运行 Nginx 反向代理背后的 Apache(带 .htaccess)应用程序
Running Apache (with .htaccess) App Behind Nginx Rerverse Proxy
我最近开始尝试对我的服务进行 Docker 化,并且我已经到了对已经构建了映像的所有内容进行 Docker 化的地步。现在我正在尝试为 facileManager (FM) 构建一个图像,它还没有。我大部分时间都在使用它,但是当 运行 在 Nginx 后面使用它时我遇到了问题。 FM 通常是一个 apache-php 应用程序,不包括 Nginx 的安装说明。我注意到我的 container/image 是,当我通过已发布的端口直接连接到它时它工作正常,但如果我尝试通过 Nginx 连接到它,它会出错并抱怨 .htaccess 文件不工作。我不是 Apache 或 Nginx 的专家,所以我进行了谷歌搜索,但除了 Wordpress 的“漂亮网址”存在类似问题外,我没有想出太多,所以我希望这里有人能伸出援手。
首先是应用程序的 Github 存储库:https://github.com/WillyXJ/facileManager/tree/ea159f5f6112727de8422c552aa05b6682aa4d79/server
.htaccess 文件具体为:
<IfModule mod_headers.c>
<FilesMatch "\.(js|css|txt)$">
Header set Cache-Control "max-age=7200"
</FilesMatch>
<FilesMatch "\.(jpe?g|png|gif|ico)$">
Header set Cache-Control "max-age=2592000"
</FilesMatch>
</IfModule>
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . index.php [L]
</IfModule>
我得到的确切错误来自这里:
https://github.com/WillyXJ/facileManager/blob/ea159f5f6112727de8422c552aa05b6682aa4d79/server/fm-includes/init.php#L153
if (!defined('INSTALL')) {
if (@dns_get_record($_SERVER['SERVER_NAME'], DNS_A + DNS_AAAA)) {
$test_output = getPostData($GLOBALS['FM_URL'] . 'admin-accounts.php?verify', array('module_type' => 'CLIENT'));
$test_output = isSerialized($test_output) ? unserialize($test_output) : $test_output;
if (strpos($test_output, 'Account is not found.') === false) {
$message = sprintf(_('The required .htaccess file appears to not work with your Apache configuration which is required by %1s. '
. 'AllowOverride None in your configuration may be blocking the use of .htaccess or %s is not resolvable.'),
$fm_name, $_SERVER['SERVER_NAME']);
if ($single_check) {
bailOut($message);
} else {
$requirement_check .= displayProgress(_('Test Rewrites'), false, 'display', $message);
$error = true;
}
} else {
if (!$single_check) $requirement_check .= displayProgress(_('Test Rewrites'), true, 'display');
}
}
}
Nginx 配置:
server {
listen 80;
server_tokens off;
location /.well-known/acme-challenge/ {
root /var/www/certbot;
}
location / {
return 301 https://$host$request_uri;
}
}
server {
listen 443 ssl;
server_name bound.example.com;
ssl_certificate /etc/nginx/ssl/live/bound.example.com/fullchain.pem;
ssl_certificate_key /etc/nginx/ssl/live/bound.example.com/privkey.pem;
include /etc/nginx/ssl/options-ssl-nginx.conf;
ssl_dhparam /etc/nginx/ssl/ssl-dhparams.pem;
location / {
proxy_pass http://FM.; <<< Docker service name
proxy_http_version 1.1;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection "upgrade";
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forward-For $proxy_add_x_forwarded_for;
}
}
我的Dockerfile/commands运行:https://github.com/MeCJay12/facileManager-docker
FROM php:7.4-apache
ENV TZ=UTC
ENV Version=4.2.0
ARG DEBIAN_FRONTEND=noninteractive
WORKDIR /src
RUN apt-get update \
&& apt-get -qqy install wget libldb-dev libldap2-dev tzdata \
&& wget http://www.facilemanager.com/download/facilemanager-complete-$Version.tar.gz \
&& tar -xvf facilemanager-complete-$Version.tar.gz \
&& mv facileManager/server/* /var/www/html/
RUN ln -s /usr/lib/x86_64-linux-gnu/libldap.so /usr/lib/libldap.so \
&& docker-php-ext-install mysqli ldap \
&& a2enmod rewrite dump_io
COPY php.ini /usr/local/etc/php/php.ini
RUN rm -r /src
奖金问题:直接通过已发布的端口访问此 container/image 时,图像全部损坏。我认为它是相关的,因为 .htaccess 文件包含对图像文件的引用。
在此先感谢您的帮助!
点数:
- 在您的代理通行证中包含 $request_uri
- 在您的代理位置块中提供解析器
- 在 Docker 的网络堆栈中为您的容器声明一个条目
- 在您的服务名称中使用全部小写字母
下面是我用来反向代理到 Ubiquiti Unifi 容器的配置文件。我所有的 certbot 都是在场外处理的,所以我不需要在这里考虑。如果您比较我们的位置块,问题可能会立即变得明显,但为了清楚起见,我会进行解释。
您需要查看的是您的 Proxy Pass 指令。这当然是魔法代理发生的地方。我注意到您没有包含 $request_uri,因此 nginx 收到的任何 bound.example.com/testpage1 请求,都会向上游 apache 服务器发送 bound.example.com 请求。当然,如果您需要包括一个端口,就像我在这里所做的那样 8443,这里也是这样做的地方。
如果包含此变量,应该可以解决您的问题。
以下内容没有回答您的问题,但我想我也会将其作为一些有用的信息包括在内。
此外,我只想指出我已经包含了一个解析器。 IP 地址 127.0.0.11 指向 Docker's internal DNS resolver. 可能您不需要包括它,但是我自己这样做是为了确保我没有遇到奇怪的问题。
最后,我只想建议您考虑升级您的 SSL 设置,以确保您免受来自较弱 SSL / TLS 版本的攻击。
我希望将变量 $request_uri 添加到您的代理传递指令中即可让您的网站正常运行。
server {
listen 80;
server_name unifi.localdomain;
location / {
return 301 https://$host$request_uri;
}
}
server {
listen 443 ssl;
server_name unifi.localdomain;
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload;";
ssl_protocols TLSv1.3 TLSv1.2;
ssl_session_cache builtin:1000 shared:SSL:10m;
ssl_session_timeout 1d;
ssl_ciphers ALL:!RSA:!CAMELLIA:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!SRP:!DSS:!RC4:!SHA1:!SHA256:!SHA384;
ssl_prefer_server_ciphers on;
ssl_stapling on;
ssl_stapling_verify on;
resolver 8.8.8.8 8.8.4.4 valid=300s;
resolver_timeout 5s;
ssl_certificate /etc/nginx/certs/fullchain.pem;
ssl_certificate_key /etc/nginx/certs/privkey.pem;
ssl_dhparam /etc/nginx/certs/dhparam.pem;
location / {
resolver 127.0.0.11;
proxy_pass https://unifi:8443$request_uri;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $remote_addr;
proxy_set_header Host $host;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection "Upgrade";
}
}
另外
除此之外,我有机会在我自己的环境中对此进行了测试,并且似乎能够使其正常工作(尽管我没有完成安装过程)。我发现如果我没有在 docker 网络堆栈上为此容器声明网络地址,那么 docker 解析器中将没有 DNS 条目。我使用了以下 docker 配置;
version: "3.4"
services:
fm:
build: ./boundexample
container_name: "fm"
networks:
primary:
ipv4_address: "172.19.0.11"
nginx:
image: "nginx:stable"
container_name: "nginx"
restart: "unless-stopped"
environment:
TZ: "Australia/Perth"
networks:
primary:
ipv4_address: "172.19.0.2"
ports:
- "10.0.0.4:80:80/tcp"
- "10.0.0.4:443:443/tcp"
networks:
primary:
driver: bridge
driver_opts:
parent: enp3s0.2
ipam:
config:
- subnet: "172.19.0.0/24"
其中目录 boundexample 指向 local copy of your github repository。我的 nginx 配置与您提供的相同,只是我针对自己的 SSL 进行了修改,并在我的位置块中使用了以下内容;
resolver 127.0.0.11;
proxy_pass http://fm$request_uri;
也有可能在您的 docker 配置中使用大写字母 FM 可能会给您带来问题,我自己无法使用大写字母,因为 docker-compose 不允许。
在 https://github.com/WillyXJ/facileManager/issues/491 中找到了解决方案。需要删除 webapp 中运行不正常的检查。
我最近开始尝试对我的服务进行 Docker 化,并且我已经到了对已经构建了映像的所有内容进行 Docker 化的地步。现在我正在尝试为 facileManager (FM) 构建一个图像,它还没有。我大部分时间都在使用它,但是当 运行 在 Nginx 后面使用它时我遇到了问题。 FM 通常是一个 apache-php 应用程序,不包括 Nginx 的安装说明。我注意到我的 container/image 是,当我通过已发布的端口直接连接到它时它工作正常,但如果我尝试通过 Nginx 连接到它,它会出错并抱怨 .htaccess 文件不工作。我不是 Apache 或 Nginx 的专家,所以我进行了谷歌搜索,但除了 Wordpress 的“漂亮网址”存在类似问题外,我没有想出太多,所以我希望这里有人能伸出援手。
首先是应用程序的 Github 存储库:https://github.com/WillyXJ/facileManager/tree/ea159f5f6112727de8422c552aa05b6682aa4d79/server
.htaccess 文件具体为:
<IfModule mod_headers.c>
<FilesMatch "\.(js|css|txt)$">
Header set Cache-Control "max-age=7200"
</FilesMatch>
<FilesMatch "\.(jpe?g|png|gif|ico)$">
Header set Cache-Control "max-age=2592000"
</FilesMatch>
</IfModule>
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . index.php [L]
</IfModule>
我得到的确切错误来自这里: https://github.com/WillyXJ/facileManager/blob/ea159f5f6112727de8422c552aa05b6682aa4d79/server/fm-includes/init.php#L153
if (!defined('INSTALL')) {
if (@dns_get_record($_SERVER['SERVER_NAME'], DNS_A + DNS_AAAA)) {
$test_output = getPostData($GLOBALS['FM_URL'] . 'admin-accounts.php?verify', array('module_type' => 'CLIENT'));
$test_output = isSerialized($test_output) ? unserialize($test_output) : $test_output;
if (strpos($test_output, 'Account is not found.') === false) {
$message = sprintf(_('The required .htaccess file appears to not work with your Apache configuration which is required by %1s. '
. 'AllowOverride None in your configuration may be blocking the use of .htaccess or %s is not resolvable.'),
$fm_name, $_SERVER['SERVER_NAME']);
if ($single_check) {
bailOut($message);
} else {
$requirement_check .= displayProgress(_('Test Rewrites'), false, 'display', $message);
$error = true;
}
} else {
if (!$single_check) $requirement_check .= displayProgress(_('Test Rewrites'), true, 'display');
}
}
}
Nginx 配置:
server {
listen 80;
server_tokens off;
location /.well-known/acme-challenge/ {
root /var/www/certbot;
}
location / {
return 301 https://$host$request_uri;
}
}
server {
listen 443 ssl;
server_name bound.example.com;
ssl_certificate /etc/nginx/ssl/live/bound.example.com/fullchain.pem;
ssl_certificate_key /etc/nginx/ssl/live/bound.example.com/privkey.pem;
include /etc/nginx/ssl/options-ssl-nginx.conf;
ssl_dhparam /etc/nginx/ssl/ssl-dhparams.pem;
location / {
proxy_pass http://FM.; <<< Docker service name
proxy_http_version 1.1;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection "upgrade";
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forward-For $proxy_add_x_forwarded_for;
}
}
我的Dockerfile/commands运行:https://github.com/MeCJay12/facileManager-docker
FROM php:7.4-apache
ENV TZ=UTC
ENV Version=4.2.0
ARG DEBIAN_FRONTEND=noninteractive
WORKDIR /src
RUN apt-get update \
&& apt-get -qqy install wget libldb-dev libldap2-dev tzdata \
&& wget http://www.facilemanager.com/download/facilemanager-complete-$Version.tar.gz \
&& tar -xvf facilemanager-complete-$Version.tar.gz \
&& mv facileManager/server/* /var/www/html/
RUN ln -s /usr/lib/x86_64-linux-gnu/libldap.so /usr/lib/libldap.so \
&& docker-php-ext-install mysqli ldap \
&& a2enmod rewrite dump_io
COPY php.ini /usr/local/etc/php/php.ini
RUN rm -r /src
奖金问题:直接通过已发布的端口访问此 container/image 时,图像全部损坏。我认为它是相关的,因为 .htaccess 文件包含对图像文件的引用。
在此先感谢您的帮助!
点数:
- 在您的代理通行证中包含 $request_uri
- 在您的代理位置块中提供解析器
- 在 Docker 的网络堆栈中为您的容器声明一个条目
- 在您的服务名称中使用全部小写字母
下面是我用来反向代理到 Ubiquiti Unifi 容器的配置文件。我所有的 certbot 都是在场外处理的,所以我不需要在这里考虑。如果您比较我们的位置块,问题可能会立即变得明显,但为了清楚起见,我会进行解释。
您需要查看的是您的 Proxy Pass 指令。这当然是魔法代理发生的地方。我注意到您没有包含 $request_uri,因此 nginx 收到的任何 bound.example.com/testpage1 请求,都会向上游 apache 服务器发送 bound.example.com 请求。当然,如果您需要包括一个端口,就像我在这里所做的那样 8443,这里也是这样做的地方。
如果包含此变量,应该可以解决您的问题。
以下内容没有回答您的问题,但我想我也会将其作为一些有用的信息包括在内。
此外,我只想指出我已经包含了一个解析器。 IP 地址 127.0.0.11 指向 Docker's internal DNS resolver. 可能您不需要包括它,但是我自己这样做是为了确保我没有遇到奇怪的问题。 最后,我只想建议您考虑升级您的 SSL 设置,以确保您免受来自较弱 SSL / TLS 版本的攻击。
我希望将变量 $request_uri 添加到您的代理传递指令中即可让您的网站正常运行。
server {
listen 80;
server_name unifi.localdomain;
location / {
return 301 https://$host$request_uri;
}
}
server {
listen 443 ssl;
server_name unifi.localdomain;
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload;";
ssl_protocols TLSv1.3 TLSv1.2;
ssl_session_cache builtin:1000 shared:SSL:10m;
ssl_session_timeout 1d;
ssl_ciphers ALL:!RSA:!CAMELLIA:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!SRP:!DSS:!RC4:!SHA1:!SHA256:!SHA384;
ssl_prefer_server_ciphers on;
ssl_stapling on;
ssl_stapling_verify on;
resolver 8.8.8.8 8.8.4.4 valid=300s;
resolver_timeout 5s;
ssl_certificate /etc/nginx/certs/fullchain.pem;
ssl_certificate_key /etc/nginx/certs/privkey.pem;
ssl_dhparam /etc/nginx/certs/dhparam.pem;
location / {
resolver 127.0.0.11;
proxy_pass https://unifi:8443$request_uri;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $remote_addr;
proxy_set_header Host $host;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection "Upgrade";
}
}
另外
除此之外,我有机会在我自己的环境中对此进行了测试,并且似乎能够使其正常工作(尽管我没有完成安装过程)。我发现如果我没有在 docker 网络堆栈上为此容器声明网络地址,那么 docker 解析器中将没有 DNS 条目。我使用了以下 docker 配置;
version: "3.4"
services:
fm:
build: ./boundexample
container_name: "fm"
networks:
primary:
ipv4_address: "172.19.0.11"
nginx:
image: "nginx:stable"
container_name: "nginx"
restart: "unless-stopped"
environment:
TZ: "Australia/Perth"
networks:
primary:
ipv4_address: "172.19.0.2"
ports:
- "10.0.0.4:80:80/tcp"
- "10.0.0.4:443:443/tcp"
networks:
primary:
driver: bridge
driver_opts:
parent: enp3s0.2
ipam:
config:
- subnet: "172.19.0.0/24"
其中目录 boundexample 指向 local copy of your github repository。我的 nginx 配置与您提供的相同,只是我针对自己的 SSL 进行了修改,并在我的位置块中使用了以下内容;
resolver 127.0.0.11;
proxy_pass http://fm$request_uri;
也有可能在您的 docker 配置中使用大写字母 FM 可能会给您带来问题,我自己无法使用大写字母,因为 docker-compose 不允许。
在 https://github.com/WillyXJ/facileManager/issues/491 中找到了解决方案。需要删除 webapp 中运行不正常的检查。