ホーム>プログラミング関連>その他のソースコード
ダウンロード

Puppet 用 NGINX モジュール

このモジュールは、James Fryman [email protected] から Vox Pupuli に移行されました。

インストールまたはアップグレード

このモジュールは NGINX 構成を管理します。

要件

  • Puppet 4.6.1 以降。 Puppet 3 はリリース 0.6.0 までサポートされていました。
  • apt はソフト依存関係になりました。システムが apt を使用している場合は、適切なバージョンの apt モジュールを構成する必要があります。 apt-transport-httpsが適切に処理されるため、バージョン 4.4.0 以降が推奨されます。

追加の文書

  • NGINX Puppet モジュールのクイックスタート ガイド

NGINX インスタンスのインストールとブートストラップ

 include nginx

シンプルなリバースプロキシ

 nginx::resource::server { 'kibana.myhost.com' :
  listen_port => 80,
  proxy       => ' http://localhost:5601 ' ,
}

静的コンテンツを含む仮想ホスト

 nginx::resource::server { 'www.puppetlabs.com' :
  www_root => ' /var/www/www.puppetlabs.com ' ,
}

より複雑なプロキシの例

 nginx::resource::upstream { 'puppet_rack_app' :
  members => {
    ' localhost:3000 ' => {
      server => ' localhost ' ,
      port   => 3000,
      weight => 1,
    },
    ' localhost:3001 ' => {
      server => ' localhost ' ,
      port   => 3001,
      weight => 1,
    },
    ' localhost:3002 ' => {
      server => ' localhost ' ,
      port   => 3002,
      weight => 2,
      },
  },
}

nginx::resource::server { 'rack.puppetlabs.com' :
  proxy => ' http://puppet_rack_app ' ,
}

SMTP プロキシを追加する

 class { 'nginx' :
  mail => true ,
}

nginx::resource::mailhost { 'domain1.example' :
  auth_http       => ' server2.example/cgi-bin/auth ' ,
  protocol        => ' smtp ' ,
  listen_port     => 587,
  ssl_port        => 465,
  starttls        => ' only ' ,
  xclient         => ' off ' ,
  proxy_protocol  => ' off ' ,
  proxy_smtp_auth => ' off ' ,
  ssl             => true ,
  ssl_cert        => ' /tmp/server.crt ' ,
  ssl_key         => ' /tmp/server.pem ' ,
}

上流メンバーを配列からハッシュに変換する

nginx::resource::upstream のメンバーのデータ型 Array はハッシュに置き換えられます。次の構成は無効になりました。 

 nginx::resource::upstream { 'puppet_rack_app' :
  members => {
    ' localhost:3000 ' ,
    ' localhost:3001 ' ,
    ' localhost:3002 ' ,
  },
}

今後、構成は次のようになります。 

 nginx::resource::upstream { 'puppet_rack_app' :
  members => {
    ' localhost:3000 ' => {
      server => ' localhost ' ,
      port   => 3000,
    },
    ' localhost:3001 ' => {
      server => ' localhost ' ,
      port   => 3001,
    },
    ' localhost:3002 ' => {
      server => ' localhost ' ,
      port   => 3002,
    },
  },
}

SSL設定

デフォルトでは、サーバー リソースを作成すると HTTP サーバーのみが作成されます。 HTTPS (SSL 対応) サーバーも作成するには、サーバー上でssl => trueを設定します。 listen_port (デフォルトではポート80 ) でリッスンする HTTP サーバーと、 ssl_port (デフォルトではポート443 ) でリッスンする HTTPS サーバーがあります。両方のサーバーは同じserver_nameと同様の構成を持ちます。

HTTPS サーバーのみを作成するには、 ssl => trueを設定し、 listen_port ssl_portと同じ値に設定します。これらを同じ値に設定すると、HTTP サーバーが無効になります。結果として生じるサーバーはssl_portでリッスンすることになります。

nginx 1.15.0 以降での冪等性

デフォルトでは、このモジュールは非推奨のssl onディレクティブを構成する場合があります。次回 puppet を実行すると、 nginx_versionファクトが使用可能になるため、これは削除されます。この冪等性の問題を回避するには、基本クラスのnginx_versionパラメータを手動で設定します。

所在地

ロケーションには、HTTP、HTTPS、または両方のサーバーに含める必要があるかどうかに応じて、特定の設定が必要です。

HTTP 専用サーバー (デフォルト)

HTTP サーバーしかない場合 (つまり、サーバー上でssl => false )、サーバーに関連付ける場所でssl => trueを設定しないようにしてください。

HTTP および HTTPS サーバー

ssl => trueを設定し、サーバー上でlisten_portssl_portを異なる値に設定する場合は、 listen_portでリッスンする HTTP サーバーとssl_portでリッスンする HTTPS サーバーが存在するため、場所の設定を具体的にする必要があります。

  • HTTP サーバーのみに場所を追加するには、その場所にssl => falseを設定します (これがデフォルトです)。
  • HTTP サーバーと HTTPS サーバーの両方に場所を追加するには、その場所でssl => trueを設定し、 ssl_only => false ( ssl_onlyのデフォルト値) を保証します。
  • HTTPS サーバーにのみロケーションを追加するには、そのロケーションにssl => truessl_only => true両方を設定します。

HTTPS専用サーバー

ssl => trueを設定し、サーバー上でlisten_portssl_portを同じ値に設定した場合は、 ssl_portでリッスンする単一の HTTPS サーバーが存在します。このサーバーに場所を追加するには、その場所にssl => trueおよびssl_only => true設定します。

ハイラサポート

Hiera での nginx リソースの定義。 

 nginx::nginx_upstreams :
  ' puppet_rack_app ' :
    ensure : present
    members :
      ' localhost:3000 ' :
        server : ' localhost '
        port : 3000
      ' localhost:3001 ' :
        server : ' localhost '
        port : 3001
      ' localhost:3002 ' :
        server : ' localhost '
        port : 3002
nginx::nginx_servers :
  ' www.puppetlabs.com ' :
    www_root : ' /var/www/www.puppetlabs.com '
  ' rack.puppetlabs.com ' :
    proxy : ' http://puppet_rack_app '
nginx::nginx_locations :
  ' static ' :
    location : ' ~ "^/static/[0-9a-fA-F]{8}/(.*)$" '
    server : www.puppetlabs.com
    www_root : /var/www/html
  ' userContent ' :
    location : /userContent
    server : www.puppetlabs.com
    www_root : /var/www/html
nginx::nginx_mailhosts :
  ' smtp ' :
    auth_http : server2.example/cgi-bin/auth
    protocol : smtp
    listen_port : 587
    ssl_port : 465
    starttls : only

ストリーム syslog UDP プロキシ

 nginx::stream : true

nginx::nginx_cfg_prepend :
  include :
    - ' /etc/nginx/modules-enabled/*.conf '

nginx::nginx_streamhosts :
  ' syslog ' :
    ensure :                 ' present '
    listen_port :            514
    listen_options :         ' udp '
    proxy :                  ' syslog '
    proxy_read_timeout :     ' 1 '
    proxy_connect_timeout :  ' 1 '
    raw_append :
      - ' error_log off; '

nginx::nginx_upstreams :
  ' syslog ' :
    context : ' stream '
    members :
      ' 10.0.0.1:514 ' :
        server : ' 10.0.0.1 '
        port : 514
      ' 10.0.0.2:514 ' :
        server : ' 10.0.0.2 '
        port : 514
      ' 10.0.0.3:514 ' :
        server : ' 10.0.0.3 '
        port : 514

プリコンパイル済みの旅客を使用した Nginx

Debian および RHEL / CentOS (>6) の設定例。Phusion リポジトリから Nginx およびPassenger パッケージをプルします。 https://github.com/voxpupuli/puppet-nginx/blob/master/docs/quickstart.md の追加メモを参照してください。 

 class { 'nginx' :
  package_source  => ' passenger ' ,
  http_cfg_append => {
    ' passenger_root ' => ' /usr/lib/ruby/vendor_ruby/phusion_passenger/locations.ini ' ,
  }
}

OpenBSD の例は次のとおりです。 

 class { 'nginx' :
  package_flavor => ' passenger ' ,
  service_flags  => ' -u '
  http_cfg_append => {
    passenger_root          => ' /usr/local/lib/ruby/gems/2.1/gems/passenger-4.0.44 ' ,
    passenger_ruby          =>  ' /usr/local/bin/ruby21 ' ,
    passenger_max_pool_size => ' 15 ' ,
  }
}

パッケージ ソースpassenger Phusion パッセンジャー リポジトリを APT ソースに追加します。仮想ホストごとに、どの Ruby を使用するかを指定する必要があります。 

 nginx::resource::server { 'www.puppetlabs.com' :
  www_root          => ' /var/www/www.puppetlabs.com ' ,
  server_cfg_append => {
    ' passenger_enabled ' => ' on ' ,
    ' passenger_ruby '    => ' /usr/bin/ruby ' ,
  }
}

Nginx とPassenger が提供するパペットマスター

Puppet マスターを提供するための仮想ホスト構成: 

 nginx::resource::server { 'puppet' :
  ensure               => present ,
  server_name          => [ ' puppet ' ],
  listen_port          => 8140,
  ssl                  => true ,
  ssl_cert             => ' /var/lib/puppet/ssl/certs/example.com.pem ' ,
  ssl_key              => ' /var/lib/puppet/ssl/private_keys/example.com.pem ' ,
  ssl_port             => 8140,
  server_cfg_append    => {
    ' passenger_enabled '      => ' on ' ,
    ' passenger_ruby '         => ' /usr/bin/ruby ' ,
    ' ssl_crl '                => ' /var/lib/puppet/ssl/ca/ca_crl.pem ' ,
    ' ssl_client_certificate ' => ' /var/lib/puppet/ssl/certs/ca.pem ' ,
    ' ssl_verify_client '      => ' optional ' ,
    ' ssl_verify_depth '       => 1,
  },
  www_root             => ' /etc/puppet/rack/public ' ,
  use_default_location => false ,
  access_log           => ' /var/log/nginx/puppet_access.log ' ,
  error_log            => ' /var/log/nginx/puppet_error.log ' ,
  passenger_cgi_param  => {
    ' HTTP_X_CLIENT_DN '     => ' $ssl_client_s_dn ' ,
    ' HTTP_X_CLIENT_VERIFY ' => ' $ssl_client_verify ' ,
  },
}

HTTPS FastCGI と HTTP のリダイレクトを使用して nginx::server を呼び出す Puppet クラスの例

 $full_web_path = ' /var/www '

define web::nginx_ssl_with_redirect (
  $backend_port         = 9000,
  $php                  = true ,
  $proxy                = undef ,
  $www_root             = " ${full_web_path} / ${name} / " ,
  $location_cfg_append  = undef ,
) {
  nginx::resource::server { "${name}.${facts['networking']['domain']}" :
    ensure              => present ,
    www_root            => " ${full_web_path} / ${name} / " ,
    location_cfg_append => {
      ' rewrite ' => ' ^ https://$server_name$request_uri? permanent '
    }‚,
  }

  if ! $www_root {
    $tmp_www_root = undef
  } else {
    $tmp_www_root = $www_root
  }

  nginx::resource::server { "${name}.${facts['networking']['domain']} ${name}" :
    ensure                => present ,
    listen_port           => 443,
    www_root              => $tmp_www_root ,
    proxy                 => $proxy ,
    location_cfg_append   => $location_cfg_append ,
    index_files           => [ ' index.php ' ],
    ssl                   => true ,
    ssl_cert              => ' /path/to/wildcard_mydomain.crt ' ,
    ssl_key               => ' /path/to/wildcard_mydomain.key ' ,
  }


  if $php {
    nginx::resource::location { "${name}_root" :
      ensure          => present ,
      ssl             => true ,
      ssl_only        => true ,
      server           => " ${name} .${facts['networking']['domain']} ${name} " ,
      www_root        => " ${full_web_path} / ${name} / " ,
      location        => ' ~ . php$ ' ,
      index_files     => [ ' index.php ' , ' index.html ' , ' index.htm ' ],
      proxy           => undef ,
      fastcgi         => " 127.0.0.1: ${backend_port} " ,
      fastcgi_script  => undef ,
      location_cfg_append => {
        fastcgi_connect_timeout => ' 3m ' ,
        fastcgi_read_timeout    => ' 3m ' ,
        fastcgi_send_timeout    => ' 3m '
      }
    }
  }
}

カスタム fastcgi_params を追加

 nginx::resource::location { "some_root" :
  ensure         => present ,
  location       => ' /some/url ' ,
  fastcgi        => " 127.0.0.1:9000 " ,
  fastcgi_param  => {
    ' APP_ENV ' => ' local ' ,
  },
}

クラス web::nginx_ssl_with_redirect を呼び出す

 web::nginx_ssl_with_redirect { 'sub-domain-name' :
    backend_port => 9001,
  }
拡大する
追加情報
関連アプリ
おすすめ
関連情報 すべて