我有一个基于 Node.js 的网站,我在 Amazon Elastic Beanstalk 上运行。
我的 Node.js 应用程序在端口 8080 上侦听,我将 nginx 弹性负载平衡器配置与我的 EB 应用程序一起使用,在端口 80 和 443 上侦听 HTTP 和 HTTPS。
但是,我只想在我的应用中接受来自 HTTPS 的流量。
我可以在应用程序中安装一些东西来处理这个问题,但我对让负载均衡器通过 HTTPS 将所有 HTTP 请求重定向到我的站点的方法感兴趣。
【问题讨论】:
标签: amazon-web-services nginx amazon-ec2 amazon-elastic-beanstalk
在亚马逊有偿支持的想法几次错误开始之后,他们最终还是成功了。实现此功能的方法是配置环境以响应端口 80 和 443。然后在 Node.js 主应用程序文件夹中创建一个名为 .ebextensions 的文件夹,并在其中放置一个名为 00_nginx_https_rw.config 的文件,以这段文字为内容:
files:
"/tmp/45_nginx_https_rw.sh":
owner: root
group: root
mode: "000644"
content: |
#! /bin/bash
CONFIGURED=`grep -c "return 301 https" /etc/nginx/conf.d/00_elastic_beanstalk_proxy.conf`
if [ $CONFIGURED = 0 ]
then
sed -i '/listen 8080;/a \ if ($http_x_forwarded_proto = "http") { return 301 https://$host$request_uri; }\n' /etc/nginx/conf.d/00_elastic_beanstalk_proxy.conf
logger -t nginx_rw "https rewrite rules added"
exit 0
else
logger -t nginx_rw "https rewrite rules already set"
exit 0
fi
container_commands:
00_appdeploy_rewrite_hook:
command: cp -v /tmp/45_nginx_https_rw.sh /opt/elasticbeanstalk/hooks/appdeploy/enact
01_configdeploy_rewrite_hook:
command: cp -v /tmp/45_nginx_https_rw.sh /opt/elasticbeanstalk/hooks/configdeploy/enact
02_rewrite_hook_perms:
command: chmod 755 /opt/elasticbeanstalk/hooks/appdeploy/enact/45_nginx_https_rw.sh /opt/elasticbeanstalk/hooks/configdeploy/enact/45_nginx_https_rw.sh
03_rewrite_hook_ownership:
command: chown root:users /opt/elasticbeanstalk/hooks/appdeploy/enact/45_nginx_https_rw.sh /opt/elasticbeanstalk/hooks/configdeploy/enact/45_nginx_https_rw.sh
亚马逊的支持团队解释说:这个配置创建了一个部署钩子,它将重写规则添加到 /etc/nginx/conf.d/00_elastic_beanstalk_proxy.conf。
(以前他们为我提供了将单独文件复制到 /etc/nginx/conf.d 的 .config 文件,但这些文件要么没有效果,要么更糟,似乎覆盖或优先于默认的 nginx 配置,出于某种原因.)
如果您想撤消此操作,即移除挂钩,则需要移除此 ebextension 并发出命令以移除它创建的文件。您可以手动执行此操作,也可以通过临时放置的 ebextensions 命令执行此操作:
/opt/elasticbeanstalk/hooks/appdeploy/enact/45_nginx_https_rw.sh
/opt/elasticbeanstalk/hooks/configdeploy/enact/45_nginx_https_rw.sh
我还没有尝试过,但大概这样的东西可以删除它们并撤消此更改:
container_commands:
00_undochange:
command: rm /opt/elasticbeanstalk/hooks/appdeploy/enact/45_nginx_https_rw.sh
01_undochange:
command: rm /opt/elasticbeanstalk/hooks/configdeploy/enact/45_nginx_https_rw.sh
希望这可以在将来对其他人有所帮助。
【讨论】:
listen 8080; 变为 listen 80;,/etc/nginx/conf.d/00_elastic_beanstalk_proxy.conf 变为 /etc/nginx/sites-available/elasticbeanstalk-nginx-docker-proxy.conf。
接受的答案不再对我有用。默认端口是不同的。配置文件的位置也发生了变化。我正在使用 Puma 设置一个 Ruby On Rails 应用程序。
我与付费支持人员进行了交谈,我们只是通过在正在运行的实例上手动运行命令来解决这个问题。然后我能够找出以下解决方案。只需登录并重新启动 nginx 即可。
files:
"/tmp/45_nginx_https_rw.sh":
owner: root
group: root
mode: "000644"
content: |
#! /bin/bash
CONFIGURED=`grep -c "return 301 https" /opt/elasticbeanstalk/support/conf/webapp_healthd.conf`
if [ $CONFIGURED = 0 ]
then
sed -i '/listen 80;/a \ if ($http_x_forwarded_proto = "http") { return 301 https://$host$request_uri; }\n' /opt/elasticbeanstalk/support/conf/webapp_healthd.conf
logger -t nginx_rw "https rewrite rules added"
exit 0
else
logger -t nginx_rw "https rewrite rules already set"
exit 0
fi
container_commands:
00_appdeploy_rewrite_hook:
command: cp -v /tmp/45_nginx_https_rw.sh /opt/elasticbeanstalk/hooks/appdeploy/enact
01_configdeploy_rewrite_hook:
command: cp -v /tmp/45_nginx_https_rw.sh /opt/elasticbeanstalk/hooks/configdeploy/enact
02_rewrite_hook_perms:
command: chmod 755 /opt/elasticbeanstalk/hooks/appdeploy/enact/45_nginx_https_rw.sh /opt/elasticbeanstalk/hooks/configdeploy/enact/45_nginx_https_rw.sh
03_rewrite_hook_ownership:
command: chown root:users /opt/elasticbeanstalk/hooks/appdeploy/enact/45_nginx_https_rw.sh /opt/elasticbeanstalk/hooks/configdeploy/enact/45_nginx_https_rw.sh
请注意我如何更改端口号和配置文件的位置。
【讨论】:
/etc/nginx/conf.d/00_elastic_beanstalk_proxy.conf 的行现在在它看到“之后附加到/opt/elasticbeanstalk/support/conf/webapp_healthd.conf”听 80"。 CONFIGURED=grep -c 行上的文件名也有相同的变化。我还不确定为什么这对你和我都有效,但还不确定这是否需要成为公认的答案,或者可能是不同环境的替代答案?
您可以通过 Node.js 应用程序处理重定向。
当客户端连接不安全时,Amazon 会发送等于 http 的 X-Forwarded-Proto 标头。
以下中间件应在初始化Express 之后并在定义路由以自动将客户端重定向到相应的 HTTPS 端点之前插入:
// Redirect to HTTPS
app.use(function (req, res, next) {
// Insecure request?
if (req.get('x-forwarded-proto') == 'http') {
// Redirect to https://
return res.redirect('https://' + req.get('host') + req.url);
}
next();
});
【讨论】:
x-forwarded-proto
req.secure 来检查 req 对象上的协议:stackoverflow.com/a/16405622/1123355
我能够通过一个稍微简单的解决方案来解决这个问题。
请注意,这是一个弹性 beanstalk 部署的 SINGLE 实例,没有负载平衡。
这是我添加的 ebextension。
files:
"/etc/nginx/conf.d/000_my_config.conf":
mode: "000755"
owner: root
owner: root
content: |
server {
listen 8080;
return 301 https://$host$request_uri;
}
【讨论】:
$http_x_forwarded_proto 参数。 ELB 将所有请求转发到端口 80 上的实例,然后将其视为 HTTP。 AWS 添加了 $http_x_forwarded_proto 值和 X-Forwarded-Proto 标头来进行此项检查。
我在 AWS Elastic Beanstalk 上运行“Ruby2 Puma”环境,该环境的配置可能与上述略有不同。 在我的环境中,我需要使用“listen 80”而不是“listen 8080”。
sslredirect.config 基于elloworld111's answer:
files:
"/etc/nginx/conf.d/000_my_config.conf":
mode: "000755"
owner: root
owner: root
content: |
server {
listen 80;
return 301 https://$host$request_uri;
}
【讨论】:
我正在使用 Elastic Beanstalk 和 Docker,因此我采取了稍微不同的方式来让事情运行起来,但非常受接受的答案的启发。此脚本将所需的配置注入 /etc/nginx/sites-available/elasticbeanstalk-nginx-docker-proxy.conf。 (如果有人有更优雅的解决方案希望看到它)
此脚本还使 Beanstalk 健康检查能够访问我的健康检查端点(在我的情况下是 api/healthcheck)更好地允许 LoadBalancer 访问应用程序,而不是在 Nginx 处终止。
files:
"/tmp/45_nginx_https_rw.sh":
owner: root
group: root
mode: "000755"
content: |
#! /bin/bash
CONFIGURED=`grep -c "return 301 https" /etc/nginx/sites-available/elasticbeanstalk-nginx-docker-proxy.conf`
if [ $CONFIGURED = 0 ]
then
sed -i "/access.log;/a \ \ \ \ \ \ \ \ location /api/health-check { proxy_pass http://docker; }" /etc/nginx/sites-available/elasticbeanstalk-nginx-docker-proxy.conf
sed -i "/proxy_add_x_forwarded_for;/a \ \ \ \ \ \ \ \ \ \ \ \ if (\$http_x_forwarded_proto != 'https') { return 301 https://\$host\$request_uri; }" /etc/nginx/sites-available/elasticbeanstalk-nginx-docker-proxy.conf
logger -t nginx_rw "https rewrite rules added"
exit 0
else
logger -t nginx_rw "https rewrite rules already set"
exit 0
fi
container_commands:
00_run_script:
command: /tmp/45_nginx_https_rw.sh
【讨论】:
我能够让它以不同的方式工作。我更改了负载均衡器以将端口 80 流量转发到端口 8082,并更改了防火墙规则(实例上的入站,防火墙上的出站)以允许这样做。然后在 .ebextensions 中添加这个文件:
files:
"/etc/nginx/conf.d/50-atd-hotel-http-redirect.conf":
mode: "000644"
owner: root
group: root
content: |
server {
listen 8082;
return 301 --WHATEVER DESTINATION YOU WANT--;
}
【讨论】:
接受的答案对我不起作用。经过多次尝试(以及数小时的谷歌搜索),我找到了一些对我有用的东西。我也有一个基于 Node.js 的站点,我在 Elastic Beanstalk 上运行。
我做的唯一修改是关闭了
/opt/elasticbeanstalk/support/conf/webapp_healthd.conf
通过
/etc/nginx/sites-available/elasticbeanstalk-nginx-docker-proxy.conf
所以它给出了这个:
files:
"/tmp/45_nginx_https_rw.sh":
owner: root
group: root
mode: "000644"
content: |
#! /bin/bash
CONFIGURED=`grep -c "return 301 https" /etc/nginx/sites-available/elasticbeanstalk-nginx-docker-proxy.conf`
if [ $CONFIGURED = 0 ]
then
sed -i '/listen 80;/a \ if ($http_x_forwarded_proto = "http") { return 301 https://$host$request_uri; }\n' /etc/nginx/sites-available/elasticbeanstalk-nginx-docker-proxy.conf
logger -t nginx_rw "https rewrite rules added"
exit 0
else
logger -t nginx_rw "https rewrite rules already set"
exit 0
fi
container_commands:
00_appdeploy_rewrite_hook:
command: cp -v /tmp/45_nginx_https_rw.sh /opt/elasticbeanstalk/hooks/appdeploy/enact
01_configdeploy_rewrite_hook:
command: cp -v /tmp/45_nginx_https_rw.sh /opt/elasticbeanstalk/hooks/configdeploy/enact
02_rewrite_hook_perms:
command: chmod 755 /opt/elasticbeanstalk/hooks/appdeploy/enact/45_nginx_https_rw.sh /opt/elasticbeanstalk/hooks/configdeploy/enact/45_nginx_https_rw.sh
03_rewrite_hook_ownership:
command: chown root:users /opt/elasticbeanstalk/hooks/appdeploy/enact/45_nginx_https_rw.sh /opt/elasticbeanstalk/hooks/configdeploy/enact/45_nginx_https_rw.sh
在eb deploy 之后,只需重启你的 nginx sudo service nginx restart 就可以了。
【讨论】: