Documentation Commerce Guide d’installation

Configuration de Nginx pour votre moteur de recherche

Dernière mise à jour : 18 juillet 2024

Rubriques :

Créé pour :

Expérimenté
Administration
Développeur

Cette rubrique présente un exemple de sécurisation des communications entre votre serveur web et votre moteur de recherche (Elasticsearch ou OpenSearch) à l’aide d’une combinaison de chiffrement TLS (Transport Layer Security) et d’ authentification de base HTTP. Vous pouvez également configurer d’autres types d’authentification. Nous fournissons des références pour ces informations.

(Un terme plus ancien, SSL (Secure Sockets Layer), est fréquemment utilisé de manière interchangeable avec TLS. Dans cette rubrique, nous faisons référence à TLS.)

WARNING

Sauf indication contraire, toutes les commandes de cette rubrique doivent être saisies en tant qu’utilisateur disposant des privilèges root.

Recommendations

Nous vous recommandons ce qui suit :

Votre serveur web utilise TLS.

TLS dépasse le cadre de cette rubrique ; toutefois, nous vous recommandons vivement d’utiliser un certificat réel en production et non un certificat auto-signé.
Votre moteur de recherche s’exécute sur le même hôte qu’un serveur web. L’exécution du moteur de recherche et du serveur web sur différents hôtes dépasse le cadre de cette rubrique.

L’avantage de placer le moteur de recherche et le serveur web sur le même hôte est qu’il rend impossible l’interception de communications cryptées. Le serveur web du moteur de recherche ne doit pas nécessairement être le même que le serveur web Adobe Commerce ; par exemple, Adobe Commerce peut exécuter Apache et Elasticsearch/OpenSearch peut exécuter nginx.

Si le moteur de recherche est exposé au Web public, vous devez configurer l’authentification. Si votre instance de moteur de recherche est protégée sur votre réseau, cela peut ne pas être nécessaire. Collaborez avec votre fournisseur d’hébergement pour déterminer les mesures de sécurité à implémenter pour protéger votre instance.

Plus d’informations sur TLS

Consultez l’une des ressources suivantes :

Configuration d’un proxy

NOTE

La prise en charge d’OpenSearch a été ajoutée à la version 2.4.4. OpenSearch est un double compatible d’Elasticsearch. Pour plus d’informations, voir Migration de l’Elasticsearch vers OpenSearch .

Cette section explique comment configurer nginx en tant que proxy non sécurisé afin qu’Adobe Commerce puisse utiliser un moteur de recherche s’exécutant sur ce serveur. Cette section ne traite pas de la configuration de l’authentification HTTP de base. C’est ce qui est décrit dans Communication sécurisée avec nginx.

NOTE

La raison pour laquelle le proxy n’est pas sécurisé dans cet exemple est qu’il est plus facile de configurer et de vérifier. Si vous le souhaitez, vous pouvez utiliser TLS avec ce proxy. Pour ce faire, veillez à ajouter les informations du proxy à votre configuration de bloc de serveur sécurisée.

Spécifier des fichiers de configuration supplémentaires dans votre configuration globale

Assurez-vous que votre /etc/nginx/nginx.conf global contient la ligne suivante afin qu’il charge les autres fichiers de configuration décrits dans les sections suivantes :

include /etc/nginx/conf.d/*.conf;

Configuration de nginx en tant que proxy

Cette section explique comment spécifier qui peut accéder au serveur nginx.

Utilisez un éditeur de texte pour créer un fichier /etc/nginx/conf.d/magento_es_auth.conf avec les contenus suivants :

server {
   listen 8080;
   location /_cluster/health {
      proxy_pass http://localhost:9200/_cluster/health;
   }
}

Redémarrez le nginx :
service nginx restart

Vérifiez que le proxy fonctionne en saisissant la commande suivante :

curl -i http://localhost:<proxy port>/_cluster/health

Par exemple, si votre proxy utilise le port 8080 :

curl -i http://localhost:8080/_cluster/health

Messages similaires à l’affichage suivant pour indiquer la réussite :

HTTP/1.1 200 OK
Date: Tue, 23 Feb 2019 20:38:03 GMT
Content-Type: application/json; charset=UTF-8
Content-Length: 389
Connection: keep-alive

{"cluster_name":"elasticsearch","status":"yellow","timed_out":false,"number_of_nodes":1,"number_of_data_nodes":1,"active_primary_shards":5,"active_shards":5,"relocating_shards":0,"initializing_shards":0,"unassigned_shards":5,"delayed_unassigned_shards":0,"number_of_pending_tasks":0,"number_of_in_flight_fetch":0,"task_max_waiting_in_queue_millis":0,"active_shards_percent_as_number":50.0}

Communication sécurisée avec nginx

Cette section explique comment configurer l’ authentification HTTP de base avec votre proxy sécurisé. L’utilisation conjointe de l’authentification TLS et HTTP Basic empêche quiconque d’intercepter une communication avec un Elasticsearch ou OpenSearch ou avec votre serveur d’applications.

Étant donné que nginx prend en charge l’authentification HTTP de base, nous vous recommandons de passer par exemple à l’authentification Digest authentication, qui n’est pas recommandée en production.

Ressources supplémentaires :

Pour plus d’informations, reportez-vous aux sections suivantes :

Créer des mots de passe
Configurer l’accès à nginx
Configurer un contexte restreint pour le moteur de recherche
Vérifier que la communication est sécurisée

Créer un mot de passe

Nous vous recommandons d’utiliser la commande Apache htpasswd pour coder les mots de passe d’un utilisateur ayant accès à Elasticsearch ou OpenSearch (nommé magento_elasticsearch dans cet exemple).

Pour créer un mot de passe :

Saisissez la commande suivante pour déterminer si htpasswd est déjà installé :
which htpasswd
Si un chemin d’accès s’affiche, il est installé ; si la commande ne renvoie aucune sortie, htpasswd n’est pas installé.
Si nécessaire, installez htpasswd :
- Ubuntu : apt-get -y install apache2-utils
- CentOS : yum -y install httpd-tools
Créez un répertoire /etc/nginx/passwd pour stocker les mots de passe :
mkdir -p /etc/nginx/passwd
htpasswd -c /etc/nginx/passwd/.<filename> <username>
WARNING
Pour des raisons de sécurité, <filename> doit être masqué, c’est-à-dire qu’il doit commencer par un point.
(facultatif). Pour ajouter un autre utilisateur à votre fichier de mot de passe, saisissez la même commande sans l’option -c (créer) :
htpasswd /etc/nginx/passwd/.<filename> <username>
Vérifiez que le contenu de /etc/nginx/passwd est correct.

Configurer l’accès à nginx

Cette section explique comment spécifier qui peut accéder au serveur nginx.

WARNING

L’exemple illustré concerne un proxy non sécurisé. Pour utiliser un proxy sécurisé, ajoutez les contenus suivants (à l'exception du port d'écoute) à votre bloc de serveur sécurisé.

Utilisez un éditeur de texte pour modifier /etc/nginx/conf.d/magento_es_auth.conf (non sécurisé) ou votre bloc de serveur sécurisé avec les contenus suivants :

server {
  listen 8080;
  server_name 127.0.0.1;

  location / {
   limit_except HEAD {
      auth_basic "Restricted";
      auth_basic_user_file  /etc/nginx/passwd/.htpasswd_magento_elasticsearch;
   }
   proxy_pass http://127.0.0.1:9200;
   proxy_redirect off;
   proxy_set_header Host $host;
   proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
  }

  location /_aliases {
   auth_basic "Restricted";
   auth_basic_user_file  /etc/nginx/passwd/.htpasswd_magento_elasticsearch;
   proxy_pass http://127.0.0.1:9200;
   proxy_redirect off;
   proxy_set_header Host $host;
   proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
  }

  include /etc/nginx/auth/*.conf;
}

NOTE

Le port d’écoute du moteur de recherche illustré dans l’exemple précédent n’est que des exemples. Pour des raisons de sécurité, nous vous recommandons d’utiliser un port d’écoute autre que celui par défaut.

Configurer un contexte restreint pour le moteur de recherche

Cette section explique comment spécifier qui peut accéder au serveur du moteur de recherche.

Saisissez la commande suivante pour créer un répertoire dans lequel stocker la configuration de l'authentification :
mkdir /etc/nginx/auth/

Utilisez un éditeur de texte pour créer un fichier /etc/nginx/auth/magento_elasticsearch.conf avec les contenus suivants :

location /elasticsearch {
auth_basic "Restricted - elasticsearch";
auth_basic_user_file /etc/nginx/passwd/.htpasswd_magento_elasticsearch;

proxy_pass http://127.0.0.1:9200;
proxy_redirect off;
proxy_set_header Host $host;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
}

Si vous configurez un proxy sécurisé, supprimez /etc/nginx/conf.d/magento_es_auth.conf.
Redémarrez nginx et passez à la section suivante :
service nginx restart

Vérifier

Cette section décrit deux manières de vérifier que l’authentification HTTP de base fonctionne :

Utilisation d’une commande curl pour vérifier que vous devez saisir un nom d’utilisateur et un mot de passe pour obtenir l’état du cluster
Configuration de l’authentification HTTP de base dans Admin

Utilisation d’une commande `curl` pour vérifier l’état de la grappe

Saisissez la commande suivante :

curl -i http://<hostname, ip, or localhost>:<proxy port>/_cluster/health

Par exemple, si vous saisissez la commande sur le serveur du moteur de recherche et que votre proxy utilise le port 8080 :

curl -i http://localhost:8080/_cluster/health

Le message suivant s’affiche pour indiquer que l’authentification a échoué :

HTTP/1.1 401 Unauthorized
Date: Tue, 23 Feb 2016 20:35:29 GMT
Content-Type: text/html
Content-Length: 194
Connection: keep-alive
WWW-Authenticate: Basic realm="Restricted"
<html>
<head><title>401 Authorization Required</title></head>
<body bgcolor="white">
  <center><h1>401 Authorization Required</h1></center>
</body>
</html>

Essayez maintenant la commande suivante :

curl -i -u <username>:<password> http://<hostname, ip, or localhost>:<proxy port>/_cluster/health

Par exemple :

curl -i -u magento_elasticsearch:mypassword http://localhost:8080/_cluster/health

Cette fois, la commande réussit avec un message similaire à ce qui suit :

HTTP/1.1 200 OK
Date: Tue, 23 Feb 2016 20:38:03 GMT
Content-Type: application/json; charset=UTF-8
Content-Length: 389
Connection: keep-alive
{"cluster_name":"elasticsearch","status":"yellow","timed_out":false,"number_of_nodes":1,"number_of_data_nodes":1,"active_primary_shards":5,"active_shards":5,"relocating_shards":0,"initializing_shards":0,"unassigned_shards":5,"delayed_unassigned_shards":0,"number_of_pending_tasks":0,"number_of_in_flight_fetch":0,"task_max_waiting_in_queue_millis":0,"active_shards_percent_as_number":50.0}

Configuration de l’authentification HTTP de base dans Admin

Effectuez les mêmes tâches que celles décrites dans la Configuration du moteur de recherche sauf cliquez sur Yes dans la liste Enable HTTP Auth et saisissez votre nom d’utilisateur et votre mot de passe dans les champs fournis.

Cliquez sur Test Connection pour vous assurer qu'il fonctionne, puis sur Save Config.

Vous devez vider le cache et réindexer avant de continuer.

recommendation-more-help

Configuration de Nginx pour votre moteur de recherche

Recommendations

Plus d’informations sur TLS

Configuration d’un proxy

Spécifier des fichiers de configuration supplémentaires dans votre configuration globale

Configuration de nginx en tant que proxy

Communication sécurisée avec nginx

Créer un mot de passe

Configurer l’accès à nginx

Configurer un contexte restreint pour le moteur de recherche

Vérifier

Utilisation d’une commande curl pour vérifier l’état de la grappe

Configuration de l’authentification HTTP de base dans Admin

Utilisation d’une commande `curl` pour vérifier l’état de la grappe