TOTVS Fluig

Atalhos

Árvore de páginas

Versões comparadas

Versão antiga 14

changes.mady.by.user Guilherme Juliano Hardt

Gravado em

comparado com

Nova versão Atual

changes.mady.by.user Braulio Gomes Rodrigues

Gravado em

Chave

  • Esta linha foi adicionada.
  • Esta linha foi removida.
  • A formatação mudou.
Informações
titleAtenção

Esta página foi revisada para considerar as novas configurações de server do fluig para a TOTVS Fluig Plataforma a partir da atualização 1.6.Caso possua uma atualização anterior do fluig acesse: CON 082 - Configuração de Proxy Reverso

Informações
titlePlataforma TOTVS Fluig em cloud

Clientes cloud, os passos 2 e 4 precisam ser realizados pelo usuário, os demais passos é necessário entrar em contato com o time de Cloud para que seja realizado os demais procedimentos.

Índice

Índice
maxLevel4
outlinetrue
exclude.*ndice
stylenone

...

O objetivo deste guia é descrever os procedimentos para a configuração de um servidor de proxy reverso em uma instalação do fluigda plataforma.

Dica
titleDica

Após a configuração do Proxy Reverso, não esqueça de alterar a URL de acesso ao portal nas Configurações do Sistema da plataforma. Confira como fazer acessando Configurações do sistema.

...

Um proxy reverso é um servidor que repassa o tráfego de rede recebido para um ou mais servidores. Em uma instalação do fluig este da plataforma este tipo de servidor é usado para habilitar uma topologia de arquitetura chamada DMZ.

A implementação da DMZ no fluig na plataforma é realizada com o uso do Apache™ HTTP Server, que é um servidor Web de código livre, desenvolvido e mantido pela Apache Software Foundation.

A figura a seguir apresenta as topologias DMZ + SSL suportadas pelo fluigpela plataforma TOTVS Fluig:


Nota
titleImportante

Não é possível utilizar as notificações em tempo real quando utilizado proxy reverso com HTTPS.

...

  • Se for utilizar SSL, também será necessário converter o certificado utilizado na configuração do fluig da plataforma para os formatos .cer, .key e .pem. O guia para configurar o fluig a plataforma em SSL (HTTPS) encontra-se aqui.
  • Para a porta do realtime (7777) no Apache é necessário habilitar o modulo SSL em todos os vhosts que utilizarem o realtime   SSLEngine On e SSLProxyEngine On 


Módulos Apache

...

  • Certifique-se que os seguintes módulos estão sendo carregados pelo Apache:

...

Configuração do Apache (sem SSL)

...

Na 1. Acesse a pasta /etc/httpd/conf.d.

Nota

O caminho da pasta pode variar, esse caminho do exemplo é de uma instalação Linux CentOS.

2. Crie (quando instalado na configuração padrão) crie um arquivo de configuração para o fluig a plataforma (chamado fluig.conf, por exemplo), com o seguinte conteúdo:


Bloco de código
languagexml
Listen 7777
Listen 8888
Listen 21
Header set Access-Control-Allow-Origin: "http://<Nome externo do servidor>"
Header set Access-Control-Allow-Headers: "Content-Type, X-Requested-With, accept-version"
Header set Access-Control-Allow-Methods: "GET, PUT, OPTIONS, DELETE, POST"
Header Set Access-Control-Request-Method: "GET, PUT, OPTIONS, DELETE, POST"
ProxyRequests Off
ProxyVia On
AllowConnect 7777
AllowConnect 8888
AllowConnect 21

Listener HTTP

...

Bloco de código
languagexml
<VirtualHost *:80>
    ServerName <Nome externo do servidor>
    ProxyPreserveHost On
    ProxyPass / http://<IP do servidor Fluig>:<Porta do servidor Fluig>/
    ProxyPassReverse / http://<Nome externo do servidor>/
</VirtualHost>

Listener do

...

RealTime

...

Bloco de código
languagexml
<VirtualHost *:7777>
        RequestHeader set X-Forwarded-Proto https
    ServerName     RequestHeader set Access-Control-Allow-Origin: "https://<Nome externo do servidor>"
        SetEnv proxy-sendchuncked
    <Proxy *>RequestHeader set X-Forwarded-Host  <Nome externo do servidor>:7777

        ServerName  <Nome externo do servidor> 

        OrderSSLProxyEngine deny,allowOn
        Allow from all SSLEngine On

        ProxyRequests Off
    </Proxy>
    ProxyPreserveHost On
       RewriteEngine On Include /etc/letsencrypt/options-ssl-apache.conf
        SSLCertificateFile  <diretorio-cadeia-certificados>/cert.pem 
    RewriteCond %{REQUEST_URI} ^/socket.io
    SSLCertificateKeyFile <diretorio-cadeia-certificados>/privkey.pem

        # allow for upgrading to websockets
        RewriteEngine On
        RewriteCond %{QUERY_STRINGHTTP:Upgrade} transport=websocket [NC]
        RewriteRule /(.*)           ws://<IP do servidor Fluig>:7777/$1 [P,L]
        RewriteCond %{HTTP:Upgrade} !=websocket [NC]
    ProxyPass    RewriteRule /socket.io(.*)           http://<IP do servidor Fluig>:7777/socket.io keepalive=On
$1 [P,L]


       ProxyPassReverse ProxyPass "/socket.io" "http://<IP do servidor Fluig>:7777/socket.io retry=0
</VirtualHost>

Listener do Realtime

Bloco de código
languagexml
 <VirtualHost *:8888>
"
     ServerName <Nome externo do servidor>
    SetEnv proxy-sendchunckedProxyPassReverse "/" "http://<IP do servidor Fluig>:7777/"

    ProxyPreserveHost On
    ProxyPass "/" http"ws://<IP do servidor Fluig>:88887777/"
        ProxyPassReverse "/" http"ws://<IP do servidor Fluig>:88887777/"

</VirtualHost>

Listener FTP

...

Informações
titleLegenda

<Nome externo do servidor>: nome que aparecerá na URL do navegador, por exemplo, http://meuservidor.com.br.

<IP do servidor Fluig>: endereço IP interno do servidor onde o fluig Fluig está rodando, por exemplo, 10.10.2.35.

<caminho-certificado>: caminho e nome do arquivo de certificado, por exemplo, /etc/httpd/ssl/fluig.


Configuração do Apache (SSL) +

...

Fluig (HTTP)

...

Se não for utilizado HTTPS no fluigna plataforma, deve possuir a seguinte configuração:

Bloco de código
languagexml
Header set Access-Control-Allow-Origin: "https://meuservidor.fluig.com/"
Header set Access-Control-Allow-Headers: "Content-Type, X-Requested-With, accept-version"
Header set Access-Control-Allow-Methods: "GET, PUT, OPTIONS, DELETE, POST"
Header Set Access-Control-Request-Method: "GET, PUT, OPTIONS, DELETE, POST"
 

<VirtualHost *:80>
    RewriteEngine On
    RewriteCond %{HTTPS} off
    RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI}
</VirtualHost>

<VirtualHost *:443>
    ServerName <Nome externo do servidor>
    RequestHeader set X-Forwarded-Host <Nome externo do servidor>:443
    RequestHeader set X-Forwarded-Proto https
    SSLProxyEngine On
    SSLEngine On
    SSLCertificateFile <caminho<diretorio-certificado>.crt
    SSLCertificateKeyFile <caminho<diretorio-chave-privada>.key
    SSLCertificateChainFile <caminho<diretorio-certificadocadeia-intermediario>certificados>.pem
    ProxyPreserveHost On
    ProxyPass / http://<IP do servidor Fluig>fluig>:<Porta do servidor Fluig>/
    ProxyPassReverse / https://<Nome externo do servidor/
</VirtualHost>
 
<VirtualHost *:21>
    ServerName <Nome externo do servidor>
    ProxyPreserveHost On
    ProxyPass / ftp://<IP do servidor Fluig>/
    ProxyPassReverse / ftp://<IP do servidor Fluig>:21/
</VirtualHost>
cat fluig.crt fluig-ca.crt > fluig-bundle.crt

cert-cadeia-certificados.pem

Informações
titleLegenda

<Nome <Nome externo do servidor>servidor>: nome que aparecerá na URL do navegador, por exemplo, http://meuservidor.com.br.

<IP do servidor Fluig>: endereço IP interno do servidor onde o fluig está rodando, por exemplo, 10.10.2.35.

<caminho-certificado>: caminho

<diretorio-certificado>: diretório e nome do arquivo do certificado

(.crt ou .cer)

de domínio enviado pela entidade certificadora, por exemplo: /etc/httpd/ssl/

fluig

cert-dominio.crt

<caminho

<diretorio-chave-

privada>

privada>:

caminho

diretório e nome do arquivo da chave privada

(.key)

, enviada pela entidade certificadora, por exemplo: /etc/httpd/ssl/

fluig

chave-

private-

privada.key

.

<caminho

<diretorio-

certificado

cadeia-

intermediario>

certificados>:

caminho

diretório e nome do arquivo

do certificado intermediário (.pem ou crt)

que contém a cadeia de certificados, por exemplo

,

: /etc/httpd/ssl/

fluig-bundle.

OBS: Se você já possuí o seu certificado (fluig.crt) e o certificado intermediário (fluig-bundle.crt), poderá concatenar ambos os arquivos, por exemplo:

Bloco de código
languagebash
Nota

O caminho da pasta pode variar, esse caminho do exemplo é de uma instalação Linux CentOS.

DICA: O arquivo referente a cadeia de certificados pode ser criado concatenando os certificados de domínio, intermediários e raiz. No Linux, isto pode ser feito com o comando abaixo:

Bloco de código
languagebash
cat cert-dominio.crt cert-intermediario.crt cert-raiz.crt > cert-cadeia-certificados.pem

OBS: Os certificados intermediários e raiz normalmente podem ser encontrados para download no site da entidade certificadora que você escolheu.

<IP do servidor fluig>: endereço IP interno do servidor onde o Fluig está rodando, por exemplo, 10.10.2.35.

Configuração para acessar a plataforma via mobile/OAuth

...

Essa configuração deve ser realizada para garantir que a requisição chega ao conector HTTP com o mesmo protocolo do qual a requisição foi originada.

1, Edite o arquivo domain.xml localizado no diretório do servidor de aplicação [diretório_instalação]/appserver/domain/configuration/.

2. Localize o seguinte código:

Bloco de código
languagexml
themeEclipse
titledomain.xml
<subsystem xmlns="urn:jboss:domain:undertow:3.1">
	<buffer-cache name="default"/>
	<server name="default-server">
		<http-listener max-post-size="1073741824" name="default" socket-binding="http"/> <!-- Alterar esta linha -->
		<host alias="localhost" name="default-host"><single-sign-on path="/"/><filter-ref name="gzipFilter" predicate="path-suffix['.css'] or path-suffix['.js']"/></host>
    </server>
	<servlet-container name="default" stack-trace-on-error="local-only">
 		<jsp-config/>
		<websockets/>
	</servlet-container>
	<filters><gzip name="gzipFilter"/></filters>
</subsystem>


3. Na tag http-listener inclua o atributo proxy-address-forwarding com valor true, conforme mostrado abaixo:

Bloco de código
<http-listener max-post-size="1073741824" name="default" socket-binding="http" proxy-address-forwarding="true"/>


Configuração do Apache (SSL) +

...

Fluig (SSL)

...

Na 1. Acesse a pasta /etc/httpd/conf.d.

Nota

O caminho da pasta pode variar, esse caminho do exemplo é de uma instalação Linux CentOS.

2. Crie (quando instalado na configuração padrão) crie um arquivo de configuração para o fluig a plataforma (chamado fluig.conf, por exemplo), com o seguinte conteúdo, caso seja utilizado HTTPS também no lado do fluigFluig:

Bloco de código
languagexml
Header set Access-Control-Allow-Origin: "https://<Nome externo do servidor>"
Header set Access-Control-Allow-Headers: "Content-Type, X-Requested-With, accept-version"
Header set Access-Control-Allow-Methods: "GET, PUT, OPTIONS, DELETE, POST"
Header Set Access-Control-Request-Method: "GET, PUT, OPTIONS, DELETE, POST"


<VirtualHost *:443>
 ServerName <Nome externo do servidor>
 RequestHeader set X-Forwarded-Host <Nome externo do servidor>:443
 RequestHeader set X-Forwarded-Proto https
 SSLProxyEngine On
 SSLEngine On
 SSLCertificateFile <caminho<diretorio-certificado>.crt
 SSLCertificateKeyFile <caminho<diretorio-chave-privada>.key
 SSLCertificateChainFile <caminho<diretorio-certificadocadeia-intermediario>certificados>.pem
 ProxyPreserveHost On
 ProxyPass / https://<IP do servidor Fluig>:<Porta do servidor Fluig>/
 ProxyPassReverse / https://<Nome externo do servidor>/
</VirtualHost>
 
<VirtualHost *:21>
 ServerName <Nome externo do servidor>
 ProxyPreserveHost On
 ProxyPass / ftp://<IP do servidor Fluig>/
 ProxyPassReverse / ftp://<IP do servidor Fluig>:21/
</VirtualHost>