Shirasagiの扱いが難しい
まぁRubyやらRailsやらからっきしなのでアレですが。
今回のはRuby関係ないですが。
Shirasagiの常時SSL化をNginxのリバースプロキシ下でやろうとしてハマった話。
インターネット(SSL)⇒Nginx ⇒(ここから先http)(別Serverの)Nginx ⇒ Shirasagi(Unicorn?)
という構成で、公開サイトをsslで表示するのはすぐにできたんですが、管理画面ログインがうまくいかなくて困った。
フロント側のNginxのプロキシ(ヘッダー)設定を
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-Host $host;
proxy_set_header X-Forwarded-Server $host;
proxy_set_header X-Forwarded-For $remote_addr;
proxy_set_header X-Forwarded-Ssl on;
proxy_set_header X-Forwarded-Proto https;
バックエンド側のNginxはShirasagiインストール時に生成されてるんだけど、
#proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
を
proxy_set_header X-Forwarded-For "$http_x_forwarded_for, $realip_remote_addr";
に書き換えてみた。
ようはフロントで
proxy_set_header X-Forwarded-Ssl on;
proxy_set_header X-Forwarded-Proto https;
して、バックエンドで
proxy_set_header X-Forwarded-Proto $scheme;
することでうまくいくらしい。
なおバックエンド側に追記したのは
フロント側で
proxy_set_header X-Forwarded-For $remote_addr;
しておいてバックエンド側で書き換えた
proxy_set_header X-Forwarded-For "$http_x_forwarded_for, $realip_remote_addr";
でアクセス元のIPを取ろうという記述、、、のはず。
Nginx触り始めて1週間でググりまくった結果なのでまたこつこつ調べないといけませんね。