Назад | Перейти на главную страницу

Прокси-сервер Nginx для AWS ELB не передает протокол HTTPS на серверные инстансы

Это мой первый вопрос, поэтому, пожалуйста, не беспокойтесь!

Я пытаюсь настроить прокси-сервер Nginx для автоматического создания сертификатов SSL с использованием OpenResty / Lua и LetsEncrypt на многопользовательской платформе SAAS.

Прокси-сервер работает, сертификаты выдаются нормально. Конфигурация Nginx (через OpenResty) передает запросы моему AWS Elastic (Classic) Load Balancer.

Проблема в том, что экземпляры, стоящие за моим ELB, похоже, не получают протокол HTTPS, поэтому все ссылки в навигации по моим веб-сайтам и т. Д. Являются HTTP, а не HTTPS.

Например, загрузка https: //www.domain.com работает, но при нажатии на ссылку в навигации отображается http: //www.domain.com/page.html

Вот моя конфигурация OpenResty / nginx на прокси:

http {
  lua_shared_dict auto_ssl 1m;
  lua_shared_dict auto_ssl_settings 64k;
  resolver 8.8.8.8 ipv6=off;

  init_by_lua_block {
    auto_ssl = (require "resty.auto-ssl").new()
    auto_ssl:set("allow_domain", function(domain)
      return true
    end)
    auto_ssl:init()
  }

  init_worker_by_lua_block {
    auto_ssl:init_worker()
  }

  server {
    listen 443 ssl;
    location / {
      proxy_pass http://AWS-ELB-URL-HERE;
      proxy_set_header Host $http_host;
      proxy_set_header X-Real-IP $remote_addr;
      proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
      proxy_set_header X-Forwarded-Proto $scheme;
    }
    ssl_certificate_by_lua_block {
      auto_ssl:ssl_certificate()
    }
    ssl_certificate /etc/ssl/resty-auto-ssl-fallback.crt;
    ssl_certificate_key /etc/ssl/resty-auto-ssl-fallback.key;
  }

  server {
    listen 80;
    location /.well-known/acme-challenge/ {
      content_by_lua_block {
        auto_ssl:challenge_server()
      }
    }
  }

  server {
    listen 127.0.0.1:8999;
    client_body_buffer_size 128k;
    client_max_body_size 128k;

    location / {
      content_by_lua_block {
        auto_ssl:hook_server()
      }
    }
  }
}

В попытке определить, связана ли проблема с моим приложением Rails, я изменил конфигурацию Nginx, указав прямо на IP-адрес экземпляра, а не на ELB. При этом все ссылки https(!), чего я и хочу!

Итак, на данный момент я считаю, что проблема либо а) моя конфигурация Nginx не передает протокол должным образом, либо б) мой ELB не передает протокол в серверный экземпляр.

Я как бы склонен думать, что виновником является ELB, поскольку все работает, как ожидалось, при прямом указании прокси-сервера на IP-адрес экземпляра.

Итак, я начал изучать конфигурацию ELB и слушателей, но пока не смог найти работающую конфигурацию. Вот что у меня есть сейчас:

Я также попытался изменить его на:

Протокол балансировки нагрузки: HTTPS (безопасный HTTP), порт балансировщика нагрузки: 443, протокол экземпляра: HTTP, порт экземпляра: 80

Но это тоже не сработало, и ссылки по-прежнему HTTP.

Сейчас я просто догадываюсь, что мне делать со слушателями и портами, пробуя любую конфигурацию, чтобы увидеть, работает она или нет. Пока ничего.

Есть ли у кого-нибудь представление о том, в чем может быть проблема и как ее исправить? TIA!

ок, разобрался! Я только что добавил в блок SSL дополнительную директиву:

proxy_set_header X-Forwarded-Ssl on;

После перезапуска nginx все запросы теперь передаются как https на мой ELB и серверы приложений за ним!

Кроме того, для моих слушателей ELB я удалил слушатель SSL (Secure TCP) и добавил:

Протокол LB: HTTPS (безопасный HTTP), порт LB: 443, протокол экземпляра: HTTP, порт экземпляра: 80