Startseite>Programmierbezogen>Anderer Quellcode
Herunterladen

NGINX-Modul für Puppet

Dieses Modul wurde von James Fryman [email protected] nach Vox Pupuli migriert.

INSTALLATION ODER UPGRADE

Dieses Modul verwaltet die NGINX-Konfiguration.

Anforderungen

  • Puppet 4.6.1 oder höher. Puppet 3 wurde bis zur Version 0.6.0 unterstützt.
  • apt ist jetzt eine weiche Abhängigkeit. Wenn Ihr System apt verwendet, müssen Sie eine entsprechende Version des apt-Moduls konfigurieren. Aufgrund der ordnungsgemäßen Handhabung von apt-transport-https wird Version 4.4.0 oder höher empfohlen.

Zusätzliche Dokumentation

  • Eine Kurzanleitung zum NGINX Puppet-Modul

Installieren und booten Sie eine NGINX-Instanz 

 include nginx

Ein einfacher Reverse-Proxy 

 nginx::resource::server { 'kibana.myhost.com' :
  listen_port => 80,
  proxy       => ' http://localhost:5601 ' ,
}

Ein virtueller Host mit statischem Inhalt 

 nginx::resource::server { 'www.puppetlabs.com' :
  www_root => ' /var/www/www.puppetlabs.com ' ,
}

Ein komplexeres Proxy-Beispiel 

 nginx::resource::upstream { 'puppet_rack_app' :
  members => {
    ' localhost:3000 ' => {
      server => ' localhost ' ,
      port   => 3000,
      weight => 1,
    },
    ' localhost:3001 ' => {
      server => ' localhost ' ,
      port   => 3001,
      weight => 1,
    },
    ' localhost:3002 ' => {
      server => ' localhost ' ,
      port   => 3002,
      weight => 2,
      },
  },
}

nginx::resource::server { 'rack.puppetlabs.com' :
  proxy => ' http://puppet_rack_app ' ,
}

Fügen Sie einen SMTP-Proxy hinzu 

 class { 'nginx' :
  mail => true ,
}

nginx::resource::mailhost { 'domain1.example' :
  auth_http       => ' server2.example/cgi-bin/auth ' ,
  protocol        => ' smtp ' ,
  listen_port     => 587,
  ssl_port        => 465,
  starttls        => ' only ' ,
  xclient         => ' off ' ,
  proxy_protocol  => ' off ' ,
  proxy_smtp_auth => ' off ' ,
  ssl             => true ,
  ssl_cert        => ' /tmp/server.crt ' ,
  ssl_key         => ' /tmp/server.pem ' ,
}

Konvertieren Sie Upstream-Mitglieder von Array in Hash

Der Datentyp Array für Mitglieder eines nginx::resource::upstream wird durch einen Hash ersetzt. Die folgende Konfiguration ist nicht mehr gültig: 

 nginx::resource::upstream { 'puppet_rack_app' :
  members => {
    ' localhost:3000 ' ,
    ' localhost:3001 ' ,
    ' localhost:3002 ' ,
  },
}

Von nun an muss die Konfiguration so aussehen: 

 nginx::resource::upstream { 'puppet_rack_app' :
  members => {
    ' localhost:3000 ' => {
      server => ' localhost ' ,
      port   => 3000,
    },
    ' localhost:3001 ' => {
      server => ' localhost ' ,
      port   => 3001,
    },
    ' localhost:3002 ' => {
      server => ' localhost ' ,
      port   => 3002,
    },
  },
}

SSL-Konfiguration

Standardmäßig wird beim Erstellen einer Serverressource nur ein HTTP-Server erstellt. Um auch einen HTTPS-Server (SSL-fähig) zu erstellen, legen Sie auf dem Server ssl => true fest. Sie verfügen über einen HTTP-Server, listen_port (standardmäßig Port 80 ) überwacht, und einen HTTPS-Server, der ssl_port (standardmäßig Port 443 ) überwacht. Beide Server haben denselben server_name und eine ähnliche Konfiguration.

Um nur einen HTTPS-Server zu erstellen, setzen Sie ssl => true und setzen Sie listen_port auf denselben Wert wie ssl_port . Wenn Sie diese auf denselben Wert festlegen, wird der HTTP-Server deaktiviert. Der resultierende Server überwacht ssl_port .

Idempotenz mit Nginx 1.15.0 und höher

Standardmäßig konfiguriert dieses Modul möglicherweise die veraltete ssl on -Direktive. Wenn Sie Puppet das nächste Mal ausführen, wird dies entfernt, da der Fakt nginx_version jetzt verfügbar ist. Um dieses Idempotenzproblem zu vermeiden, können Sie den Parameter nginx_version der Basisklasse manuell festlegen.

Standorte

Standorte erfordern spezifische Einstellungen, je nachdem, ob sie in den HTTP-, HTTPS- oder beide Server eingebunden werden sollen.

Nur HTTP-Server (Standard)

Wenn Sie nur über einen HTTP-Server verfügen (dh ssl => false auf dem Server), stellen Sie sicher, dass Sie ssl => true an keinem Ort festlegen, den Sie mit dem Server verknüpfen.

HTTP- und HTTPS-Server

Wenn Sie ssl => true festlegen und außerdem listen_port und ssl_port auf unterschiedliche Werte auf dem Server setzen, müssen Sie die Standorteinstellungen genau festlegen, da ein HTTP-Server auf listen_port und ein HTTPS-Server auf ssl_port lauscht:

  • Um einen Standort nur zum HTTP-Server hinzuzufügen, legen Sie ssl => false für den Standort fest (dies ist die Standardeinstellung).
  • Um einen Standort sowohl zum HTTP- als auch zum HTTPS-Server hinzuzufügen, legen Sie ssl => true für den Standort fest und stellen Sie sicher, dass ssl_only => false (was der Standardwert für ssl_only ist).
  • Um einen Standort nur zum HTTPS-Server hinzuzufügen, legen Sie für den Standort sowohl ssl => true als auch ssl_only => true fest.

Nur HTTPS-Server

Wenn Sie ssl => true und auch listen_port und ssl_port auf dem Server auf denselben Wert gesetzt haben, haben Sie einen einzelnen HTTPS-Server, der ssl_port überwacht. Um diesem Server einen Standort hinzuzufügen, setzen Sie ssl => true und ssl_only => true für den Standort.

Hiera-Support

Definieren von Nginx-Ressourcen in Hiera. 

 nginx::nginx_upstreams :
  ' puppet_rack_app ' :
    ensure : present
    members :
      ' localhost:3000 ' :
        server : ' localhost '
        port : 3000
      ' localhost:3001 ' :
        server : ' localhost '
        port : 3001
      ' localhost:3002 ' :
        server : ' localhost '
        port : 3002
nginx::nginx_servers :
  ' www.puppetlabs.com ' :
    www_root : ' /var/www/www.puppetlabs.com '
  ' rack.puppetlabs.com ' :
    proxy : ' http://puppet_rack_app '
nginx::nginx_locations :
  ' static ' :
    location : ' ~ "^/static/[0-9a-fA-F]{8}/(.*)$" '
    server : www.puppetlabs.com
    www_root : /var/www/html
  ' userContent ' :
    location : /userContent
    server : www.puppetlabs.com
    www_root : /var/www/html
nginx::nginx_mailhosts :
  ' smtp ' :
    auth_http : server2.example/cgi-bin/auth
    protocol : smtp
    listen_port : 587
    ssl_port : 465
    starttls : only

Ein Stream-Syslog-UDP-Proxy 

 nginx::stream : true

nginx::nginx_cfg_prepend :
  include :
    - ' /etc/nginx/modules-enabled/*.conf '

nginx::nginx_streamhosts :
  ' syslog ' :
    ensure :                 ' present '
    listen_port :            514
    listen_options :         ' udp '
    proxy :                  ' syslog '
    proxy_read_timeout :     ' 1 '
    proxy_connect_timeout :  ' 1 '
    raw_append :
      - ' error_log off; '

nginx::nginx_upstreams :
  ' syslog ' :
    context : ' stream '
    members :
      ' 10.0.0.1:514 ' :
        server : ' 10.0.0.1 '
        port : 514
      ' 10.0.0.2:514 ' :
        server : ' 10.0.0.2 '
        port : 514
      ' 10.0.0.3:514 ' :
        server : ' 10.0.0.3 '
        port : 514

Nginx mit vorkompiliertem Passenger

Beispielkonfiguration für Debian und RHEL / CentOS (>6), wobei die Nginx- und Passenger-Pakete aus dem Phusion-Repository abgerufen werden. Weitere Hinweise finden Sie unter https://github.com/voxpupuli/puppet-nginx/blob/master/docs/quickstart.md 

 class { 'nginx' :
  package_source  => ' passenger ' ,
  http_cfg_append => {
    ' passenger_root ' => ' /usr/lib/ruby/vendor_ruby/phusion_passenger/locations.ini ' ,
  }
}

Hier das Beispiel für OpenBSD: 

 class { 'nginx' :
  package_flavor => ' passenger ' ,
  service_flags  => ' -u '
  http_cfg_append => {
    passenger_root          => ' /usr/local/lib/ruby/gems/2.1/gems/passenger-4.0.44 ' ,
    passenger_ruby          =>  ' /usr/local/bin/ruby21 ' ,
    passenger_max_pool_size => ' 15 ' ,
  }
}

Die Paketquelle passenger fügt das Phusion Passenger-Repository zu den APT-Quellen hinzu. Für jeden virtuellen Host sollten Sie angeben, welcher Ruby verwendet werden soll. 

 nginx::resource::server { 'www.puppetlabs.com' :
  www_root          => ' /var/www/www.puppetlabs.com ' ,
  server_cfg_append => {
    ' passenger_enabled ' => ' on ' ,
    ' passenger_ruby '    => ' /usr/bin/ruby ' ,
  }
}

Puppenspieler im Dienste von Nginx und Passenger

Virtuelle Host-Konfiguration für die Bereitstellung von Puppet Master: 

 nginx::resource::server { 'puppet' :
  ensure               => present ,
  server_name          => [ ' puppet ' ],
  listen_port          => 8140,
  ssl                  => true ,
  ssl_cert             => ' /var/lib/puppet/ssl/certs/example.com.pem ' ,
  ssl_key              => ' /var/lib/puppet/ssl/private_keys/example.com.pem ' ,
  ssl_port             => 8140,
  server_cfg_append    => {
    ' passenger_enabled '      => ' on ' ,
    ' passenger_ruby '         => ' /usr/bin/ruby ' ,
    ' ssl_crl '                => ' /var/lib/puppet/ssl/ca/ca_crl.pem ' ,
    ' ssl_client_certificate ' => ' /var/lib/puppet/ssl/certs/ca.pem ' ,
    ' ssl_verify_client '      => ' optional ' ,
    ' ssl_verify_depth '       => 1,
  },
  www_root             => ' /etc/puppet/rack/public ' ,
  use_default_location => false ,
  access_log           => ' /var/log/nginx/puppet_access.log ' ,
  error_log            => ' /var/log/nginx/puppet_error.log ' ,
  passenger_cgi_param  => {
    ' HTTP_X_CLIENT_DN '     => ' $ssl_client_s_dn ' ,
    ' HTTP_X_CLIENT_VERIFY ' => ' $ssl_client_verify ' ,
  },
}

Beispiel einer Puppet-Klasse, die nginx::server mit HTTPS FastCGI und HTTP-Umleitung aufruft 

 $full_web_path = ' /var/www '

define web::nginx_ssl_with_redirect (
  $backend_port         = 9000,
  $php                  = true ,
  $proxy                = undef ,
  $www_root             = " ${full_web_path} / ${name} / " ,
  $location_cfg_append  = undef ,
) {
  nginx::resource::server { "${name}.${facts['networking']['domain']}" :
    ensure              => present ,
    www_root            => " ${full_web_path} / ${name} / " ,
    location_cfg_append => {
      ' rewrite ' => ' ^ https://$server_name$request_uri? permanent '
    }‚,
  }

  if ! $www_root {
    $tmp_www_root = undef
  } else {
    $tmp_www_root = $www_root
  }

  nginx::resource::server { "${name}.${facts['networking']['domain']} ${name}" :
    ensure                => present ,
    listen_port           => 443,
    www_root              => $tmp_www_root ,
    proxy                 => $proxy ,
    location_cfg_append   => $location_cfg_append ,
    index_files           => [ ' index.php ' ],
    ssl                   => true ,
    ssl_cert              => ' /path/to/wildcard_mydomain.crt ' ,
    ssl_key               => ' /path/to/wildcard_mydomain.key ' ,
  }


  if $php {
    nginx::resource::location { "${name}_root" :
      ensure          => present ,
      ssl             => true ,
      ssl_only        => true ,
      server           => " ${name} .${facts['networking']['domain']} ${name} " ,
      www_root        => " ${full_web_path} / ${name} / " ,
      location        => ' ~ . php$ ' ,
      index_files     => [ ' index.php ' , ' index.html ' , ' index.htm ' ],
      proxy           => undef ,
      fastcgi         => " 127.0.0.1: ${backend_port} " ,
      fastcgi_script  => undef ,
      location_cfg_append => {
        fastcgi_connect_timeout => ' 3m ' ,
        fastcgi_read_timeout    => ' 3m ' ,
        fastcgi_send_timeout    => ' 3m '
      }
    }
  }
}

Fügen Sie benutzerdefinierte fastcgi_params hinzu 

 nginx::resource::location { "some_root" :
  ensure         => present ,
  location       => ' /some/url ' ,
  fastcgi        => " 127.0.0.1:9000 " ,
  fastcgi_param  => {
    ' APP_ENV ' => ' local ' ,
  },
}

Rufen Sie die Klasse web::nginx_ssl_with_redirect auf 

 web::nginx_ssl_with_redirect { 'sub-domain-name' :
    backend_port => 9001,
  }
Expandieren
Zusätzliche Informationen
Ähnliche Anwendungen
Empfohlen für Sie
Ähnliche Nachrichten Alle