7
Mehrere Webserver (mit SSL) eine öffentliche IP
Hallo,
wir haben vor uns in einem Rechenzentrum ein paar HE anzumieten um dort einige Nextcloud Docker Container anzubieten. Die Container laufen auch soweit.
Eine Firewall haben wir dort natürlich auch mit einberechnet. Es steht uns eine Securepoint Black Dwarf, eine Synology RS820+ und ein Lenovo SR250 zur Verfügung.
Nun müssen diese nur noch von mehreren Domains aus angesprochen werden.
Dazu verwenden wir einen Reverse Proxy den unsere Firewall bereitstellt. Ohne SSL-Verschlüsselung funktioniert das auch alles.
Sind wir so auf dem richtigen weg oder würde man es normalerweise komplett anders machen?
Wenn ich SSL-Zertifikate dort mit einbringen will, müssen wir diese dann im Reverse Proxy oder nur im Nextcloud Container hinterlegen?
Gruß
Sascha
wir haben vor uns in einem Rechenzentrum ein paar HE anzumieten um dort einige Nextcloud Docker Container anzubieten. Die Container laufen auch soweit.
Eine Firewall haben wir dort natürlich auch mit einberechnet. Es steht uns eine Securepoint Black Dwarf, eine Synology RS820+ und ein Lenovo SR250 zur Verfügung.
Nun müssen diese nur noch von mehreren Domains aus angesprochen werden.
Dazu verwenden wir einen Reverse Proxy den unsere Firewall bereitstellt. Ohne SSL-Verschlüsselung funktioniert das auch alles.
Sind wir so auf dem richtigen weg oder würde man es normalerweise komplett anders machen?
Wenn ich SSL-Zertifikate dort mit einbringen will, müssen wir diese dann im Reverse Proxy oder nur im Nextcloud Container hinterlegen?
Gruß
Sascha
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 566237
Url: https://administrator.de/contentid/566237
Printed on: April 20, 2024 at 11:04 o'clock
7 Comments
Latest comment
Wenn ich SSL-Zertifikate dort mit einbringen will, müssen wir diese dann im Reverse Proxy oder nur im Nextcloud Container hinterlegen?
Die Frage wirft eine Gegenfrage auf: Weißt du wieso du einen Reverse Proxy brauchst oder machst du das, weil es so im Tutorial steht?
Ich weiß schon warum ich den Reverse Proxy benötige... aber mit SSL zusammen bekomme ich es einfach nicht richtig ans laufen.
Moin,
Ja.
Das öffentliche Zertifikat muss auf den Reverse Proxy, da ja die Zugriffe aus dem Internet dort landen. Wenn der Reverse proxy auch mit dem eigentlichen Server SSL/TLS sprechen soll, muss auf dem eigentlichen Server ein entsprechendes Zertifikat hinterlegt werden. Dann kann man auch noch einrichten, dass auch der zugreifenden Reverse Proxy ein Clientzertifikat vorlegen muss.
hth
Erik
Ja.
Wenn ich SSL-Zertifikate dort mit einbringen will, müssen wir diese dann im Reverse Proxy oder nur im Nextcloud Container hinterlegen?
Das öffentliche Zertifikat muss auf den Reverse Proxy, da ja die Zugriffe aus dem Internet dort landen. Wenn der Reverse proxy auch mit dem eigentlichen Server SSL/TLS sprechen soll, muss auf dem eigentlichen Server ein entsprechendes Zertifikat hinterlegt werden. Dann kann man auch noch einrichten, dass auch der zugreifenden Reverse Proxy ein Clientzertifikat vorlegen muss.
hth
Erik
Du legst für jede Domain einen virtual Host im Reverse Proxy an. Darin hinterlegst du das TLS-Zertifikat für den entsprechenden NC.
Vielen Dank erikro. Dann werde ich mal testen, ob das so klappt. 
Gerne. Hier noch ein Tutorial für den Indianer.
https://www.netnea.com/cms/apache-tutorial-9-reverse-proxy-einrichten/
https://www.netnea.com/cms/apache-tutorial-9-reverse-proxy-einrichten/
Theoretisch kann der Reverse Proxy per SNI zu den Containern routen und die SSL-Terminierung wird dort erledigt. Muss der Reverse Proxy aber unterstützen (HAProxy kann das z.B.). Tendenziell lässt man das eher den Reverse Proxy machen. Ist einfacher, da man alles an einem Punkt für einen Webserver hat und nicht bei jedem Anwendungstyp schauen muss, wie da ein Zertifikat eingebunden wird. Sowohl automatisiert als auch wenn man es noch händisch macht.
Ich würde als Reverse Proxy unabhängig davon auf jeden Fall was leichtgewichtiges und für hohe Last optimiertes nehmen, wie Nginx. Ein vergleichsweise fetter Apache geht prinzipiell auch. Ist halt performancetechnisch nicht so gut.
Gerade für Container empfehle ich Traefik. Habe ich seit mehreren Jahren für u.a. Nextcloud, andere PHP Applikationen (Wordpress, Eigenentwicklungen) sowie diverse weitere Applikationen (ASP.NET Core selbst entwickelt, Confluence, verschiedene OS Tools) am laufen. Funktioniert einwandfrei, ist fast so performant wie Nginx. Dank Lets Encrypt wirft man weder unnötig Geld für Zertifikate raus, noch muss man sich um deren Verlängerung kümmern. Auch das läuft mit mehreren Domains + Subdomains reibungslos.
Ich würde als Reverse Proxy unabhängig davon auf jeden Fall was leichtgewichtiges und für hohe Last optimiertes nehmen, wie Nginx. Ein vergleichsweise fetter Apache geht prinzipiell auch. Ist halt performancetechnisch nicht so gut.
Gerade für Container empfehle ich Traefik. Habe ich seit mehreren Jahren für u.a. Nextcloud, andere PHP Applikationen (Wordpress, Eigenentwicklungen) sowie diverse weitere Applikationen (ASP.NET Core selbst entwickelt, Confluence, verschiedene OS Tools) am laufen. Funktioniert einwandfrei, ist fast so performant wie Nginx. Dank Lets Encrypt wirft man weder unnötig Geld für Zertifikate raus, noch muss man sich um deren Verlängerung kümmern. Auch das läuft mit mehreren Domains + Subdomains reibungslos.
