Reverse proxy avec Apache httpd et mod_proxy

Le module proxy peut fonctionner en forward ou reverse. C’est cette seconde fonctionnalité qui nous intéresse ici.

Il permet de paramétrer des transferts de requêtes entre Apache et d’autres serveurs Web, comme Tomcat ou WildFly. Cependant, ce module ne prend pas en charge le transport pour lequel on doit associer des modules de transport : proxy_http, proxy_ajp,…​

Sous Debian, l’activation du module proxy et de ses modules de transport passe par la création de liens symbolique dans le répertoire mods-enabled de la configuration d’Apache : fichiers .load pour le chargement des modules et fichiers .conf pour leur configuration.

L’activation des modules peut aussi se faire avec a2enmod, qui crée les liens symboliques. La désactivation se fait avec a2dismod, qui supprime les liens symboliques, sans supprimer les fichiers.

Pour finir, les modifications seront prises en compte après le redémarrage d’Apache.

Dans cet exemple, j’ai exposé via Apache une application app déployée dans Tomcat. Tomcat et Apache sont sur le même serveur.

Le premier niveau de configuration est d’indiquer que les requêtes du contexte /manager doivent être passées à Tomcat. L’URL dans la directive ProxyPass est sur le protocole http, ce qui nécessite le chargement du module proxy_http.

Le paramétrage se fait dans le fichier /etc/apache2/mods-enabled/proxy.conf.

Le problème dans cette configuration, c’est que les redirections sont mal traitées. Si l’application fait des redirections avec des redirections, elle le fait avec les informations dont elle dispose, c’est-à-dire celle de Tomcat. Apache doit donc réécrire ces URLs, grâce à la directive ProxyPassReverse. Et pour que Apache conserve le header Host, on peut ajouter la directive ProxyPreserveHost.

Enfin, pour que Tomcat ait les bonnes informations pour ses logs d’accès, il faut ajouter une RemoteIpValve qui transfert l’addresse du client du header X-Forwarded-For vers le champs RemoteAddr de l’API servlet.

Si on n’a pas confiance dans le réseau entre Apache et Tomcat, on peut établir une connexion TLS. Pour ça, il faut que le module ssl soit actif. Puis, on active le moteur SSL pour le module proxy avec SSLProxyEngine.

Si le certificat de Tomcat n’est pas valide, on peut désactiver les vérifications.

Enfin, on modifie l’adresse du ProxyPass pour y mettre une URL en https.

Le protocole HTTP/2 est pris en charge par le module proxy_http2.

Il supporte évidemment HTTP/2 sur TLS.

Pour ça, le connecteur 8443 doit supporter l’upgrade vers HTTP/2.

Il supporte aussi HTTP/2 clear text.

Là aussi, le connecteur doit supporter l’upgrade vers HTTP/2.

Avec AJP, il faut un connecteur qui supporte ce protocole dans Tomcat.

Le secret peut être omis si la communication se fait dans un réseau sûr. Dans cas, il faut mettre l’attribut secretRequired="false".

Du coté d’Apache, le module de transport proxy_ajp doit être activé.

Puis ProxyPass renvoie vers le port 8009, avec le schema ajp, à la place de 8080 et http. Pour ce protocole, il n’y a pas besoin de la directive ProxyPreserveHost.

Pour que les ressources statiques soient prises en charge directement par Apache, il faut les placer dans le répertoire /var/www/html et configurer le module proxy pour qu’il ne transfère pas les requêtes à Tomcat.

Ça peut aussi se faire, avec plus de souplesse, avec le moteur de réécriture.