如何获得Elastic Beanstalk nginx支持的代理服务器自动从HTTPredirect到HTTPS?
我有一个在Amazon Elastic Beanstalk上运行的Node.js动力站点。
我的Node.js应用程序监听端口8080,我正在使用nginx弹性负载均衡器configuration与我的EB应用程序,侦听端口80和443的HTTP和HTTPS。
但是,我只想接受通过HTTPS发送的应用中的stream量。
我可以在应用程序中安装某些东西来处理这个问题,但是有兴趣的方式是让负载平衡器通过HTTPS将所有HTTP请求redirect到我的站点。
经过几次亚马逊的支持,他们的想法终于来了。 这样做的方法是configuration您的环境,以响应端口80和443.然后在名为.ebextensions主Node.js应用程序文件夹中创build一个文件夹,然后在其中放置一个名为00_nginx_https_rw.config的文件,本文为内容:
files: "/tmp/45_nginx_https_rw.sh": owner: root group: root mode: "000644" content: | #! /bin/bash CONFIGURED=`grep -c "return 301 https" /etc/nginx/conf.d/00_elastic_beanstalk_proxy.conf` if [ $CONFIGURED = 0 ] then sed -i '/listen 8080;/a \ if ($http_x_forwarded_proto = "http") { return 301 https://$host$request_uri; }\n' /etc/nginx/conf.d/00_elastic_beanstalk_proxy.conf logger -t nginx_rw "https rewrite rules added" exit 0 else logger -t nginx_rw "https rewrite rules already set" exit 0 fi container_commands: 00_appdeploy_rewrite_hook: command: cp -v /tmp/45_nginx_https_rw.sh /opt/elasticbeanstalk/hooks/appdeploy/enact 01_configdeploy_rewrite_hook: command: cp -v /tmp/45_nginx_https_rw.sh /opt/elasticbeanstalk/hooks/configdeploy/enact 02_rewrite_hook_perms: command: chmod 755 /opt/elasticbeanstalk/hooks/appdeploy/enact/45_nginx_https_rw.sh /opt/elasticbeanstalk/hooks/configdeploy/enact/45_nginx_https_rw.sh 03_rewrite_hook_ownership: command: chown root:users /opt/elasticbeanstalk/hooks/appdeploy/enact/45_nginx_https_rw.sh /opt/elasticbeanstalk/hooks/configdeploy/enact/45_nginx_https_rw.sh
亚马逊的支持团队解释说:这个configuration会创build一个部署钩子,将重写规则添加到/etc/nginx/conf.d/00_elastic_beanstalk_proxy.conf中。
(以前他们给我提供了.config的文件,把单独的文件复制到/etc/nginx/conf.d中,但这些文件没有任何效果,或者更糟糕的是,由于某种原因,似乎覆盖或优先于默认的nginxconfiguration。
如果你想撤销这个,即删除挂钩,你需要删除这个ebextension,并发出一个命令来删除它创build的文件。 您可以手动执行此操作,也可以通过临时放置的ebextensions命令来执行此操作:
/opt/elasticbeanstalk/hooks/appdeploy/enact/45_nginx_https_rw.sh /opt/elasticbeanstalk/hooks/configdeploy/enact/45_nginx_https_rw.sh
我还没有尝试过,但大概这样的东西会消除它们,并取消这个变化:
container_commands: 00_undochange: command: rm /opt/elasticbeanstalk/hooks/appdeploy/enact/45_nginx_https_rw.sh 01_undochange: command: rm /opt/elasticbeanstalk/hooks/configdeploy/enact/45_nginx_https_rw.sh
希望这可以帮助别人在未来。
被接受的答案不再为我工作。 默认的端口是不同的。 此外,configuration文件的位置已经改变。 我正在用Pumabuild立一个Ruby On Rails应用程序。
我谈到了付费支持,我们通过在正在运行的实例上手动运行命令来计算出来。 然后我能够找出下面的解决scheme。 只要login并重新启动nginx的东西,然后工作。
files: "/tmp/45_nginx_https_rw.sh": owner: root group: root mode: "000644" content: | #! /bin/bash CONFIGURED=`grep -c "return 301 https" /opt/elasticbeanstalk/support/conf/webapp_healthd.conf` if [ $CONFIGURED = 0 ] then sed -i '/listen 80;/a \ if ($http_x_forwarded_proto = "http") { return 301 https://$host$request_uri; }\n' /opt/elasticbeanstalk/support/conf/webapp_healthd.conf logger -t nginx_rw "https rewrite rules added" exit 0 else logger -t nginx_rw "https rewrite rules already set" exit 0 fi container_commands: 00_appdeploy_rewrite_hook: command: cp -v /tmp/45_nginx_https_rw.sh /opt/elasticbeanstalk/hooks/appdeploy/enact 01_configdeploy_rewrite_hook: command: cp -v /tmp/45_nginx_https_rw.sh /opt/elasticbeanstalk/hooks/configdeploy/enact 02_rewrite_hook_perms: command: chmod 755 /opt/elasticbeanstalk/hooks/appdeploy/enact/45_nginx_https_rw.sh /opt/elasticbeanstalk/hooks/configdeploy/enact/45_nginx_https_rw.sh 03_rewrite_hook_ownership: command: chown root:users /opt/elasticbeanstalk/hooks/appdeploy/enact/45_nginx_https_rw.sh /opt/elasticbeanstalk/hooks/configdeploy/enact/45_nginx_https_rw.sh
注意我是如何改变端口号和configuration文件的位置的。
你可以通过你的Node.js应用程序来处理redirect。
当客户端连接不安全时,Amazon发送X-Forwarded-Proto头等于http 。
在初始化Express ,在定义路由之前,应该先插入以下中间件,以便将客户端自动redirect到相应的HTTPS端点:
// Redirect to HTTPS app.use(function (req, res, next) { // Insecure request? if (req.get('x-forwarded-proto') == 'http') { // Redirect to https:// return res.redirect('https://' + req.get('host') + req.url); } next(); });
我正在运行AWS Elastic Beanstalk上的“Ruby2 Puma”环境,它可能与上面的configuration略有不同。 在我的环境中,我需要使用“听80”而不是“听8080”。
sslredirect.config基于elloworld111的答案 :
files: "/etc/nginx/conf.d/000_my_config.conf": mode: "000755" owner: root owner: root content: | server { listen 80; return 301 https://$host$request_uri; }
我能够用一个稍微简单的解决scheme得到这个工作。
请注意,这是一个弹性的beanstalk部署SINGLE实例,不加载balenced。
这是我添加的ebextension。
files: "/etc/nginx/conf.d/000_my_config.conf": mode: "000755" owner: root owner: root content: | server { listen 8080; return 301 https://$host$request_uri; }
我正在使用Elastic Beanstalk和Docker,所以采取了一些稍微不同的路线来为我运行,但非常受启发于接受的答案。 该脚本将所需的configuration注入到/etc/nginx/sites-available/elasticbeanstalk-nginx-docker-proxy.conf中。 (如果有人有一个更优雅的解决scheme,很想看到它)
这个脚本还可以使Beanstalk健康检查命中我的健康检查终结点(在我的情况下,api / healthcheck)更好地允许LoadBalancer命中应用程序,而不是在Nginx终止。
files: "/tmp/45_nginx_https_rw.sh": owner: root group: root mode: "000755" content: | #! /bin/bash CONFIGURED=`grep -c "return 301 https" /etc/nginx/sites-available/elasticbeanstalk-nginx-docker-proxy.conf` if [ $CONFIGURED = 0 ] then sed -i "/access.log;/a \ \ \ \ \ \ \ \ location /api/health-check { proxy_pass http://docker; }" /etc/nginx/sites-available/elasticbeanstalk-nginx-docker-proxy.conf sed -i "/proxy_add_x_forwarded_for;/a \ \ \ \ \ \ \ \ \ \ \ \ if (\$http_x_forwarded_proto != 'https') { return 301 https://\$host\$request_uri; }" /etc/nginx/sites-available/elasticbeanstalk-nginx-docker-proxy.conf logger -t nginx_rw "https rewrite rules added" exit 0 else logger -t nginx_rw "https rewrite rules already set" exit 0 fi container_commands: 00_run_script: command: /tmp/45_nginx_https_rw.sh
我能够以不同的方式工作。 我更改了负载平衡器,将端口80的stream量转发到端口8082,并更改了防火墙规则(实例入站,防火墙出站)以允许这样做。 然后在.ebextensions中添加这个文件:
files: "/etc/nginx/conf.d/50-atd-hotel-http-redirect.conf": mode: "000644" owner: root group: root content: | server { listen 8082; return 301 --WHATEVER DESTINATION YOU WANT--; }
