Serveur Apache HTTP Version 2.4
Description: | Serveur mandataire/passerelle multi-protocole |
---|---|
Statut: | Extension |
Identificateur�de�Module: | proxy_module |
Fichier�Source: | mod_proxy.c |
N'activez pas la fonctionnalit� de mandataire avec la directive
ProxyRequests
avant
d'avoir s�curis� votre serveur. Les serveurs
mandataires ouverts sont dangereux pour votre r�seau,
mais aussi pour l'Internet au sens large.
mod_proxy
et ses modules associ�s impl�mentent
un mandataire/passerelle pour le serveur HTTP Apache, et supportent
de nombreux protocoles courants, ainsi que plusieurs algorithmes de
r�partition de charge. Le support de protocoles et d'algorithmes de
r�partition de charge suppl�mentaires peut �tre assur� par des
modules tiers.
Un jeu de modules charg�s dans le serveur permet de fournir les
fonctionnalit�s souhait�es. Ces modules peuvent �tre inclus
statiquement � la compilation, ou dynamiquement via la directive
LoadModule
. Ce jeu de module
doit comporter :
mod_proxy
, qui fournit les fonctionnalit�s de
base d'un mandatairemod_proxy_balancer
et un ou plusieurs modules
de r�partition, si la r�partition de charge doit �tre mise en
oeuvre (Voir la documentation de
mod_proxy_balancer
pour plus de d�tails).Protocole | Module |
---|---|
AJP13 (Protocole Apache JServe version 1.3) | mod_proxy_ajp |
CONNECT (pour SSL) | mod_proxy_connect |
FastCGI | mod_proxy_fcgi |
ftp | mod_proxy_ftp |
HTTP/0.9, HTTP/1.0, et HTTP/1.1 | mod_proxy_http |
SCGI | mod_proxy_scgi |
WS and WSS (Web-sockets) | mod_proxy_wstunnel |
En outre, d'autres modules fournissent des fonctionnalit�s
�tendues. mod_cache
et ses modules associ�s
fournissent la mise en cache. Les directives SSLProxy*
du module mod_ssl
permettent de contacter des
serveurs distants en utilisant le protocole SSL/TLS. Ces modules
additionnels devront �tre charg�s et configur�s pour pouvoir
disposer de ces fonctionnalit�s.
Le serveur HTTP Apache peut �tre configur� dans les deux modes mandataire direct et mandataire inverse (aussi nomm� mode passerelle).
Un mandataire direct standard est un serveur interm�diaire qui s'intercale entre le client et le serveur demand�. Pour obtenir un contenu h�berg� par le serveur demand�, le client envoie une requ�te au mandataire en nommant le serveur demand� comme cible, puis le mandataire extrait le contenu depuis le serveur demand� et le renvoie enfin au client. Le client doit �tre configur� de mani�re appropri�e pour pouvoir utiliser le mandataire direct afin d'acc�der � d'autres sites.
L'acc�s � Internet depuis des clients situ�s derri�re un
pare-feu est une utilisation typique du mandataire direct. Le
mandataire direct peut aussi utiliser la mise en cache (fournie
par mod_cache
) pour r�duire la charge du
r�seau.
La fonctionnalit� de mandataire direct est activ�e via la
directive ProxyRequests
.
Comme les mandataires directs permettent aux clients d'acc�der �
des sites quelconques via votre serveur et de dissimuler leur
v�ritable origine, il est indispensable de s�curiser votre serveur de fa�on � ce que seuls
les clients autoris�s puissent acc�der � votre serveur avant
d'activer la fonctionnalit� de mandataire direct.
Un mandataire inverse (ou passerelle), quant � lui, appara�t au client comme un serveur web standard. Aucune configuration particuli�re du client n'est n�cessaire. Le client adresse ses demandes de contenus ordinaires dans l'espace de nommage du mandataire inverse. Ce dernier d�cide alors o� envoyer ces requ�tes, et renvoie le contenu au client comme s'il l'h�bergeait lui-m�me.
L'acc�s d'utilisateurs depuis Internet vers un serveur situ� derri�re un pare-feu est une utilisation typique du mandataire inverse. On peut aussi utiliser les mandataires inverses pour mettre en oeuvre une r�partition de charge entre plusieurs serveurs en arri�re-plan, ou fournir un cache pour un serveur d'arri�re-plan plus lent. Les mandataires inverses peuvent aussi tout simplement servir � rassembler plusieurs serveurs dans le m�me espace de nommage d'URLs.
La fonctionnalit� de mandataire inverse est activ�e via la
directive ProxyPass
ou
le drapeau [P]
de la directive RewriteRule
. Il n'est
pas n�cessaire de d�finir ProxyRequests
pour configurer
un mandataire inverse.
Les exemples ci-dessous illustrent de mani�re tr�s basique la mise en oeuvre de la fonctionnalit� de mandataire et ne sont l� que pour vous aider � d�marrer. Reportez-vous � la documentation de chaque directive.
Si en outre, vous d�sirez activer la mise en cache, consultez la
documentation de mod_cache
.
ProxyPass /foo http://foo.example.com/bar ProxyPassReverse /foo http://foo.example.com/bar
ProxyRequests On ProxyVia On <Proxy *> Require host internal.example.com </Proxy>
Le mandataire g�re la configuration et les param�tres de communication des serveurs originaux au sein d'objets nomm�s workers. Deux types de worker sont fournis : le worker par d�faut du mandataire direct et le worker par d�faut du mandataire inverse. Il est aussi possible de d�finir explicitement des workers suppl�mentaires.
Les deux workers par d�faut poss�dent une configuration fig�e et seront utilis�s si aucun autre worker ne correspond � la requ�te. Ils n'utilisent ni les jeux de connexions (connection pooling), ni les connexions HTTP persistantes (Keep-Alive). En effet, les connexions TCP vers le serveur original sont ferm�es et ouvertes pour chaque requ�te.
Les workers d�finis explicitement sont identifi�s par leur URL.
Ils sont en g�n�ral d�finis via les directives ProxyPass
ou ProxyPassMatch
lorsqu'on les
utilise dans le cadre d'un mandataire inverse :
ProxyPass /example http://backend.example.com connectiontimeout=5 timeout=30
Cette directive va cr�er un worker associ� � l'URL du serveur
original http://backend.example.com
, et utilisant les
valeurs de timeout donn�es. Lorsqu'ils sont utilis�s dans le cadre
d'un mandataire direct, les workers sont en g�n�ral d�finis via la
directive ProxySet
,
ProxySet http://backend.example.com connectiontimeout=5 timeout=30
ou encore via les directives Proxy
et ProxySet
:
<Proxy http://backend.example.com> ProxySet connectiontimeout=5 timeout=30 </Proxy>
L'utilisation de workers d�finis explicitement dans le mode
mandataire direct n'est pas tr�s courante, car les mandataires
directs communiquent en g�n�ral avec de nombreux serveurs
originaux. La cr�ation explicite de workers pour certains serveurs
originaux peut cependant s'av�rer utile si ces serveurs sont
tr�s souvent sollicit�s. A leur niveau, les workers explicitement
d�finis ne poss�dent aucune notion de mandataire direct ou
inverse. Ils encapsulent un concept de communication commun avec
les serveurs originaux. Un worker cr�� via la directive ProxyPass
pour �tre utilis� dans le
cadre d'un mandataire inverse sera aussi utilis� dans le cadre
d'un mandataire directe chaque fois que l'URL vers le serveur
original correspondra � l'URL du worker, et vice versa.
L'URL qui identifie un worker correspond � l'URL de son serveur original, y compris un �ventuel chemin donn� :
ProxyPass /examples http://backend.example.com/examples ProxyPass /docs http://backend.example.com/docs
Dans cet exemple, deux workers diff�rents sont d�finis, chacun d'eux utilisant des configurations et jeux de connexions s�par�s.
Le partage de workers intervient lorsque les URLs des workers s'entrecoupent, ce qui arrive lorsque l'URL d'un worker correspond au d�but de l'URL d'un autre worker d�fini plus loin dans le fichier de configuration. Dans l'exemple suivant,
ProxyPass /apps http://backend.example.com/ timeout=60 ProxyPass /examples http://backend.example.com/examples timeout=10
le second worker n'est pas vraiment cr��. C'est le premier
worker qui est en fait utilis�. L'avantage de ceci r�side dans
le fait qu'il n'existe qu'un seul jeu de connexions, ces
derni�res �tant donc r�utilis�es plus souvent. Notez que tous
les attributs de configuration d�finis explicitement pour le
deuxi�me worker seront ignor�s, ce qui sera journalis� en tant
qu'avertissement. Ainsi, dans l'exemple ci-dessus, la valeur de
timeout retenue pour l'URL /exemples
sera
60
, et non 10
!
Si vous voulez emp�cher le partage de workers, classez vos
d�finitions de workers selon la longueur des URLs, de la plus
longue � la plus courte. Si au contraire vous voulez favoriser
ce partage, utilisez l'ordre de classement inverse. Voir aussi
l'avertissement � propos de l'ordre de classement des directives
ProxyPass
.
Les workers d�finis explicitement sont de deux sortes :
workers directs et workers de r�partition (de
charge). Ils supportent de nombreux attributs de
configuration importants d�crits dans la directive ProxyPass
. Ces m�mes attributs
peuvent aussi �tre d�finis via la directive ProxySet
.
Le jeu d'options disponibles pour un worker direct d�pend du
protocole sp�cifi� dans l'URL du serveur original. Les protocoles
disponibles comprennent ajp
, fcgi
,
ftp
, http
et scgi
.
Les workers de r�partition sont des workers virtuels qui utilisent les workers directs, connus comme faisant partie de leurs membres, pour le traitement effectif des requ�tes. Chaque r�partiteur peut comporter plusieurs membres. Lorsqu'il traite une requ�te, il choisit un de ses membres en fonction de l'algorithme de r�partition de charge d�fini.
Un worker de r�partition est cr�� si son URL de worker comporte
balancer
comme indicateur de protocole. L'URL du
r�partiteur permet d'identifier de mani�re unique le worker de
r�partition. La directive BalancerMember
permet d'ajouter des
membres au r�partiteur.
Vous pouvez restreindre l'acc�s � votre mandataire via le bloc
de contr�le <Proxy>
comme dans
l'exemple suivant :
<Proxy *> Require ip 192.168.0 </Proxy>
Pour plus de d�tails sur les directives de contr�le d'acc�s,
voir la documentation du module
mod_authz_host
.
Restreindre l'acc�s de mani�re stricte est essentiel si vous
mettez en oeuvre un mandataire direct (en d�finissant la directive
ProxyRequests
� "on").
Dans le cas contraire, votre serveur pourrait �tre utilis� par
n'importe quel client pour acc�der � des serveurs quelconques,
tout en masquant sa v�ritable identit�. Ceci repr�sente un danger
non seulement pour votre r�seau, mais aussi pour l'Internet au
sens large. Dans le cas de la mise en oeuvre d'un mandataire
inverse (en utilisant la directive ProxyPass
avec ProxyRequests Off
), le contr�le
d'acc�s est moins critique car les clients ne peuvent contacter
que les serveurs que vous avez sp�cifi�s.
Voir aussi la variable d'environnement Proxy-Chain-Auth.
Si vous utilisez la directive ProxyBlock
, les noms d'h�tes sont r�solus en adresses
IP puis ces derni�res mises en cache au cours du d�marrage
� des fins de tests de comparaisons ult�rieurs. Ce processus peut
durer plusieurs secondes (ou d'avantage) en fonction de la vitesse
� laquelle s'effectue la r�solution des noms d'h�tes.
Un serveur mandataire Apache httpd situ� � l'int�rieur d'un Intranet
doit faire suivre les requ�tes destin�es � un serveur externe �
travers le pare-feu de l'entreprise (pour ce faire, d�finissez la
directive ProxyRemote
de
fa�on � ce qu'elle fasse suivre le protocole concern�
vers le mandataire du pare-feu). Cependant, lorsqu'il doit acc�der
� des ressources situ�es dans l'Intranet, il peut se passer du
pare-feu pour acc�der aux serveurs. A cet effet, la directive
NoProxy
permet de
sp�cifier quels h�tes appartiennent � l'Intranet et peuvent donc
�tre acc�d�s directement.
Les utilisateurs d'un Intranet ont tendance � oublier le nom du
domaine local dans leurs requ�tes WWW, et demandent par exemple
"http://un-serveur/" au lieu de
http://un-serveur.example.com/
. Certains serveurs
mandataires commerciaux acceptent ce genre de requ�te et les
traitent simplement en utilisant un nom de domaine local
implicite. Lorsque la directive ProxyDomain
est utilis�e et si le
serveur est configur� comme
mandataire, Apache httpd peut renvoyer une r�ponse de redirection et
ainsi fournir au client l'adresse de serveur correcte,
enti�rement qualifi�e. C'est la m�thode � privil�gier car le
fichier des marque-pages de l'utilisateur contiendra alors des
noms de serveurs enti�rement qualifi�s.
Pour les cas o� mod_proxy
envoie des requ�tes
vers un serveur qui n'impl�mente pas correctement les connexions
persistantes ou le protocole HTTP/1.1, il existe deux variables
d'environnement qui permettent de forcer les requ�tes � utiliser
le protocole HTTP/1.0 avec connexions non persistantes. Elles
peuvent �tre d�finies via la directive SetEnv
.
Il s'agit des variables force-proxy-request-1.0
et
proxy-nokeepalive
.
<Location /buggyappserver/> ProxyPass http://buggyappserver:7001/foo/ SetEnv force-proxy-request-1.0 1 SetEnv proxy-nokeepalive 1 </Location>
Certaines m�thodes de requ�tes comme POST comportent un corps de
requ�te. Le protocole HTTP stipule que les requ�tes qui comportent
un corps doivent soit utiliser un codage de transmission
fractionn�e (chunked transfer encoding), soit envoyer un en-t�te de requ�te
Content-Length
. Lorsqu'il fait suivre ce genre de
requ�te vers le serveur demand�, mod_proxy_http
s'efforce toujours d'envoyer l'en-t�te Content-Length
.
Par contre, si la taille du corps est importante, et si la requ�te
originale utilise un codage � fractionnement, ce dernier peut aussi
�tre utilis� dans la requ�te montante. Ce comportement peut �tre
contr�l� � l'aide de variables
d'environnement. Ainsi, si elle est d�finie, la variable
proxy-sendcl
assure une compatibilit� maximale avec les
serveurs demand�s en imposant l'envoi de l'en-t�te
Content-Length
, alors que
proxy-sendchunked
diminue la consommation de ressources
en imposant l'utilisation d'un codage � fractionnement.
Dans certaines circonstances, le serveur doit mettre en file d'attente sur disque les corps de requ�tes afin de satisfaire le traitement demand� des corps de requ�tes. Par exemple, cette mise en file d'attente se produira si le corps original a �t� envoy� selon un codage morcel� (et poss�de une taille importante), alors que l'administrateur a demand� que les requ�tes du serveur d'arri�re-plan soient envoy�es avec l'en-t�te Content-Length ou en HTTP/1.0. Cette mise en file d'attente se produira aussi si le corps de la requ�te contient d�j� un en-t�te Content-Length, alors que le serveur est configur� pour filtrer les corps des requ�tes entrantes.
La directive LimitRequestBody
ne s'applique qu'aux
corps de requ�tes que le serveur met en file d'attente sur disque.
Lorsqu'il est configur� en mode mandataire inverse (en utilisant
par exemple la directive ProxyPass
),
mod_proxy_http
ajoute plusieurs en-t�tes de requ�te
afin de transmettre des informations au serveur demand�. Ces
en-t�tes sont les suivants :
X-Forwarded-For
X-Forwarded-Host
Host
.X-Forwarded-Server
Ces en-t�tes doivent �tre utilis�s avec pr�cautions sur le
serveur demand�, car ils contiendront plus d'une valeur (s�par�es
par des virgules) si la requ�te originale contenait d�j� un de ces
en-t�tes. Par exemple, vous pouvez utiliser
%{X-Forwarded-For}i
dans la cha�ne de format du journal
du serveur demand� pour enregistrer les adresses IP des clients
originaux, mais il est possible que vous obteniez plusieurs adresses
si la requ�te passe � travers plusieurs mandataires.
Voir aussi les directives ProxyPreserveHost
et ProxyVia
directives, qui permettent
de contr�ler d'autres en-t�tes de requ�te.
Description: | Nombre de membres suppl�mentaires pouvant �tre ajout�s apr�s la configuration initiale |
---|---|
Syntaxe: | BalancerGrowth # |
D�faut: | BalancerGrowth 5 |
Contexte: | configuration du serveur, serveur virtuel |
Statut: | Extension |
Module: | mod_proxy |
Compatibilit�: | BalancerGrowth est disponible depuis la version 2.3.13 du serveur HTTP Apache |
Cette directive permet de d�finir le nombre de membres pouvant �tre ajout�s au groupe de r�partition de charge pr�configur� d'un serveur virtuel. Elle n'est active que si le groupe a �t� pr�configur� avec un membre au minimum.
Description: | H�ritage des membres du groupes de r�partition de charge du mandataire d�finis au niveau du serveur principal |
---|---|
Syntaxe: | BalancerInherit On|Off |
D�faut: | BalancerInherit On |
Contexte: | configuration du serveur, serveur virtuel |
Statut: | Extension |
Module: | mod_proxy |
Compatibilit�: | Disponible � partir de la version 2.5.0 du serveur HTTP Apache. |
Cette directive permet d'attribuer au serveur virtuel courant l'h�ritage des membres de groupes de r�partition de charge d�finis au niveau du serveur principal. Elle ne doit pas �tre activ�e si vous utilisez la fonctionnalit� de modifications dynamiques du gestionnaire de r�partition de charge (Balancer Manager) pour �viter des probl�mes et des comportements inattendus.
Les d�finitions au niveau du serveur principal constituent les d�finitions par d�faut au niveau des serveurs virtuels.
Description: | Ajoute un membre � un groupe de r�partition de charge |
---|---|
Syntaxe: | BalancerMember [balancerurl] url [cl�=valeur [cl�=valeur ...]] |
Contexte: | r�pertoire |
Statut: | Extension |
Module: | mod_proxy |
Compatibilit�: | Disponible depuis la version 2.2 du serveur HTTP Apache. |
Cette directive parmet d'ajouter un membre � un groupe de
r�partition de charge. Elle peut se trouver dans un conteneur
<Proxy balancer://...>
, et accepte
tous les param�tres de paires cl�/valeur que supporte la directive
ProxyPass
.
La directive BalancerMember
accepte un param�tre
suppl�mentaire : loadfactor. Il s'agit du facteur de
charge du membre - un nombre entre 1 (valeur par d�faut) et 100, qui
d�finit la charge � appliquer au membre en question.
L'argument balancerurl n'est requis que s'il ne se trouve pas
d�j� dans la directive de conteneur <Proxy
balancer://...>
. Il correspond � l'URL d'un
r�partiteur de charge d�fini par une directive ProxyPass
.
La partie chemin de l'URL du r�partiteur dans toute directive de
conteneur <Proxy balancer://...>
est
ignor�e.
En particulier, le slash de fin de l'URL d'un
BalancerMember
doit �tre supprim�.
Description: | Tente de conserver les changements effectu�s par le gestionnaire de r�partition de charge apr�s un red�marrage du serveur. |
---|---|
Syntaxe: | BalancerPersist On|Off |
D�faut: | BalancerPersist Off |
Contexte: | configuration du serveur, serveur virtuel |
Statut: | Extension |
Module: | mod_proxy |
Compatibilit�: | BalancerPersist n'est disponible qu'� partir de la version 2.5.0 du serveur HTTP Apache. |
Cette directive permet de conserver le contenu de l'espace m�moire partag� associ� aux r�partiteurs de charge et � leurs membres apr�s un red�marrage du serveur. Ces modifications locales ne sont ainsi pas perdues lors des transitions d'�tat dues � un red�marrage.
Description: | Serveurs, domaines ou r�seaux auquels on se connectera directement |
---|---|
Syntaxe: | NoProxy domaine [domaine] ... |
Contexte: | configuration du serveur, serveur virtuel |
Statut: | Extension |
Module: | mod_proxy |
Cette directive n'a d'utilit� que pour les serveurs mandataires
Apache httpd au sein d'Intranets. La directive
NoProxy
permet de sp�cifier une liste de
sous-r�seaux, d'adresses IP, de serveurs et/ou de domaines s�par�s
par des espaces. Une requ�te pour un serveur qui correspond � un ou
plusieurs crit�res sera toujours servie par ce serveur directement,
sans �tre redirig�e vers le(s) serveur(s) mandataire(s) d�fini(s) par
la directive ProxyRemote
.
ProxyRemote * http://firewall.example.com:81 NoProxy .example.com 192.168.112.0/21
Le type des arguments serveur de la directive
NoProxy
appartiennent � la liste suivante
:
Un domaine est ici un nom de domaine DNS partiellement qualifi� pr�c�d� d'un point. Il repr�sente une liste de serveurs qui appartiennent logiquement au m�me domaine ou � la m�me zonz DNS (en d'autres termes, les nom des serveurs se terminent tous par domaine).
.com .example.org.
Pour faire la distinction entre domaines et nom d'h�tes (des points de vue � la fois syntaxique et s�mantique, un domaine DNS pouvant aussi avoir un enregistrement DNS de type A !), les domaines sont toujours sp�cifi�s en les pr�fixant par un point.
Les comparaisons de noms de domaines s'effectuent sans tenir
compte de la casse, et les parties droites des Domaines
sont toujours cens�es correspondre � la racine de l'arborescence
DNS, si bien que les domaines .ExEmple.com
et
.example.com.
(notez le point � la fin du nom) sont
consid�r�s comme identiques. Comme une comparaison de domaines ne
n�cessite pas de recherche DNS, elle est beaucoup plus efficace
qu'une comparaison de sous-r�seaux.
Un Sous-r�seau est une adresse internet partiellement qualifi�e sous forme num�rique (quatre nombres s�par�s par des points), optionnellement suivie d'un slash et du masque de sous-r�seau sp�cifiant le nombre de bits significatifs dans le Sous-r�seau. Il repr�sente un sous-r�seau de serveurs qui peuvent �tre atteints depuis la m�me interface r�seau. En l'absence de masque de sous-r�seau explicite, il est sous-entendu que les digits manquants (ou caract�res 0) de fin sp�cifient le masque de sous-r�seau (Dans ce cas, le masque de sous-r�seau ne peut �tre qu'un multiple de 8). Voici quelques exemples :
192.168
ou 192.168.0.0
255.255.0.0
)192.168.112.0/21
192.168.112.0/21
avec un masque de
sous-r�seau implicite de 21 bits significatifs (parfois exprim�
sous la forme255.255.248.0
)Comme cas extr�mes, un Sous-r�seau avec un masque de sous-r�seau de 32 bits significatifs est �quivalent � une adresse IP, alors qu'un Sous-r�seau avec un masque de sous-r�seau de 0 bit significatif (c'est � dire 0.0.0.0/0) est identique � la constante _Default_, et peut correspondre � toute adresse IP.
Une Adresse IP est une adresse internet pleinement qualifi�e sous forme num�rique (quatre nombres s�par�s par des points). En g�n�ral, cette adresse repr�sente un serveur, mais elle ne doit pas n�cessairement correspondre � un nom de domaine DNS.
192.168.123.7
Une Adresse IP ne n�cessite pas de r�solution DNS, et peut ainsi s'av�rer plus efficace quant aux performances d'Apache.
Un Nom de serveur est un nom de domaine DNS pleinement qualifi� qui peut �tre r�solu en une ou plusieurs adresses IP par le service de noms de domaines DNS. Il repr�sente un h�te logique (par opposition aux Domaines, voir ci-dessus), et doit pouvoir �tre r�solu en une ou plusieurs adresses IP (ou souvent en une liste d'h�tes avec diff�rentes adresses IP).
prep.ai.example.edu
www.example.org
Dans de nombreuses situations, il est plus efficace de sp�cifier une adresse IP qu'un Nom de serveur car cela �vite d'avoir � effectuer une recherche DNS. La r�solution de nom dans Apache httpd peut prendre un temps tr�s long lorsque la connexion avec le serveur de noms utilise une liaison PPP lente.
Les comparaisons de Nom de serveur s'effectuent sans tenir
compte de la casse, et les parties droites des Noms de serveur
sont toujours cens�es correspondre � la racine de l'arborescence
DNS, si bien que les domaines WWW.ExEmple.com
et
www.example.com.
(notez le point � la fin du nom) sont
consid�r�s comme identiques.
Description: | Conteneur de directives s'appliquant � des ressources mandat�es |
---|---|
Syntaxe: | <Proxy url-avec-jokers> ...</Proxy> |
Contexte: | configuration du serveur, serveur virtuel |
Statut: | Extension |
Module: | mod_proxy |
Les directives situ�es dans une section <Proxy>
ne s'appliquent qu'au contenu
mandat� concern�. Les jokers de style shell sont autoris�s.
Par exemple, les lignes suivantes n'autoriseront � acc�der � un
contenu via votre serveur mandataire que les h�tes appartenant �
votre-reseau.example.com
:
<Proxy *> Require host votre-reseau.example.com </Proxy>
Dans l'exemple suivant, tous les fichiers du r�pertoire
foo
de example.com
seront trait�s par le
filtre INCLUDES
lorsqu'ils seront envoy�s par
l'interm�diaire du serveur mandataire :
<Proxy http://example.com/foo/*> SetOutputFilter INCLUDES </Proxy>
Description: | Ajoute des informations � propos du mandataire aux en-t�tes X-Forwarded-* |
---|---|
Syntaxe: | ProxyAddHeaders Off|On |
D�faut: | ProxyAddHeaders On |
Contexte: | configuration du serveur, serveur virtuel, r�pertoire |
Statut: | Extension |
Module: | mod_proxy |
Compatibilit�: | Disponible depuis la version 2.3.10 |
Cette directive permet de passer au serveur d'arri�re-plan des informations � propos du mandataire via les en-t�tes HTTP X-Forwarded-For, X-Forwarded-Host et X-Forwarded-Server.
Cette option n'est utile que dans le cas du mandat HTTP trait�
par mod_proxy_http
.
Description: | D�termine la mani�re de traiter les lignes d'en-t�te incorrectes d'une r�ponse |
---|---|
Syntaxe: | ProxyBadHeader IsError|Ignore|StartBody |
D�faut: | ProxyBadHeader IsError |
Contexte: | configuration du serveur, serveur virtuel |
Statut: | Extension |
Module: | mod_proxy |
La directive ProxyBadHeader
permet de
d�terminer le comportement de mod_proxy
lorsqu'il
re�oit des lignes d'en-t�te de r�ponse dont la syntaxe n'est pas valide (c'est
� dire ne contenant pas de caract�re ':') en provenance du serveur
original. Les arguments disponibles sont :
IsError
Ignore
StartBody
Description: | Termes, serveurs ou domaines bloqu�s par le mandataire |
---|---|
Syntaxe: | ProxyBlock *|terme|serveur|domaine
[terme|serveur|domaine] ... |
Contexte: | configuration du serveur, serveur virtuel |
Statut: | Extension |
Module: | mod_proxy |
La directive ProxyBlock
permet de
sp�cifier une liste de termes, serveurs et/ou domaines, s�par�s par
des espaces. Les requ�tes de documents HTTP, HTTPS, FTP vers des
sites dont les noms contiennent des termes, noms de serveur ou
domaine correspondants seront bloqu�s par le serveur
mandataire. La module proxy va aussi tenter de d�terminer les
adresses IP des �l�ments de la liste qui peuvent correspondre � des
noms d'h�tes au cours du d�marrage, et les mettra en cache � des
fins de comparaisons ult�rieures. Ceci peut ralentir le d�marrage du
serveur.
ProxyBlock news.example.com auctions.example.com friends.example.com
Notez qu'example
suffirait aussi pour atteindre
ces sites.
Hosts conviendrait aussi s'il �tait r�f�renc� par adresse IP.
Notez aussi que
ProxyBlock *
bloque les connexions vers tous les sites.
Description: | Nom de domaine par d�faut pour les requ�tes mandat�es |
---|---|
Syntaxe: | ProxyDomain Domaine |
Contexte: | configuration du serveur, serveur virtuel |
Statut: | Extension |
Module: | mod_proxy |
Cette directive n'a d'utilit� que pour les serveurs mandataires
Apache httpd au sein d'un Intranet. La directive
ProxyDomain
permet de sp�cifier le domaine
par d�faut auquel le serveur mandataire apache appartient. Si le
serveur re�oit une requ�te pour un h�te sans nom de domaine, il va
g�n�rer une r�ponse de redirection vers le m�me h�te suffix� par le
Domaine sp�cifi�.
ProxyRemote * http://firewall.example.com:81
NoProxy .example.com 192.168.112.0/21
ProxyDomain .example.com
Description: | Outrepasser les pages d'erreur pour les contenus mandat�s |
---|---|
Syntaxe: | ProxyErrorOverride On|Off |
D�faut: | ProxyErrorOverride Off |
Contexte: | configuration du serveur, serveur virtuel, r�pertoire |
Statut: | Extension |
Module: | mod_proxy |
Cette directive est utile pour les configurations de mandataires
inverses, lorsque vous souhaitez que les pages d'erreur envoy�es
aux utilisateurs finaux pr�sentent un aspect homog�ne. Elle permet
aussi l'inclusion de fichiers (via les SSI de
mod_include
) pour obtenir le code d'erreur et agir
en cons�quence (le comportement par d�faut afficherait la page
d'erreur du serveur mandat�, alors que c'est le message d'erreur SSI
qui sera affich� si cette directive est � "on").
Cette directive n'affecte pas le traitement des r�ponses informatives (1xx), de type succ�s normal (2xx), ou de redirection (3xx).
Description: | D�termine la taille du tampon interne de transfert de donn�es |
---|---|
Syntaxe: | ProxyIOBufferSize octets |
D�faut: | ProxyIOBufferSize 8192 |
Contexte: | configuration du serveur, serveur virtuel |
Statut: | Extension |
Module: | mod_proxy |
La directive ProxyIOBufferSize
permet
d'ajuster la taille du tampon interne utilis� comme bloc-note pour
les transferts de donn�es entre entr�e et sortie. La taille minimale
est de 512
octets.
Dans la plupart des cas, il n'y a aucune raison de modifier cette valeur.
Si elle est utilis�e avec AJP, cette directive permet de d�finir
la taille maximale du paquet AJP en octets. Si la valeur sp�cifi�e
est sup�rieure � 65536, elle est corrig�e et prend la valeur 65536.
Si vous ne conservez pas
la valeur par d�faut, vous devez aussi modifier l'attribut
packetSize
de votre connecteur AJP du c�t� de Tomcat !
L'attribut packetSize
n'est disponible que dans Tomcat
5.5.20+
et 6.0.2+
.
Il n'est normalement pas n�cessaire de modifier la taille maximale du paquet. Des probl�mes ont cependant �t� rapport�s avec la valeur par d�faut lors de l'envoi de certificats ou de cha�nes de certificats.
Description: | Conteneur de directives s'appliquant � des ressources mandat�es correspondant � une expression rationnelle |
---|---|
Syntaxe: | <ProxyMatch regex> ...</ProxyMatch> |
Contexte: | configuration du serveur, serveur virtuel |
Statut: | Extension |
Module: | mod_proxy |
La directive <ProxyMatch>
est
identique � la directive <Proxy>
, � l'exception qu'elle d�finit
les URLs auxquelles elle s'applique en utilisant une expression rationnelle.
Description: | Nombre maximum de mandataires � travers lesquelles une requ�te peut �tre redirig�e |
---|---|
Syntaxe: | ProxyMaxForwards nombre |
D�faut: | ProxyMaxForwards -1 |
Contexte: | configuration du serveur, serveur virtuel |
Statut: | Extension |
Module: | mod_proxy |
Compatibilit�: | Comportement par d�faut modifi� dans 2.2.7 |
La directive ProxyMaxForwards
permet de
sp�cifier le nombre maximum de mandataires � travers lesquels une
requ�te peut passer dans le cas o� la la requ�te ne contient pas
d'en-t�te Max-Forwards
. Ceci permet de se pr�munir
contre les boucles infinies de mandataires ou contre les attaques de
type d�ni de service.
ProxyMaxForwards 15
Notez que la d�finition de la directive
ProxyMaxForwards
constitue une violation du
protocole HTTP/1.1 (RFC2616), qui interdit � un mandataire de
d�finir Max-Forwards
si le client ne l'a pas fait
lui-m�me. Les versions pr�c�dentes d'Apache httpd la d�finissaient
syst�matiquement. Une valeur n�gative de
ProxyMaxForwards
, y compris la valeur par
d�faut -1, implique un comportement compatible avec le protocole,
mais vous expose aux bouclages infinis.
Description: | R�f�rencer des serveurs distants depuis l'espace d'URLs du serveur local |
---|---|
Syntaxe: | ProxyPass [chemin] !|url [cl�=valeur
[cl�=valeur ...]] [nocanon] [interpolate] [noquery] |
Contexte: | configuration du serveur, serveur virtuel, r�pertoire |
Statut: | Extension |
Module: | mod_proxy |
Cette directive permet de r�f�rencer des serveurs distants depuis l'espace d'URLs du serveur local ; le serveur local n'agit pas en tant que mandataire au sens conventionnel, mais plut�t comme miroir du serveur distant. Le serveur local est souvent nomm� mandataire inverse ou passerelle. L'argument chemin est le nom d'un chemin virtuel local ; url est une URL partielle pour le serveur distant et ne doit pas contenir de cha�ne d'arguments.
ProxyRequests
doit �tre d�finie �
off lorsqu'on utilise la directive
ProxyPass
.Supposons que le serveur local a pour adresse
http://example.com/
; alors la ligne
<Location /mirror/foo/> ProxyPass http://backend.example.com/ </Location>
va convertir en interne toute requ�te pour
http://example.com/miroir/foo/bar
en une requ�te
mandat�e pour http://backend.example.com/bar
.
La syntaxe alternative suivante est valide, bien qu'elle puisse induire une d�gradation des performances lorsqu'elle est pr�sente en tr�s grand nombre. Elle poss�de l'avantage de permettre un contr�le dynamique via l'interface Balancer Manager :
ProxyPass /miroir/foo/ http://backend.example.com/
Si le premier argument se termine par un slash /, il doit en �tre de m�me pour le second argument et vice versa. Dans le cas contraire, il risque de manquer des slashes n�cessaires dans la requ�te r�sultante vers le serveur d'arri�re-plan et les r�sulats ne seront pas ceux attendus.
Le drapeau !
permet de soustraire un sous-r�pertoire
du mandat inverse, comme dans l'exemple suivant :
<Location /mirror/foo/> ProxyPass http://backend.example.com/ </Location> <Location /mirror/foo/i> ProxyPass ! </Location>
ProxyPass /mirror/foo/i ! ProxyPass /mirror/foo http://backend.example.com
va mandater toutes les requ�tes pour /miroir/foo
vers backend.example.com
, sauf les requ�tes
pour /miroir/foo/i
.
Les directives ProxyPass
et ProxyPassMatch
sont �valu�es dans
l'ordre de leur apparition dans le fichier de configuration. La
premi�re r�gle qui correspond s'applique. Vous devez donc en
g�n�ral classer les r�gles ProxyPass
qui entrent en conflit de
l'URL la plus longue � la plus courte. Dans le cas contraire, les
r�gles situ�es apr�s une r�gle dont l'URL correspond au d�but de
leur propre URL seront ignor�es. Notez que tout ceci est en
relation avec le partage de workers. Par contre, on ne peut placer
qu'une seule directive ProxyPass
dans une section
Location
, et c'est la section
la plus sp�cifique qui l'emportera.
Pour les m�mes raisons, les exclusions doivent se situer
avant les directives ProxyPass
g�n�rales.
Depuis la version 2.1 du serveur HTTP Apache, mod_proxy supporte
les groupements de connexions vers un serveur d'arri�re-plan. Les
connexions cr��es � la demande peuvent �tre enregistr�es dans un
groupement pour une utilisation ult�rieure. La taille du groupe
ainsi que d'autres caract�ristiques peuvent �tre d�finies via la
directive ProxyPass
au moyen de param�tres
cl�=valeur
dont la description fait l'objet du tableau
ci-dessous.
Par d�faut, mod_proxy permet et met en r�serve le nombre maximum
de connexions pouvant �tre utilis�es simultan�ment par le processus
enfant concern� du serveur web. Le param�tre max
permet
de r�duire cette valeur par d�faut. Le param�tre ttl
,
quant � lui, permet de d�finir une dur�e de vie optionnelle ; les
connexions qui n'ont pas �t� utilis�es pendant au moins
ttl
secondes seront ferm�es. ttl
permet
aussi d'emp�cher l'utilisation d'une connexion susceptible d'�tre
ferm�e suite � une fin de vie de connexion persistante sur le
serveur d'arri�re-plan.
Le groupement de connexions est maintenu au niveau de chaque
processus enfant du serveur web, et max
, ainsi que les
autres param�tres, ne font
l'objet d'aucune coordination entre les diff�rents processus
enfants, sauf si un seul processus enfant est autoris� par la
configuration ou la conception du module multi-processus (MPM).
ProxyPass /example http://backend.example.com max=20 ttl=120 retry=300
Param�tres de BalancerMember |
---|
Param�tre | D�faut | Description | ||||||
---|---|---|---|---|---|---|---|---|
min | 0 | Nombre minimum d'entr�es dans le pool de connexions, distinct du nombre de connexions effectif. La valeur par d�faut ne doit �tre modifi�e que dans des circonstances particuli�res o� la m�moire associ�e aux connexions avec le serveur d'arri�re-plan doit �tre pr�allou�e ou r�serv�e dans le tas. | ||||||
max | 1...n | Nombre maximum de connexions autoris�es vers le serveur
d'arri�re-plan. La valeur par d�faut correspond au nombre de
threads par processus pour le MPM (Module Multi Processus)
actif. La valeur sera toujours 1 pour le MPM Prefork, alors
qu'elle d�pendra de la d�finition de la directive
ThreadsPerChild pour les autres MPMs. | ||||||
smax | max | Les entr�es du pool de connexions conserv�es au del� de
cette limite sont lib�r�es au cours de certaines op�rations si
elles n'ont pas �t� utilis�es au cours de leur dur�e de vie,
d�finie par le param�tre ttl . Si l'entr�e du pool
de connexions est associ�e � une connexion, cette derni�re sera
ferm�e. La valeur par d�faut ne doit �tre modifi�e que dans des
circonstances particuli�res o� les entr�es du pool de connexions
et toutes connexions associ�es qui ont d�pass� leur dur�e de vie
doivent �tre lib�r�es ou ferm�es de mani�re plus autoritaire. | ||||||
acquire | - | Cette cl� permet de d�finir le d�lai maximum d'attente pour
une connexion libre dans le jeu de connexions, en millisecondes.
S'il n'y a pas de connexion libre dans le jeu, Apache httpd renverra
l'�tat SERVER_BUSY au client.
| ||||||
connectiontimeout | timeout | D�lai d'attente d'une connexion en secondes. La dur�e en secondes pendant laquelle Apache httpd va attendre pour l'�tablissement d'une connexion vers le serveur d'arri�re-plan. Le d�lai peut �tre sp�cifi� en millisecondes en ajoutant le suffixe ms. | ||||||
disablereuse | Off | Vous pouvez utiliser cette cl� pour forcer mod_proxy �
fermer imm�diatement une connexion vers le serveur
d'arri�re-plan apr�s utilisation, et ainsi d�sactiver le jeu de
connexions permanentes vers ce serveur. Ceci peut s'av�rer utile
dans des situations o� un pare-feu situ� entre Apache httpd et le
serveur d'arri�re-plan (quelque soit le protocole) interrompt
des connexions de mani�re silencieuse, ou lorsque le serveur
d'arri�re-plan lui-m�me est accessible par rotation de DNS
(round-robin DNS). Pour d�sactiver la r�utilisation du jeu de
connexions, d�finissez cette cl� � On .
| ||||||
flushpackets | off | Permet de d�finir si le module mandataire doit vider automatiquement le tampon de sortie apr�s chaque tron�on de donn�es. 'off' signifie que le tampon sera vid� si n�cessaire, 'on' que le tampon sera vid� apr�s chaque envoi d'un tron�on de donn�es, et 'auto' que le tampon sera vid� apr�s un d�lai de 'flushwait' millisecondes si aucune entr�e n'est re�ue. Actuellement, cette cl� n'est support�e que par AJP. | ||||||
flushwait | 10 | Le d�lai d'attente pour une entr�e additionnelle, en millisecondes, avant le vidage du tampon en sortie dans le cas o� 'flushpackets' est � 'auto'. | ||||||
iobuffersize | 8192 | Permet de d�finir la taille du tampon d'entr�es/sorties du
bloc-notes interne. Cette cl� vous permet d'outrepasser la
directive ProxyIOBufferSize pour un
serveur cible sp�cifique. La valeur doit �tre au minimum 512 ou d�finie
� 0 pour la valeur par d�faut du syst�me de 8192.
| ||||||
keepalive | Off | Cette cl� doit �tre utilis�e lorsque vous avez un pare-feu
entre Apache httpd et le serveur d'arri�re-plan, et si ce dernier tend
� interrompre les connexions inactives. Cette cl� va faire en
sorte que le syst�me d'exploitation envoie des messages
La fr�quence de v�rification des connexions TCP persistantes initiale et subs�quentes d�pend de la configuration globale de l'OS, et peut atteindre 2 heures. Pour �tre utile, la fr�quence configur�e dans l'OS doit �tre inf�rieure au seuil utilis� par le pare-feu. | ||||||
lbset | 0 | D�finit le groupe de r�partition de charge dont le serveur cible est membre. Le r�partiteur de charge va essayer tous les membres d'un groupe de r�partition de charge de num�ro inf�rieur avant d'essayer ceux dont le groupe poss�de un num�ro sup�rieur. | ||||||
ping | 0 | Avec la cl� Ping, le serveur web va "tester" la connexion
vers le serveur d'arri�re-plan avant de transmettre la requ�te.
Avec AJP, mod_proxy_ajp envoie une requ�te
CPING sur la connexion ajp13 (impl�ment� sur Tomcat
3.3.2+, 4.1.28+ et 5.0.13+). Avec HTTP,
mod_proxy_http envoie 100-Continue
au serveur d'arri�re-plan (seulement avecHTTP/1.1 - pour les
serveurs d'arri�re-plan non HTTP/1.1, cette cl� ne produit
aucun effet). Dans les deux cas, ce param�tre correspond au
d�lai en secondes pour l'attente de la r�ponse. Cette
fonctionnalit� a �t� ajout�e pour �viter les probl�mes avec les
serveurs d'arri�re-plan bloqu�s ou surcharg�s.
Le trafic
r�seau peut s'en trouver augment� en fonctionnement normal, ce
qui peut poser probl�me, mais peut s'en trouver diminu� dans les
cas o� les noeuds de cluster sont arr�t�s ou
surcharg�s. Le d�lai peut
aussi �tre d�fini en millisecondes en ajoutant le suffixe
ms.
| ||||||
receivebuffersize | 0 | D�finit la taille du tampon r�seau explicite (TCP/IP) pour
les connexions mandat�es. Cette cl� vous permet d'outrepasser la
directive ProxyReceiveBufferSize pour un
serveur cible sp�cifique. Sa valeur doit �tre au minimum 512 ou d�finie
� 0 pour la valeur par d�faut du syst�me.
| ||||||
redirect | - | Route pour la redirection du serveur cible. Cette valeur est en g�n�ral d�finie dynamiquement pour permettre une suppression s�curis�e du noeud du cluster. Si cette cl� est d�finie, toutes les requ�tes sans identifiant de session seront redirig�es vers le membre de groupe de r�partition de charge dont la route correspond � la valeur de la cl�. | ||||||
retry | 60 | D�lai entre deux essais du serveur cible du jeu de connexions en secondes. Si le serveur cible du jeu de connexions vers le serveur d'arri�re-plan est dans un �tat d'erreur, Apache httpd ne redirigera pas de requ�te vers ce serveur avant l'expiration du d�lai sp�cifi�. Ceci permet d'arr�ter le serveur d'arri�re-plan pour maintenance, et de le remettre en ligne plus tard. Une valeur de 0 implique de toujours essayer les serveurs cibles dans un �tat d'erreur sans d�lai. | ||||||
route | - | La route du serveur cible lorsqu'il est utilis� au sein d'un r�partiteur de charge. La route est une valeur ajout�e � l'identifiant de session. | ||||||
status | - | Valeur constitu�e d'une simple lettre et d�finissant l'�tat
initial de ce serveur cible.
| ||||||
timeout | ProxyTimeout |
D�lai d'attente de la connexion en secondes. Le nombre de secondes pendant lesquelles Apache httpd attend l'envoi de donn�es vers le serveur d'arri�re-plan. | ||||||
ttl | - | Dur�e de vie des connexions inactives et des entr�es du pool de connexions associ�es en secondes. Une fois cette limite atteinte, une connexion ne sera pas r�utilis�e ; elle sera ferm�e apr�s un d�lai variable. |
Si l'URL de la directive Proxy d�bute par
balancer://
(par exemple:
balancer://cluster
, toute information relative au
chemin est ignor�e), alors un serveur cible virtuel ne communiquant pas
r�ellement avec le serveur d'arri�re-plan sera cr��. Celui-ci sera
en fait responsable de la gestion de plusieurs serveurs cibles "r�els". Dans
ce cas, un jeu de param�tres particuliers s'applique � ce serveur cible
virtuel. Voir mod_proxy_balancer
pour plus
d'informations � propos du fonctionnement du r�partiteur de
charge.
Param�tres du r�partiteur |
---|
Param�tre | D�faut | Description |
---|---|---|
lbmethod | byrequests | M�thode de r�partition de charge utilis�e. Permet de
s�lectionner la m�thode de planification de la r�partition de
charge � utiliser. La valeur est soit byrequests ,
pour effectuer un d�compte de requ�tes pond�r�es, soit
bytraffic , pour effectuer une r�partition en
fonction du d�compte des octets transmis, soit
bybusyness , pour effectuer une r�partition en
fonction des requ�tes en attente. La valeur par d�faut est
byrequests .
|
maxattempts | 1 de moins que le nombre de workers, ou 1 avec un seul worker | Nombre maximum d'�checs avant abandon. |
nofailover | Off | Si ce param�tre est d�fini � On , la session va
s'interrompre si le serveur cible est dans un �tat d'erreur ou
d�sactiv�. D�finissez ce param�tre � On si le serveur
d'arri�re-plan ne supporte pas la r�plication de session.
|
stickysession | - | Nom de session persistant du r�partiteur. La valeur est
g�n�ralement du style JSESSIONID ou
PHPSESSIONID , et d�pend du serveur d'application
d'arri�re-plan qui supporte les sessions. Si le serveur
d'application d'arri�re-plan utilise des noms diff�rents pour
les cookies et les identifiants cod�s d'URL (comme les
conteneurs de servlet), s�parez-les par le caract�re '|'. La
premi�re partie contient le cookie et la seconde le chemin.
|
stickysessionsep | "." | D�finit le caract�re de s�paration dans le cookie de session. Certains serveurs d'application d'arri�re-plan n'utilisent pas le caract�re '.' comme s�parateur. Par exemple le serveur Oracle Weblogic utilise le caract�re '!'. Cette option permet d'attribuer au caract�re de s�paration la valeur appropri�e. Si elle est d�finie � 'Off', aucun caract�re de s�paration n'est utilis�. |
scolonpathdelim | Off | Si ce param�tre est d�fini � On , le caract�re
';' sera utilis� comme s�parateur de chemin de session
persistante additionnel. Ceci permet principalement de simuler
le comportement de mod_jk lorsqu'on utilise des chemins du style
JSESSIONID=6736bcf34;foo=aabfa .
|
timeout | 0 | D�lai du r�partiteur en secondes. Si ce param�tre est d�fini, sa valeur correspond � la dur�e maximale d'attente pour un serveur cible libre. Le comportement par d�faut est de ne pas attendre. |
failonstatus | - | Une liste de codes d'�tat HTTP s�par�s par des virgules. Si ce param�tre est pr�sent, le worker se mettra en erreur si le serveur d'arri�re-plan renvoie un des codes d'�tat sp�cifi�s dans la liste. La r�cup�ration du worker s'effectue comme dans le cas des autres erreurs de worker. |
failontimeout | Off | Si ce param�tre est d�fini � "On", un d�lai d'attente d�pass� en entr�e/sortie apr�s envoi d'une requ�te au serveur d'arri�re-plan va mettre le processus en �tat d'erreur. La sortie de cet �tat d'erreur se passe de la m�me fa�on que pour les autres erreurs. Disponible � partir de la version 2.4.5 du serveur HTTP Apache. |
nonce | <auto> | Le nombre � usage unique de protection utilis� dans la page
de l'application balancer-manager . Par d�faut, la
protection de la page est assur�e par un nombre � usage unique
automatique � base d'UUID. Si une valeur est pr�cis�e, elle sera
utilis�e comme nombre � usage unique. La valeur
None d�sactive la v�rification du nombre � usage
unique.
NoteEn plus du nombre � usage unique, la page de l'application
|
growth | 0 | Nombre de membres suppl�mentaires que l'on peut ajouter � ce r�partiteur en plus de ceux d�finis au niveau de la configuration. |
forcerecovery | On | Force la relance imm�diate de tous les membres sans tenir
compte de leur param�tre retry dans le cas o� ils sont tous en
�tat d'erreur. Il peut cependant arriver qu'un membre d�j�
surcharg� entre dans une situation critique si la relance de
tous les membres est forc�e sans tenir compte du param�tre retry
de chaque membre. Dans ce cas, d�finissez ce param�tre �
Off .
|
Exemple de configuration d'un r�partiteur de charge
ProxyPass /special-area http://special.example.com smax=5 max=10 ProxyPass / balancer://mycluster/ stickysession=JSESSIONID|jsessionid nofailover=On <Proxy balancer://mycluster> BalancerMember ajp://1.2.3.4:8009 BalancerMember ajp://1.2.3.5:8009 loadfactor=20 # Less powerful server, don't send as many requests there, BalancerMember ajp://1.2.3.6:8009 loadfactor=5 </Proxy>
Configuration d'un serveur cible de r�serve qui ne sera utilis� que si aucun autre serveur cible n'est disponible
ProxyPass / balancer://hotcluster/ <Proxy balancer://hotcluster> BalancerMember ajp://1.2.3.4:8009 loadfactor=1 BalancerMember ajp://1.2.3.5:8009 loadfactor=2 # The server below is on hot standby BalancerMember ajp://1.2.3.6:8009 status=+H ProxySet lbmethod=bytraffic </Proxy>
Normalement, mod_proxy va mettre sous leur forme canonique les URLs trait�es par ProxyPass. Mais ceci peut �tre incompatible avec certains serveurs d'arri�re-plan, et en particulier avec ceux qui utilisent PATH_INFO. Le mot-cl� optionnel nocanon modifie ce comportement et permet de transmettre le chemin d'URL sous sa forme brute au serveur d'arri�re-plan. Notez que ceci peut affecter la s�curit� de votre serveur d'arri�re-plan, car la protection limit�e contre les attaques � base d'URL que fournit le mandataire est alors supprim�e.
Par d�faut, mod_proxy inclut la cha�ne de param�tres lors de la g�n�ration de la variable d'environnement SCRIPT_FILENAME. Le mot-cl� optionnel noquery (disponible � partir de la version 2.4.1) permet d'exclure cette cha�ne.
Lorsque la directive ProxyPass est utilis�e � l'int�rieur d'une
section <Location>
, le premier argument est omis et le r�pertoire
local est obtenu � partir de la section <Location>
. Il en sera de m�me dans une
section <LocationMatch>
; cependant, ProxyPass
n'interpr�te pas les expressions rationnelles, et il sera ici
n�cessaire d'utiliser la directive
ProxyPassMatch
� la place.
Cette directive ne peut pas �tre plac�e dans une section
<Directory>
ou
<Files>
.
Si vous avez besoin d'un configuration de mandataire inverse plus
souple, reportez-vous � la documentaion de la directive RewriteRule
et son drapeau
[P]
.
Le mot-cl� optionnel interpolate (disponible depuis
httpd 2.2.9), en combinaison avec la directive
ProxyPassInterpolateEnv
, permet � ProxyPass
d'interpoler les variables d'environnement � l'aide de la syntaxe
${VARNAME}. Notez que de nombreuses variables
d'environnement standard d�riv�es de CGI n'existeront pas lorsque
l'interpolation se produit ; vous devrez alors encore avoir avoir
recours � mod_rewrite
pour des r�gles
complexes. Notez aussi que l'interpolation n'est pas support�e dans
la partie protocole d'une URL. La d�termination dynamique du
protocole peut �tre effectu�e � l'aide de
mod_rewrite
comme dans l'exemple suivant :
RewriteEngine On RewriteCond %{HTTPS} =off RewriteRule . - [E=protocol:http] RewriteCond %{HTTPS} =on RewriteRule . - [E=protocol:https] RewriteRule ^/mirror/foo/(.*) %{ENV:protocol}://backend.example.com/$1 [P] ProxyPassReverse /mirror/foo/ http://backend.example.com/ ProxyPassReverse /mirror/foo/ https://backend.example.com/
Description: | H�ritage des directives ProxyPass d�finies au niveau du serveur principal |
---|---|
Syntaxe: | ProxyPassInherit On|Off |
D�faut: | ProxyPassInherit On |
Contexte: | configuration du serveur, serveur virtuel |
Statut: | Extension |
Module: | mod_proxy |
Compatibilit�: | Disponible � partir de la version 2.5.0 du serveur HTTP Apache. |
Cette directive permet � un serveur virtuel d'h�riter des
directives ProxyPass
d�finies
au niveau du serveur principal. Si vous utilisez la fonctionnalit� de
modifications dynamiques du Balancer Manager, cette directive peut
causer des probl�mes et des comportements inattendus et doit donc
�tre d�sactiv�e.
Les valeurs d�finies au niveau du serveur principal constituent les valeurs par d�faut pour tous les serveurs virtuels.
La d�sactivation de ProxyPassInherit d�sactive aussi la
directive BalancerInherit
.
Description: | Active l'interpolation des variables d'environnement dans les configurations de mandataires inverses |
---|---|
Syntaxe: | ProxyPassInterpolateEnv On|Off |
D�faut: | ProxyPassInterpolateEnv Off |
Contexte: | configuration du serveur, serveur virtuel, r�pertoire |
Statut: | Extension |
Module: | mod_proxy |
Compatibilit�: | Disponible depuis la version 2.2.9 d'Apache |
Cette directive, ainsi que l'argument interpolate des
directives ProxyPass
,
ProxyPassReverse
,
ProxyPassReverseCookieDomain
et
ProxyPassReverseCookiePath
, permet de
configurer dynamiquement un mandataire inverse � l'aide de
variables d'environnement, ces derni�res pouvant �tre d�finies par un
autre module comme mod_rewrite
. Elle affecte les
directives ProxyPass
,
ProxyPassReverse
,
ProxyPassReverseCookieDomain
, et
ProxyPassReverseCookiePath
, en leur indiquant
de remplacer la cha�ne ${nom_var}
dans les directives
de configuration par la valeur de la variable d'environnement
nom_var
(si l'option interpolate est
sp�cifi�e).
Conservez cette directive � off (pour les performances du serveur), sauf si vous en avez r�ellement besoin.
Description: | Fait correspondre des serveurs distants dans l'espace d'URL du serveur local en utilisant des expressions rationnelles |
---|---|
Syntaxe: | ProxyPassMatch [regex] !|url
[cl�=valeur
[cl�=valeur ...]] |
Contexte: | configuration du serveur, serveur virtuel, r�pertoire |
Statut: | Extension |
Module: | mod_proxy |
Cette directive est identique � la directive ProxyPass
, mais fait usage des
expressions rationnelles, au lieu d'une simple comparaison de
pr�fixes. L'expression rationnelle sp�cifi�e est compar�e �
l'url, et si elle correspond, le serveur va substituer
toute correspondance entre parenth�ses dans la cha�ne donn�e et
l'utiliser comme nouvelle url.
Supposons que le serveur local a pour adresse
http://example.com/
; alors
ProxyPassMatch ^(/.*\.gif)$ http://backend.example.com$1
va provoquer la conversion interne de la requ�te locale
http://example.com/foo/bar.gif
en une requ�te mandat�e
pour http://backend.example.com/foo/bar.gif
.
L'argument URL doit pouvoir �tre interpr�t� en tant qu'URL avant les substitutions d'expressions rationnelles (et doit aussi l'�tre apr�s). Ceci limite les correspondances que vous pouvez utiliser. Par exemple, si l'on avait utilis�
ProxyPassMatch ^(/.*\.gif)$ http://backend.example.com:8000$1
dans l'exemple pr�c�dent, nous aurions provoqu� une erreur de syntaxe au d�marrage du serveur. C'est une bogue (PR 46665 dans ASF bugzilla), et il est possible de la contourner en reformulant la correspondance :
ProxyPassMatch ^/(.*\.gif)$ http://backend.example.com:8000/$1
Le drapeau !
vous permet de ne pas mandater un
sous-r�pertoire donn�.
Dans une section <LocationMatch>
, le premier argument est
omis et l'expression rationnelle est obtenue � partir de la directive
<LocationMatch>
.
Si vous avez besoin d'une configuration du mandataire inverse
plus flexible, voyez la directive RewriteRule
avec le drapeau
[P]
.
Lors de la construction de l'URL cible de la r�gle, il convient de prendre en compte l'impact en mati�re de s�curit� qu'aura le fait de permettre au client d'influencer le jeu d'URLs pour lesquelles votre serveur agira en tant que mandataire. Assurez-vous que la partie protocole://nom-serveur de l'URL soit fixe, ou ne permette pas au client de l'influencer induement.
Description: | Ajuste l'URL dans les en-t�tes de la r�ponse HTTP envoy�e par un serveur mandat� en inverse |
---|---|
Syntaxe: | ProxyPassReverse [chemin] url
[interpolate] |
Contexte: | configuration du serveur, serveur virtuel, r�pertoire |
Statut: | Extension |
Module: | mod_proxy |
Cette directive permet de faire en sorte qu'Apache httpd ajuste l'URL
dans les en-t�tes Location
,
Content-Location
et URI
des r�ponses de
redirection HTTP. Ceci est essentiel lorsqu'Apache httpd est utilis� en
tant que mandataire inverse (ou passerelle), afin d'�viter de
court-circuiter le mandataire inverse suite aux redirections HTTP
sur le serveur d'arri�re-plan qui restent derri�re le mandataire
inverse.
Seuls les en-t�tes de r�ponse HTTP sp�cialement mentionn�s
ci-dessus seront r��crits. Apache httpd ne r��crira ni les autres en-t�tes
de r�ponse, ni par d�faut les r�f�rences d'URLs dans les pages HTML. Cela
signifie que dans le cas o� un contenu mandat� contient des
r�f�rences � des URLs absolues, elles court-circuiteront le
mandataire. Pour r��crire un contenu HTML afin qu'il corresponde au
mandataire, vous devez charger et activer le module
mod_proxy_html
.
chemin est le nom d'un chemin virtuel local.
url est une URL partielle pour le serveur distant - ils
sont utilis�s de la m�me fa�on qu'avec la directive ProxyPass
.
Supposons par exemple que le serveur local a pour adresse
http://example.com/
; alors
ProxyPass /mirror/foo/ http://backend.example.com/ ProxyPassReverse /mirror/foo/ http://backend.example.com/ ProxyPassReverseCookieDomain backend.example.com public.example.com ProxyPassReverseCookiePath / /mirror/foo/
ne va pas seulement provoquer la conversion interne d'une requ�te
locale pour http://example.com/miroir/foo/bar
en une
requ�te mandat�e pour http://backend.example.com/bar
(la fonctionnalit� fournie par ProxyPass
). Il va
aussi s'occuper des redirections que le serveur
backend.example.com
envoie : lorsque
http://backend.example.com/bar
est redirig� par
celui-ci vers http://backend.example.com/quux
, Apache
httpd corrige ceci en http://example.com/miroir/foo/quux
avant de faire suivre la redirection HTTP au client. Notez que le
nom d'h�te utilis� pour construire l'URL est choisi en respectant la
d�finition de la directive UseCanonicalName
.
Notez que la directive ProxyPassReverse
peut aussi �tre utilis�e en conjonction avec la fonctionnalit�
pass-through (RewriteRule ... [P]
) du module
mod_rewrite
, car elle ne d�pend pas d'une directive
ProxyPass
correspondante.
Le mot-cl� optionnel interpolate (disponible depuis
httpd 2.2.9), utilis� en combinaison avec la directive
ProxyPassInterpolateEnv
, permet
l'interpolation des variables d'environnement sp�cifi�es en
utilisant le format ${VARNAME} Notez que l'interpolation
n'est pas support�e dans la partie protocole d'une URL.
Lorsque cette directive est utilis�e dans une section <Location>
, le premier
argument est omis et le r�pertoire local est obtenu � partir de
l'argument de la directive <Location>
. Il en est de m�me � l'int�rieur
d'une section <LocationMatch>
, mais le r�sultat ne sera
probablement pas celui attendu car ProxyPassReverse va interpr�ter
l'expression rationnelle litt�ralement comme un chemin ; si besoin
est dans ce cas, d�finissez la directive ProxyPassReverse en dehors
de la section, ou dans une section <Location>
s�par�e.
Cette directive ne peut pas �tre plac�e dans une section
<Directory>
ou
<Files>
.
Description: | Ajuste la cha�ne correspondant au domaine dans les en-t�tes Set-Cookie en provenance d'un serveur mandat� |
---|---|
Syntaxe: | ProxyPassReverseCookieDomain domaine-interne
domaine-public [interpolate] |
Contexte: | configuration du serveur, serveur virtuel, r�pertoire |
Statut: | Extension |
Module: | mod_proxy |
L'utilisation de cette directive est similaire � celle de la
directive ProxyPassReverse
,
mais au lieu de r��crire des en-t�tes qui contiennent des URLs, elle
r��crit la cha�ne correspondant au domaine dans les en-t�tes
Set-Cookie
.
Description: | Ajuste la cha�ne correspondant au chemin dans les en-t�tes Set-Cookie en provenance d'un serveur mandat� |
---|---|
Syntaxe: | ProxyPassReverseCookiePath chemin-interne
chemin-public [interpolate] |
Contexte: | configuration du serveur, serveur virtuel, r�pertoire |
Statut: | Extension |
Module: | mod_proxy |
Cette directive s'av�re utile en conjonction avec la directive
ProxyPassReverse
dans les
situations o� les chemins d'URL d'arri�re-plan correspondent � des
chemins publics sur le mandataire inverse. Cette directive permet de
r��crire la cha�ne path
dans les en-t�tes
Set-Cookie
. Si le d�but du chemin du cookie correspond �
chemin-interne, le chemin du cookie sera remplac� par
chemin-public.
Dans l'exemple fourni avec la directive ProxyPassReverse
, la directive :
ProxyPassReverseCookiePath / /mirror/foo/
va r��crire un cookie poss�dant un chemin d'arri�re-plan /
(ou /example
ou en fait tout chemin)
en /mirror/foo/
..
Description: | Utilise l'en-t�te de requ�te entrante Host pour la requ�te du mandataire |
---|---|
Syntaxe: | ProxyPreserveHost On|Off |
D�faut: | ProxyPreserveHost Off |
Contexte: | configuration du serveur, serveur virtuel, r�pertoire |
Statut: | Extension |
Module: | mod_proxy |
Compatibilit�: | Utilisable dans un contexte de r�pertoire depuis la version 2.3.3. |
Lorsqu'elle est activ�e, cette directive va transmettre l'en-t�te
Host: de la requ�te entrante vers le serveur mandat�, au lieu du nom
d'h�te sp�cifi� par la directive ProxyPass
.
Cette directive est habituellement d�finie � Off
.
Elle est principalement utile dans les configurations particuli�res
comme l'h�bergement virtuel mandat� en masse � base de nom, o�
l'en-t�te Host d'origine doit �tre �valu� par le serveur
d'arri�re-plan.
Description: | Taille du tampon r�seau pour les connexions mandat�es HTTP et FTP |
---|---|
Syntaxe: | ProxyReceiveBufferSize octets |
D�faut: | ProxyReceiveBufferSize 0 |
Contexte: | configuration du serveur, serveur virtuel |
Statut: | Extension |
Module: | mod_proxy |
La directive ProxyReceiveBufferSize
permet
de sp�cifier une taille de tampon r�seau explicite (TCP/IP) pour les
connexions mandat�es HTTP et FTP, afin d'am�liorer le d�bit de
donn�es. Elle doit �tre sup�rieure � 512
ou d�finie �
0
pour indiquer que la taille de tampon par d�faut du
syst�me doit �tre utilis�e.
ProxyReceiveBufferSize 2048
Description: | Mandataire distant � utiliser pour traiter certaines requ�tes |
---|---|
Syntaxe: | ProxyRemote comparaison serveur-distant |
Contexte: | configuration du serveur, serveur virtuel |
Statut: | Extension |
Module: | mod_proxy |
Cette directive permet de d�finir des mandataires distants pour
ce mandataire. comparaison est soit le nom d'un protocole
que supporte le serveur distant, soit une URL partielle pour
laquelle le serveur distant devra �tre utilis�, soit *
pour indiquer que le serveur distant doit �tre utilis� pour toutes
les requ�tes. serveur-distant est une URL partielle
correspondant au serveur distant. Syntaxe :
serveur-distant =
protocole://nom-serveur[:port]
protocole est effectivement le protocole � utiliser
pour communiquer avec le serveur distant ; ce module ne supporte que
http
et https
. Lorsqu'on utilise
https
, les requ�tes sont redirig�es par le mandataire
distant en utilisant la m�thode HTTP CONNECT.
ProxyRemote http://goodguys.example.com/ http://mirrorguys.example.com:8000 ProxyRemote * http://cleverproxy.localdomain ProxyRemote ftp http://ftpproxy.mydomain:8080
Dans la derni�re ligne de l'exemple, le mandataire va faire suivre les requ�tes FTP, encapsul�es dans une autre requ�te mandat�e HTTP, vers un autre mandataire capable de les traiter.
Cette directive supporte aussi les configurations de mandataire inverse - un serveur web d'arri�re-plan peut �tre int�gr� dans l'espace d'URL d'un serveur virtuel, m�me si ce serveur est cach� par un autre mandataire direct.
Description: | Le mandataire distant � utiliser pour traiter les requ�tes correspondant � une expression rationnelle |
---|---|
Syntaxe: | ProxyRemoteMatch regex serveur-distant |
Contexte: | configuration du serveur, serveur virtuel |
Statut: | Extension |
Module: | mod_proxy |
La directive ProxyRemoteMatch
est
identique � la directive ProxyRemote
, � l'exception du
premier argument qui est une expression
rationnelle � mettre en correspondance avec l'URL de la
requ�te.
Description: | Active la fonctionnalit� (standard) de mandataire direct |
---|---|
Syntaxe: | ProxyRequests On|Off |
D�faut: | ProxyRequests Off |
Contexte: | configuration du serveur, serveur virtuel |
Statut: | Extension |
Module: | mod_proxy |
Cette directive permet d'activer/d�sactiver la fonctionnalit� de
serveur mandataire direct d'Apache httpd. D�finir ProxyRequests �
Off
n'interdit pas l'utilisation de la directive
ProxyPass
.
Pour une configuration typique de mandataire inverse ou
passerelle, cette directive doit �tre d�finie �
Off
.
Afin d'activer la fonctionnalit� de mandataire pour des sites
HTTP et/ou FTP, les modules mod_proxy_http
et/ou
mod_proxy_ftp
doivent �galement �tre charg�s dans le
serveur.
Pour activer la fonctionnalit� de mandataire sur les sites chiffr�s en HTTPS, le module
mod_proxy_connect
doit �galement �tre charg� dans le serveur.
N'activez pas la fonctionnalit� de mandataire avec la directive
ProxyRequests
avant
d'avoir s�curis� votre serveur. Les serveurs
mandataires ouverts sont dangereux non seulement pour votre
r�seau, mais aussi pour l'Internet au sens large.
Description: | D�finit diff�rents param�tres relatifs � la r�partition de charge des mandataires et aux membres des groupes de r�partition de charge |
---|---|
Syntaxe: | ProxySet url cl�=valeur [cl�=valeur ...] |
Contexte: | r�pertoire |
Statut: | Extension |
Module: | mod_proxy |
Compatibilit�: | ProxySet n'est disponible que depuis la version 2.2 du serveur HTTP Apache. |
Cette directive propose une m�thode alternative pour d�finir tout
param�tre relatif aux r�partiteurs de charge et serveurs cibles de
mandataires normalement d�finis via la directive ProxyPass
. Si elle se trouve dans un
conteneur <Proxy url de r�partiteur|url de
serveur cible>
, l'argument url n'est pas
n�cessaire. Comme effet de bord, le r�partiteur ou serveur cible respectif
est cr��. Ceci peut s'av�rer utile pour la mise en oeuvre d'un
mandataire inverse via une directive RewriteRule
au lieu de ProxyPass
.
<Proxy balancer://hotcluster> BalancerMember http://www2.example.com:8080 loadfactor=1 BalancerMember http://www3.example.com:8080 loadfactor=2 ProxySet lbmethod=bytraffic </Proxy>
<Proxy http://backend> ProxySet keepalive=On </Proxy>
ProxySet balancer://foo lbmethod=bytraffic timeout=15
ProxySet ajp://backend:7001 timeout=15
Gardez � l'esprit qu'une m�me cl� de param�tre peut avoir diff�rentes significations selon qu'elle s'applique � un r�partiteur ou � un serveur cible, et ceci est illustr� par les deux exemples pr�c�dents o� il est question d'un timeout.
Description: | D�finit l'adresse IP locale pour les connexions mandat�es sortantes |
---|---|
Syntaxe: | ProxySourceAddress adresse |
Contexte: | configuration du serveur, serveur virtuel |
Statut: | Extension |
Module: | mod_proxy |
Compatibilit�: | Disponible depuis la version 2.3.9 |
Cette directive permet de d�finir une adresse IP locale sp�cifique � laquelle faire r�f�rence lors d'une connexion � un serveur d'arri�re-plan.
Description: | Affiche l'�tat du r�partiteur de charge du mandataire dans mod_status |
---|---|
Syntaxe: | ProxyStatus Off|On|Full |
D�faut: | ProxyStatus Off |
Contexte: | configuration du serveur, serveur virtuel |
Statut: | Extension |
Module: | mod_proxy |
Compatibilit�: | Disponible depuis la version 2.2 d'Apache |
Cette directive permet de sp�cifier si les donn�es d'�tat du
r�partiteur de charge du mandataire doivent �tre affich�es via la
page d'�tat du serveur du module mod_status
.
L'argument Full produit le m�me effet que l'argument On.
Description: | D�lai d'attente r�seau pour les requ�tes mandat�es |
---|---|
Syntaxe: | ProxyTimeout secondes |
D�faut: | Valeur de la directive |
Contexte: | configuration du serveur, serveur virtuel |
Statut: | Extension |
Module: | mod_proxy |
Cette directive permet � l'utilisateur de sp�cifier un d�lai pour les requ�tes mandat�es. Ceci s'av�re utile dans le cas d'un serveur d'applications lent et bogu� qui a tendance � se bloquer, et si vous pr�f�rez simplement renvoyer une erreur timeout et abandonner la connexion en douceur plut�t que d'attendre jusqu'� ce que le serveur veuille bien r�pondre.
Description: | Information fournie dans l'en-t�te de r�ponse HTTP
Via pour les requ�tes mandat�es |
---|---|
Syntaxe: | ProxyVia On|Off|Full|Block |
D�faut: | ProxyVia Off |
Contexte: | configuration du serveur, serveur virtuel |
Statut: | Extension |
Module: | mod_proxy |
Cette directive permet de contr�ler l'utilisation de l'en-t�te
HTTP Via:
par le mandataire. Le but recherch� est de
contr�ler le flux des requ�tes mandat�es tout au long d'une cha�ne
de serveurs mandataires. Voir RFC 2616 (HTTP/1.1),
section 14.45 pour une description des lignes d'en-t�te
Via:
.
Off
, valeur par d�faut, cette
directive n'effectue aucun traitement particulier. Si une requ�te ou
une r�ponse contient un en-t�te Via:
, il est transmis
sans modification.On
, chaque requ�te ou r�ponse
se verra ajouter une ligne d'en-t�te Via:
pour le
serveur courant.Full
, chaque ligne d'en-t�te
Via:
se verra ajouter la version du serveur Apache
httpd sous la forme d'un champ de commentaire Via:
.Block
, chaque requ�te
mandat�e verra ses lignes d'en-t�te Via:
supprim�es.
Aucun nouvel en-t�te Via:
ne sera g�n�r�.