket PHP-FPM UNIX:

<IfModule mod_fastcgi.c>   AddHandler fastcgi-script .fcgi   FastCgiIpcDir /var/lib/apache2/fastcgi   AddType application/x-httpd-fastphp .php   Action application/x-httpd-fastphp /php-fcgi   Alias /php-fcgi /usr/lib/cgi-bin/php-fcgi   FastCgiExternalServer /usr/lib/cgi-bin/php-fcgi -socket /run/php/php7.2-fpm.sock -pass-header Authorization   <Directory /usr/lib/cgi-bin>     Require all granted   </Directory> </IfModule> 

Lưu các thay đổi và thực hiện kiểm tra cấu hình:

sudo apachectl -t 

Reload Apache nếu Cú pháp OK được hiển thị:

sudo systemctl reload apache2 

Nếu bạn thấy cảnh báo Could not reliably determine the server's fully qualified domain name, using 127.0.1.1. Set the 'ServerName' directive globally to suppress this message. , bạn có thể yên tâm bỏ qua nó ngay bây giờ. Ta sẽ cấu hình tên server sau.

Bây giờ hãy đảm bảo ta có thể phục vụ PHP từ Apache.

Bước 4 - Xác minh chức năng PHP

Hãy đảm bảo PHP hoạt động bằng cách tạo file phpinfo() và truy cập nó từ trình duyệt web.

Tạo file /var/www/html/info.php chứa lệnh gọi hàm phpinfo :

echo "<?php phpinfo(); ?>" | sudo tee /var/www/html/info.php 

Lưu ý nếu bạn đã làm theo cài đặt server ban đầu trong phần Yêu cầu , thì bạn có thể đã bật firewall Apache. Hãy tiếp tục và đảm bảo ta có thể truy cập IP của bạn trên cổng 8080 , hiện không thể truy cập được. Ta sẽ hạn chế quyền truy cập vào cổng này ở Bước 10 .

Đầu tiên cho phép cổng 8080 thông qua firewall :

sudo ufw allow 8080 

Vì ta sẽ bảo mật các domain Apache của bạn , hãy tiếp tục và đảm bảo lưu lượng truy cập TLS trên cổng 443 có thể vào được.

Cho phép Apache Full cho phép lưu lượng truy cập trên các cổng 80 và 443 :

sudo ufw allow "Apache Full" 

Bây giờ hãy kiểm tra trạng thái firewall của bạn:

sudo ufw status 

Nếu bạn đã tuân theo các yêu cầu , thì kết quả sẽ giống như sau:

Output
To                         Action      From --                         ------      ---- OpenSSH                    ALLOW       Anywhere Apache Full                ALLOW       Anywhere 8080                       ALLOW       Anywhere OpenSSH (v6)               ALLOW       Anywhere (v6) Apache Full (v6)           ALLOW       Anywhere (v6) 8080 (v6)                  ALLOW       Anywhere (v6) 

Bạn sẽ thấy rằng cổng 8080 và Apache Full được phép cùng với bất kỳ luật firewall nào khác. Bây giờ ta hãy xem trang info.php của ta .

Để xem file trong trình duyệt, hãy truy cập http:// your_server_ip :8080/info.php . Thao tác này sẽ cung cấp cho bạn danh sách các cài đặt cấu hình mà PHP đang sử dụng.

Ở đầu trang, hãy kiểm tra xem API server cho biết FPM / FastCGI . Khoảng 2/3 đường xuống trang, phần PHP Variables sẽ cho bạn biết SERVER_SOFTWARE là Apache trên Ubuntu. Những điều này xác nhận mod_fastcgi đang hoạt động và Apache đang sử dụng PHP-FPM để xử lý các file PHP.

Bước 5 - Tạo server ảo cho Apache

Hãy tạo file server ảo Apache cho các domain foobar.net và test.io Để làm điều đó, trước tiên ta sẽ tạo folder root tài liệu cho cả hai trang web và đặt một số file mặc định trong các folder đó để ta có thể dễ dàng kiểm tra cấu hình của bạn .

Đầu tiên, hãy tạo các folder root của tài liệu:

sudo mkdir -v /var/www/foobar.net /var/www/test.io 

Sau đó, tạo một file index cho mỗi trang web:

echo "<h1 style='color: green;'>Foo Bar</h1>" | sudo tee /var/www/foobar.net/index.html 
echo "<h1 style='color: red;'>Test IO</h1>" | sudo tee /var/www/test.io/index.html 

Sau đó, tạo một file phpinfo() cho mỗi trang web để ta có thể kiểm tra xem PHP đã được cấu hình đúng chưa.

echo "<?php phpinfo(); ?>" | sudo tee /var/www/foobar.net/info.php 
echo "<?php phpinfo(); ?>" | sudo tee /var/www/test.io/info.php 

Bây giờ tạo file server ảo cho domain foobar.net :

sudo nano /etc/apache2/sites-available/foobar.net.conf 

Thêm mã sau vào file để xác định server :

    <VirtualHost *:8080>         ServerName foobar.net         ServerAlias www.foobar.net         DocumentRoot /var/www/foobar.net         <Directory /var/www/foobar.net>             AllowOverride All         </Directory>     </VirtualHost> 

Dòng AllowOverride All cho phép hỗ trợ .htaccess .

Đây chỉ là những chỉ thị cơ bản nhất. Để có hướng dẫn đầy đủ về cách cài đặt server ảo trong Apache, hãy xem Cách cài đặt server ảo Apache trên Ubuntu 16.04 .

Lưu và đóng file . Sau đó, tạo một cấu hình tương tự cho test.io Đầu tiên hãy tạo file :

sudo nano /etc/apache2/sites-available/test.io.conf 

Sau đó thêm cấu hình vào file :

    <VirtualHost *:8080>         ServerName test.io         ServerAlias www.test.io         DocumentRoot /var/www/test.io         <Directory /var/www/test.io>             AllowOverride All         </Directory>     </VirtualHost> 

Lưu file và thoát khỏi editor .

Bây giờ cả hai server ảo Apache đã được cài đặt , hãy kích hoạt các trang web bằng lệnh a2ensite . Điều này tạo ra một softlink đến file server ảo trong folder sites-enabled :

sudo a2ensite foobar.net 
sudo a2ensite test.io 

Kiểm tra lại Apache để tìm lỗi cấu hình:

sudo apachectl -t 

Bạn sẽ thấy Cú pháp OK hiển thị nếu không có lỗi. Nếu bạn thấy bất kỳ điều gì khác, hãy xem lại cấu hình và thử lại.

Reload Apache để áp dụng các thay đổi khi cấu hình của bạn không có lỗi:

sudo systemctl reload apache2 

Để xác nhận các trang web đang hoạt động, hãy mở http:// foobar.net :8080 và http:// test.io :8080 trong trình duyệt của bạn và xác minh mỗi trang web hiển thị tệp index.html của nó.

Bạn sẽ thấy các kết quả sau:

Ngoài ra, hãy đảm bảo PHP đang hoạt động bằng cách truy cập các file info.php cho mỗi trang web. Truy cập http:// foobar.net :8080/info.php và http:// test.io :8080/info.php trong trình duyệt của bạn.

Bạn sẽ thấy cùng một danh sách thông số cấu hình PHP trên mỗi trang web như bạn đã thấy ở Bước 4.

Bây giờ ta có hai trang web được lưu trữ trên Apache tại cổng 8080 . Hãy cấu hình Nginx tiếp theo.

Bước 6 - Cài đặt và cấu hình Nginx

Trong bước này, ta sẽ cài đặt Nginx và cấu hình các domain example.com và sample.org làm server ảo của Nginx. Để có hướng dẫn đầy đủ về cách cài đặt server ảo trong Nginx, hãy xem Cách cài đặt khối server Nginx ( Server ảo) trên Ubuntu 18.04 .

Cài đặt Nginx bằng trình quản lý gói:

sudo apt install nginx 

Sau đó, xóa softlink của server ảo mặc định vì ta sẽ không sử dụng nó nữa:

sudo rm /etc/nginx/sites-enabled/default 

Ta sẽ tạo trang web mặc định của riêng mình sau này ( example.com ).

Bây giờ ta sẽ tạo server ảo cho Nginx bằng cách sử dụng cùng một quy trình mà ta đã sử dụng cho Apache. Đầu tiên hãy tạo folder root tài liệu cho cả hai trang web:

sudo mkdir -v /usr/share/nginx/example.com /usr/share/nginx/sample.org 

Ta sẽ giữ các trang web của Nginx trong /usr/share/nginx , đó là nơi Nginx muốn chúng theo mặc định. Bạn có thể đặt chúng dưới /var/www/html với các trang Apache, nhưng sự tách biệt này có thể giúp bạn liên kết các trang web với Nginx.

Như bạn đã làm với server ảo của Apache, hãy tạo các file index và phpinfo() để kiểm tra sau khi cài đặt xong:

echo "<h1 style='color: green;'>Example.com</h1>" | sudo tee /usr/share/nginx/example.com/index.html 
echo "<h1 style='color: red;'>Sample.org</h1>" | sudo tee /usr/share/nginx/sample.org/index.html 
echo "<?php phpinfo(); ?>" | sudo tee /usr/share/nginx/example.com/info.php 
echo "<?php phpinfo(); ?>" | sudo tee /usr/share/nginx/sample.org/info.php 

Bây giờ, hãy tạo một file server ảo cho domain example.com :

sudo nano /etc/nginx/sites-available/example.com 

server {. . .} cuộc gọi Nginx server {. . .} khu vực của khối server file cấu hình. Tạo khối server cho server ảo chính, example.com . Chỉ thị cấu hình default_server làm cho server ảo mặc định này xử lý các yêu cầu HTTP không trùng với bất kỳ server ảo nào khác.

server {     listen 80 default_server;      root /usr/share/nginx/example.com;     index index.php index.html index.htm;      server_name example.com www.example.com;     location / {         try_files $uri $uri/ /index.php;     }      location ~ \.php$ {         fastcgi_pass unix:/run/php/php7.2-fpm.sock;         include snippets/fastcgi-php.conf;     } } 

Lưu và đóng file . Bây giờ, hãy tạo một file server ảo cho domain thứ hai của Nginx, sample.org :

sudo nano etc/nginx/sites-available/sample.org 

Thêm phần sau vào file :

server {     root /usr/share/nginx/sample.org;     index index.php index.html index.htm;      server_name sample.org www.sample.org;     location / {         try_files $uri $uri/ /index.php;     }      location ~ \.php$ {         fastcgi_pass unix:/run/php/php7.2-fpm.sock;         include snippets/fastcgi-php.conf;     } } 

Lưu và đóng file .

Sau đó, kích hoạt cả hai trang web bằng cách tạo các softlink đến folder sites-enabled :

sudo ln -s /etc/nginx/sites-available/example.com /etc/nginx/sites-enabled/example.com 
sudo ln -s /etc/nginx/sites-available/sample.org /etc/nginx/sites-enabled/sample.org 

Sau đó, kiểm tra cấu hình Nginx đảm bảo không có vấn đề về cấu hình:

sudo nginx -t 

Sau đó reload Nginx nếu không có lỗi:

sudo systemctl reload nginx 

Bây giờ hãy truy cập file phpinfo() của server ảo Nginx của bạn trong trình duyệt web bằng cách truy cập http://example.com/info.php và http://sample.org/info.php . Xem lại phần Biến PHP.

[“SERVER_SOFTWARE”] phải nói là nginx , cho biết rằng các file được cung cấp trực tiếp bởi Nginx. [“DOCUMENT_ROOT”] phải trỏ đến folder bạn đã tạo trước đó trong bước này cho mỗi trang web Nginx.

Đến đây, ta đã cài đặt Nginx và tạo hai server ảo. Tiếp theo, ta sẽ cấu hình Nginx cho các yêu cầu proxy dành cho các domain được lưu trữ trên Apache.

Bước 7 - Cấu hình Nginx cho Server ảo của Apache

Hãy tạo thêm một server ảo Nginx với nhiều domain trong lệnh server_name . Yêu cầu đối với các domain này sẽ được ủy quyền cho Apache.

Tạo một file server ảo Nginx mới để chuyển tiếp các yêu cầu tới Apache:

sudo nano /etc/nginx/sites-available/apache 

Thêm khối mã sau đây chỉ định tên của cả hai domain server ảo Apache và proxy các yêu cầu của chúng tới Apache. Hãy nhớ sử dụng địa chỉ IP công cộng trong proxy_pass :

server {     listen 80;     server_name foobar.net www.foobar.net test.io www.test.io;      location / {         proxy_pass http://your_server_ip:8080;         proxy_set_header Host $host;         proxy_set_header X-Real-IP $remote_addr;         proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;         proxy_set_header X-Forwarded-Proto $scheme;     } } 

Lưu file và kích hoạt server ảo mới này bằng cách tạo một softlink :

sudo ln -s /etc/nginx/sites-available/apache /etc/nginx/sites-enabled/apache 

Kiểm tra cấu hình đảm bảo không có lỗi:

sudo nginx -t 

Nếu không có lỗi, hãy reload Nginx:

sudo systemctl reload nginx 

Mở trình duyệt và truy cập URL http:// foobar.net /info.php trong trình duyệt của bạn. Cuộn xuống phần Biến PHP và kiểm tra các giá trị được hiển thị.

Các biến SERVER_SOFTWARE và DOCUMENT_ROOT xác nhận yêu cầu này đã được Apache xử lý. Các biến HTTP_X_REAL_IP và HTTP_X_FORWARDED_FOR đã được thêm bởi Nginx và sẽ hiển thị địa chỉ IP công cộng của máy tính bạn đang sử dụng để truy cập URL.

Ta đã cài đặt thành công Nginx cho các yêu cầu proxy cho các domain cụ thể tới Apache. Tiếp theo, hãy cấu hình Apache để đặt biến REMOTE_ADDR như thể nó đang xử lý các yêu cầu này trực tiếp.

Bước 8 - Cài đặt và cấu hình mod_rpaf

Trong bước này, bạn sẽ cài đặt một module Apache có tên là mod\_rpaf ghi lại các giá trị của REMOTE_ADDR , HTTPS và HTTP_PORT dựa trên các giá trị được cung cấp bởi Reverse Proxy . Nếu không có module này, một số ứng dụng PHP sẽ yêu cầu thay đổi mã để hoạt động liền mạch từ phía sau proxy. Mô-đun này hiện diện trong repository lưu trữ của Ubuntu dưới dạng libapache2-mod-rpaf nhưng đã lỗi thời và không hỗ trợ các chỉ thị cấu hình nhất định. Thay vào đó, ta sẽ cài đặt nó từ nguồn.

Cài đặt các gói cần thiết để xây dựng module :

sudo apt install unzip build-essential apache2-dev 

Download bản phát hành ổn định mới nhất từ GitHub:

wget https://github.com/gnif/mod_rpaf/archive/stable.zip 

Extract file đã download :

unzip stable.zip 

Thay đổi vào folder mới chứa các file :

cd mod_rpaf-stable 

Biên dịch và cài đặt module :

make 
sudo make install 

Tiếp theo, tạo một file trong folder mods-available sẽ tải module rpaf :

sudo nano /etc/apache2/mods-available/rpaf.load 

Thêm mã sau vào file để tải module :

LoadModule rpaf_module /usr/lib/apache2/modules/mod_rpaf.so 

Lưu file và thoát khỏi editor .

Tạo một file khác trong folder này có tên rpaf.conf sẽ chứa các chỉ thị cấu hình cho mod_rpaf :

sudo nano /etc/apache2/mods-available/rpaf.conf 

Thêm khối mã sau để cấu hình mod_rpaf , đảm bảo chỉ định địa chỉ IP của server của bạn:

    <IfModule mod_rpaf.c>         RPAF_Enable             On         RPAF_Header             X-Real-Ip         RPAF_ProxyIPs           your_server_ip          RPAF_SetHostName        On         RPAF_SetHTTPS           On         RPAF_SetPort            On     </IfModule> 

Dưới đây là mô tả ngắn gọn về từng chỉ thị. Xem file README mod_rpaf để biết thêm thông tin.

• RPAF_Header - Tiêu đề để sử dụng cho địa chỉ IP thực của khách hàng.
• RPAF_ProxyIPs - IP proxy để điều chỉnh các yêu cầu HTTP.
• RPAF_SetHostName - Cập nhật tên vhost để ServerName và ServerAlias hoạt động.
• RPAF_SetHTTPS - Đặt biến môi trường HTTPS dựa trên giá trị có trong X-Forwarded-Proto .
• RPAF_SetPort - Đặt biến môi trường SERVER_PORT . Hữu ích khi Apache sử dụng proxy SSL.

Lưu rpaf.conf và kích hoạt module :

sudo a2enmod rpaf 

Điều này tạo ra các softlink của các file rpaf.load và rpaf.conf trong folder mods-enabled . Bây giờ hãy thực hiện kiểm tra cấu hình:

sudo apachectl -t 

Reload Apache nếu không có lỗi:

sudo systemctl reload apache2 

Truy cập các trang phpinfo() http:// foobar.net /info.php và http:// test.io /info.php trong trình duyệt của bạn và kiểm tra phần PHP Variables . Biến REMOTE_ADDR bây giờ cũng sẽ là biến địa chỉ IP công cộng của máy tính local của bạn.

Bây giờ hãy cài đặt mã hóa TLS / SSL cho mỗi trang web.

Bước 9 - Cài đặt trang web HTTPS với Let's Encrypt (Tùy chọn)

Trong bước này, ta sẽ cấu hình certificate TLS / SSL cho cả hai domain được lưu trữ trên Apache. Ta sẽ nhận được certificate thông qua [Let's Encrypt] ( https://letsencrypt.org ]. Nginx hỗ trợ kết thúc SSL để ta có thể cài đặt SSL mà không cần sửa đổi các file cấu hình của Apache. Mô-đun mod_rpaf đảm bảo các biến môi trường bắt buộc được đặt trên Apache thành làm cho các ứng dụng hoạt động liền mạch sau Reverse Proxy SSL.

Đầu tiên, ta sẽ tách các khối server {...} của cả hai domain để mỗi domain có thể có certificate SSL riêng. Mở file /etc/nginx/sites-available/apache trong editor :

sudo nano /etc/nginx/sites-available/apache 

Sửa đổi file để file trông giống như thế này, với foobar.net và test.io trong các khối server của riêng chúng:

    server {         listen 80;         server_name foobar.net www.foobar.net;          location / {             proxy_pass http://your_server_ip:8080;             proxy_set_header Host $host;             proxy_set_header X-Real-IP $remote_addr;             proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;             proxy_set_header X-Forwarded-Proto $scheme;         }     }     server {         listen 80;         server_name test.io www.test.io;          location / {             proxy_pass http://your_server_ip:8080;             proxy_set_header Host $host;             proxy_set_header X-Real-IP $remote_addr;             proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;             proxy_set_header X-Forwarded-Proto $scheme;         }     } 

Ta sẽ sử dụng Certbot để tạo certificate TLS / SSL của bạn . Plugin Nginx của nó sẽ chăm sóc cấu hình lại Nginx và reload cấu hình khi nào cần thiết.

Trước tiên, hãy thêm repository Certbot chính thức:

sudo add-apt-repository ppa:certbot/certbot 

Nhấn ENTER khi được yêu cầu để xác nhận bạn muốn thêm repository mới. Sau đó, cập nhật danh sách gói để nhận thông tin gói của repository mới:

sudo apt update 

Sau đó cài đặt gói Nginx của Certbot với apt :

sudo apt install python-certbot-nginx 

Sau khi nó được cài đặt, hãy sử dụng lệnh certbot để tạo certificate cho foobar.net và www.foobar.net :

sudo certbot --nginx -d foobar.net -d www.foobar.net 

Lệnh này yêu cầu Certbot sử dụng plugin nginx , sử dụng -d để chỉ định tên mà ta muốn certificate hợp lệ.

Nếu đây là lần đầu tiên bạn chạy certbot , bạn sẽ được yêu cầu nhập địa chỉ email và đồng ý với các điều khoản dịch vụ. Sau khi làm như vậy, certbot sẽ giao tiếp với server Let's Encrypt, sau đó chạy thử thách để xác minh bạn kiểm soát domain mà bạn đang certificate request .

Tiếp theo, Certbot sẽ hỏi bạn muốn cấu hình cài đặt HTTPS của bạn như thế nào:

Output
Please choose whether or not to redirect HTTP traffic to HTTPS, removing HTTP access. ------------------------------------------------------------------------------- 1: No redirect - Make no further changes to the webserver configuration. 2: Redirect - Make all requests redirect to secure HTTPS access. Choose this for new sites, or if you're confident your site works on HTTPS. You can undo this change by editing your web server's configuration. ------------------------------------------------------------------------------- Select the appropriate number [1-2] then [enter] (press 'c' to cancel): 

Chọn lựa chọn của bạn, sau đó nhấn ENTER . Cấu hình sẽ được cập nhật và Nginx sẽ reload để chọn cài đặt mới.

Bây giờ thực hiện lệnh cho domain thứ hai:

sudo certbot --nginx -d test.io -d www.test.io 

Truy cập một trong các domain của Apache trong trình duyệt của bạn bằng tiền tố https:// ; truy cập https:// foobar.net /info.php và bạn sẽ thấy:

Tìm trong phần Biến PHP . Biến SERVER_PORT đã được đặt thành 443 và HTTPS được đặt thành bật , như thể Apache được truy cập trực tiếp qua HTTPS. Với các biến này được đặt, các ứng dụng PHP không phải được cấu hình đặc biệt để hoạt động sau Reverse Proxy .

Bây giờ hãy vô hiệu hóa quyền truy cập trực tiếp vào Apache.

Bước 10 - Chặn quyền truy cập trực tiếp vào Apache (Tùy chọn)

Vì Apache đang lắng nghe trên cổng 8080 trên địa chỉ IP công cộng nên mọi người đều có thể truy cập nó. Nó có thể bị chặn bằng cách đưa lệnh IPtables sau vào bộ luật firewall của bạn.

sudo iptables -I INPUT -p tcp --dport 8080 ! -s your_server_ip -j REJECT --reject-with tcp-reset 

Đảm bảo sử dụng địa chỉ IP của server thay cho ví dụ màu đỏ. Khi cổng 8080 bị chặn trong firewall của bạn, hãy kiểm tra xem Apache có thể truy cập được trên đó không. Mở trình duyệt web và thử truy cập một trong các domain của Apache trên cổng 8080 . Ví dụ: http: // example.com : 8080

Trình duyệt sẽ hiển thị thông báo lỗi “Không thể kết nối” hoặc “Trang web không khả dụng”. Với tùy chọn IPtables tcp-reset tại chỗ, người ngoài sẽ không thấy sự khác biệt giữa cổng 8080 và một cổng không có bất kỳ dịch vụ nào trên đó.

Lưu ý: Các luật IPtables không tồn tại khi hệ thống khởi động lại theo mặc định. Có nhiều cách để duy trì các luật IPtables, nhưng cách dễ nhất là sử dụng iptables-persistent trong repository lưu trữ của Ubuntu. Khám phá bài viết này để tìm hiểu thêm về cách cấu hình IPTables.

Bây giờ, hãy cấu hình Nginx để phục vụ các file tĩnh cho các trang Apache.

Bước 11 - Cung cấp file tĩnh bằng Nginx (Tùy chọn)

Khi proxy Nginx yêu cầu các domain của Apache, nó sẽ gửi mọi yêu cầu file cho domain đó tới Apache. Nginx nhanh hơn Apache trong việc cung cấp các file tĩnh như hình ảnh, JavaScript và trang định kiểu. Vì vậy, hãy cấu hình file server ảo apache của Nginx để phân phối trực tiếp các file tĩnh nhưng gửi yêu cầu PHP tới Apache.

Mở file /etc/nginx/sites-available/apache trong editor :

sudo nano /etc/nginx/sites-available/apache 

Bạn cần thêm hai khối location bổ sung vào mỗi khối server , cũng như sửa đổi các phần location hiện có. Ngoài ra, bạn cần cho Nginx biết nơi tìm các file tĩnh cho mỗi trang web.

Nếu bạn quyết định không sử dụng certificate SSL và TLS, hãy sửa đổi file của bạn để file của bạn trông giống như sau:

server {     listen 80;     server_name test.io www.test.io;     root /var/www/test.io;     index index.php index.htm index.html;      location / {         try_files $uri $uri/ /index.php;     }      location ~ \.php$ {         proxy_pass http://your_server_ip:8080;         proxy_set_header Host $host;         proxy_set_header X-Real-IP $remote_addr;         proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;         proxy_set_header X-Forwarded-Proto $scheme;     }      location ~ /\.ht {         deny all;     } }  server {     listen 80;     server_name foobar.net www.foobar.net;     root /var/www/foobar.net;     index index.php index.htm index.html;      location / {         try_files $uri $uri/ /index.php;     }      location ~ \.php$ {         proxy_pass http://your_ip_address:8080;         proxy_set_header Host $host;         proxy_set_header X-Real-IP $remote_addr;         proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;         proxy_set_header X-Forwarded-Proto $scheme;     }      location ~ /\.ht {         deny all;     } } 

Nếu bạn cũng muốn HTTPS khả dụng, hãy sử dụng cấu hình sau:

server {     listen 80;     server_name test.io www.test.io;     root /var/www/test.io;     index index.php index.htm index.html;      location / {         try_files $uri $uri/ /index.php;     }      location ~ \.php$ {         proxy_pass http://your_server_ip:8080;         proxy_set_header Host $host;         proxy_set_header X-Real-IP $remote_addr;         proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;         proxy_set_header X-Forwarded-Proto $scheme;     }      location ~ /\.ht {         deny all;     }      listen 443 ssl;     ssl_certificate /etc/letsencrypt/live/test.io/fullchain.pem;     ssl_certificate_key /etc/letsencrypt/live/test.io/privkey.pem;     include /etc/letsencrypt/options-ssl-nginx.conf;     ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem; }  server {     listen 80;     server_name foobar.net www.foobar.net;     root /var/www/foobar.net;     index index.php index.htm index.html;      location / {         try_files $uri $uri/ /index.php;     }      location ~ \.php$ {         proxy_pass http://your_ip_address:8080;         proxy_set_header Host $host;         proxy_set_header X-Real-IP $remote_addr;         proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;         proxy_set_header X-Forwarded-Proto $scheme;     }      location ~ /\.ht {         deny all;     }      listen 443 ssl;     ssl_certificate /etc/letsencrypt/live/foobar.net/fullchain.pem;     ssl_certificate_key /etc/letsencrypt/live/foobar.net/privkey.pem;     include /etc/letsencrypt/options-ssl-nginx.conf;     ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem; } 

Lệnh try_files làm cho Nginx tìm kiếm các file trong root tài liệu và trực tiếp phân phát chúng. Nếu file có phần mở rộng .php , yêu cầu được chuyển đến Apache. Ngay cả khi file không được tìm thấy trong folder root , yêu cầu được chuyển tới Apache để các tính năng ứng dụng như liên kết cố định hoạt động mà không gặp sự cố.

Cảnh báo: Chỉ thị location ~ /\.ht rất quan trọng; điều này ngăn Nginx phân phát nội dung của các file cấu hình Apache như .htaccess và .htpasswd chứa thông tin nhạy cảm.

Lưu file và thực hiện kiểm tra cấu hình:

sudo nginx -t 

Reload Nginx nếu kiểm tra thành công:

sudo service nginx reload 

Để xác minh điều đang làm việc, bạn có thể kiểm tra các file log của Apache trong /var/log/apache2 và xem GET yêu cầu cho các info.php file của test.io và foobar.net . Sử dụng lệnh tail để xem vài dòng cuối cùng của file và sử dụng chuyển đổi -f để xem file để biết các thay đổi:

sudo tail -f /var/log/apache2/other_vhosts_access.log 

Bây giờ hãy truy cập http://test.io/info.php trong trình duyệt của bạn và sau đó xem kết quả từ log . Bạn sẽ thấy rằng Apache thực sự đang trả lời:

Output
    test.io:80 your_server_ip - - [01/Jul/2016:18:18:34 -0400] "GET /info.php HTTP/1.0" 200 20414 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_10_5) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/47.0.2526.111 Safari/537.36" 

Sau đó, hãy truy cập trang index.html cho mỗi trang web và bạn sẽ không thấy bất kỳ mục log nào từ Apache. Nginx đang phục vụ họ.

Khi bạn hoàn tất việc quan sát file log , hãy nhấn CTRL+C để ngừng gắn đuôi file đó.

Với cài đặt này, Apache sẽ không thể hạn chế quyền truy cập vào các file tĩnh. Kiểm soát truy cập cho các file tĩnh cần được cấu hình trong file server ảo apache của Nginx, nhưng điều đó nằm ngoài phạm vi của hướng dẫn này.

Kết luận

Đến đây bạn có một server Ubuntu với Nginx phục vụ example.com và sample.org , cùng với Apache phục vụ foobar.net và test.io Mặc dù Nginx đang hoạt động như một Reverse Proxy cho Apache, dịch vụ proxy của Nginx là minh bạch và các kết nối đến các domain của Apache dường như được phục vụ trực tiếp từ chính Apache. Bạn có thể sử dụng phương pháp này để phục vụ các trang web an toàn và tĩnh.

---

---

Các tin liên quan

Cách cấu hình Nginx làm web server và reverse-proxy (reverse proxy) cho Apache trên một server Ubuntu 20.04
2020-10-27
Cách lưu trữ trang web bằng Cloudflare và Nginx trên Ubuntu 20.04
2020-08-17
Cách lưu trữ trang web bằng Cloudflare và Nginx trên Ubuntu 18.04
2020-08-16
Cách cấu hình Jenkins với SSL bằng Nginx Reverse Proxy trên Ubuntu 20.04
2020-07-01
Cách thiết lập Django với Postgres, Nginx và Gunicorn trên Ubuntu 20.04
2020-06-29
Cách thiết lập Nginx với Hỗ trợ HTTP / 2 trên Ubuntu 18.04
2020-06-09
Cách cung cấp các ứng dụng Flask với uWSGI và Nginx trên Ubuntu 20.04
2020-05-26
Cách cung cấp các ứng dụng Flask với uWSGI và Nginx trên Ubuntu 18.04
2020-05-21
Cách cung cấp các ứng dụng Flask với Gunicorn và Nginx trên Ubuntu 20.04
2020-05-20
Cách bảo mật Nginx bằng Let's Encrypt trên Ubuntu 20.04
2020-05-20