検索エンジン用の Nginx の設定
ここでは、Transport Layer Security (TLS)暗号化と HTTP 基本認証を組み合わせて、web サーバーと検索エンジン(Elasticsearchまたは OpenSearch)間の通信を保護する例について説明します。 オプションで、その他のタイプの認証も設定できます。この情報の参照を提供しています。
(古い用語である Secure Sockets Layer (SSL)は、多くの場合、TLS と同じ意味で使用されます。 このトピックでは、TLS)を参照します。
root
権限を持つユーザーとして入力する必要があります。Recommendations
以下をお勧めします。
-
Web サーバーで TLS が使用されている。
TLS はこのトピックの範囲外ですが、実稼動環境では、自己署名証明書ではなく、実際の証明書を使用することを強くお勧めします。
-
検索エンジンは、web サーバーと同じホストで実行されます。 異なるホスト上で検索エンジンと Web サーバーを実行する方法については、このトピックの範囲外です。
検索エンジンと Web サーバを同一ホストに配置する利点は、暗号化された通信を傍受できないことです。 検索エンジン web サーバーは、Adobe Commerce web サーバーと同じである必要はありません。例えば、Adobe Commerceは Apache を実行でき、Elasticsearch/OpenSearch は nginx を実行できます。
検索エンジンが公開 web に公開されている場合は、認証を設定する必要があります。 検索エンジンインスタンスがネットワーク内で保護されている場合は、この操作は必要ない場合があります。 ホスティングプロバイダーと協力して、インスタンスを保護するために実装する必要があるセキュリティ対策を決定します。
TLS の詳細情報
次のいずれかのリソースを参照してください。
プロキシの設定
このセクションでは、このサーバで動作している検索エンジンをAdobe Commerceが使用できるように nginx を セキュアでない プロキシとして設定する方法について説明します。 この項では、HTTP 基本認証の設定については説明しません。詳細は、nginx との安全な通信を参照してください。
グローバル設定で追加の設定ファイルを指定します
グローバル /etc/nginx/nginx.conf
に次の行が含まれていることを確認して、以降の節で説明するその他の設定ファイルを読み込みます。
include /etc/nginx/conf.d/*.conf;
プロキシとしての nginx の設定
このセクションでは、nginx サーバにアクセスできるユーザを指定する方法について説明します。
-
テキストエディターを使用して、次の内容を含むファイル
/etc/nginx/conf.d/magento_es_auth.conf
を作成します。code language-conf server { listen 8080; location /_cluster/health { proxy_pass http://localhost:9200/_cluster/health; } }
-
nginx を再起動します。
code language-bash service nginx restart
-
次のコマンドを入力して、プロキシが機能することを確認します。
code language-bash curl -i http://localhost:<proxy port>/_cluster/health
例えば、プロキシでポート 8080 が使用されている場合は、次のようになります。
code language-bash curl -i http://localhost:8080/_cluster/health
次のようなメッセージが成功を示して表示されます。
code language-none HTTP/1.1 200 OK Date: Tue, 23 Feb 2019 20:38:03 GMT Content-Type: application/json; charset=UTF-8 Content-Length: 389 Connection: keep-alive {"cluster_name":"elasticsearch","status":"yellow","timed_out":false,"number_of_nodes":1,"number_of_data_nodes":1,"active_primary_shards":5,"active_shards":5,"relocating_shards":0,"initializing_shards":0,"unassigned_shards":5,"delayed_unassigned_shards":0,"number_of_pending_tasks":0,"number_of_in_flight_fetch":0,"task_max_waiting_in_queue_millis":0,"active_shards_percent_as_number":50.0}
nginx との安全な通信
この節では、安全なプロキシを使用して HTTP 基本認証を設定する方法について説明します。 TLS と HTTP 基本認証を一緒に使用すると、Elasticsearchや OpenSearch、またはアプリケーションサーバーとの通信がインターセプトされるのを防ぐことができます。
Nginx は HTTP 基本認証をネイティブでサポートしているので、たとえば、実稼動環境では推奨されない ダイジェスト認証を使用することをお勧めします。
追加のリソース:
詳しくは、次の節を参照してください。
パスワードの作成
Apache htpasswd
コマンドを使用して、Elasticsearchまたは OpenSearch (この例では magento_elasticsearch
という名前)にアクセスできるユーザーのパスワードをエンコードすることをお勧めします。
パスワードを作成するには:
-
次のコマンドを入力して、
htpasswd
が既にインストールされているかどうかを確認します。code language-bash which htpasswd
パスが表示された場合は、インストールされます。コマンドが出力を返さない場合は、
htpasswd
はインストールされません。 -
必要に応じて、
htpasswd
をインストールします。- Ubuntu:
apt-get -y install apache2-utils
- CentOS:
yum -y install httpd-tools
- Ubuntu:
-
パスワードを格納する
/etc/nginx/passwd
ディレクトリを作成します。code language-bash mkdir -p /etc/nginx/passwd
code language-bash htpasswd -c /etc/nginx/passwd/.<filename> <username>
note warning WARNING セキュリティ上の理由から、 <filename>
を非表示にする必要があります。つまり、ピリオドで始める必要があります。 -
(オプション)。 パスワードファイルに別のユーザーを追加するには、
-c
(作成)オプションを付けずに同じコマンドを入力します。code language-bash htpasswd /etc/nginx/passwd/.<filename> <username>
-
/etc/nginx/passwd
の内容が正しいことを確認します。
nginx へのアクセスの設定
このセクションでは、nginx サーバにアクセスできるユーザを指定する方法について説明します。
テキストエディターを使用して、/etc/nginx/conf.d/magento_es_auth.conf
(保護されていない)または保護されたサーバーブロックを次の内容で変更します。
server {
listen 8080;
server_name 127.0.0.1;
location / {
limit_except HEAD {
auth_basic "Restricted";
auth_basic_user_file /etc/nginx/passwd/.htpasswd_magento_elasticsearch;
}
proxy_pass http://127.0.0.1:9200;
proxy_redirect off;
proxy_set_header Host $host;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
}
location /_aliases {
auth_basic "Restricted";
auth_basic_user_file /etc/nginx/passwd/.htpasswd_magento_elasticsearch;
proxy_pass http://127.0.0.1:9200;
proxy_redirect off;
proxy_set_header Host $host;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
}
include /etc/nginx/auth/*.conf;
}
検索エンジンの制限付きコンテキストの設定
このセクションでは、検索エンジン サーバーにアクセスできるユーザーを指定する方法について説明します。
-
次のコマンドを入力して、認証設定を格納するディレクトリを作成します。
code language-bash mkdir /etc/nginx/auth/
-
テキストエディターを使用して、次の内容を含むファイル
/etc/nginx/auth/magento_elasticsearch.conf
を作成します。code language-conf location /elasticsearch { auth_basic "Restricted - elasticsearch"; auth_basic_user_file /etc/nginx/passwd/.htpasswd_magento_elasticsearch; proxy_pass http://127.0.0.1:9200; proxy_redirect off; proxy_set_header Host $host; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; }
-
セキュリティで保護されたプロキシを設定している場合は、
/etc/nginx/conf.d/magento_es_auth.conf
を削除します。 -
nginx を再起動し、次のセクションに進みます。
code language-bash service nginx restart
検証
この項では、HTTP 基本認証が機能していることを確認する 2 つの方法について説明します。
curl
コマンドを使用して検証するには、ユーザー名とパスワードを入力してクラスターの状態を取得する必要があります- 管理者での HTTP 基本認証の設定
curl
コマンドを使用してクラスターの状態を確認する
次のコマンドを入力します。
curl -i http://<hostname, ip, or localhost>:<proxy port>/_cluster/health
例えば、検索エンジンサーバーにコマンドを入力し、プロキシがポート 8080 を使用している場合は、次のようになります。
curl -i http://localhost:8080/_cluster/health
次のメッセージが表示され、認証が失敗したことを示します。
HTTP/1.1 401 Unauthorized
Date: Tue, 23 Feb 2016 20:35:29 GMT
Content-Type: text/html
Content-Length: 194
Connection: keep-alive
WWW-Authenticate: Basic realm="Restricted"
<html>
<head><title>401 Authorization Required</title></head>
<body bgcolor="white">
<center><h1>401 Authorization Required</h1></center>
</body>
</html>
次のコマンドを試してください。
curl -i -u <username>:<password> http://<hostname, ip, or localhost>:<proxy port>/_cluster/health
例:
curl -i -u magento_elasticsearch:mypassword http://localhost:8080/_cluster/health
今回は、コマンドが成功し、次のようなメッセージが表示されます。
HTTP/1.1 200 OK
Date: Tue, 23 Feb 2016 20:38:03 GMT
Content-Type: application/json; charset=UTF-8
Content-Length: 389
Connection: keep-alive
{"cluster_name":"elasticsearch","status":"yellow","timed_out":false,"number_of_nodes":1,"number_of_data_nodes":1,"active_primary_shards":5,"active_shards":5,"relocating_shards":0,"initializing_shards":0,"unassigned_shards":5,"delayed_unassigned_shards":0,"number_of_pending_tasks":0,"number_of_in_flight_fetch":0,"task_max_waiting_in_queue_millis":0,"active_shards_percent_as_number":50.0}
管理画面で HTTP 基本認証を設定
検索エンジンの設定で説明したのと同じタスクを実行します。*ただし*Enable HTTP Auth リストで「Yes」をクリックし、表示されたフィールドにユーザー名とパスワードを入力します。
「Test Connection」をクリックして機能することを確認し、「Save Config」をクリックします。
続行する前に、キャッシュをフラッシュして再インデックス化する必要があります。