为同一服务器上的两个不同应用程序配置 SSL:Web 服务器和 Python

tag-icon tag-icon ssl apache-2.4 https wsgi
为同一服务器上的两个不同应用程序配置 SSL:Web 服务器和 Python

我想为 Web 服务器运行 SSLhttps://www.域名.com在端口 443 和 python REST api 服务器上https://mgmt.domainname.com使用 Flask。我已经配置了 Apache SSL,它正在 443 上运行。我从 flask 运行了一个简单的 python 程序

import Flask
app = Flask(__name__)

@app.route('/')
def home():
    return 'Howdy world!'

if __name__ == "__main__":
    app.run(ssl_context='adhoc')

输出:

* Serving Flask app 'backend2'
* Debug mode: off
WARNING: This is a development server. Do not use it in a production deployment. Use a production WSGI server instead.
* Running on https://127.0.0.1:5000

已启用以下功能:

sudo a2enmod proxy
sudo a2enmod proxy_http
sudo a2enmod proxy_balancer
sudo a2enmod lbmethod_byrequests
sudo systemctl restart apache2

问题:

  1. Web 服务器和 Python 程序都可以监听 443 吗?唯一的区别是 Web 服务器和 REST API 的 URL 是分开的。我读到我需要实现 Apache mod_ssl。因此修改现有的 /etc/apache2/sites-available/default-ssl.conf 文件以进行反向代理

         <IfModule mod_ssl.c>
     <VirtualHost _default_:443>
     DocumentRoot /srv/www/wordpress
     ServerName www.domain-name.com
     SSLEngine on
     SSLCertificateFile /root/cert/domainname.com.crt
     SSLCertificateKeyFile /root/cert/domainname.com.key

     ProxyPreserveHost On
     ProxyPass / http://IPAddr:443/
     ProxyPassReverse / http://IPAddr:443/
     </VirtualHost>
     </IfModule>

不知道这个反向代理的修改是否足够好或者还需要做什么?

  1. 我是否应该用以下代码修改 WSGI 服务器:

    import wsgiserver

def my_app(environ, start_response):
status = '200 OK'
response_headers = [('Content-type','text/plain')]
start_response(status, response_headers)
return ['WSGIserver is running!']
server = wsgiserver.WSGIServer(my_app, certfile='cert.pem', keyfile='privkey.pem')
server.start()

此外,今后 REST API 应该能够根据 URL 查询路径/参数调用 Python 程序的不同部分,这意味着需要使用 Apache mod_proxy 和 mod_ssl 或 WSGI 服务器的某些方面来设置某种路由?我想知道从哪里开始以及如何开始:配置 Apache 和/或 WSGI。我知道还有其他问题需要解决。请提供建议,以便我可以开始并逐步前进

编辑:按照@vidarlo 提供的示例 URL 编辑 /etc/apache2/sites-available/default-ssl.conf 并根据建议添加 VirtualHost 代码以转发https://api.domainname.com到 localhost:5000。在端口 5000 上启动 WSGI 服务器,如下所示:wsgi.py 文件内容:

import wsgiserver
def gs_app(environ, start_response):
    status = '200 OK'
    response_headers = [('Content-type','text/plain')]
    start_response(status, response_headers)
    return ['WSGIserver is running!']
server = wsgiserver.WSGIServer(gs_app, host='127.0.0.1', port=5000)
server.start()

运行 python3 wsgi.py 并验证该进程是否在端口 5000 上运行。现在,当我访问 https://https://api.domainname.com我的控制台窗口中弹出如下错误:

ValueError('WSGI Applications must yield bytes')
Traceback (most recent call last):
  File "/usr/local/lib/python3.8/dist-packages/wsgiserver.py", line 1394, in communicate
    req.respond()
  File "/usr/local/lib/python3.8/dist-packages/wsgiserver.py", line 848, in respond
    self.server.gateway(self).respond()
  File "/usr/local/lib/python3.8/dist-packages/wsgiserver.py", line 2347, in respond
    raise ValueError("WSGI Applications must yield bytes")
ValueError: WSGI Applications must yield bytes

答案1

Web 服务器和 Python 程序都可以监听 443 吗?唯一的区别是 Web 服务器和 REST API 的 URL 是分开的

如果它们绑定到同一个 IP 地址,则不会。通常的设置是仅在 localhost 的不同端口上运行 API,并使用 Apache(或 nginx)将特定 URL 反向代理到 API。在这种情况下,Apache 还会负责终止 TLS,因此无需为 API 实施额外的 TLS。

答案2

不,两个服务不能监听同一个端口。最常见的做法是让 Apache 或 Nginx 在 443 上运行,并使用 apache 或 Nginx 代理运行在不同端口上运行的工作负载。然后,Apache 或 Nginx 获取工作负载的内容,并以与在 443 上运行相同的方式呈现它。这确实需要在 apache 或 Nginx 中正确配置代理设置。它还提供了一层安全性,因为工作负载不会直接呈现给互联网,而是由 apache 或 nginx 提供服务

相关内容