20.2. Squid プロキシー
20.2.1. Squid プロキシーのインストールおよび設定
概要
本セクションでは、ユーザーポータルに Squid プロキシーをインストールして設定する方法を説明します。Squid プロキシーサーバーは、コンテンツアクセラレーターとして使用されます。頻繁にビューされたコンテンツをキャッシュし、帯域幅を削減し、応答時間を改善します。
手順20.4 Squid プロキシーの設定
- Squid プロキシーサーバーの HTTPS ポートのキーペアと証明書を取得します。このキーペアは、別の SSL/TLS サービスのキーペアを取得するのと同じ方法で取得できます。キーペアは、秘密キーと署名付き証明書を含む 2 つの PEM ファイルの形式です。この手順では、
proxy.keyおよびproxy.cerという名前であることを前提としています。注記キーペアと証明書は、エンジンの認証局を使用して生成することもできます。プロキシーの秘密鍵および証明書がすでにあり、エンジン認証局でそれを生成したくない場合は、次の手順にスキップしてください。 - プロキシーのホスト名を選択します。次に、プロキシーの証明書の識別名の他のコンポーネントを選択します。注記エンジン自体が使用するのと同じ国と同じ組織名を使用することが推奨されます。Manager がインストールされているマシンにログインし、次のコマンドを実行して、この情報を見つけます。
# openssl x509 -in /etc/pki/ovirt-engine/ca.pem -noout -subject
このコマンドは次のようなものを出力します。subject= /C=US/O=Example Inc./CN=engine.example.com.81108
ここでの関連部分は/C=US/O=Example Inc.です。これを使用して、プロキシーの証明書の完全な識別名を作成します。/C=US/O=Example Inc./CN=proxy.example.com
- プロキシーマシンにログインし、証明書署名要求を生成します。
# openssl req -newkey rsa:2048 -subj '/C=US/O=Example Inc./CN=proxy.example.com' -nodes -keyout proxy.key -out proxy.req
重要証明書の識別名の周りにある引用符を含める必要があります。-nodes オプションは、秘密鍵が暗号化されないようにします。これは、プロキシーサーバーを起動するのにパスワードを入力する必要がないことを意味します。このコマンドは、proxy.keyとproxy.reqの 2 つのファイルを生成します。proxy.keyは秘密鍵です。このファイルを安全に保持します。proxy.reqは証明書署名要求です。proxy.reqには、特別な保護は必要ありません。 - 署名付き証明書を生成するには、証明書署名要求ファイルをプロキシーマシンからマネージャーマシンにコピーします。
# scp proxy.req engine.example.com:/etc/pki/ovirt-engine/requests/.
- Manager マシンにログインし、証明書に署名します。
# /usr/share/ovirt-engine/bin/pki-enroll-request.sh --name=proxy --days=3650 --subject='/C=US/O=Example Inc./CN=proxy.example.com'
これにより、証明書が署名され、10 年間 (3650 日) 有効になります。必要に応じて、証明書の有効期限が早くなるように設定します。 - 生成された証明書ファイルは
/etc/pki/ovirt-engine/certsディレクトリーにあり、proxy.cerという名前を指定する必要があります。プロキシーマシンで、このファイルを Manager マシンから現在のディレクトリーにコピーします。# scp engine.example.com:/etc/pki/ovirt-engine/certs/proxy.cer .
proxy.keyとproxy.cerの両方がプロキシーマシンに存在することを確認します。# ls -l proxy.key proxy.cer
- Squid プロキシーサーバーパッケージをプロキシーマシンにインストールします。
# yum install squid
- 秘密鍵と署名済み証明書を、プロキシーがアクセスできる場所(例:
/etc/squidディレクトリー)に移動します。# cp proxy.key proxy.cer /etc/squid/.
squidユーザーが、これらのファイルを読み取れるようにパーミッションを設定します。# chgrp squid /etc/squid/proxy.* # chmod 640 /etc/squid/proxy.*
- Squid プロキシーは、エンジンが使用する証明書を検証する必要があります。Manager 証明書をプロキシーマシンにコピーします。この例では、ファイルパス
/etc/squidを使用します。# scp engine.example.com:/etc/pki/ovirt-engine/ca.pem /etc/squid/.
注記デフォルトの CA 証明書は、Manager マシンの/etc/pki/ovirt-engine/ca.pemにあります。 squidユーザーが、証明書ファイルを読み取れるようにパーミッションを設定します。# chgrp squid /etc/squid/ca.pem # chmod 640 /etc/squid/ca.pem
- SELinux が Enforcing モードの場合は、semanage ツールを使用してポート 443 のコンテキストを変更して、Squid がポート 443 を使用できるようにします。
# yum install policycoreutils-python # semanage port -m -p tcp -t http_cache_port_t 443
- 既存の Squid 設定ファイルを以下に置き換えます。
https_port 443 key=/etc/squid/proxy.key cert=/etc/squid/proxy.cer ssl-bump defaultsite=engine.example.com cache_peer engine.example.com parent 443 0 no-query originserver ssl sslcafile=/etc/squid/ca.pem name=engine cache_peer_access engine allow all ssl_bump allow all http_access allow all
- Squid プロキシーサーバーを再起動します。
# systemctl restart squid.service
- 完全な URL を使用してユーザーポータルに接続します。以下に例を示します。
https://proxy.example.com/UserPortal/org.ovirt.engine.ui.userportal.UserPortal/UserPortal.html
注記https://proxy.example.com/UserPortalなどの短い URL は動作しません。これらの短い URL は、302 応答コードと Location ヘッダーを使用してアプリケーションサーバーによって長い URL にリダイレクトされます。Red Hat Enterprise Linux の Squid のバージョンは、これらのヘッダーの書き換えをサポートしていません。
注記
デフォルト設定の Squid プロキシーは、15 分のアイドル時間後に接続を終了します。Squid Proxy がアイドル状態の接続を終了するまでの時間を増やすには、
squid.conf の read_timeout オプションを調整します(例: read_timeout 10 hours
