重要

このページは英語版のページを機械翻訳しています。原文はこちらからご覧ください。

リバースプロキシの背後で TiDB ダッシュボードを使用する

リバースプロキシを使用すると、TiDB ダッシュボードサービスを内部ネットワークから外部に安全に公開できます。

手順

ステップ1: 実際のTiDBダッシュボードアドレスを取得する

クラスター内に複数の PD インスタンスがデプロイされている場合、実際に TiDB Dashboard を実行するのは PD インスタンスのうちの 1 つだけです。そのため、リバースプロキシのアップストリームが正しいアドレスを指していることを確認する必要があります。このメカニズムの詳細については、複数のPDインスタンスを使用したデプロイメント参照してください。

デプロイメントにTiUPツールを使用する場合は、次のコマンドを実行して実際の TiDB ダッシュボードアドレスを取得します ( CLUSTER_NAMEクラスター名に置き換えます)。

tiup cluster display CLUSTER_NAME --dashboard

出力は実際の TiDB ダッシュボードアドレスです。サンプルは次のとおりです。

http://192.168.0.123:2379/dashboard/

注記：
この機能は、 tiup clusterデプロイメントツールの新しいバージョン (v1.0.3 以降) でのみ使用できます。
TiUPクラスタのアップグレード
tiup update --self
tiup update cluster --force

ステップ2: リバースプロキシを構成する

HAProxyを使用する

HAプロキシリバースプロキシとして使用する場合は、次の手順を実行します。

たとえば、 8033ポートで TiDB ダッシュボードのリバースプロキシを使用します。HAProxy 構成ファイルに、次の構成を追加します。
```
frontend tidb_dashboard_front
  bind *:8033
  use_backend tidb_dashboard_back if { path /dashboard } or { path_beg /dashboard/ }

backend tidb_dashboard_back
  mode http
  server tidb_dashboard 192.168.0.123:2379
```
192.168.0.123:2379を、ステップ1で取得した TiDB ダッシュボードの実際のアドレスの IP とポートに置き換えます。
警告
このパス内のサービスのみがリバースプロキシの背後にあることを保証するために、 use_backendディレクティブのif部分を保持する必要があります。そうしないと、セキュリティリスクが発生する可能性があります。セキュリティTiDB ダッシュボードを参照してください。
設定を有効にするには、HAProxy を再起動します。
リバースプロキシが有効かどうかをテストします。HAProxy が配置されているマシンの8033ポート ( http://example.com:8033/dashboard/など) の/dashboard/アドレスにアクセスして、TiDB ダッシュボードにアクセスします。

NGINXを使用する

NGINX とはリバースプロキシとして使用する場合は、次の手順を実行します。

たとえば、 8033ポートで TiDB ダッシュボードのリバースプロキシを使用します。NGINX 構成ファイルに次の構成を追加します。
```
server {
    listen 8033;
    location /dashboard/ {
    proxy_pass http://192.168.0.123:2379/dashboard/;
    }
}
```
http://192.168.0.123:2379/dashboard/ ステップ1で取得した TiDB ダッシュボードの実際のアドレスに置き換えます。
警告
このパスの下にあるサービスのみがリバースプロキシされるようにするには、 proxy_passディレクティブに/dashboard/パスを保持する必要があります。そうしないと、セキュリティリスクが発生します。セキュリティTiDB ダッシュボードを参照してください。
設定を有効にするには、NGINX をリロードします。
```
sudo nginx -s reload
```
リバースプロキシが有効かどうかをテストします。NGINX が配置されているマシンの8033ポートの/dashboard/アドレス ( http://example.com:8033/dashboard/など) にアクセスして、TiDB ダッシュボードにアクセスします。

パスプレフィックスをカスタマイズする

TiDB ダッシュボードは、デフォルトで/dashboard/パス ( http://example.com:8033/dashboard/など) でサービスを提供します。これはリバースプロキシの場合でも当てはまります。リバースプロキシを構成して、 http://example.com:8033/foo/やhttp://example.com:8033/などのデフォルト以外のパスで TiDB ダッシュボードサービスを提供するには、次の手順を実行します。

ステップ1: PD構成を変更して、TiDBダッシュボードサービスのパスプレフィックスを指定します。

PD 構成の[dashboard]カテゴリのpublic-path-prefix構成項目を変更して、TiDB ダッシュボードサービスのパスプレフィックスを指定します。この項目を変更したら、変更を有効にするために PD インスタンスを再起動します。

たとえば、クラスターがTiUPを使用してデプロイされており、サービスをhttp://example.com:8033/foo/で実行する場合は、次の構成を指定できます。

server_configs:
  pd:
    dashboard.public-path-prefix: /foo

TiUPを使用して新しいクラスターを展開するときに構成を変更する

新しいクラスターを展開する場合は、上記の構成をtopology.yaml TiUPトポロジファイルに追加してクラスターを展開できます。具体的な手順については、 TiUP展開ドキュメントを参照してください。

TiUPを使用してデプロイされたクラスターの構成を変更する

デプロイされたクラスターの場合:

クラスターの構成ファイルを編集モードで開きます ( CLUSTER_NAMEクラスター名に置き換えます)。
```
tiup cluster edit-config CLUSTER_NAME
```

server_configsのpd構成の下にある構成項目を変更または追加します。 server_configs存在しない場合は、最上位レベルに追加します。

monitored:
  ...
server_configs:
  tidb: ...
  tikv: ...
  pd:
    dashboard.public-path-prefix: /foo
  ...

変更後の設定ファイルは次のファイルのようになります。

server_configs:
  pd:
    dashboard.public-path-prefix: /foo
  global:
    user: tidb
    ...

または

monitored:
  ...
server_configs:
  tidb: ...
  tikv: ...
  pd:
    dashboard.public-path-prefix: /foo

変更した設定を有効にするには、すべての PD インスタンスに対してローリング再起動を実行します ( CLUSTER_NAMEクラスター名に置き換えます)。
```
tiup cluster reload CLUSTER_NAME -R pd
```

詳細は一般的なTiUP操作 - 構成の変更参照。

TiDB ダッシュボードサービスをルートパス ( http://example.com:8033/など) で実行する場合は、次の構成を使用します。

server_configs:
  pd:
    dashboard.public-path-prefix: /

警告

変更およびカスタマイズされたパスプレフィックスが有効になると、TiDB ダッシュボードに直接アクセスできなくなります。パスプレフィックスに一致するリバースプロキシを介してのみ、TiDB ダッシュボードにアクセスできます。

ステップ2: リバースプロキシ構成を変更する

HAProxyを使用する

http://example.com:8033/foo/例にとると、対応する HAProxy 構成は次のようになります。

frontend tidb_dashboard_front
  bind *:8033
  use_backend tidb_dashboard_back if { path /foo } or { path_beg /foo/ }

backend tidb_dashboard_back
  mode http
  http-request set-path %[path,regsub(^/foo/?,/dashboard/)]
  server tidb_dashboard 192.168.0.123:2379

192.168.0.123:2379を、ステップ1で取得した TiDB ダッシュボードの実際のアドレスの IP とポートに置き換えます。

警告

このパス内のサービスのみがリバースプロキシの背後にあることを保証するために、 use_backendディレクティブのif部分を保持する必要があります。そうしないと、セキュリティリスクが発生する可能性があります。セキュリティTiDB ダッシュボードを参照してください。

TiDB ダッシュボードサービスをルートパス ( http://example.com:8033/など) で実行する場合は、次の構成を使用します。

frontend tidb_dashboard_front
  bind *:8033
  use_backend tidb_dashboard_back
backend tidb_dashboard_back
  mode http
  http-request set-path /dashboard%[path]
  server tidb_dashboard 192.168.0.123:2379

設定を変更し、変更した設定を有効にするために HAProxy を再起動します。

NGINXを使用する

http://example.com:8033/foo/例にとると、対応する NGINX 構成は次のようになります。

server {
  listen 8033;
  location /foo/ {
    proxy_pass http://192.168.0.123:2379/dashboard/;
  }
}

http://192.168.0.123:2379/dashboard/ ステップ1で取得した TiDB ダッシュボードの実際のアドレスに置き換えます。

警告

proxy_passディレクティブの/dashboard/パスを保持して、このパス内のサービスのみがリバースプロキシの背後にあることを確認する必要があります。そうしないと、セキュリティリスクが発生する可能性がありますセキュリティTiDB ダッシュボードを参照してください。

TiDB ダッシュボードサービスをルートパス ( http://example.com:8033/など) で実行する場合は、次の構成を使用します。

server {
  listen 8033;
  location / {
    proxy_pass http://192.168.0.123:2379/dashboard/;
  }
}

設定を変更し、変更した設定を有効にするために NGINX を再起動します。

sudo nginx -s reload

次は何ですか

ファイアウォールの設定など、TiDB ダッシュボードのセキュリティを強化する方法については、セキュリティTiDB ダッシュボードを参照してください。

リバースプロキシの背後で TiDB ダッシュボードを使用する

手順

ステップ1: 実際のTiDBダッシュボードアドレスを取得する

ステップ2: リバースプロキシを構成する

パスプレフィックスをカスタマイズする

ステップ1: PD構成を変更して、TiDBダッシュボードサービスのパスプレフィックスを指定します。

ステップ2: リバースプロキシ構成を変更する

次は何ですか

このページは役に立ちましたか？