Sv translation | |||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|
| |||||||||||
The load balancer can be connected to the outside world to allow access to the jtel System from the internet. Connecting the LB to the outside world directly
Connecting the LB to the outside world via a firewallThe following ports should be forwarded to the jtel Load Balancer:
It is highly recommended to install a certificate for your domain on the load balancer. See also SSL/TLS Certificates - Self-signed certificate and Rolle Role LB - Zertifikate für Load-BalancerCertificates for load balancers. Note: you can use https only (i.e. open only port 443 in the firewall) if you do not require http access. See below for details of extra configuration required in the load balancer to do this. Connecting the LB to the outside world via a reverse proxyThe preceeding reverse proxy should perform the following tasks:
Note: this configuration must be performed by the administrators of the reverse proxy and depends on the exact reverse proxy used. Addition LB Configuration if only Port 443 is opened (via Firewall or via previous Reverse Proxy)If only port 443 is available to the outside world, then the following must be considered:
Because of redirections which are made in the web application, it is necessary to inform the web server that the redirected URL should refer to https and not http. This is achieved using the X-Forwarded-Proto header in most webservers. Wildfly can do this. However, JBOSS does not do this correctly and so haproxy must be configured to perform this task. JBOSSWhen running JBOSS webservers, add the following to haproxy.cfg in the backend configuration section for jtel_portal and jtel_soap
This is because JBOSS does not process the X-Forwarded-Proto header correctly when redirections are made. WildflyWhen running Wildfly on the webservers, the configuration, make sure the following is in standalone.xml on the http listener:
For example:
The wildfly servlet container deals with the protocol differences correctly on its own by interpreting the X-Forwarded-Proto header. |
Sv translation | |||||
---|---|---|---|---|---|
| |||||
Der Load Balancer kann mit der Außenwelt verbunden werden, um den Zugriff auf das Jtel-System vom Internet aus zu ermöglichen. Die LB direkt mit der Außenwelt verbinden
Verbindung der LB mit der Außenwelt über eine FirewallDie folgenden Ports sollten an den jtel Load Balancer weitergeleitet werden:
Es wird dringend empfohlen, ein Zertifikat für Ihre Domain auf dem Load Balancer zu installieren. Siehe auch: SSL/TLS Certificates - Self-signed certificate und Rolle Role LB - Zertifikate für Load-BalancerCertificates for load balancers. Hinweis: Sie können nur https verwenden (d.h. nur Port 443 in der Firewall öffnen), wenn Sie keinen http-Zugang benötigen. Siehe unten für Einzelheiten über die dazu erforderliche zusätzliche Konfiguration im Load Balancer. Verbindung der LB mit der Außenwelt über einen Reverse-ProxyDer vorangehende Reverse-Proxy sollte folgende Aufgaben erfüllen:
Hinweis: Diese Konfiguration muss von den Administratoren des Reverse-Proxys durchgeführt werden und hängt genau vom verwendeten Reverse-Proxy ab. Hinzufügen der LB-Konfiguration, wenn nur Port 443 geöffnet ist (über Firewall oder über vorherigen Reverse Proxy)Wenn der Außenwelt nur der Port 443 zur Verfügung steht, muss Folgendes berücksichtigt werden:
Wegen der Umleitungen, die in der Webanwendung vorgenommen werden, ist es notwendig, dem Webserver mitzuteilen, dass die umgeleitete URL auf https und nicht auf http verweisen soll. Dies wird durch die Verwendung des X-Forwarded-Proto-Headers in den meisten Webservern erreicht. Wildfly kann dies tun. JBOSS macht dies jedoch nicht korrekt, so dass Haproxy für diese Aufgabe konfiguriert werden muss. JBOSSWenn Sie JBOSS-Webserver ausführen, fügen Sie in der haproxy.cfg im Abschnitt Backend-Konfiguration für jtel_portal und jtel_soap Folgendes hinzu http-response replace-header Location http:(.*) https:\1 Dies liegt daran, dass JBOSS den X-Forwarded-Proto-Header bei Umleitungen nicht korrekt verarbeitet. WildflyWenn Sie Wildfly auf den Webservern ausführen, stellen Sie bei der Konfiguration sicher, dass die folgende Datei in der Datei standalone.xml auf dem http-Hörer vorhanden ist: proxy-address-forwarding="true" Zum Beispiel: <http-listener name="default" socket-binding="http" max-post-size="20971520" enable-http2="false" proxy-address-forwarding="true"/> Der Servlet-Container wildfly behandelt die Protokollunterschiede selbständig korrekt, indem er den X-Forwarded-Proto-Header interpretiert. |
Sv translation | |||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|
| |||||||||||
L'équilibreur de charge peut être connecté au monde extérieur pour permettre l'accès au système jtel depuis l'internet. Relier directement le LB au monde extérieur
Connexion de la LB au monde extérieur via un pare-feuLes ports suivants doivent être transmis au Load Balancer de jtel :
Il est fortement recommandé d'installer un certificat pour votre domaine sur l'équilibreur de charge. Voir aussi SSL/TLS Certificates - Self-signed certificate et Rôle Role LB - Certificats pour les équilibreurs de chargeCertificates for load balancers. Remarque : vous ne pouvez utiliser le protocole https (c'est-à-dire ouvrir uniquement le port 443 dans le pare-feu) que si vous n'avez pas besoin d'un accès http. Voir ci-dessous pour plus de détails sur la configuration supplémentaire requise dans l'équilibreur de charge pour ce faire. Connexion de la LB au monde extérieur via un reverse proxyLe mandataire inverse précédent doit accomplir les tâches suivantes :
Note : cette configuration doit être effectuée par les administrateurs du reverse proxy et dépend de l'exact reverse proxy utilisé. Ajout de la configuration LB si seul le port 443 est ouvert (via le pare-feu ou via le Reverse Proxy précédent)Si seul le port 443 est accessible au monde extérieur, il faut alors tenir compte de ce qui suit :
En raison des redirections qui sont effectuées dans l'application web, il est nécessaire d'informer le serveur web que l'URL redirigée doit faire référence à https et non à http. Pour ce faire, la plupart des serveurs web utilisent l'en-tête X-Forwarded-Proto. Wildfly peut le faire. Cependant, le JBOSS ne le fait pas correctement et l'haproxy doit donc être configuré pour effectuer cette tâche. JBOSSLorsque vous utilisez des serveurs web JBOSS, ajoutez ce qui suit au fichier haproxy.cfg dans la configuration de section backend pour jtel_portal et jtel_soap
Cela est dû au fait que le JBOSS ne traite pas correctement l'en-tête X-Forwarded-Proto lorsque des redirections sont effectuées. WildflyLorsque vous exécutez Wildfly sur les serveurs web, la configuration, assurez-vous que ce qui suit est dans standalone.xml sur l'auditeur http :
Par exemple:
Le conteneur de servlet wildfly traite correctement les différences de protocole par lui-même en interprétant l'en-tête X-Forwarded-Proto. |