Ansible-role-nginx-config: nginx 역 프록시를 사용한 SSL 종료의 예

예제를 가져 와서 템플릿 기본값에서 가져온 dict 객체로 확장할 수 있습니다. https://github.com/nginxinc/ansible-role-nginx/blob/master/defaults/main/template.yml

이 같은:

nginx_http_template_enable: true
nginx_http_template:
  jira_mydomain_net:
    conf_file_name: jira_mydomain_net.conf
    servers:
      first:
        listen:
          listen_public:
            ip: 0.0.0.0
            port: 443
            ssl: true
        server_name: jira.mydomain.net
        ssl:
          cert: /etc/ssl/certs/jira.mydomain.net.crt
          key: /etc/ssl/private/jira.mydomain.net.key
        access_log:
          - name: combined
            location: /var/log/nginx/jira.mydomain.net_access.log
        error_log:
          location: /var/log/nginx/jira.mydomain.net_error.log
          level: warn
        reverse_proxy:
          locations:
            default:
              location: /
              proxy_pass: http://jira01.local.mydomain.net:8080

ssl 암호, dhparam, proxy_set_header 등은 기본 구성에서 설정했기 때문에 생략했지만 예제나 기본값에서 가져갈 수 있습니다. 업스트림을 사용할 때도 마찬가지입니다.

@xTrekStorex 가 완전히 맞습니다. 어떤 단계에서는 가능한 경우 SSL(자체 서명 인증서 사용)을 포함하여 Molecule 플레이북에서 다루는 대부분의 사용 사례에 대한 작업 예제를 갖고 싶습니다.

운이 없이 아래에서 이 구성을 생성하려고 합니다. 지원되는지 궁금합니다.

위치 /app1/ {
proxy_pass http://localhost :6000;
}
위치 /app2/ {
proxy_pass http://localhost :5000;
}

확실히 작동해야합니다. 최신 릴리스 또는 메인을 사용하고 있습니까? 메인에 있다면 https://github.com/nginxinc/ansible-role-nginx-config/blob/main/molecule/default/converge.yml#L153 -L290 -- proxy_pass 가 있는 두 개의 위치 블록이 있는 것을 볼 수 있습니다. location 및 proxy_pass 에 대해 언급한 값을 설정할 수 있습니다. (참고: 새 문제를 만들고 싶을 수도 있습니다. 귀하의 질문은 제가 말할 수 있는 한 ssl 와 관련이 없습니다.)

또한 단순 역방향 프록시를 구성할 수 없습니다. 위의 예에서 나는 인식하지 못한다.

reverse_proxy:

부분.

내가 정의한 서버에서 root 대신 proxy_pass를 사용하려고 하면

TemplateAssertionError: no test named 'boolean'

작업 예를 들어 주시면 감사하겠습니다.

reverse_proxy 섹션이 더 이상 존재하지 않습니다. 이제 main (및 0.4.0 )에서 찾을 수 있는 proxy 사전으로 리팩토링되었습니다. 이전 댓글에서 분자 예시를 확인하셨나요? 또한 proxy_pass 는 서버 컨텍스트 내에서 허용되지 않습니다. 항상 location https://nginx.org/en/docs/http/ngx_http_proxy_module.html#proxy_pass 안에 있어야 합니다.

예시:

nginx_config_http_template_enable: true
    nginx_config_http_template:
      - template_file     : http/default.conf.j2
        conf_file_name    : '{{ my_server_name }}.conf'
        conf_file_location: /etc/nginx/conf.d/
        servers:
          - listen:
              - port: 443
                ssl : true
                opts: []
            server_name: '{{ my_server_name }}'
            ssl:
              cert                 : '/etc/ssl/certs/{{ my_ssl_prefix }}.nginx.bundle.crt'
              key                  : '/etc/ssl/private/{{ my_ssl_prefix }}.key'
              protocols            : '{{ NGINX_PROTOCOLS }}'
              prefer_server_ciphers: true
              ciphers              : '{{ NGINX_CIPHERS   }}'
              stapling             : true
              stapling_verify      : true
            autoindex : false
            locations :
              - location: /
                root    : '{{ my_root_folder }}'
              - location: /backend
                proxy_pass: http://127.0.0.1:8080/
                proxy:
                  set_header:
                     - field: Host
                       value: $host
                     - field: X-Real-IP
                       value: $remote_addr
                     - field: X-Forwarded-For
                       value: $proxy_add_x_forwarded_for
                     - field: X-Forwarded-Proto
                       value: $scheme

그 결과

failed: [testing-snap05.MYDOMAIN.TLD] (item={'template_file': 'http/default.conf.j2', 'conf_file_name': 'testing-snap05.staging.MYDOMAIN.TLD.conf', 'conf_file_location': '/etc/nginx/conf.d/', 'servers': [{'listen': [{'port': 443, 'ssl': True, 'opts': []}], 'server_name': 'testing-snap05.staging.MYDOMAIN.TLD', 'ssl': {'cert': '/etc/ssl/certs/star.staging.MYDOMAIN.TLD.nginx.bundle.crt', 'key': '/etc/ssl/private/star.staging.MYDOMAIN.TLD.key', 'protocols': 'TLSv1.3', 'prefer_server_ciphers': True, 'ciphers': 'HIGH:!aNULL:!MD5', 'stapling': True, 'stapling_verify': True}, 'autoindex': False, 'locations': [{'location': '/', 'root': '/usr/share/nginx/html'}, {'location': '/backend', 'proxy_pass': 'http://127.0.0.1:8080/', 'proxy': {'set_header': [{'field': 'Host', 'value': '$host'}, {'field': 'X-Real-IP', 'value': '$remote_addr'}, {'field': 'X-Forwarded-For', 'value': '$proxy_add_x_forwarded_for'}, {'field': 'X-Forwarded-Proto', 'value': '$scheme'}]}}]}]}) => {"ansible_loop_var": "item", "changed": false, "item": {"conf_file_location": "/etc/nginx/conf.d/", "conf_file_name": "testing-snap05.staging.MYDOMAIN.TLD.conf", "servers": [{"autoindex": false, "listen": [{"opts": [], "port": 443, "ssl": true}], "locations": [{"location": "/", "root": "/usr/share/nginx/html"}, {"location": "/backend", "proxy": {"set_header": [{"field": "Host", "value": "$host"}, {"field": "X-Real-IP", "value": "$remote_addr"}, {"field": "X-Forwarded-For", "value": "$proxy_add_x_forwarded_for"}, {"field": "X-Forwarded-Proto", "value": "$scheme"}]}, "proxy_pass": "http://127.0.0.1:8080/"}], "server_name": "testing-snap05.staging.MYDOMAIN.TLD", "ssl": {"cert": "/etc/ssl/certs/star.staging.MYDOMAIN.TLD.nginx.bundle.crt", "ciphers": "HIGH:!aNULL:!MD5", "key": "/etc/ssl/private/star.staging.MYDOMAIN.TLD.key", "prefer_server_ciphers": true, "protocols": "TLSv1.3", "stapling": true, "stapling_verify": true}}], "template_file": "http/default.conf.j2"}, "msg": "TemplateAssertionError: no test named 'boolean'"}

오른쪽. 최신 버전의 Jinja2로 업데이트해 보세요. 템플릿이 제대로 작동하려면 Jinja2 2.11.x 가 필요합니다. 이것은 https://github.com/nginxinc/ansible-role-nginx-config/issues/94에서 찾은 오류와 가장 관련이 있습니다.

감사합니다. Ubuntu 20.04용 패키지로 존재합니까? 그렇지 않으면 권장되는 업데이트 방법은 무엇입니까?

Jinja2는 파이썬 패키지입니다. pip install -U Jinja2 을(를) 실행해 볼 수 있습니다. https://jinja.palletsprojects.com/en/2.11.x/intro/#installation 에서 자세한 내용을 읽을 수 있습니다.

안녕하세요,

python 2.7 및 ansible 2.9.6에서 동일한 문제가 있음:
"TemplateAssertionError: no test named 'boolean'"

python 3.6 및 2.9.6에서는 모든 것이 잘 작동합니다.

변수:

nginx_config_http_template_enable: true
nginx_config_http_template:
  - template_file: http/default.conf.j2
    conf_file_name: 50_example.com.conf
    conf_file_location: /etc/nginx/conf.d/

    servers:
      - listen:
          - ip: 0.0.0.0
            port: 80

          - ip: 0.0.0.0
            port: 443
            ssl: true

        ssl:    
          cert: /etc/pki/tls/certs/example.com.crt
          key: /etc/pki/tls/private/example.com.key

        server_name: example.com
        error_page: /usr/share/nginx/html
        autoindex: false
        http_demo_conf: false

        access_log:
          - name: json
            location: /var/log/nginx/example.com-access.json.log
        error_log:
          level: warn
          location: /var/log/nginx/example.com-error.log

        locations:
          - location: /
            proxy_pass: http://127.0.0.1
            proxy:
              bind: false
              set_header:
                - field: Host
                  value: $host
                - field: X-Forwarded-For
                  value: $proxy_add_x_forwarded_for
                - field: X-Real-IP
                  value: $remote_addr
                - field: REMOTE_ADDR
                  value: $remote_addr

결과:

+#
+# Ansible managed
+#
+
+
+
+
+server {
+    listen 0.0.0.0:80;
+    listen 0.0.0.0:443 ssl;
+    server_name example.com;
+    ssl_certificate /etc/pki/tls/certs/example.com.crt;
+    ssl_certificate_key /etc/pki/tls/private/example.com.key;
+    location / {
+        proxy_bind off;
+        proxy_set_header Host $host;
+        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
+        proxy_set_header X-Real-IP $remote_addr;
+        proxy_set_header REMOTE_ADDR $remote_addr;
+
+        proxy_pass http://127.0.0.1;
+
+    }
+    # redirect server error pages to the static page /50x.html
+    #
+    error_page   500 502 503 504  /50x.html;
+    location = /50x.html {
+        root   /usr/share/nginx/html;
+    }
+    access_log  /var/log/nginx/example.com-access.json.log  json;
+    error_log /var/log/nginx/example.com-error.log warn;
+}

Jinja2를 업데이트해 보세요. 최신 릴리스(v2.11)를 사용하고 있지 않습니다.

@alessfg 감사합니다!

빨간색 출력이 없었기 때문에 실제로 Jinja2를 로컬로 업데이트하는 데 문제가 있다는 것을 알아차리지 못했습니다.

bash-3.2$ pip install -U Jinja2
Collecting Jinja2
  Using cached https://files.pythonhosted.org/packages/7e/c2/1eece8c95ddbc9b1aeb64f5783a9e07a286de42191b7204d67b7496ddf35/Jinja2-2.11.3-py2.py3-none-any.whl
Requirement not upgraded as not directly required: MarkupSafe>=0.23 in /opt/local/Library/Frameworks/Python.framework/Versions/2.7/lib/python2.7/site-packages (from Jinja2) (0.23)
Installing collected packages: Jinja2
  Found existing installation: Jinja2 2.10.1
    Uninstalling Jinja2-2.10.1:
      Successfully uninstalled Jinja2-2.10.1
  Rolling back uninstall of Jinja2

You are using pip version 10.0.0, however version 20.3.4 is available.
You should consider upgrading via the 'pip install --upgrade pip' command.

Python 2.7 및 Jinja2 2.11.3이 있는 깨끗한 virtualenv에서는 모든 것이 잘 작동합니다.

(py27) bash-3.2$ pip freeze 
ansible==2.9.6
cffi==1.14.5
cryptography==3.3.2
enum34==1.1.10
ipaddress==1.0.23
Jinja2==2.11.3
MarkupSafe==1.1.1
pycparser==2.20
PyYAML==5.4.1
six==1.15.0