Serveur Apache HTTP Version 2.2
Serveur Apache HTTP Version 2.2
| Description: | Serveur mandataire/passerelle HTTP/1.1 |
|---|---|
| Statut: | Extension |
| Identificateur�de�Module: | proxy_module |
| Fichier�Source: | mod_proxy.c |
N'activez pas la fonctionnalit� de mandataire avec la directive
ProxyRequests avant
d'avoir s�curis� votre serveur. Les serveurs
mandataires ouverts sont dangereux pour votre r�seau,
mais aussi pour l'Internet au sens large.
Ce module impl�mente un mandataire/passerelle pour Apache. Il
impl�mente la fonctionnalit� de mandataire pour AJP13
(Apache JServe Protocol version 1.3), FTP,
CONNECT (pour SSL), HTTP/0.9,
HTTP/1.0, et HTTP/1.1. Le module peut �tre
configur� pour se connecter aux autres modules mandataires qui
g�rent ces protocoles.
Les diverses fonctionnalit�s de
mandataire d'Apache sont r�parties entre plusieurs modules
compl�mentaires de mod_proxy :
mod_proxy_http, mod_proxy_ftp,
mod_proxy_ajp, mod_proxy_balancer,
et mod_proxy_connect. Ainsi, si vous voulez
utiliser une ou plusieurs fonctionnalit�s de mandataire
particuli�res, chargez mod_proxy et le(s)
module(s) appropri�(s) dans le serveur (soit statiquement � la
compilation, soit dynamiquement via la directive LoadModule).
En outre, d'autres modules fournissent des fonctionnalit�s
�tendues. mod_cache et ses modules associ�s
fournissent la mise en cache. Les directives SSLProxy*
du module mod_ssl permettent de contacter des
serveurs distants en utilisant le protocole SSL/TLS. Ces modules
additionnels devront �tre charg�s et configur�s pour pouvoir
disposer de ces fonctionnalit�s.
AllowCONNECT BalancerMember NoProxy <Proxy> ProxyBadHeader ProxyBlock ProxyDomain ProxyErrorOverride ProxyFtpDirCharset ProxyIOBufferSize <ProxyMatch> ProxyMaxForwards ProxyPass ProxyPassInterpolateEnv ProxyPassMatch ProxyPassReverse ProxyPassReverseCookieDomain ProxyPassReverseCookiePath ProxyPreserveHost ProxyReceiveBufferSize ProxyRemote ProxyRemoteMatch ProxyRequests ProxySet ProxyStatus ProxyTimeout ProxyVia Mandataires directs et
mandataires/passerelles inverses Exemples simples Gestionnaires de serveurs (workers) Contr�ler l'acc�s � votre
mandataire Ralentissement au d�marragep Mandataire d'Intranet Ajustements relatifs au
protocole Corps de requ�tes En-t�tes de requ�te du mandataire
inverse
Apache peut �tre configur� dans les deux modes mandataire direct et mandataire inverse (aussi nomm� mode passerelle).
Un mandataire direct standard est un serveur interm�diaire qui s'intercale entre le client et le serveur demand�. Pour obtenir un contenu h�berg� par le serveur demand�, le client envoie une requ�te au mandataire en nommant le serveur demand� comme cible, puis le mandataire extrait le contenu depuis le serveur demand� et le renvoie enfin au client. Le client doit �tre configur� de mani�re appropri�e pour pouvoir utiliser le mandataire direct afin d'acc�der � d'autres sites.
L'acc�s � Internet depuis des clients situ�s derri�re un
pare-feu est une utilisation typique du mandataire direct. Le
mandataire direct peut aussi utiliser la mise en cache (fournie
par mod_cache) pour r�duire la charge du
r�seau.
La fonctionnalit� de mandataire direct est activ�e via la
directive ProxyRequests.
Comme les mandataires directs permettent aux clients d'acc�der �
des sites quelconques via votre serveur et de dissimuler leur
v�ritable origine, il est indispensable de s�curiser votre serveur de fa�on � ce que seuls
les clients autoris�s puissent acc�der � votre serveur avant
d'activer la fonctionnalit� de mandataire direct.
Un mandataire inverse (ou passerelle), quant � lui, appara�t au client comme un serveur web standard. Aucune configuration particuli�re du client n'est n�cessaire. Le client adresse ses demandes de contenus ordinaires dans l'espace de nommage du mandataire inverse. Ce dernier d�cide alors o� envoyer ces requ�tes, et renvoie le contenu au client comme s'il l'h�bergeait lui-m�me.
L'acc�s des utilisateurs � Internet pour un serveur situ� derri�re un pare-feu est une utilisation typique du mandataire inverse. On peut aussi utiliser les mandataires inverses pour mettre en oeuvre une r�partition de charge entre plusieurs serveurs en arri�re-plan, ou fournir un cache pour un serveur d'arri�re-plan plus lent. Les mandataires inverses peuvent aussi tout simplement servir � rassembler plusieurs serveurs dans le m�me espace de nommage d'URLs.
La fonctionnalit� de mandataire inverse est activ�e via la
directive ProxyPass ou
le drapeau [P] de la directive RewriteRule. Il n'est
pas n�cessaire de d�finir ProxyRequests � on pour configurer
un mandataire inverse.
Les exemples ci-dessous illustrent de mani�re tr�s basique la mise en oeuvre de la fonctionnalit� de mandataire et ne sont l� que pour vous aider � d�marrer. Reportez-vous � la documentation de chaque directive.
Si en outre, vous d�sirez activer la mise en cache, consultez la
documentation de mod_cache.
ProxyPass /foo http://foo.example.com/bar
ProxyPassReverse /foo http://foo.example.com/bar
ProxyRequests On
ProxyVia On
<Proxy *>
Order deny,allow
Deny from all
Allow from interne.example.com
</Proxy>
Le mandataire g�re la configuration des serveurs originaux, ainsi que leurs param�tres de communication dans des objets appel�s workers ou Gestionnaires de serveur. Deux workers int�gr�s par d�faut sont disponibles : le worker de mandataire direct et le worker de mandataire inverse. Des workers suppl�mentaires peuvent �tre configur�s explicitement.
Les deux workers par d�faut ont une configuration fixe et seront utilis�s si aucun autre worker ne correspond � la requ�te. Ils n'utilisent ni les connexions HTTP persistantes, ni les jeux de connexions. Les connexions TCP vers le serveur original seront donc ouvertes et ferm�es pour chaque requ�te.
Les workers configur�s explicitement sont identifi�s par leur
URL. Dans le cas d'un mandataire inverse, ils sont g�n�ralement
cr��s et configur�s via les directives ProxyPass ou ProxyPassMatch :
ProxyPass /example http://backend.example.com connectiontimeout=5 timeout=30
Cet exemple cr�e un worker associ� � l'URL du serveur original
http://backend.example.com, et utilisant les d�lais
sp�cifi�s. Dans le cas d'un mandataire direct, les workers sont
g�n�ralement d�finis via la directive ProxySet directive :
ProxySet http://backend.example.com connectiontimeout=5 timeout=30
ou encore via une combinaison des directives Proxy et ProxySet :
<Proxy http://backend.example.com>
ProxySet connectiontimeout=5 timeout=30
</Proxy>
L'utilisation de workers configur�s explicitement dans le mode
direct n'est pas tr�s courante, car les mandataires directs
communiquent avec de nombreux serveurs originaux. Il est cependant
int�ressant de cr�er des workers explicites pour certains serveurs
originaux si ces derniers sont utilis�s tr�s souvent. Les workers
configur�s explicitement n'ont en eux-m�mes aucun concept de
mandataire direct ou inverse. Ils encapsulent un concept de
communication commun avec les serveurs originaux. Un worker cr��
via la directive ProxyPass pour �tre utilis� avec un
mandataire inverse, sera aussi utilis� pour les requ�tes mandat�es
en direct chaque fois que l'URL du serveur original correspondra �
l'URL du worker, et vice versa.
L'URL identifiant un worker direct correspond � l'URL de son serveur original comportant tout �l�ment de chemin �ventuel :
ProxyPass /examples http://backend.example.com/examples
ProxyPass /docs http://backend.example.com/docs
Cet exemple d�finit deux workers diff�rents, chacun d'entre eux utilisant une configuration et un jeu de connexions s�par�s.
Le partage de worker se produit lorsque les URLs des workers se chevauchent, c'est � dire lorsque l'URL d'un worker correspond � une partie du d�but de l'URL d'un autre worker d�fini plus loin dans le fichier de configuration. Dans l'exemple suivant,
ProxyPass /apps http://backend.example.com/ timeout=60
ProxyPass /examples http://backend.example.com/examples timeout=10
le second worker n'est pas vraiment cr��. C'est le premier
worker qui est utilis� � sa place. L'avantage de ceci r�side
dans le fait qu'il n'y a plus qu'un jeu de connexions, celles-ci
�tant donc r�utilis�es plus souvent. Notez que tous les
attributs de configuration d�finis explicitement pour le second
worker et certaines valeurs par d�faut vont �craser la
configuration d�finie pour le premier worker, ce qui va
provoquer la journalisation d'un avertissement. Dans l'exemple
pr�c�dent, la valeur de d�lai finale pour l'URL
/apps sera 10 au lieu de 60 !
Pour �viter ce partage, classez vos d�finitions de workers de
l'URL la plus longue � la plus courte. Si au contraire, vous
voulez favoriser ce partage, utilisez l'ordre de classement
inverse. Voir aussi l'avertissement en rapport � propos de
l'ordre de classement des directives ProxyPass.
Les workers configur�s explicitement sont de deux sortes :
workers directs et workers � r�partition (de
charge). Ils supportent de nombreux attributs de
configuration importants d�crits ci-dessous dans la directive
ProxyPass. Tous ces
attributs peuvent aussi �tre d�finis via la directive ProxySet.
Le jeu d'options disponibles pour un worker direct d�pend du
protocole, qui est sp�cifi� dans l'URL du serveur original. Parmi
les protocoles disponibles, on trouve ajp,
ftp, http et scgi.
Les workers � r�partition sont des workers virtuels qui utilisent des workers directs consid�r�s comme leurs membres pour le traitement effectif des requ�tes. Chaque r�partiteur peut poss�der plusieurs membres. Pour traiter une requ�te, il choisit un de ses membres en fonction de l'algorithme de r�partition de charge d�fini.
Un worker � r�partition est cr�� si son URL utilise
balancer comme protocole. L'URL de r�partition
identifie de mani�re unique le worker � r�partition. On peut
ajouter des membres � un r�partiteur via la directive BalancerMember.
Vous pouvez restreindre l'acc�s � votre mandataire via le bloc
de contr�le <Proxy> comme dans
l'exemple suivant :
<Proxy *>
Order Deny,Allow
Deny from all
Allow from 192.168.0
</Proxy>
Pour plus de d�tails sur les directives de contr�le d'acc�s,
voir la documentation du module
mod_authz_host.
Restreindre l'acc�s de mani�re stricte est essentiel si vous
mettez en oeuvre un mandataire direct (en d�finissant la directive
ProxyRequests � "on").
Dans le cas contraire, votre serveur pourrait �tre utilis� par
n'importe quel client pour acc�der � des serveurs quelconques,
tout en masquant sa v�ritable identit�. Ceci repr�sente un danger
non seulement pour votre r�seau, mais aussi pour l'Internet au
sens large. Dans le cas de la mise en oeuvre d'un mandataire
inverse (en utilisant la directive ProxyPass avec ProxyRequests Off), le contr�le
d'acc�s est moins critique car les clients ne peuvent contacter
que les serveurs que vous avez sp�cifi�s.
Si vous utilisez la directive ProxyBlock, les noms d'h�tes sont r�solus en adresses
IP puis ces derni�res mises en cache au cours du d�marrage
� des fins de tests de comparaisons ult�rieurs. Ce processus peut
durer plusieurs secondes (ou d'avantage) en fonction de la vitesse
� laquelle s'effectue la r�solution des noms d'h�tes.
Un serveur mandataire Apache situ� � l'int�rieur d'un Intranet
doit faire suivre les requ�tes destin�es � un serveur externe �
travers le pare-feu de l'entreprise (pour ce faire, d�finissez la
directive ProxyRemote de
fa�on � ce qu'elle fasse suivre le protocole concern�
vers le mandataire du pare-feu). Cependant, lorsqu'il doit acc�der
� des ressources situ�es dans l'Intranet, il peut se passer du
pare-feu pour acc�der aux serveurs. A cet effet, la directive
NoProxy permet de
sp�cifier quels h�tes appartiennent � l'Intranet et peuvent donc
�tre acc�d�s directement.
Les utilisateurs d'un Intranet ont tendance � oublier le nom du
domaine local dans leurs requ�tes WWW, et demandent par exemple
"http://un-serveur/" au lieu de
http://un-serveur.example.com/. Certains serveurs
mandataires commerciaux acceptent ce genre de requ�te et les
traitent simplement en utilisant un nom de domaine local
implicite. Lorsque la directive ProxyDomain est utilis�e et si le
serveur est configur� comme
mandataire, Apache peut renvoyer une r�ponse de redirection et
ainsi fournir au client l'adresse de serveur correcte,
enti�rement qualifi�e. C'est la m�thode � privil�gier car le
fichier des marque-pages de l'utilisateur contiendra alors des
noms de serveurs enti�rement qualifi�s.
Pour les cas o� mod_proxy envoie des requ�tes
vers un serveur qui n'impl�mente pas correctement les connexions
persistantes ou le protocole HTTP/1.1, il existe deux variables
d'environnement qui permettent de forcer les requ�tes � utiliser
le protocole HTTP/1.0 avec connexions non persistantes. Elles
peuvent �tre d�finies via la directive SetEnv.
Il s'agit des variables force-proxy-request-1.0 et
proxy-nokeepalive.
<Location /serveur-non-conforme/>
ProxyPass http://serveur-non-conforme:7001/foo/
SetEnv force-proxy-request-1.0 1
SetEnv proxy-nokeepalive 1
</Location>
Certaines m�thodes de requ�tes comme POST comportent un corps de
requ�te. Le protocole HTTP stipule que les requ�tes qui comportent
un corps doivent soit utiliser un codage de transmission
fractionn�e, soit envoyer un en-t�te de requ�te
Content-Length. Lorsqu'il fait suivre ce genre de
requ�te vers le serveur demand�, mod_proxy_http
s'efforce toujours d'envoyer l'en-t�te Content-Length.
Par contre, si la taille du corps est importante, et si la requ�te
originale utilise un codage � fractionnement, ce dernier peut aussi
�tre utilis� dans la requ�te montante. Ce comportement peut �tre
contr�l� � l'aide de variables
d'environnement. Ainsi, si elle est d�finie, la variable
proxy-sendcl assure une compatibilit� maximale avec les
serveurs demand�s en imposant l'envoi de l'en-t�te
Content-Length, alors que
proxy-sendchunked diminue la consommation de ressources
en imposant l'utilisation d'un codage � fractionnement.
Lorsqu'il est configur� en mode mandataire inverse (en utilisant
par exemple la directive ProxyPass),
mod_proxy_http ajoute plusieurs en-t�tes de requ�te
afin de transmettre des informations au serveur demand�. Ces
en-t�tes sont les suivants :
X-Forwarded-ForX-Forwarded-HostHost.X-Forwarded-ServerCes en-t�tes doivent �tre utilis�s avec pr�cautions sur le
serveur demand�, car ils contiendront plus d'une valeur (s�par�es
par des virgules) si la requ�te original contenait d�j� un de ces
en-t�tes. Par exemple, vous pouvez utiliser
%{X-Forwarded-For}i dans la cha�ne de format du journal
du serveur demand� pour enregistrer les adresses IP des clients
originaux, mais il est possible que vous obteniez plusieurs adresses
si la requ�te passe � travers plusieurs mandataires.
Voir aussi les directives ProxyPreserveHost et ProxyVia directives, qui permettent
de contr�ler d'autres en-t�tes de requ�te.
| Description: | Ports autoris�s � se CONNECTer � travers le
mandataire |
|---|---|
| Syntaxe: | AllowCONNECT port [port] ... |
| D�faut: | AllowCONNECT 443 563 |
| Contexte: | configuration du serveur, serveur virtuel |
| Statut: | Extension |
| Module: | mod_proxy |
La directive AllowCONNECT permet de
sp�cifier une liste de num�ros de ports auxquels la m�thode de
mandataire CONNECT pourra se connecter. Les navigateurs
d'aujourd'hui utilisent cette m�thode dans le cas o� une connexion
https est requise et o� le tunneling mandataire sur
HTTP est en service.
Par d�faut, seuls les ports par d�fauts https (443)
et snews (563) sont pris en compte. Vous pouvez
utiliser la directive AllowCONNECT pour
outrepasser ces valeurs par d�faut et n'autoriser les connexions que
vers les ports sp�cifi�s.
Notez que le module mod_proxy_connect doit �tre
charg� dans le serveur pour pouvoir acc�der au support de
CONNECT.
| Description: | Ajoute un membre � un groupe de r�partition de charge |
|---|---|
| Syntaxe: | BalancerMember [balancerurl] url [cl�=valeur [cl�=valeur ...]] |
| Contexte: | r�pertoire |
| Statut: | Extension |
| Module: | mod_proxy |
| Compatibilit�: | Disponible depuis la version 2.2 d'Apache. |
Cette directive parmet d'ajouter un membre � un groupe de
r�partition de charge. Elle peut se trouver dans un conteneur
<Proxy balancer://...>, et accepte
tous les param�tres de paires cl�/valeur que supporte la directive
ProxyPass.
L'argument balancerurl n'est requis que s'il ne se trouve pas
d�j� dans la directive de conteneur <Proxy
balancer://...>. Il correspond � l'URL d'un
r�partiteur de charge d�fini par une directive ProxyPass.
| Description: | Serveurs, domaines ou r�seaux auquels on se connectera directement |
|---|---|
| Syntaxe: | NoProxy domaine [domaine] ... |
| Contexte: | configuration du serveur, serveur virtuel |
| Statut: | Extension |
| Module: | mod_proxy |
Cette directive n'a d'utilit� que pour les serveurs mandataires
Apache au sein d'Intranets. La directive
NoProxy permet de sp�cifier une liste de
sous-r�seaux, d'adresses IP, de serveurs et/ou de domaines s�par�s
par des espaces. Une requ�te pour un serveur qui correspond � un ou
plusieurs crit�res sera toujours servie par ce serveur directement,
sans �tre redirig�e vers le(s) serveur(s) mandataire(s) d�fini(s) par
la directive ProxyRemote.
ProxyRemote * http://pare-feu.example.com:81
NoProxy .example.com 192.168.112.0/21
Le type des arguments serveur de la directive
NoProxy appartiennent � la liste suivante
:
Un domaine est ici un nom de domaine DNS partiellement qualifi� pr�c�d� d'un point. Il repr�sente une liste de serveurs qui appartiennent logiquement au m�me domaine ou � la m�me zonz DNS (en d'autres termes, les nom des serveurs se terminent tous par domaine).
.com .apache.org.
Pour faire la distinction entre domaines et nom d'h�tes (des points de vue � la fois syntaxique et s�mantique, un domaine DNS pouvant aussi avoir un enregistrement DNS de type A !), les domaines sont toujours sp�cifi�s en les pr�fixant par un point.
Les comparaisons de noms de domaines s'effectuent sans tenir
compte de la casse, et les parties droites des Domaines
sont toujours cens�es correspondre � la racine de l'arborescence
DNS, si bien que les domaines .ExEmple.com et
.example.com. (notez le point � la fin du nom) sont
consid�r�s comme identiques. Comme une comparaison de domaines ne
n�cessite pas de recherche DNS, elle est beaucoup plus efficace
qu'une comparaison de sous-r�seaux.
Un Sous-r�seau est une adresse internet partiellement qualifi�e sous forme num�rique (quatre nombres s�par�s par des points), optionnellement suivie d'un slash et du masque de sous-r�seau sp�cifiant le nombre de bits significatifs dans le Sous-r�seau. Il repr�sente un sous-r�seau de serveurs qui peuvent �tre atteints depuis la m�me interface r�seau. En l'absence de masque de sous-r�seau explicite, il est sous-entendu que les digits manquants (ou caract�res 0) de fin sp�cifient le masque de sous-r�seau (Dans ce cas, le masque de sous-r�seau ne peut �tre qu'un multiple de 8). Voici quelques exemples :
192.168 ou 192.168.0.0255.255.0.0)192.168.112.0/21192.168.112.0/21 avec un masque de
sous-r�seau implicite de 21 bits significatifs (parfois exprim�
sous la forme255.255.248.0)Comme cas extr�mes, un Sous-r�seau avec un masque de sous-r�seau de 32 bits significatifs est �quivalent � une adresse IP, alors qu'un Sous-r�seau avec un masque de sous-r�seau de 0 bit significatif (c'est � dire 0.0.0.0/0) est identique � la constante _Default_, et peut correspondre � toute adresse IP.
Une Adresse IP est une adresse internet pleinement qualifi�e sous forme num�rique (quatre nombres s�par�s par des points). En g�n�ral, cette adresse repr�sente un serveur, mais elle ne doit pas n�cessairement correspondre � un nom de domaine DNS.
192.168.123.7
Une Adresse IP ne n�cessite pas de r�solution DNS, et peut ainsi s'av�rer plus efficace quant aux performances d'Apache.
Un Nom de serveur est un nom de domaine DNS pleinement qualifi� qui peut �tre r�solu en une ou plusieurs adresses IP par le service de noms de domaines DNS. Il repr�sente un h�te logique (par opposition aux Domaines, voir ci-dessus), et doit pouvoir �tre r�solu en une ou plusieurs adresses IP (ou souvent en une liste d'h�tes avec diff�rentes adresses IP).
prep.ai.example.com
www.apache.org
Dans de nombreuses situations, il est plus efficace de sp�cifier une adresse IP qu'un Nom de serveur car cela �vite d'avoir � effectuer une recherche DNS. La r�solution de nom dans Apache peut prendre un temps tr�s long lorsque la connexion avec le serveur de noms utilise une liaison PPP lente.
Les comparaisons de Nom de serveur s'effectuent sans tenir
compte de la casse, et les parties droites des Noms de serveur
sont toujours cens�es correspondre � la racine de l'arborescence
DNS, si bien que les domaines WWW.ExEmple.com et
www.example.com. (notez le point � la fin du nom) sont
consid�r�s comme identiques.
| Description: | Conteneur de directives s'appliquant � des ressources mandat�es |
|---|---|
| Syntaxe: | <Proxy url-avec-jokers> ...</Proxy> |
| Contexte: | configuration du serveur, serveur virtuel |
| Statut: | Extension |
| Module: | mod_proxy |
Les directives situ�es dans une section <Proxy> ne s'appliquent qu'au contenu
mandat� concern�. Les jokers de style shell sont autoris�s.
Par exemple, les lignes suivantes n'autoriseront � acc�der � un
contenu via votre serveur mandataire que les h�tes appartenant �
votre-reseau.example.com :
<Proxy *>
Order Deny,Allow
Deny from all
Allow from votre-reseau.example.com
</Proxy>
Dans l'exemple suivant, tous les fichiers du r�pertoire
foo de example.com seront trait�s par le
filtre INCLUDES lorsqu'ils seront envoy�s par
l'interm�diaire du serveur mandataire :
<Proxy http://example.com/foo/*>
SetOutputFilter INCLUDES
</Proxy>
Une URL d'arri�re-plan sera concern�e par le conteneur Proxy si
elle commence par la url-avec-jokers, m�me si le
dernier segment de chemin de la directive ne correspond qu'� un
pr�fixe de segment dee chemin de l'URL d'arri�re-plan. Par exemple, <Proxy
http://example.com/foo> correspondra entre autres aux URLs
http://example.com/foo, http://example.com/foo/bar, et
http://example.com/foobar. La correspondance de l'URL finale
diff�re du comportement de la section <Location> qui, pour le cas de cette note,
traitera le segment de chemin final comme s'il se terminait par un
slash.
Pour un contr�le plus fin de la correspondance des URL, voir la
directive <ProxyMatch>.
| Description: | D�termine la mani�re de traiter les lignes d'en-t�te incorrectes d'une r�ponse |
|---|---|
| Syntaxe: | ProxyBadHeader IsError|Ignore|StartBody |
| D�faut: | ProxyBadHeader IsError |
| Contexte: | configuration du serveur, serveur virtuel |
| Statut: | Extension |
| Module: | mod_proxy |
| Compatibilit�: | Disponible depuis la version 2.0.44 d'Apache |
La directive ProxyBadHeader permet de
d�terminer le comportement de mod_proxy lorsqu'il
re�oit des lignes d'en-t�te de r�ponse dont la syntaxe n'est pas valide (c'est
� dire ne contenant pas de caract�re ':') en provenance du serveur
original. Les arguments disponibles sont :
IsErrorIgnoreStartBody| Description: | Termes, serveurs ou domaines bloqu�s par le mandataire |
|---|---|
| Syntaxe: | ProxyBlock *|terme|serveur|domaine
[terme|serveur|domaine] ... |
| Contexte: | configuration du serveur, serveur virtuel |
| Statut: | Extension |
| Module: | mod_proxy |
La directive ProxyBlock permet de
sp�cifier une liste de termes, serveurs et/ou domaines, s�par�s par
des espaces. Les requ�tes de documents HTTP, HTTPS, FTP vers des
sites dont les noms contiennent des termes, noms de serveur ou
domaine correspondants seront bloqu�s par le serveur
mandataire. La module proxy va aussi tenter de d�terminer les
adresses IP des items de la liste qui peuvent correspondre � des
noms d'h�tes au cours du d�marrage, et les mettra en cache � des
fins de comparaisons ult�rieures. Ceci peut ralentir le d�marrage du
serveur.
ProxyBlock joes-garage.com some-host.co.uk rocky.wotsamattau.edu
rocky.wotsamattau.edu aurait aussi correspondu s'il
avait �t� sp�cifi� par son adresse IP.
Notez que wotsamattau aurait suffi pour correspondre
� wotsamattau.edu.
Notez aussi que
ProxyBlock *
bloque les connexions vers tous les sites.
| Description: | Nom de domaine par d�faut pour les requ�tes mandat�es |
|---|---|
| Syntaxe: | ProxyDomain Domaine |
| Contexte: | configuration du serveur, serveur virtuel |
| Statut: | Extension |
| Module: | mod_proxy |
Cette directive n'a d'utilit� que pour les serveurs mandataires
Apache au sein d'un Intranet. La directive
ProxyDomain permet de sp�cifier le domaine
par d�faut auquel le serveur mandataire apache appartient. Si le
serveur re�oit une requ�te pour un h�te sans nom de domaine, il va
g�n�rer une r�ponse de redirection vers le m�me h�te suffix� par le
Domaine sp�cifi�.
ProxyRemote * http://firewall.example.com:81
NoProxy .example.com 192.168.112.0/21
ProxyDomain .example.com
| Description: | Outrepasser les pages d'erreur pour les contenus mandat�s |
|---|---|
| Syntaxe: | ProxyErrorOverride On|Off |
| D�faut: | ProxyErrorOverride Off |
| Contexte: | configuration du serveur, serveur virtuel |
| Statut: | Extension |
| Module: | mod_proxy |
| Compatibilit�: | Disponible depuis la version 2.0 d'Apache |
Cette directive est utile pour les configurations de mandataires
inverses, lorsque vous souhaitez que les pages d'erreur envoy�es
aux utilisateurs finaux pr�sentent un aspect homog�ne. Elle permet
aussi l'inclusion de fichiers (via les SSI de
mod_include) pour obtenir le code d'erreur et agir
en cons�quence (le comportement par d�faut afficherait la page
d'erreur du serveur mandat�, alors que c'est le message d'erreur SSI
qui sera affich� si cette directive est � "on").
Cette directive n'affecte pas le traitement des r�ponses informatives (1xx), de type succ�s normal (2xx), ou de redirection (3xx).
| Description: | D�finit le jeu de caract�res des listings FTP mandat�s |
|---|---|
| Syntaxe: | ProxyFtpDirCharset jeu-caract�res |
| D�faut: | ProxyFtpDirCharset ISO-8859-1 |
| Contexte: | configuration du serveur, serveur virtuel, r�pertoire |
| Statut: | Extension |
| Module: | mod_proxy |
| Compatibilit�: | Disponible depuis la version 2.2.7 d'Apache |
La directive ProxyFtpDirCharset permet de
d�finir le jeu de caract�res � utiliser pour les listings FTP en
HTML g�n�r�s par mod_proxy_ftp.
| Description: | D�termine la taille du tampon interne de transfert de donn�es |
|---|---|
| Syntaxe: | ProxyIOBufferSize octets |
| D�faut: | ProxyIOBufferSize 8192 |
| Contexte: | configuration du serveur, serveur virtuel |
| Statut: | Extension |
| Module: | mod_proxy |
La directive ProxyIOBufferSize permet
d'ajuster la taille du tampon interne utilis� comme bloc-note pour
les transferts de donn�es entre entr�e et sortie. La taille doit
�tre au minimum �gale � 8192 octets.
Lorsqu'on utilise mod_proxy_ajp, la valeur
minimale est align�e sur la limite de 1024 octets, et les valeurs
sup�rieures � 65536 octets sont ramen�es � 65536 octets, comme pr�conis�
par le protocole AJP.
Dans la plupart des cas, il n'y a aucune raison de modifier cette valeur.
| Description: | Conteneur de directives s'appliquant � des ressources mandat�es correspondant � une expression rationnelle |
|---|---|
| Syntaxe: | <ProxyMatch regex> ...</ProxyMatch> |
| Contexte: | configuration du serveur, serveur virtuel |
| Statut: | Extension |
| Module: | mod_proxy |
La directive <ProxyMatch> est
identique � la directive <Proxy>, � l'exception qu'elle d�finit
les URLs auxquelles elle s'applique en utilisant une expression rationnelle.
| Description: | Nombre maximum de mandataires � travers lesquelles une requ�te peut �tre redirig�e |
|---|---|
| Syntaxe: | ProxyMaxForwards nombre |
| D�faut: | ProxyMaxForwards -1 |
| Contexte: | configuration du serveur, serveur virtuel |
| Statut: | Extension |
| Module: | mod_proxy |
| Compatibilit�: | Disponible depuis Apache 2.0 ; comportement par d�faut modifi� dans 2.2.7 |
La directive ProxyMaxForwards permet de
sp�cifier le nombre maximum de mandataires � travers lesquels une
requ�te peut passer dans le cas o� la la requ�te ne contient pas
d'en-t�te Max-Forwards. Ceci permet de se pr�munir
contre les boucles infinies de mandataires ou contre les attaques de
type d�ni de service.
ProxyMaxForwards 15
Notez que la d�finition de la directive
ProxyMaxForwards constitue une violation du
protocole HTTP/1.1 (RFC2616), qui interdit � un mandataire de
d�finir Max-Forwards si le client ne l'a pas fait
lui-m�me. Les versions pr�c�dentes d'Apache la d�finissaient
syst�matiquement. Une valeur n�gative de
ProxyMaxForwards, y compris la valeur par
d�faut -1, implique un comportement compatible avec le protocole,
mais vous expose aux bouclages infinis.
| Description: | R�f�rencer des serveurs distants depuis l'espace d'URLs du serveur local |
|---|---|
| Syntaxe: | ProxyPass [chemin] !|url [cl�=valeur
[cl�=valeur ...]] [nocanon] [interpolate] |
| Contexte: | configuration du serveur, serveur virtuel, r�pertoire |
| Statut: | Extension |
| Module: | mod_proxy |
Cette directive permet r�f�rencer des serveurs distants depuis l'espace d'URLs du serveur local ; le serveur local n'agit pas en tant que mandataire au sens conventionnel, mais plut�t comme miroir du serveur distant. Le serveur local est souvent nomm� mandataire inverse ou passerelle. L'argument chemin est le nom d'un chemin virtuel local ; url est une URL partielle pour le serveur distant et ne doit pas contenir de cha�ne d'arguments.
ProxyRequests doit �tre d�finie �
off lorsqu'on utilise la directive
ProxyPass.Supposons que le serveur local a pour adresse
http://example.com/ ; alors la ligne
ProxyPass /miroir/foo/ http://backend.example.com/
va convertir en interne toute requ�te pour
http://example.com/miroir/foo/bar en une requ�te
mandat�e pour http://backend.example.com/bar.
Si le premier argument se termine par un slash /, il doit en �tre de m�me pour le second argument et vice versa. Dans le cas contraire, il risque de manquer des slashes n�cessaires dans la requ�te r�sultante vers le serveur d'arri�re-plan et les r�sulats ne seront pas ceux attendus.
Le drapeau ! permet de soustraire un sous-r�pertoire
du mandat inverse, comme dans l'exemple suivant :
ProxyPass /miroir/foo/i !
ProxyPass /miroir/foo http://backend.example.com
va mandater toutes les requ�tes pour /miroir/foo
vers backend.example.com, sauf les requ�tes
pour /miroir/foo/i.
Les directives ProxyPass et ProxyPassMatch sont trait�es selon
leur ordre d'apparition dans le fichier de configuration. La
premi�re qui correspond s'applique. Ainsi, vous devez classer les
directives ProxyPass qui
peuvent entrer en conflit, de l'URL la plus longue � la plus
courte. Dans le cas contraire, les directives dont l'URL
constitue une partie du d�but de l'URL de directives
apparaissant plus loin dans la configuration vont occulter ces
derni�res. Notez que tout ceci est en relation avec le partage de
worker.
Pour les m�mes raisons, les exclusions doivent appara�tre
avant les directives ProxyPass
g�n�rales.
Depuis la version 2.1 du serveur HTTP Apache, mod_proxy supporte
les jeux de connexions vers un serveur d'arri�re-plan. Ainsi, les
connexions cr��es � la demande peuvent �tre conserv�es dans un
jeu pour une utilisation ult�rieure. Les limites de la taille
du jeu de connexions et d'autres param�tres peuvent �tre d�finis au
niveau de la directive ProxyPass via des
arguments cl�=valeur d�crits dans la table ci-dessous.
Par d�faut, mod_proxy permettra de conserver le nombre maximum de
connexions pouvant �tre utilis�es simultan�ment par le processus
enfant concern� du serveur web. Vous pouvez utiliser le param�tre
max pour r�duire ce nombre par rapport � la valeur par
d�faut. Vous pouvez aussi utiliser le param�tre ttl
pour d�finir une dur�e de vie optionnelle ; ainsi, les connections
qui n'ont pas �t� utilis�es au bout de ttl secondes
seront ferm�es. Le param�tre ttl permet aussi
d'emp�cher l'utilisation d'une connexion susceptible d'�tre ferm�e
suite � l'expiration de la dur�e de vie des connexions persistantes
sur le serveur d'arri�re-plan.
Le jeu de connexions est maintenu au niveau de chaque processus
enfant du serveur web, et max et les autres param�tres
ne font l'objet d'aucune coordination entre les diff�rents processus
enfants, sauf bien sur dans le cas o� un seul processus enfant est
permis par la configuration du module multiprocessus.
ProxyPass /example http://backend.example.com max=20 ttl=120 retry=300
| Param�tre | D�faut | Description |
|---|---|---|
| min | 0 | Nombre minimum d'entr�es dans le jeu de connexions, sans rapport avec le nombre r�el de connexions. Ne doit �tre modifi� par rapport � la valeur par d�faut que dans des circonstances sp�ciales o� la m�moire du tas associ�e aux connexions d'arri�re-plan doit �tre pr�allou�e ou conserv�e. |
| max | 1...n | Nombre maximum de connexions permises vers le serveur
d'arri�re-plan. La valeur par d�faut pour cette limite est le
nombre de threads par processus pour le module multiprocessus
actif. Pour le MPM Prefork, la valeur est toujours 1, alors que
pour les autres, on peut la contr�ler via la directive
ThreadsPerChild. |
| smax | max | Les entr�es conserv�es du jeu de connexions au dessus de
cette limite sont lib�r�es au cours de certaines op�rations si
elles n'ont pas �t� utilis�es au bout de leur dur�e de vie
d�finie par le param�tre ttl. Si l'entr�e du jeu de
connexions est associ�e � une connexion, cette derni�re sera
alors ferm�e. Ce param�tre ne doit �tre modifi� par rapport � la
valeur par d�faut que dans des circonstances sp�ciales o� les
entr�es du jeu de connexions, et toutes connexions associ�es qui
ont d�pass� leur dur�e de vie doivent �tre respectivement
lib�r�es ou ferm�es plus imp�rativement. |
| acquire | - | Cette cl� permet de d�finir le d�lai maximum d'attente pour
une connexion libre dans le jeu de connexions, en millisecondes.
S'il n'y a pas de connexion libre dans le jeu, Apache renverra
l'�tat SERVER_BUSY au client.
|
| connectiontimeout | timeout | D�lai d'attente d'une connexion en secondes. La dur�e en secondes pendant laquelle Apache va attendre pour l'�tablissement d'une connexion vers le serveur d'arri�re-plan. Le d�lai peut �tre sp�cifi� en millisecondes en ajoutant le suffixe ms. |
| disablereuse | Off | Vous pouvez utiliser cette cl� pour forcer mod_proxy �
fermer imm�diatement une connexion vers le serveur
d'arri�re-plan apr�s utilisation, et ainsi d�sactiver le jeu de
connexions permanentes vers ce serveur. Ceci peut s'av�rer utile
dans des situations o� un pare-feu situ� entre Apache et le
serveur d'arri�re-plan (quelque soit le protocole) interrompt
des connexions de mani�re silencieuse, ou lorsque le serveur
d'arri�re-plan lui-m�me est accessible par rotation de DNS
(round-robin DNS). Pour d�sactiver la r�utilisation du jeu de
connexions, d�finissez cette cl� � On.
|
| flushpackets | off | Permet de d�finir si le module mandataire doit vider automatiquement le tampon de sortie apr�s chaque tron�on de donn�es. 'off' signifie que le tampon sera vid� si n�cessaire, 'on' que le tampon sera vid� apr�s chaque envoi d'un tron�on de donn�es, et 'auto' que le tampon sera vid� apr�s un d�lai de 'flushwait' millisecondes si aucune entr�e n'est re�ue. Actuellement, cette cl� n'est support�e que par AJP. |
| flushwait | 10 | Le d�lai d'attente pour une entr�e additionnelle, en millisecondes, avant le vidage du tampon en sortie dans le cas o� 'flushpackets' est � 'auto'. |
| keepalive | Off | Cette cl� doit �tre utilis�e lorsque vous avez un pare-feu
entre Apache httpd et le serveur d'arri�re-plan, et si ce dernier tend
� interrompre les connexions inactives. Cette cl� va faire en
sorte que le syst�me d'exploitation envoie des messages
La fr�quence de v�rification des connexions TCP persistantes initiale et subs�quentes d�pend de la configuration globale de l'OS, et peut atteindre 2 heures. Pour �tre utile, la fr�quence configur�e dans l'OS doit �tre inf�rieure au seuil utilis� par le pare-feu. |
| lbset | 0 | D�finit le groupe de r�partition de charge dont le serveur cible est membre. Le r�partiteur de charge va essayer tous les membres d'un groupe de r�partition de charge de num�ro inf�rieur avant d'essayer ceux dont le groupe poss�de un num�ro sup�rieur. |
| ping | 0 | Avec la cl� ping, le serveur web envoie une requ�te
CPING sur la connexion ajp13 avant de rediriger une
requ�te. La valeur correspond au d�lai d'attente de la r�ponse
CPONG. Cette fonctionnalit� a �t� ajout�e afin de
pallier aux probl�mes de blocage et de surcharge des serveurs
Tomcat, et n�cessite le support de ping/pong ajp13 qui a �t�
impl�ment� dans Tomcat 3.3.2+, 4.1.28+ et 5.0.13+. Le trafic
r�seau peut s'en trouver augment� en fonctionnement normal, ce
qui peut poser probl�me, mais peut s'en trouver diminu� dans les
cas o� les noeuds de cluster sont arr�t�s ou surcharg�s. Cette
cl� n'est actuellement utilisable qu'avec AJP. Le d�lai peut
aussi �tre d�fini en millisecondes en ajoutant le suffixe
ms.
|
| loadfactor | 1 | Facteur de charge du serveur cible � utiliser avec les membres d'un groupe de r�partition de charge. Il s'agit d'un nombre entre 1 et 100 d�finissant le facteur de charge appliqu� au serveur cible. |
| redirect | - | Route pour la redirection du serveur cible. Cette valeur est en g�n�ral d�finie dynamiquement pour permettre une suppression s�curis�e du noeud du cluster. Si cette cl� est d�finie, toutes les requ�tes sans identifiant de session seront redirig�es vers le membre de groupe de r�partition de charge dont la route correspond � la valeur de la cl�. |
| retry | 60 | D�lai entre deux essais du serveur cible du jeu de connexions en secondes. Si le serveur cible du jeu de connexions vers le serveur d'arri�re-plan est dans un �tat d'erreur, Apache ne redirigera pas de requ�te vers ce serveur avant l'expiration du d�lai sp�cifi�. Ceci permet d'arr�ter le serveur d'arri�re-plan pour maintenance, et de le remettre en ligne plus tard. Une valeur de 0 signifie toujours essayer les serveurs cibles dans un �tat d'erreur sans d�lai. |
| route | - | La route du serveur cible lorsqu'il est utilis� au sein d'un r�partiteur de charge. La route est une valeur ajout�e � l'identifiant de session. |
| status | - | Valeur constitu�e d'une simple lettre et d�finissant l'�tat initial de ce serveur cible : 'D' correspond � "d�sactiv�", 'S' � "arr�t�", 'I' � "erreurs ignor�es", 'H' � "interruption � chaud" et 'E' � "erreur". Une valeur d'�tat peut �tre d�finie (ce qui correspond au comportement par d�faut) en pr�fixant la valeur par '+', ou annul�e en pr�fixant la valeur par '-'. Ainsi, la valeur 'S-E' d�finit l'�tat de ce serveur cible � "arr�t�" et supprime le drapeau "en-erreur". |
| timeout | ProxyTimeout |
D�lai d'attente de la connexion en secondes. Le nombre de secondes pendant lesquelles Apache attend l'envoi de donn�es vers le serveur d'arri�re-plan. |
| ttl | - | Dur�e de vie des connexions inactives et des entr�es associ�es du jeu de connexions. Lorsque cette limite est atteinte, la connexion concern�e ne sera plus utilis�e ; elle sera ensuite ferm�e au bout d'un certain temps. |
Si l'URL de la directive ProxyPass d�bute par
balancer:// (par exemple:
balancer://cluster/, toute information relative au
chemin est ignor�e), alors un serveur cible virtuel ne communiquant pas
r�ellement avec le serveur d'arri�re-plan sera cr��. Celui-ci sera
en fait responsable de la gestion de plusieurs serveurs cibles "r�els". Dans
ce cas, un jeu de param�tres particuliers s'applique � ce serveur cible
virtuel. Voir mod_proxy_balancer pour plus
d'informations � propos du fonctionnement du r�partiteur de
charge.
| Param�tre | D�faut | Description |
|---|---|---|
| lbmethod | byrequests | M�thode de r�partition de charge utilis�e. Permet de
s�lectionner la m�thode de planification de la r�partition de
charge � utiliser. La valeur est soit byrequests,
pour effectuer un d�compte de requ�tes pond�r�es, soit
bytraffic, pour effectuer une r�partition en
fonction du d�compte des octets transmis, soit
bybusyness (� partir de la version 2.2.10 du
serveur HTTP Apache), pour effectuer une r�partition en
fonction des requ�tes en attente. La valeur par d�faut est
byrequests.
|
| maxattempts | 1 de moins que le nombre de workers, ou 1 avec un seul worker | Nombre maximum d'�checs avant abandon. |
| nofailover | Off | Si ce param�tre est d�fini � On, la session va
s'interrompre si le serveur cible est dans un �tat d'erreur ou
d�sactiv�. D�finissez ce param�tre � On si le serveur
d'arri�re-plan ne supporte pas la r�plication de session.
|
| stickysession | - | Nom de session persistant du r�partiteur. La valeur est
g�n�ralement du style JSESSIONID ou
PHPSESSIONID, et d�pend du serveur d'application
d'arri�re-plan qui supporte les sessions. Si le serveur
d'application d'arri�re-plan utilise des noms diff�rents pour
les cookies et les identifiants cod�s d'URL (comme les
conteneurs de servlet), s�parez-les par le caract�re '|'. La
premi�re partie contient le cookie et la seconde le chemin.
|
| scolonpathdelim | Off | Si ce param�tre est d�fini � On, le caract�re
';' sera utilis� comme s�parateur de chemin de session
persistante additionnel. Ceci permet principalement de simuler
le comportement de mod_jk lorsqu'on utilise des chemins du style
JSESSIONID=6736bcf34;foo=aabfa.
|
| timeout | 0 | D�lai du r�partiteur en secondes. Si ce param�tre est d�fini, sa valeur correspond � la dur�e maximale d'attente pour un serveur cible libre. Le comportement par d�faut est de ne pas attendre. |
| failonstatus | - | Un code ou une liste de codes d'�tat HTTP s�par�s par des virgules. S'il est d�fini, ce param�tre va forcer le worker dans un �tat d'erreur lorsque le serveur d'arri�re-plan retounera un code d'�tat sp�cifi� dans la liste. Le r�tablissement du worker est le m�me qu'avec les autres erreurs de worker. Disponible � partir de la version 2.2.17 du serveur HTTP Apache. |
| failontimeout | Off | Si ce param�tre est d�fini � "On", un d�lai d'attente d�pass� en entr�e/sortie apr�s envoi d'une requ�te au serveur d'arri�re-plan va mettre le processus en �tat d'erreur. La sortie de cet �tat d'erreur se passe de la m�me fa�on que pour les autres erreurs. Disponible � partir de la version 2.2.25 du serveur HTTP Apache. |
| forcerecovery | On | Force la r�cup�ration imm�diate de tous les membres du
r�partiteur sans tenir compte de leur param�tre de nouvel essai
si tous les membres du r�partiteur sont dans un �tat d'erreur.
Dans certains cas cependant, un serveur d'arri�re-plan d�j�
surcharg� peut voir ses probl�mes s'aggraver si la r�cup�ration
de tous les membres du r�partiteur est forc�e sans tenir compte
de leur param�tre de nouvel essai. Dans ce cas, d�finissez ce
param�tre � Off. Disponible depuis la version
2.2.23 du serveur HTTP Apache.
|
Exemple de configuration d'un r�partiteur
ProxyPass /zone-speciale http://special.example.com smax=5 max=10
ProxyPass / balancer://mon-cluster/ stickysession=JSESSIONID|jsessionid nofailover=On
<Proxy balancer://mon-cluster>
BalancerMember ajp://1.2.3.4:8009
BalancerMember ajp://1.2.3.5:8009 loadfactor=20
# Serveur moins puissant ; faites-lui traiter moins de requ�tes,
BalancerMember ajp://1.2.3.6:8009 loadfactor=5
</Proxy>
Configuration d'un serveur cible de r�serve qui ne sera utilis� que si aucun autre serveur cible n'est disponible
ProxyPass / balancer://hotcluster/
<Proxy balancer://hotcluster>
BalancerMember ajp://1.2.3.4:8009 loadfactor=1
BalancerMember ajp://1.2.3.5:8009 loadfactor=2
# La ligne suivante configure le serveur cible de r�serve
BalancerMember ajp://1.2.3.6:8009 status=+H
ProxySet lbmethod=bytraffic
</Proxy>
Normalement, mod_proxy va mettre sous leur forme canonique les URLs trait�es par ProxyPass. Mais ceci peut �tre incompatible avec certains serveurs d'arri�re-plan, et en particulier avec ceux qui utilisent PATH_INFO. Le mot-cl� optionnel nocanon modifie ce comportement et permet de transmettre le chemin d'URL sous sa forme brute au serveur d'arri�re-plan. Notez que ceci peut affecter la s�curit� de votre serveur d'arri�re-plan, car la protection limit�e contre les attaques � base d'URL que fournit le mandataire est alors supprim�e.
Lorsque la directive ProxyPass est utilis�e � l'int�rieur d'une
section <Location>, le premier argument est omis et le r�pertoire
local est obtenu � partir de la section <Location>. Il en est de
m�me � l'int�rieur
d'une section <LocationMatch> ; cependant, ProxyPass
n'interpr�te pas les expressions rationnelles, et dans ce cas, il
est n�cessaire d'utiliser la directive
ProxyPassMatch.
Cette directive ne peut pas �tre plac�e dans une section
<Directory> ou
<Files>.
Si vous avez besoin d'un configuration de mandataire inverse plus
souple, reportez-vous � la documentaion de la directive RewriteRule et son drapeau
[P].
Le mot-cl� optionnel interpolate (disponible depuis
httpd 2.2.9), en combinaison avec la directive
ProxyPassInterpolateEnv, permet � ProxyPass
d'interpoler les variables d'environnement � l'aide de la syntaxe
${VARNAME}. Notez que de nombreuses variables
d'environnement standard d�riv�es de CGI n'existeront pas lorsque
l'interpolation se produit ; vous devrez alors encore avoir avoir
recours � mod_rewrite pour des r�gles
complexes. Notez aussi que l'interpolation n'est pas support�e dans
la partie protocole d'une URL. La d�termination dynamique du
protocole peut �tre effectu�e � l'aide de
mod_rewrite comme dans l'exemple suivant :
RewriteEngine On
RewriteCond %{HTTPS} =off
RewriteRule . - [E=protocol:http]
RewriteCond %{HTTPS} =on
RewriteRule . - [E=protocol:https]
RewriteRule ^/mirror/foo/(.*) %{ENV:protocol}://backend.example.com/$1 [P]
ProxyPassReverse /mirror/foo/ http://backend.example.com/
ProxyPassReverse /mirror/foo/ https://backend.example.com/
| Description: | Active l'interpolation des variables d'environnement dans les configurations de mandataires inverses |
|---|---|
| Syntaxe: | ProxyPassInterpolateEnv On|Off |
| D�faut: | ProxyPassInterpolateEnv Off |
| Contexte: | configuration du serveur, serveur virtuel, r�pertoire |
| Statut: | Extension |
| Module: | mod_proxy |
| Compatibilit�: | Disponible depuis la version 2.2.9 d'Apache |
Cette directive, ainsi que l'argument interpolate des
directives ProxyPass,
ProxyPassReverse,
ProxyPassReverseCookieDomain et
ProxyPassReverseCookiePath, permet de
configurer dynamiquement un mandataire inverse � l'aide de
variables d'environnement, ces derni�res pouvant �tre d�finies par un
autre module comme mod_rewrite. Elle affecte les
directives ProxyPass,
ProxyPassReverse,
ProxyPassReverseCookieDomain, et
ProxyPassReverseCookiePath, en leur indiquant
de remplacer la cha�ne ${nom_var} dans les directives
de configuration par la valeur de la variable d'environnement
nom_var (si l'option interpolate est
sp�cifi�e).
Conservez cette directive � off (pour les performances du serveur), sauf si vous en avez r�ellement besoin.
| Description: | Fait correspondre des serveurs distants dans l'espace d'URL du serveur local en utilisant des expressions rationnelles |
|---|---|
| Syntaxe: | ProxyPassMatch [regex] !|url
[cl�=valeur
[cl�=valeur ...]] |
| Contexte: | configuration du serveur, serveur virtuel, r�pertoire |
| Statut: | Extension |
| Module: | mod_proxy |
| Compatibilit�: | Disponible depuis la version 2.2.5 d'Apache |
Cette directive est identique � la directive ProxyPass, mais fait usage des
expressions rationnelles, au lieu d'une simple comparaison de
pr�fixes. L'expression rationnelle sp�cifi�e est compar�e �
l'url, et si elle correspond, le serveur va substituer
toute correspondance entre parenth�ses dans la cha�ne donn�e et
l'utiliser comme nouvelle url.
Supposons que le serveur local a pour adresse
http://example.com/ ; alors
ProxyPassMatch ^(/.*\.gif)$ http://backend.example.com$1
va provoquer la conversion interne de la requ�te locale
http://example.com/foo/bar.gif en une requ�te mandat�e
pour http://backend.example.com/foo/bar.gif.
L'argument URL doit pouvoir �tre interpr�t� en tant qu'URL avant les substitutions d'expressions rationnelles (et doit aussi l'�tre apr�s). Ceci limite les correspondances que vous pouvez utiliser. Par exemple, si l'on avait utilis�
ProxyPassMatch ^(/.*\.gif)$ http://backend.example.com:8000$1
dans l'exemple pr�c�dent, nous aurions provoqu� une erreur de syntaxe au d�marrage du serveur. C'est une bogue (PR 46665 dans ASF bugzilla), et il est possible de la contourner en reformulant la correspondance :
ProxyPassMatch ^/(.*\.gif)$ http://backend.example.com:8000/$1
Le drapeau ! vous permet de ne pas mandater un
sous-r�pertoire donn�.
Lorsque cette directive se situe � l'int�rieur d'une section
<LocationMatch>,
le premier argument est omis et l'expression rationnelle est obtenue
� partir de la directive <LocationMatch>.
Si vous avez besoin d'une configuration de mandataire inverse
plus flexible, reportez-vous � la directive RewriteRule avec le drapeau
[P].
Lors de la construction de l'URL cible de la r�gle, il convient de prendre en compte l'impact en mati�re de s�curit� qu'aura le fait de permettre au client d'influencer le jeu d'URLs pour lesquelles votre serveur agira en tant que mandataire. Assurez-vous que la partie protocole://nom-serveur de l'URL soit fixe, ou ne permette pas au client de l'influencer induement.
| Description: | Ajuste l'URL dans les en-t�tes de la r�ponse HTTP envoy�e par un serveur mandat� en inverse |
|---|---|
| Syntaxe: | ProxyPassReverse [chemin] url
[interpolate] |
| Contexte: | configuration du serveur, serveur virtuel, r�pertoire |
| Statut: | Extension |
| Module: | mod_proxy |
Cette directive permet de faire en sorte qu'Apache ajuste l'URL
dans les en-t�tes Location,
Content-Location et URI des r�ponses de
redirection HTTP. Ceci est essentiel lorsqu'Apache est utilis� en
tant que mandataire inverse (ou passerelle), afin d'�viter de
court-circuiter le mandataire inverse suite aux redirections HTTP
sur le serveur d'arri�re-plan qui restent derri�re le mandataire
inverse.
Seuls les en-t�tes de r�ponse HTTP sp�cialement mentionn�s ci-dessus seront r��crits. Apache ne r��crira ni les autres en-t�tes de r�ponse, ni les r�f�rences d'URLs dans les pages HTML. Cela signifie que dans le cas o� un contenu mandat� contient des r�f�rences � des URLs absolues, elles court-circuiteront le mandataire. Le module mod_proxy_html de Nick Kew est un module tiers qui parcourt le code HTML et r��crit les r�f�rences d'URL.
chemin est le nom d'un chemin virtuel local.
url est une URL partielle pour le serveur distant - ils
sont utilis�s de la m�me fa�on qu'avec la directive ProxyPass.
Supposons par exemple que le serveur local a pour adresse
http://example.com/ ; alors
ProxyPass /miroir/foo/ http://backend.example.com/
ProxyPassReverse /miroir/foo/ http://backend.example.com/
ProxyPassReverseCookieDomain backend.example.com public.example.com
ProxyPassReverseCookiePath / /miroir/foo/
ne va pas seulement provoquer la conversion interne d'une requ�te
locale pour http://example.com/miroir/foo/bar en une
requ�te mandat�e pour http://backend.example.com/bar
(la fonctionnalit� fournie par ProxyPass). Il va
aussi s'occuper des redirections que le serveur
backend.example.com envoie : lorsque
http://backend.example.com/bar est redirig� par
celui-ci vers http://backend.example.com/quux, Apache
corrige ceci en http://example.com/miroir/foo/quux
avant de faire suivre la redirection HTTP au client. Notez que le
nom d'h�te utilis� pour construire l'URL est choisi en respectant la
d�finition de la directive UseCanonicalName.
Notez que la directive ProxyPassReverse
peut aussi �tre utilis�e en conjonction avec la fonctionnalit�
pass-through (RewriteRule ... [P]) du module
mod_rewrite, car elle ne d�pend pas d'une directive
ProxyPass
correspondante.
Le mot-cl� optionnel interpolate (disponible depuis
httpd 2.2.9), utilis� en combinaison avec la directive
ProxyPassInterpolateEnv, permet
l'interpolation des variables d'environnement sp�cifi�es en
utilisant le format ${VARNAME} Notez que l'interpolation
n'est pas support�e dans la partie protocole d'une URL.
Lorsque cette directive est utilis�e dans une section <Location>, le premier
argument est omis et le r�pertoire local est obtenu � partir de
l'argument de la directive <Location>. Il en est de m�me � l'int�rieur
d'une section <LocationMatch>, mais le r�sultat ne
correspondra probablement pas � ce que vous attendez, car
ProxyPassReverse interpr�te l'expression rationnelle litt�ralement
comme un chemin ; si n�cessaire dans cette situation, sp�cifiez la
directive ProxyPassReverse en dehors de la section, ou dans une
section <Location>
s�par�e.
Cette directive ne peut pas �tre plac�e dans une section
<Directory> ou
<Files>.
| Description: | Ajuste la cha�ne correspondant au domaine dans les en-t�tes Set-Cookie en provenance d'un serveur mandat� |
|---|---|
| Syntaxe: | ProxyPassReverseCookieDomain domaine-interne
domaine-public [interpolate] |
| Contexte: | configuration du serveur, serveur virtuel, r�pertoire |
| Statut: | Extension |
| Module: | mod_proxy |
L'utilisation de cette directive est similaire � celle de la
directive ProxyPassReverse,
mais au lieu de r��crire des en-t�tes qui contiennent des URLs, elle
r��crit la cha�ne correspondant au domaine dans les en-t�tes
Set-Cookie.
| Description: | Ajuste la cha�ne correspondant au chemin dans les en-t�tes Set-Cookie en provenance d'un serveur mandat� |
|---|---|
| Syntaxe: | ProxyPassReverseCookiePath chemin-interne
chemin-public [interpolate] |
| Contexte: | configuration du serveur, serveur virtuel, r�pertoire |
| Statut: | Extension |
| Module: | mod_proxy |
Cette directive s'av�re utile en conjonction avec la directive
ProxyPassReverse dans les
situations o� les chemins d'URL d'arri�re-plan correspondent � des
chemins publics sur le mandataire inverse. Cette directive permet de
r��crire la cha�ne path dans les en-t�tes
Set-Cookie. Si le d�but du chemin du cookie correspond �
chemin-interne, le chemin du cookie sera remplac� par
chemin-public.
Dans l'exemple fourni avec la directive ProxyPassReverse, la directive :
ProxyPassReverseCookiePath / /mirror/foo/
va r��crire un cookie poss�dant un chemin d'arri�re-plan /
(ou /example ou en fait tout chemin)
en /mirror/foo/..
| Description: | Utilise l'en-t�te de requ�te entrante Host pour la requ�te du mandataire |
|---|---|
| Syntaxe: | ProxyPreserveHost On|Off |
| D�faut: | ProxyPreserveHost Off |
| Contexte: | configuration du serveur, serveur virtuel |
| Statut: | Extension |
| Module: | mod_proxy |
| Compatibilit�: | Disponible depuis la version 2.0.31 d'Apache. |
Lorsqu'elle est activ�e, cette directive va transmettre l'en-t�te
Host: de la requ�te entrante vers le serveur mandat�, au lieu du nom
d'h�te sp�cifi� par la directive ProxyPass.
Cette directive est habituellement d�finie � Off.
Elle est principalement utile dans les configurations particuli�res
comme l'h�bergement virtuel mandat� en masse � base de nom, o�
l'en-t�te Host d'origine doit �tre �valu� par le serveur
d'arri�re-plan.
| Description: | Taille du tampon r�seau pour les connexions mandat�es HTTP et FTP |
|---|---|
| Syntaxe: | ProxyReceiveBufferSize octets |
| D�faut: | ProxyReceiveBufferSize 0 |
| Contexte: | configuration du serveur, serveur virtuel |
| Statut: | Extension |
| Module: | mod_proxy |
La directive ProxyReceiveBufferSize permet
de sp�cifier une taille de tampon r�seau explicite (TCP/IP) pour les
connexions mandat�es HTTP et FTP, afin d'am�liorer le d�bit de
donn�es. Elle doit �tre sup�rieure � 512 ou d�finie �
0 pour indiquer que la taille de tampon par d�faut du
syst�me doit �tre utilis�e.
ProxyReceiveBufferSize 2048
| Description: | Mandataire distant � utiliser pour traiter certaines requ�tes |
|---|---|
| Syntaxe: | ProxyRemote comparaison serveur-distant |
| Contexte: | configuration du serveur, serveur virtuel |
| Statut: | Extension |
| Module: | mod_proxy |
Cette directive permet de d�finir des mandataires distants pour
ce mandataire. comparaison est soit le nom d'un protocole
que supporte le serveur distant, soit une URL partielle pour
laquelle le serveur distant devra �tre utilis�, soit *
pour indiquer que le serveur distant doit �tre utilis� pour toutes
les requ�tes. serveur-distant est une URL partielle
correspondant au serveur distant. Syntaxe :
serveur-distant =
protocole://nom-serveur[:port]
protocole est effectivement le protocole � utiliser
pour communiquer avec le serveur distant ; ce module ne supporte que
http et https. Avec https,
les requ�tes sont transmises par le mandataire distant via la
m�thode HTTP CONNECT.
ProxyRemote http://bons-gars.example.com/ http://gars-mirroirs.example.com:8000
ProxyRemote * http://mandataire-intelligent.localdomain
ProxyRemote ftp http://mandataire-ftp.mon-domaine:8080
Dans la derni�re ligne de l'exemple, le mandataire va faire suivre les requ�tes FTP, encapsul�es dans une autre requ�te mandat�e HTTP, vers un autre mandataire capable de les traiter.
Cette directive supporte aussi les configurations de mandataire inverse - un serveur web d'arri�re-plan peut �tre int�gr� dans l'espace d'URL d'un serveur virtuel, m�me si ce serveur est cach� par un autre mandataire direct.
| Description: | Le mandataire distant � utiliser pour traiter les requ�tes correspondant � une expression rationnelle |
|---|---|
| Syntaxe: | ProxyRemoteMatch regex serveur-distant |
| Contexte: | configuration du serveur, serveur virtuel |
| Statut: | Extension |
| Module: | mod_proxy |
La directive ProxyRemoteMatch est
identique � la directive ProxyRemote, � l'exception que le
premier argument est une expression
rationnelle � mettre en correspondance avec l'URL de la
requ�te.
| Description: | Active la fonctionnalit� (standard) de mandataire direct |
|---|---|
| Syntaxe: | ProxyRequests On|Off |
| D�faut: | ProxyRequests Off |
| Contexte: | configuration du serveur, serveur virtuel |
| Statut: | Extension |
| Module: | mod_proxy |
Cette directive permet d'activer/d�sactiver la fonctionnalit� de
serveur mandataire direct d'Apache. D�finir ProxyRequests �
Off n'interdit pas l'utilisation de la directive
ProxyPass.
Pour une configuration typique de mandataire inverse ou
passerelle, cette directive doit �tre d�finie �
Off.
Afin d'activer la fonctionnalit� de mandataire pour des sites
HTTP et/ou FTP, les modules mod_proxy_http et/ou
mod_proxy_ftp doivent aussi �tre charg�s dans le
serveur.
mod_proxy_connect doit �tre activ� pour pouvoir
mandater (en direct) des sites HTTPS.
N'activez pas la fonctionnalit� de mandataire avec la directive
ProxyRequests avant
d'avoir s�curis� votre serveur. Les serveurs
mandataires ouverts sont dangereux non seulement pour votre
r�seau, mais aussi pour l'Internet au sens large.
| Description: | D�finit diff�rents param�tres relatifs � la r�partition de charge des mandataires et aux membres des groupes de r�partition de charge |
|---|---|
| Syntaxe: | ProxySet url cl�=valeur [cl�=valeur ...] |
| Contexte: | r�pertoire |
| Statut: | Extension |
| Module: | mod_proxy |
| Compatibilit�: | ProxySet n'est disponible que depuis la version 2.2 d'Apache. |
Cette directive propose une m�thode alternative pour d�finir tout
param�tre relatif aux r�partiteurs de charge et serveurs cibles de
mandataires normalement d�fini via la directive ProxyPass. Si elle se trouve dans un
conteneur <Proxy url de r�partiteur|url de
serveur cible>, l'argument url n'est pas
n�cessaire. Comme effet de bord, le r�partiteur ou serveur cible respectif
est cr��. Ceci peut s'av�rer utile pour la mise en oeuvre d'un
mandataire inverse via une directive RewriteRule au lieu de ProxyPass.
<Proxy balancer://hotcluster>
BalancerMember http://www2.example.com:8080 loadfactor=1
BalancerMember http://www3.example.com:8080 loadfactor=2
ProxySet lbmethod=bytraffic
</Proxy>
<Proxy http://backend>
ProxySet keepalive=On
</Proxy>
ProxySet balancer://foo lbmethod=bytraffic timeout=15
ProxySet ajp://backend:7001 timeout=15
Gardez � l'esprit qu'une m�me cl� de param�tre peut avoir diff�rentes significations selon qu'elle s'applique � un r�partiteur ou � un serveur cible, et ceci est illustr� par les deux exemples pr�c�dents o� il est question d'un timeout.
| Description: | Affiche l'�tat du r�partiteur de charge du mandataire dans mod_status |
|---|---|
| Syntaxe: | ProxyStatus Off|On|Full |
| D�faut: | ProxyStatus Off |
| Contexte: | configuration du serveur, serveur virtuel |
| Statut: | Extension |
| Module: | mod_proxy |
| Compatibilit�: | Disponible depuis la version 2.2 d'Apache |
Cette directive permet de sp�cifier si les donn�es d'�tat du
r�partiteur de charge du mandataire doivent �tre affich�es via la
page d'�tat du serveur du module mod_status.
L'argument Full produit le m�me effet que l'argument On.
| Description: | D�lai d'attente r�seau pour les requ�tes mandat�es |
|---|---|
| Syntaxe: | ProxyTimeout secondes |
| D�faut: | Valeur de la directive |
| Contexte: | configuration du serveur, serveur virtuel |
| Statut: | Extension |
| Module: | mod_proxy |
| Compatibilit�: | Disponible depuis la version 2.0.31 d'Apache |
Cette directive permet � l'utilisateur de sp�cifier un d�lai pour les requ�tes mandat�es. Ceci s'av�re utile dans le cas d'un serveur d'applications lent et bogu� qui a tendance � se bloquer, et si vous pr�f�rez simplement renvoyer une erreur timeout et abandonner la connexion en douceur plut�t que d'attendre jusqu'� ce que le serveur veuille bien r�pondre.
| Description: | Information fourni dans l'en-t�te de r�ponse HTTP
Via pour les requ�tes mandat�es |
|---|---|
| Syntaxe: | ProxyVia On|Off|Full|Block |
| D�faut: | ProxyVia Off |
| Contexte: | configuration du serveur, serveur virtuel |
| Statut: | Extension |
| Module: | mod_proxy |
Cette directive permet de contr�ler l'utilisation de l'en-t�te
HTTP Via: par le mandataire. Le but recherch� est de
contr�ler le flux des requ�tes mandat�es tout au long d'une cha�ne
de serveurs mandataires. Voir RFC 2616 (HTTP/1.1),
section 14.45 pour une description des lignes d'en-t�te
Via:.
Off, valeur par d�faut, cette
directive n'effectue aucun traitement particulier. Si une requ�te ou
une r�ponse contient un en-t�te Via:, il est transmis
sans modification.On, chaque requ�te ou r�ponse
se verra ajouter une ligne d'en-t�te Via: pour le
serveur courant.Full, chaque ligne d'en-t�te
Via: se verra ajouter la version du serveur Apache sous
la forme d'un champ de commentaire Via:.Block, chaque requ�te
mandat�e verra ses lignes d'en-t�te Via: supprim�es.
Aucun nouvel en-t�te Via: ne sera g�n�r�.