ロードバランサーを使った構成で、HTTPをHTTPSにリダイレクトする



X-Forwarded-Protoを使う場合と、使わない場合で、まとめてみました。

AWSだと、このドキュメントにやり方が書いてありますね。

手元にAWS環境がないから試せないけど、流れとしては、下記のような感じだと思います。

  • ロードバランサーに対してHTTPでアクセスされても、HTTPSでアクセスされても、バックエンドWebサーバー(ロードバランサーに紐付いたサーバー)の80番ポートに転送する
  • バックエンドWebサーバー側では、X-Forwarded-Proto リクエストヘッダーを利用して、ロードバランサーに対してHTTPでアクセスされたか、HTTPSでアクセスされたかを判定する
  • ロードバランサーに対してHTTPでアクセスされた場合、URLを書き換える

.htaccess の使用は推奨されていないこと、初めて知りました。
VirtualHostを使えと。

下記、上記ドキュメントから引用。

仮想ホストファイルまたは .htaccess ファイルのいずれかで、mod_rewrite ルールを使用します。リダイレクトルールには仮想ホストファイルを使用することをベストプラクティスとして推奨しています。

注: .htaccess の使用は推奨されません。メインの構成ファイルにアクセスできない場合にのみ使用するようにしてください。

Apacheのサイトでも説明されていますね。

一般的に、サーバの主設定ファイルにアクセスできない場合を除いて、 .htaccess ファイルの使用は極力避けてください。

「HTTP HTTPS リダイレクト」とかで検索すると、.htaccessを利用した例がたくさん出てくるので、注意ですね。

X-Forwarded-Protoは、ここに説明されていますね。

バックエンドWebサーバーから見ると、ロードバランサーにHTTPでアクセスされても、HTTPSでアクセスされても、(上の例では)バックエンドWebサーバーの80番ポートに転送されるので、クライアントがHTTPでアクセスしたか、HTTPSでアクセスしたかを、RewriteCond %{HTTPS} offとかだと判定できません。

X-Forwarded-Protoには、ロードバランサーに対してHTTPでアクセスされたか、HTTPSでアクセスされたかが記載されていますので、バックエンドWebサーバー側でX-Forwarded-Protoを参照することにより、クライアントがHTTPでアクセスしたか、HTTPSでアクセスしたかを判定することができます。

AWSクラシック環境にもあるんですね。

X-Forwarded-Protoを使わない場合は、HTTPとHTTPSで、バックエンドWebサーバーの別のポートに転送すればいいと思います。

このページに紹介された方法が、この方法に当たると思います。

例えば、(リンクのページのやり方とは違いますが)ロードバランサーに対してHTTPでアクセスされたら80番、HTTPSでアクセスされたらウェルノウンポート番号以外の任意のポート番号に転送すればいいです。

これにより、ロードバランサーに対してHTTPでアクセスされたか、HTTPSでアクセスされたかによって、バックエンドWebサーバー側の異なるポートに転送されますので、バックエンドWebサーバー側で判定できます。

HTTPでアクセスされた場合のみ、80番ポートに転送されますので、<VirtualHost *:80></VirtualHost>の中でURLを書き換えれば、HTTPの場合はHTTPSにリダイレクトすることができます。

HTTPSでアクセスされた場合のみ、URLを書き換えることもできますね。例えば、10000番に転送した場合、バックエンドWebサーバーで10000番をListenするように設定し、<VirtualHost *:10000></VirtualHost>にRewriteを設定すれば良いです。

以上のように、ロードバランサーを使った構成で、HTTPをHTTPSにリダイレクトする方法について、X-Forwarded-Protoを使う場合と、使わない場合で、まとめてみました。

コメント

コメントを投稿

このブログの人気の投稿

PowerShell 6で、Shift_JISのCSVをImport-Csvで読み込んだら文字化けした

Follow @venividivici830 PowerShell 4で作ったShift_JIS(シフトJIS)のCSVを読み込むスクリプトを、PowerShell 6で動かしたら文字化けした話。 結論としては、下記のようにすればOK。 > Import-Csv -Encoding ([System.Text.Encoding]::GetEncoding(932)) path_to_csv_file 現象 PowerShell 4では、 このページ にあるように、Import-Csvコマンドレットのオプションとして、-Encoding defaultを付ければよかった。 ところが、PowerShell 6では上手くいかない。 例えば、下記のようなshift-jisのCSVがある。 名前,年齢 田中,20 山田,10 これを、-Encoding defaultオプションで読み込むと、 > Import-Csv -Encoding default ./test.csv                        O N ---- ---- c 20   Rc 10   このように文字化けする具合だ。 原因 まず、「default」がutf-8に変わったのが原因のようだ。 .NET Framework クラスライブラリーの、System.Text名前空間の、Encodingクラスの、Defaultプロパティーを確認した。 > [ System.Text.Encoding ]:: Default BodyName           : utf-8 EncodingName       : Unicode (UTF-8) HeaderName         : utf-8 WebName           : utf-8 WindowsCodePage   : 1200 IsBrowserDisplay   : True IsBrowserSave     : True IsMailNewsDisplay : True IsMailNewsSave     : Tru
続きを読む

Windowsで、特定のユーザーに特定のサービスの再起動を許可する

Follow @venividivici830 Windowsで、ユーザーごとに、サービスレベルで操作権限(サービスの開始、停止など)を与える話です。 流れとしては、 scコマンドで、サービスの随意アクセス制御リスト (DACL) に対し、セキュリティ記述子定義言語 (SDDL) 構文で、アクセス制御情報を追加する ことになります。 これにより、あるユーザーはOracleの再起動だけ許可、あるユーザーはTomcatの再起動だけ許可、など、細かい権限設定が可能です。 サーバーのマシン自体の再起動権限は与えられないけど、アプリケーションサーバープログラムや、DBサーバープログラムの再起動だけは許可したい、などのシチュエーションに使えます。 サービスのDACLは、名の通り、サービス単位で権限を制御するためのACLです。 SDDLは、ACLを文字列で記述するための構文です。 「;」で各フィールドを区切る形です。詳細については、 こちら 。に公式ドキュメントg サービスの操作権限をユーザーレベルで制御するには、最低限、下記のように3つのフィールドを設定すれば良いようです。 (許可 (A)/拒否 (D);;アクセス許可の文字列;;; SID ) ;;や;;;って何だよ、と最初見た時思いましたが、フィールドが空で、デリミター(;)だけが並んでいるだけですね。 許可 (A)/拒否 (D) には、サービスに対する特定の操作を 許可する場合はA、拒否する場合はD を設定します。 (許可または拒否する)サービスに対する特定の操作は、 アクセス許可の文字列 で設定します。 このページ に、 アクセス許可の文字列 に設定できる値が一覧されています。 再起動の場合は、RP(Start)とWP(Stop)の操作を許可すれば良いので、RPWP を指定すれば良いです。 SID は、ユーザーオブジェクトに固有のIDで、要はユーザーのIDです。権限を付与したいユーザーのSIDを指定します。 権限を付与したいユーザーで、 コマンドプロンプトからwhoamiコマンドをuserオプション付きで実行することにより、SIDを取得できます。 > whoami /user WIndowsにもwhoamiコマンドがあったんですね。知らなかった。 まと
続きを読む

PowerShellでイベントログを取得する時、「指定した選択条件に一致するイベントが見つかりませんでした。」が煩わしいのでcatchする

Follow @venividivici830 Windowsサーバーを点検する時など、イベントログをPowerShellで操作すると便利です。 Get-WinEventコマンドレットでイベントログを取得できますが、指定した条件に当てはまるイベントログがない場合、下記のエラーがスローされます。 Get-WinEvent : 指定した選択条件に一致するイベントが見つかりませんでした。 〜 NoMatchingEventsFound, 〜 NoMatchingEventsFoundが示すように、ただ指定した条件にマッチするイベントがなかっただけなので、条件としてエラーのレベルを「重大」や「エラー」にした場合は、特に問題ないことが多い。 エラーとして赤文字でコンソールに出力されるのは煩わしいので、catchする。 下記は、スクリプトの例。 $ErrorActionPreference = "Stop" $today = Get-Date $from = $today.AddMonths(-1) $filter = @{LogName="system"; Level=1; StartTime=$from} try { Get-WinEvent -FilterHashtable $filter } catch { $category = $Global:Error[0].CategoryInfo.Category.ToString() if ($category -eq "ObjectNotFound") { # 問題ない } else { # Error Handling } } 上の例では、過去1ヶ月分の、WIndowsログ→システムの、エラーレベルが「重大」のログを取得している。 下記の部分のsystemを「application」に変えれば、アプリケーションのログを取得できる。 また、Level=2、3とすることで、それぞれエラーレベルが「エラー」、「警告」のログを取得できる。 $filter = @{LogName="system"; Level=1; StartTime
続きを読む