В попередній статті ми встановили Confluence, базово налаштували його, після чого доступ до сервісу став можливим через стандартний порт http://server-address:8090/ що, звичайно, є не дуже зручно і точно небезбечно. Ці обидві проблеми вирішуються за допомогою веб-проксі серверу NGINX. Він буде приймати з’єднання від користувачів та відповідати від імені Confluence. 

1. Сертицікат для https

Для тесту ми будемо використовувати замопідписній сертифікат

apt-get onstall openssl

Генеруємо його:

openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout /etc/nginx/ssl/confluence-site.key -out /etc/nginx/ssl/confluence-site.crt

Відповідаємо (заповнюємо сертифікат даними)

Country Name (2 letter code) [UA]:UA
State or Province Name (full name) [Some-State]:Kyiv
Locality Name (eg, city) []:Kyiv
Organization Name (eg, company) [Internet Widgits Pty Ltd]:OZT
Organizational Unit Name (eg, section) []:IT
Common Name (e.g. server FQDN or YOUR name) []:confluence.test.local
Email Address []:support@ozt.com.ua

openssl dhparam -out /etc/nginx/ssl/dhparam.pem 2048

Потім ми його задіємо в конфігурації сайту в nginx. Також варто відмітити, що для комерційних цілей краще замовляти сертифікати на сцепіальних платформах, які займаються SSL-сертиіфкатами.

2. Сайт для Confluence

Встановлюємо nginx

apt-get install nginx

Далі створюємо сайт

nano /etc/nginx/sites-available/010-confluence

server {
             listen 80;
             server_name confluence.test.local www.confluence.test.local;
             access_log /var/log/nginx/confluence_access.log;
             error_log /var/log/nginx/confluence_error.log;
             return 301 https://$server_name$request_uri;
}           

             server {
             listen 443 ssl;
             server_name confluence.test.local www.confluence.test.local;
             ssl_protocols TLSv1.2 TLSv1.3;

             ssl_certificate /etc/nginx/ssl/confluence-site.crt;
             ssl_certificate_key /etc/nginx/ssl/confluence-site.key;
             ssl_prefer_server_ciphers off;
             ssl_dhparam /etc/nginx/ssl/dhparam.pem;

             access_log /var/log/nginx/confluence_ssl_access.log;
             error_log /var/log/nginx/confluence_ssl_error.log;
             location / {
                           proxy_set_header X-Real-IP $remote_addr;
                           proxy_set_header X-Forwarded-For $remote_addr;
                           proxy_set_header Host $host;
                           proxy_set_header X-Forwarded-Proto $scheme;
                           proxy_pass http://localhost:8090/;
                           proxy_set_header Accept-Encoding “”;
                           proxy_read_timeout 60s;
                             }
             }

Ми зробили редірект з http на https, задіяли сертифікат та вказали ім’я сайту, через яке можна буде підключатись до Confluence. Окремо, на вашому DNS сервері, треба буде зробити запис типу А, в якому будуть співпадати назва  confluence.test.local з ip-адресою сервера, це може бути dnsmgmt.msc в рамках домену, окремий bind-server, чи просто запис в маршрутизаторі, короче сервіс, який відповідає за роботу DNS.

Вмикаємо сайт, зробивши лінк на файл

ln -s /etc/nginx/sites-available/010-confluence /etc/nginx/sites-enabled/

Перевіряємо конфігурацію, і якщо все ок – приміняємо її

service nginx reload

nginx -t && nginx -T

Від тепер користувачам не треба пам’ятати порт 🙂 достатньо вказати нову назву сайту:

http://server-address на що отримаємо: https://server-address

ZABBIX: Розширення диска

Закінчілось місце на Zabbix сервері. Моніторинг перестав працювати і надсилати повідомлення. Для вирішення цієї помилки є декілька варіантів: 1. Це розширити логічний том додав на нього місця; 2. Додати новий диск і створити логічний том. Було обрано йти 2 вариінтом....

Помилка – Microsoft.PerformancePoint.Scorecards.TransformerConfigurationRecord

Після оновлення Microsoft Sharepoint 2013 перестали завантажуватися деякі Web Parts. с помилкою «Microsoft.PerformancePoint.Scorecards.TransformerConfigurationRecord» Для вирішення проблеми виконаємо такі кроки: На серверу де встановлено WFE переходимо до...

Налаштування IKEv2 IPSec на Mikrotik

Розглянемо налаштування IKEv2 IPSec на Mikrotik. Нижче також додані команди через Terminal. Розіб'ємо на декілька етапів: Налаштування мережі Створення сертифікатів Налаштування IPSec Налаштування Firewall та NAT Налаштування мережі Додаємо новий bridge інтерфейс,...

MSA2050 Increasing Datastore size via SSH for ESXI

Для рознирення дискового масиву MSA2050, а саме збільшення розміру Volume на MSA, у vCenter не відобразилось вільне місце через "Increase Datastore Capacity"  Тому було вирішено розширити через SSH. Етапи виконання: Переводимо любий хост у кластері в режим...

Моніторинг Cisco SNMP Zabbix

Вирішив налаштувати моніторинг комутаторів Cisco через Zabbix SNMP. Для цього необхідно зробити наступні пункти:   1. Заходимо на інтерфейс Сisco, йдемо в пункт SNMP. Далі переходимо в Communities та додаємо новий шаблон:  Заповнюємо поля: IP add: - вказується адреса...

Активація плагінів Confluence

Для активації плагінів Confluence нам знадобиться все той же мехінізм активації що і для самого сервісу Confluence. Увага!!!! Наявне рішення використовується виключно в тестових цілях, для вивчення функціоналу продуктів. Три речі для досягнення результату: Агент...

Інсталяція та налаштування mysql-server для Confluence

В попередній статті ми почали процес установки Confluence, і наступним кроком повинно бути під'єднання сервісу до СУБД, в якості якої було обрано mysql-server (ver 8.0.31) Тож, поїхали apt-get install mysql-server Після встановлення редагуємо файл nano...

Інсталяція Confluence на Linux Ubuntu

Для інсталяції ми обрати віртуальну машину з встановленою операційною системою Linux Ubuntu Для початку треба завантажити оригінальний інсталяційний файл Після завантаження дистрибутиву конфлюенс починаємо процес установки cd /tmp wget...

Тунель IPSec Fortigate та Cisco

Причинами створення тунелів на різновендорному устаткуванні можуть бути маса факторів, приємно те, що "подружити" виходить практично все. У моєму випадку причиною стала цікавість :). У тестовому середовищі була організована видимість зовнішніх адрес наших...

Тунель IPSec Fortigate та MikroTik

Підготовлений - значить озброєний, принаймні якщо це стосується вивчення для себе чогось нового, адже не відомо які можуть виникнути завдання з'єднання двох віддалених точок, і які підводні камені можуть перешкодити реалізувати тунель вчасно. Загалом я спробував мені...

Привіт!

Спілкуйся з нами в Telegram