У меня есть сервер nginx с установленным сертификатом SSL. Я хочу передавать любые запросы на мой сервер Gunicorn, работающий на 0.0.0.0:8000. Однако всякий раз, когда я запускаю сервер Gunicorn, он выдает ошибку, говоря, что слишком много циклов перенаправления. Если я запущу gunicorn через https, то соединение БУДЕТ безопасным, но оно не будет подключаться к серверу Gunicorn и просто скажет bad gateway. Кроме того, вот ошибка, которую я получаю при попытке подключиться при запуске Gunicorn с https:
Traceback (most recent call last):
File "/opt/bitnami/python/lib/python2.7/site-packages/gunicorn/arbiter.py", line 515, in spawn_worker
worker.init_process()
File "/opt/bitnami/python/lib/python2.7/site-packages/gunicorn/workers/base.py", line 126, in init_process
self.run()
File "/opt/bitnami/python/lib/python2.7/site-packages/gunicorn/workers/sync.py", line 119, in run
self.run_for_one(timeout)
File "/opt/bitnami/python/lib/python2.7/site-packages/gunicorn/workers/sync.py", line 66, in run_for_one
self.accept(listener)
File "/opt/bitnami/python/lib/python2.7/site-packages/gunicorn/workers/sync.py", line 30, in accept
self.handle(listener, client, addr)
File "/opt/bitnami/python/lib/python2.7/site-packages/gunicorn/workers/sync.py", line 141, in handle
self.handle_error(req, client, addr, e)
File "/opt/bitnami/python/lib/python2.7/site-packages/gunicorn/workers/base.py", line 213, in handle_error
self.log.exception("Error handling request %s", req.uri)
AttributeError: 'NoneType' object has no attribute 'uri'
[2016-01-01 15:37:45 +0000] [935] [INFO] Worker exiting (pid: 935)
[2016-01-01 20:37:45 +0000] [938] [INFO] Booting worker with pid: 938
[2016-01-01 15:37:46 +0000] [938] [ERROR] Exception in worker process:
Вот моя конфигурация nginx:
server {
# port to listen on. Can also be set to an IP:PORT
listen 80;
listen 443 ssl;
ssl_certificate /etc/ssl/pyhub_crt.crt;
ssl_certificate_key /etc/ssl/pyhub.key;
server_name www.pyhub.co;
server_name_in_redirect off;
access_log /opt/bitnami/nginx/logs/access.log;
error_log /opt/bitnami/nginx/logs/error.log;
location /E0130777F7D5B855A4C5DEB138808515.txt {
root /home/bitnami;
}
location / {
proxy_pass_header Server;
proxy_set_header Host $host;
proxy_set_header X-Scheme $scheme;
proxy_set_header X-SSL-Protocal $ssl_protocol;
proxy_connect_timeout 10;
proxy_read_timeout 10;
proxy_redirect http:// $scheme://;
proxy_pass http://localhost:8000;
}
Если gunicorn привязан к 0.0.0.0, он привязан ко всем интерфейсам, поэтому он уже доступен для внешнего интерфейса. Если nginx попытается подключиться к любому интерфейсу на том же порту, это не удастся.
Gunicorn должен быть привязан к определенному ip или лучше 127.0.0.1, чтобы он был привязан только к внутреннему ip.
Сесонд, вы говорите, что хотите передать https на gunicorn, но трафик защищен с помощью SSL на ваш прокси-сервер, который имеет сертификаты, то есть ngninx. После этого внутренний трафик очищается (т.е. это http) для Gunicorn, если у вас также не настроен SSL на Gunicorn.
Итак, ваша конфигурация nginx должна иметь:
моя конфигурация прокси-сервера nginx для SSL выглядит примерно так:
upstream website {
ip_hash; # for sticky sessions, more below
server website:8000 max_fails=1 fail_timeout=10s;
}
server {
# only listen to https here
listen 443 ssl http2;
listen [::]:443 ssl http2;
server_name yourdomain.here.com;
access_log /var/log/nginx/yourdomain.here.com.access.log;
error_log /var/log/nginx/yourdomain.here.com.error.log;
ssl on;
ssl_certificate /etc/nginx/certs/ca-cert.chained.crt;
ssl_certificate_key /etc/nginx/certs/cert.key;
ssl_session_cache shared:SSL:5m;
ssl_session_timeout 10m;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
#ssl_dhparam /etc/nginx/certs/dhparams.pem;
# use the line above if you generated a dhparams file
ssl_ciphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA';
ssl_buffer_size 8k;
location / {
proxy_pass http://website;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_http_version 1.1;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto http;
proxy_redirect http:// $scheme://;
}
}
# redirect http to https here
server {
listen 80;
listen [::]:80;
server_name yourdomain.here.com;
return 301 https://$server_name/;
}
Попробуй это:
upstream app_server {
server 127.0.0.1:8000 fail_timeout=0;
}
server {
# port to listen on. Can also be set to an IP:PORT
listen 80;
listen 443 ssl;
ssl_certificate /etc/ssl/pyhub_crt.crt;
ssl_certificate_key /etc/ssl/pyhub.key;
server_name www.pyhub.co;
server_name_in_redirect off;
access_log /opt/bitnami/nginx/logs/access.log;
error_log /opt/bitnami/nginx/logs/error.log;
location /E0130777F7D5B855A4C5DEB138808515.txt {
root /home/bitnami;
}
location / {
try_files @proxy_to_app;
}
location @proxy_to_app {
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header Host $http_host;
proxy_redirect off;
proxy_pass http://app_server;
proxy_pass_header Server;
proxy_set_header Host $host;
proxy_set_header X-Scheme $scheme;
proxy_set_header X-SSL-Protocol $ssl_protocol;
}
}
Обратите внимание, что это (правильно) завершит SSL в nginx скорее, чем gunicorn. Вы также неправильно написали Protocal в X-SSL-Protocal; исправлено в моем примере :)
Видеть Вот для канонической информации о развертывании gunicorn с участием nginx.
Я должен был опубликовать этот ответ давным-давно, так как мой сайт уже давно работает. Но вот как я заставил свою конфигурацию работать.
После того, как я много возился с конфигурацией Nginx, я очень расстроился и сдался. Итак, я удалил этот сервер, создал новый со свежими установками всего и клонировал исходный код своего веб-сайта из репозитория, в котором он находится. После этого я использовал эту конфигурацию Nginx для его работы:
upstream djangosite {
server 127.0.0.1:8000 fail_timeout=2s;
}
server {
# port to listen on. Can also be set to an IP:PORT
listen 443 ssl;
server_name pyhub.co;
ssl_certificate /etc/ssl/pyhub.crt;
ssl_certificate_key /etc/ssl/pyhub.key;
location / {
proxy_pass http://djangosite;
}
server {
listen 80;
server_name pyhub.co;
return 301 https://$server_name$request_uri;
}
По сей день я все еще не знаю, что вызывало у меня проблемы с моей конфигурацией или почему мне пришлось получить другой сервер с полностью новой установкой на нем, но я просто рад, что он работает. Я бы выбрал один из двух уже предоставленных отличных ответов, но ни один из них не дал мне решения, и я не хочу выбирать свой собственный, потому что считаю, что это слишком специфично для моей проблемы, и выбор этого ответа может не смогут помочь многим людям в будущем.