Skip to Content

Modifications pour le document Mettre en place un sous-domaine

Modifié par Gaetan RETEL le 2025/10/05 00:35
Depuis la version 7.1
modifié par Gaetan RETEL
sur 2025/10/05 00:35
Commentaire de modification : Il n'y a aucun commentaire pour cette version
À la version 3.32
modifié par Clément AUBIN
sur 2021/04/18 10:46
Commentaire de modification : Il n'y a aucun commentaire pour cette version

Résumé

Détails

Propriétés de la Page
Auteur du document
... ... @@ -1,1 +1,1 @@
1 -XWiki.retelgaeta
1 +XWiki.aubincleme
Contenu
... ... @@ -2,9 +2,9 @@
2 2  
3 3  {{toc/}}
4 4  
5 -= Idée générale =
5 +=Idée générale=
6 6  
7 -Avant de suivre les étapes de mise en place, c’est intéressant de comprendre ce qu’on va faire ^^.^^
7 +Avant de suivre les étapes de mise en place, c’est intéressant de comprendre ce qu’on va faire ^^.
8 8  
9 9  Dans l'infra d'ATILLA, les connexions à un service web (members.atilla.org, learn.atilla.org, …) passent en grande majorité par Bill, qui acte comme d'un frontal web : c’est lui qui réceptionne les connexions HTTP(s) et qui les renvoie aux bons services internes par la suite. On dit également que Bill joue le rôle de //reverse-proxy//.
10 10  
... ... @@ -12,14 +12,13 @@
12 12  
13 13  [[image:reverse-proxy-arch.png]]
14 14  
15 -En pratique, Bill dispose d'un serveur Nginx, qui va réceptionner toute requête HTTP(s) sur un des sites d'ATILLA et qui transfère cette requête à la VM qui héberge le service correspondant.
15 +En pratique, Bill dispose d'un serveur Nginx, qui va avoir réceptionner toute requête HTTP(s) sur un des sites d'ATILLA et qui transfère cette requête à la VM qui héberge le service correspondant.
16 16  
17 -= Enregistrement du sous-domaine =
17 +=Enregistrement du sous-domaine=
18 18  
19 19  La première chose à faire est de déclarer au monde que le domaine sur lequel vous souhaitez déployer votre service existe. Il n’y a pas de convention à proprement parler sur le choix du sous-domaine. Si vous déployez un service de gestion de tickets (par exemple, GLPI), le domaine auquel ce service pourra être accessible peut très bien être ##glpi.atilla.org## ou même ##tickets.atilla.org##.
20 20  
21 21  Pour déclarer ce domaine, rendez-vous sur la machine qui sert de DNS dans l’infra (aujourd’hui, il s’agit de Bill). Deux fichiers devront être édités :
22 -
23 23  * ##/etc/bind/internal/db.atilla.org## : les entrées DNS qui sont exposées à tous les utilisateurs au sein du réseau d’ATILLA et de l’EISTI
24 24  * ##/etc/bind/external/db.atilla.org## : les entrées DNS qui sont exposées à tous les utilisateurs venant de l’extérieur
25 25  
... ... @@ -29,8 +29,6 @@
29 29  monservice IN CNAME bill
30 30  {{/code}}
31 31  
32 -N'oubliez pas de mettre à jour les config sur le gitlab en faisant un push : [[https:~~/~~/gitlab.atilla.org/adminsys/dns-config>>https://gitlab.atilla.org/adminsys/dns-config]]
33 -
34 34  … puis redémarrez le serveur DNS :
35 35  
36 36  {{code language="none"}}
... ... @@ -45,7 +45,7 @@
45 45  Lorsqu’on fait une modification dans une configuration DNS, il y a toujours un temps dit de "propagation", pendant lequel l’entrée qui a été déclarée n’est pas tout de suite accessible par tout le monde. Cela peut prendre jusqu’à 24h pour qu’une entrée soit réellement accessible par tous. Cela est également vrai lorsqu’on modifie ou supprime une entrée.
46 46  {{/warning}}
47 47  
48 -= Mise en place des certificats SSL =
45 +=Mise en place des certificats SSL=
49 49  
50 50  Maintenant qu’on a notre domaine, on va pouvoir récupérer des certificats SSL nous permettant de mettre en place le HTTPs sur ce domaine.
51 51  
... ... @@ -75,13 +75,13 @@
75 75  systemctl status nginx
76 76  {{/code}}
77 77  
78 -= Mise en place de la configuration Nginx =
75 +=Mise en place de la configuration Nginx=
79 79  
80 80  Finalement, on va devoir mettre en place la configuration qui va tout lier ensemble, c’est elle qui va indiquer que, lorsqu’un utilisateur se connecte au service, on utilisera le certificat SSL qui a été généré plus haut, et on enverra les connexions à la machine voulue.
81 81  
82 -== Méthode manuelle ==
79 +==Méthode manuelle==
83 83  
84 -=== Création de la configuration ===
81 +===Création de la configuration===
85 85  
86 86  On va créer la configuration d’Nginx dans le dossier ##/etc/nginx/sites-available##. Par convention, le nom du fichier de configuration va correspondre au nom du domaine sur lequel on expose le service. Dans notre cas, il s’agira de ##monservice.atilla.org##.
87 87  
... ... @@ -91,29 +91,29 @@
91 91  
92 92  {{code language="nginx"}}
93 93  server {
94 - listen 80;
95 - server_name monservice.atilla.org;
96 - return 301 https://monservice.atilla.org$request_uri;
91 + listen 80;
92 + server_name monservice.atilla.org;
93 + return 301 https://monservice.atilla.org$request_uri;
97 97  }
98 98  
99 99  server {
100 - listen 443 ssl http2;
97 + listen 443 ssl http2;
101 101  
102 - server_name monservice.atilla.org;
99 + server_name monservice.atilla.org;
103 103  
104 - ssl on;
105 - ssl_certificate_key /etc/letsencrypt/live/monservice.atilla.org/privkey.pem;
106 - ssl_trusted_certificate /etc/letsencrypt/live/monservice.atilla.org/chain.pem;
107 - ssl_certificate /etc/letsencrypt/live/monservice.atilla.org/fullchain.pem;
101 + ssl on;
102 + ssl_certificate_key /etc/letsencrypt/live/monservice.atilla.org/privkey.pem;
103 + ssl_trusted_certificate /etc/letsencrypt/live/monservice.atilla.org/chain.pem;
104 + ssl_certificate /etc/letsencrypt/live/monservice.atilla.org/fullchain.pem;
108 108  
109 - access_log /var/log/nginx/monservice.atilla.org/access.log;
110 - error_log /var/log/nginx/monservice.atilla.org/error.log;
106 + access_log /var/log/nginx/monservice.atilla.org/access.log;
107 + error_log /var/log/nginx/monservice.atilla.org/error.log;
111 111  
112 - location / {
113 - proxy_set_header Host $host;
114 - proxy_set_header X-Forwarded-For $remote_addr;
115 - proxy_pass http://monservice-prod.prod.infra.atilla.org/;
116 - }
109 + location / {
110 + proxy_set_header Host $host;
111 + proxy_set_header X-Forwarded-For $remote_addr;
112 + proxy_pass http://monservice-prod.prod.infra.atilla.org/;
113 + }
117 117  }
118 118  {{/code}}
119 119  
... ... @@ -123,12 +123,12 @@
123 123  
124 124  {{code language="nginx"}}
125 125  server {
126 - # On écoute sur le port 80 (le port utilisé par défaut avec HTTP)
127 - listen 80;
128 - # On répond aux requêtes qui pointent vers le domaine monservice.atilla.org
129 - server_name monservice.atilla.org;
130 - # On redirige chaque requête vers son équivalent HTTPs
131 - return 301 https://monservice.atilla.org$request_uri;
123 + # On écoute sur le port 80 (le port utilisé par défaut avec HTTP)
124 + listen 80;
125 + # On répond aux requêtes qui pointent vers le domaine monservice.atilla.org
126 + server_name monservice.atilla.org;
127 + # On redirige chaque requête vers son équivalent HTTPs
128 + return 301 https://monservice.atilla.org$request_uri;
132 132  }
133 133  {{/code}}
134 134  
... ... @@ -136,39 +136,39 @@
136 136  
137 137  {{code language="nginx"}}
138 138  server {
139 - # On écoute sur le port 443, qui est celui par défaut pour le HTTPs.
140 - # Les deux autres attributs ssl et http2 indiquent :
141 - # * Qu'on va chiffrer la connexion avec SSL (le principe du HTTPs)
142 - # * Qu'on supporte le protocole HTTP/2
143 - listen 443 ssl http2;
136 + # On écoute sur le port 443, qui est celui par défaut pour le HTTPs.
137 + # Les deux autres attributs ssl et http2 indiquent :
138 + # * Qu'on va chiffrer la connexion avec SSL (le principe du HTTPs)
139 + # * Qu'on supporte le protocole HTTP/2
140 + listen 443 ssl http2;
144 144  
145 - # Comme avant, on répond aux requêtes qui pointent vers le domaine monservice.atilla.org
146 - server_name monservice.atilla.org;
142 + # Comme avant, on répond aux requêtes qui pointent vers le domaine monservice.atilla.org
143 + server_name monservice.atilla.org;
147 147  
148 - # On indique encore une fois qu'on va utiliser le SSL, et on fournit les fichiers qui
149 - # sont nécessaires pour authentifier le serveur et chiffrer la connexion.
150 - ssl on;
151 - ssl_certificate_key /etc/letsencrypt/live/monservice.atilla.org/privkey.pem;
152 - ssl_trusted_certificate /etc/letsencrypt/live/monservice.atilla.org/chain.pem;
153 - ssl_certificate /etc/letsencrypt/live/monservice.atilla.org/fullchain.pem;
145 + # On indique encore une fois qu'on va utiliser le SSL, et on fournit les fichiers qui
146 + # sont nécessaires pour authentifier le serveur et chiffrer la connexion.
147 + ssl on;
148 + ssl_certificate_key /etc/letsencrypt/live/monservice.atilla.org/privkey.pem;
149 + ssl_trusted_certificate /etc/letsencrypt/live/monservice.atilla.org/chain.pem;
150 + ssl_certificate /etc/letsencrypt/live/monservice.atilla.org/fullchain.pem;
154 154  
155 - # On configure l'emplacement des logs
156 - access_log /var/log/nginx/monservice.atilla.org/access.log;
157 - error_log /var/log/nginx/monservice.atilla.org/error.log;
152 + # On configure l'emplacement des logs
153 + access_log /var/log/nginx/monservice.atilla.org/access.log;
154 + error_log /var/log/nginx/monservice.atilla.org/error.log;
158 158  
159 - # C'est ici que la "magie" opère :)
160 - # La directive proxy_pass nous permet de rediriger tout le traffic vers la machine virtuelle qui correspond
161 - # Les directives proxy_set_header permettent d'ajouter des en-têtes spécifiques à destination de la machine virtuelle,
162 - # par exemple pour que celle-ci comprenne qu'elle se trouve derrière un frontal web.
163 - location / {
164 - proxy_set_header Host $host;
165 - proxy_set_header X-Forwarded-For $remote_addr;
166 - proxy_pass http://monservice-prod.prod.infra.atilla.org/;
167 - }
156 + # C'est ici que la "magie" opère :)
157 + # La directive proxy_pass nous permet de rediriger tout le traffic vers la machine virtuelle qui correspond
158 + # Les directives proxy_set_header permettent d'ajouter des en-têtes spécifiques à destination de la machine virtuelle,
159 + # par exemple pour que celle-ci comprenne qu'elle se trouve derrière un frontal web.
160 + location / {
161 + proxy_set_header Host $host;
162 + proxy_set_header X-Forwarded-For $remote_addr;
163 + proxy_pass http://monservice-prod.prod.infra.atilla.org/;
164 + }
168 168  }
169 169  {{/code}}
170 170  
171 -=== Création du dossier de logs ===
168 +===Création du dossier de logs===
172 172  
173 173  Comme vu dans la configuration précédente, on va stocker les logs Nginx dans ##/var/log/nginx/monservice.atilla.org##. Par défaut, ce dossier n'existe pas et il faut le créer (sinon, Nginx ne démarrera pas).
174 174  
... ... @@ -176,10 +176,9 @@
176 176  mkdir /var/log/nginx/monservice.atilla.org
177 177  {{/code}}
178 178  
179 -=== Activation de la configuration Nginx ===
176 +===Activation de la configuration Nginx===
180 180  
181 181  Finalement, il faut s'assurer qu'Nginx prendra en compte notre fichier de configuration. Si vous regardez dans ##/etc/nginx##, vous verrez deux dossiers :
182 -
183 183  * ##sites-available##: celui dans lequel la configuration a été créée
184 184  * ##sites-enabled##: celui dans lequel la configuration doit être référencée pour être active
185 185  
... ... @@ -201,7 +201,7 @@
201 201  systemctl restart nginx
202 202  {{/code}}
203 203  
204 -== Méthode plus ou moins automatique ==
200 +==Méthode plus ou moins automatique==
205 205  
206 206  On a un [[super projet sur GitLab>>https://gitlab.atilla.org/adminsys/nginx-config-generator]] qui permet d’effectuer les actions de la méthode manuelle de manière automatique. Ce projet est présent sur ##/root/nginx-config-generator## sur Bill, voici comment l’utiliser rapidement. En cas de besoin, référez vous au ##README.md## du projet.
207 207