Как получить Elastic Beanstalk nginx-backed proxy server для автоматического перенаправления с HTTP на HTTPS?
У меня есть сайт с Node.js, который я запускаю на Amazon Elastic Beanstalk.
My Node.js app прослушивает порт 8080, и я использую конфигурацию балансировки нагрузки nginx с моим приложением EB, слушая порт 80 и 443 для HTTP и HTTPS.
Однако, я только хочу принять трафик в моем приложении, которое появилось через HTTPS.
Я мог бы установить что-то в приложении, чтобы справиться с этим, но я заинтересован в том, чтобы заставить балансировку нагрузки перенаправлять все HTTP-запросы на мой сайт с помощью HTTPS.
Ответы
Ответ 1
После нескольких ложных запусков с идеями, полученными от Amazon, они получили поддержку в конце. Как вы это делаете, вы настраиваете среду для ответа на оба порта 80 и 443. Затем создайте папку в основной папке приложения Node.js с именем .ebextensions, и вы поместите файл с именем 00_nginx_https_rw.config в там, с этим текстом в качестве содержимого:
files:
"/tmp/45_nginx_https_rw.sh":
owner: root
group: root
mode: "000644"
content: |
#! /bin/bash
CONFIGURED=`grep -c "return 301 https" /etc/nginx/conf.d/00_elastic_beanstalk_proxy.conf`
if [ $CONFIGURED = 0 ]
then
sed -i '/listen 8080;/a \ if ($http_x_forwarded_proto = "http") { return 301 https://$host$request_uri; }\n' /etc/nginx/conf.d/00_elastic_beanstalk_proxy.conf
logger -t nginx_rw "https rewrite rules added"
exit 0
else
logger -t nginx_rw "https rewrite rules already set"
exit 0
fi
container_commands:
00_appdeploy_rewrite_hook:
command: cp -v /tmp/45_nginx_https_rw.sh /opt/elasticbeanstalk/hooks/appdeploy/enact
01_configdeploy_rewrite_hook:
command: cp -v /tmp/45_nginx_https_rw.sh /opt/elasticbeanstalk/hooks/configdeploy/enact
02_rewrite_hook_perms:
command: chmod 755 /opt/elasticbeanstalk/hooks/appdeploy/enact/45_nginx_https_rw.sh /opt/elasticbeanstalk/hooks/configdeploy/enact/45_nginx_https_rw.sh
03_rewrite_hook_ownership:
command: chown root:users /opt/elasticbeanstalk/hooks/appdeploy/enact/45_nginx_https_rw.sh /opt/elasticbeanstalk/hooks/configdeploy/enact/45_nginx_https_rw.sh
Команда поддержки Amazon объяснила: этот config создает крючок развертывания, который добавит правила перезаписи в /etc/nginx/conf.d/00_elastic_beanstalk_proxy.conf.
(Раньше они предлагали мне .config копировать отдельные файлы в /etc/nginx/conf.d, но они либо не имели никакого эффекта, либо хуже, казалось, переписывали или имели приоритет над конфигурацией nginx по умолчанию, по какой-либо причине.)
Если вы когда-нибудь захотите отменить это, то есть удалить крючки, вам нужно удалить это ebextension и выпустить команду для удаления файлов, которые она создает. Вы можете сделать это вручную или через команды ebextensions, которые вы временно установили:
/opt/elasticbeanstalk/hooks/appdeploy/enact/45_nginx_https_rw.sh
/opt/elasticbeanstalk/hooks/configdeploy/enact/45_nginx_https_rw.sh
Я не пробовал это, но, вероятно, что-то вроде этого будет работать, чтобы удалить их и отменить это изменение:
container_commands:
00_undochange:
command: rm /opt/elasticbeanstalk/hooks/appdeploy/enact/45_nginx_https_rw.sh
01_undochange:
command: rm /opt/elasticbeanstalk/hooks/configdeploy/enact/45_nginx_https_rw.sh
Надеюсь, это может помочь кому-то еще в будущем.
Ответ 2
Принятый ответ больше не работал у меня. Порт по умолчанию был другим. Также изменилось расположение файла конфигурации. Я создаю приложение Ruby On Rails с Puma.
Я поговорил с платной поддержкой, мы выяснили это, просто выполнив команды вручную в запущенном экземпляре. Тогда я смог разобраться в решении ниже. Просто выполнив вход и перезапустив nginx, он работал.
files:
"/tmp/45_nginx_https_rw.sh":
owner: root
group: root
mode: "000644"
content: |
#! /bin/bash
CONFIGURED=`grep -c "return 301 https" /opt/elasticbeanstalk/support/conf/webapp_healthd.conf`
if [ $CONFIGURED = 0 ]
then
sed -i '/listen 80;/a \ if ($http_x_forwarded_proto = "http") { return 301 https://$host$request_uri; }\n' /opt/elasticbeanstalk/support/conf/webapp_healthd.conf
logger -t nginx_rw "https rewrite rules added"
exit 0
else
logger -t nginx_rw "https rewrite rules already set"
exit 0
fi
container_commands:
00_appdeploy_rewrite_hook:
command: cp -v /tmp/45_nginx_https_rw.sh /opt/elasticbeanstalk/hooks/appdeploy/enact
01_configdeploy_rewrite_hook:
command: cp -v /tmp/45_nginx_https_rw.sh /opt/elasticbeanstalk/hooks/configdeploy/enact
02_rewrite_hook_perms:
command: chmod 755 /opt/elasticbeanstalk/hooks/appdeploy/enact/45_nginx_https_rw.sh /opt/elasticbeanstalk/hooks/configdeploy/enact/45_nginx_https_rw.sh
03_rewrite_hook_ownership:
command: chown root:users /opt/elasticbeanstalk/hooks/appdeploy/enact/45_nginx_https_rw.sh /opt/elasticbeanstalk/hooks/configdeploy/enact/45_nginx_https_rw.sh
Обратите внимание, как я изменил номер порта и расположение файла конфигурации.
Ответ 3
Вы можете обработать перенаправление через ваше приложение Node.js.
Amazon отправляет заголовок X-Forwarded-Proto, который равен http, когда клиент подключен небезопасно.
Следующее промежуточное программное обеспечение должно быть вставлено сразу после инициализации Express и перед определением маршрутов для автоматической перенаправления клиента на соответствующую конечную точку HTTPS:
// Redirect to HTTPS
app.use(function (req, res, next) {
// Insecure request?
if (req.get('x-forwarded-proto') == 'http') {
// Redirect to https://
return res.redirect('https://' + req.get('host') + req.url);
}
next();
});
Ответ 4
Мне удалось получить эту работу с немного более простым решением.
Обратите внимание, что это эластичный бобовый стебель, развернутый экземпляр SINGLE, а не выравнивание нагрузки.
Это было мое ebextension, которое я добавил.
files:
"/etc/nginx/conf.d/000_my_config.conf":
mode: "000755"
owner: root
owner: root
content: |
server {
listen 8080;
return 301 https://$host$request_uri;
}
Ответ 5
Я запускаю среду Ruby2 Puma на AWS Elastic Beanstalk, которая может иметь немного отличающуюся конфигурацию, чем выше.
В моей среде мне нужно было использовать "слушать 80" вместо "слушать 8080".
sslredirect.config на основе ответа elloworld111:
files:
"/etc/nginx/conf.d/000_my_config.conf":
mode: "000755"
owner: root
owner: root
content: |
server {
listen 80;
return 301 https://$host$request_uri;
}
Ответ 6
Я работаю с Elastic Beanstalk и Docker, поэтому взял немного другой путь, чтобы заставить вещи работать для меня, но очень вдохновлен принятым ответом. Этот script вводит необходимую конфигурацию в /etc/nginx/sites -available/elasticbeanstalk-nginx-docker-proxy.conf. (Если у кого-то есть более элегантное решение, хотелось бы увидеть его)
Этот script также позволяет проверять работоспособность Beanstalk на моей конечной точке healthcheck (в моем случае api/healthcheck). Лучше разрешить LoadBalancer попадать в приложение, а не заканчиваться в Nginx.
files:
"/tmp/45_nginx_https_rw.sh":
owner: root
group: root
mode: "000755"
content: |
#! /bin/bash
CONFIGURED=`grep -c "return 301 https" /etc/nginx/sites-available/elasticbeanstalk-nginx-docker-proxy.conf`
if [ $CONFIGURED = 0 ]
then
sed -i "/access.log;/a \ \ \ \ \ \ \ \ location /api/health-check { proxy_pass http://docker; }" /etc/nginx/sites-available/elasticbeanstalk-nginx-docker-proxy.conf
sed -i "/proxy_add_x_forwarded_for;/a \ \ \ \ \ \ \ \ \ \ \ \ if (\$http_x_forwarded_proto != 'https') { return 301 https://\$host\$request_uri; }" /etc/nginx/sites-available/elasticbeanstalk-nginx-docker-proxy.conf
logger -t nginx_rw "https rewrite rules added"
exit 0
else
logger -t nginx_rw "https rewrite rules already set"
exit 0
fi
container_commands:
00_run_script:
command: /tmp/45_nginx_https_rw.sh
Ответ 7
Я смог заставить это работать по-другому. Я изменил свой балансировщик нагрузки, чтобы перенаправить порт 80 на порт 8082 и изменил правила брандмауэра (входящие в экземпляр, исходящие на брандмауэре), чтобы это разрешить. Затем добавлен этот файл в .ebextensions:
files:
"/etc/nginx/conf.d/50-atd-hotel-http-redirect.conf":
mode: "000644"
owner: root
group: root
content: |
server {
listen 8082;
return 301 --WHATEVER DESTINATION YOU WANT--;
}
Ответ 8
Принятый ответ не работал для меня. После многих попыток (и часов поисков в Интернете) я нашел то, что сработало для меня. У меня тоже есть сайт на Node.js, который я использую на Elastic Beanstalk.
Я использовал скрипт здесь: https://adamjstevenson.com/tutorials/2017/02/02/configuring-and-forcing-https-for-aws-elastic-beanstalk.html
Единственная модификация, которую я сделал, была выключить
/opt/elasticbeanstalk/support/conf/webapp_healthd.conf
по
/etc/nginx/sites-available/elasticbeanstalk-nginx-docker-proxy.conf
так что это дает:
files:
"/tmp/45_nginx_https_rw.sh":
owner: root
group: root
mode: "000644"
content: |
#! /bin/bash
CONFIGURED='grep -c "return 301 https" /etc/nginx/sites-available/elasticbeanstalk-nginx-docker-proxy.conf'
if [ $CONFIGURED = 0 ]
then
sed -i '/listen 80;/a \ if ($http_x_forwarded_proto = "http") { return 301 https://$host$request_uri; }\n' /etc/nginx/sites-available/elasticbeanstalk-nginx-docker-proxy.conf
logger -t nginx_rw "https rewrite rules added"
exit 0
else
logger -t nginx_rw "https rewrite rules already set"
exit 0
fi
container_commands:
00_appdeploy_rewrite_hook:
command: cp -v /tmp/45_nginx_https_rw.sh /opt/elasticbeanstalk/hooks/appdeploy/enact
01_configdeploy_rewrite_hook:
command: cp -v /tmp/45_nginx_https_rw.sh /opt/elasticbeanstalk/hooks/configdeploy/enact
02_rewrite_hook_perms:
command: chmod 755 /opt/elasticbeanstalk/hooks/appdeploy/enact/45_nginx_https_rw.sh /opt/elasticbeanstalk/hooks/configdeploy/enact/45_nginx_https_rw.sh
03_rewrite_hook_ownership:
command: chown root:users /opt/elasticbeanstalk/hooks/appdeploy/enact/45_nginx_https_rw.sh /opt/elasticbeanstalk/hooks/configdeploy/enact/45_nginx_https_rw.sh
После eb deploy просто перезапустите nginx sudo service nginx restart и все готово.
