リバースプロキシの背後でTiDBダッシュボードを使用する
リバース プロキシを使用すると、TiDB ダッシュボード サービスを内部ネットワークから外部に安全に公開できます。
手順
ステップ1: 実際のTiDBダッシュボードアドレスを取得する
クラスター内に複数の PD インスタンスがデプロイされている場合、実際に TiDB Dashboard を実行するのは PD インスタンスのうちの 1 つだけです。そのため、リバース プロキシのアップストリームが正しいアドレスを指していることを確認する必要があります。このメカニズムの詳細については、 複数のPDインスタンスを使用したデプロイメント参照してください。
デプロイメントにTiUPツールを使用する場合は、次のコマンドを実行して実際の TiDB ダッシュボード アドレスを取得します ( CLUSTER_NAME
クラスター名に置き換えます)。
tiup cluster display CLUSTER_NAME --dashboard
出力は実際の TiDB ダッシュボード アドレスです。サンプルは次のとおりです。
http://192.168.0.123:2379/dashboard/
注記:
この機能は、
tiup cluster
デプロイメント ツールの新しいバージョン (v1.0.3 以降) でのみ使用できます。TiUPクラスタのアップグレード
tiup update --self tiup update cluster --force
ステップ2: リバースプロキシを構成する
HAProxyを使用する
HAプロキシリバース プロキシとして使用する場合は、次の手順を実行します。
たとえば、
8033
ポートで TiDB ダッシュボードのリバース プロキシを使用します。HAProxy 構成ファイルに、次の構成を追加します。frontend tidb_dashboard_front bind *:8033 use_backend tidb_dashboard_back if { path /dashboard } or { path_beg /dashboard/ } backend tidb_dashboard_back mode http server tidb_dashboard 192.168.0.123:2379192.168.0.123:2379
、 ステップ1で取得した TiDB ダッシュボードの実際のアドレスの IP とポートに置き換えます。設定を有効にするには、HAProxy を再起動します。
リバース プロキシが有効かどうかをテストします。HAProxy が配置されているマシンの
8033
ポートの/dashboard/
アドレス (http://example.com:8033/dashboard/
など) にアクセスして、TiDB ダッシュボードにアクセスします。
NGINXを使用する
NGINX とはリバース プロキシとして使用する場合は、次の手順を実行します。
たとえば、
8033
ポートで TiDB ダッシュボードのリバース プロキシを使用します。NGINX 構成ファイルに次の構成を追加します。server { listen 8033; location /dashboard/ { proxy_pass http://192.168.0.123:2379/dashboard/; } }http://192.168.0.123:2379/dashboard/
ステップ1で取得した TiDB ダッシュボードの実際のアドレスに置き換えます。設定を有効にするには、NGINX をリロードします。
sudo nginx -s reloadリバース プロキシが有効かどうかをテストします。NGINX が配置されているマシンの
8033
ポートの/dashboard/
アドレス (http://example.com:8033/dashboard/
など) にアクセスして、TiDB ダッシュボードにアクセスします。
パスプレフィックスをカスタマイズする
TiDB ダッシュボードは、デフォルトで/dashboard/
パス ( http://example.com:8033/dashboard/
など) でサービスを提供します。これはリバース プロキシの場合でも当てはまります。リバース プロキシを構成して、 http://example.com:8033/foo/
やhttp://example.com:8033/
などのデフォルト以外のパスで TiDB ダッシュボード サービスを提供するには、次の手順を実行します。
ステップ1: PD構成を変更して、TiDBダッシュボードサービスのパスプレフィックスを指定します。
PD 構成の[dashboard]
カテゴリのpublic-path-prefix
構成項目を変更して、TiDB ダッシュボード サービスのパス プレフィックスを指定します。この項目を変更したら、変更を有効にするために PD インスタンスを再起動します。
たとえば、クラスターがTiUP を使用してデプロイされており、サービスをhttp://example.com:8033/foo/
で実行する場合は、次の構成を指定できます。
server_configs:
pd:
dashboard.public-path-prefix: /foo
TiUP を使用して新しいクラスターを展開するときに構成を変更する
新しいクラスターを展開する場合は、上記の構成をtopology.yaml
TiUPトポロジ ファイルに追加してクラスターを展開できます。具体的な手順については、 TiUP展開ドキュメント参照してください。
TiUP を使用してデプロイされたクラスターの構成を変更する
デプロイされたクラスターの場合:
クラスターの構成ファイルを編集モードで開きます (
CLUSTER_NAME
クラスター名に置き換えます)。tiup cluster edit-config CLUSTER_NAMEserver_configs
のpd
構成の下にある構成項目を変更または追加します。server_configs
存在しない場合は、最上位レベルに追加します。monitored: ... server_configs: tidb: ... tikv: ... pd: dashboard.public-path-prefix: /foo ...変更後の設定ファイルは次のファイルのようになります。
server_configs: pd: dashboard.public-path-prefix: /foo global: user: tidb ...または
monitored: ... server_configs: tidb: ... tikv: ... pd: dashboard.public-path-prefix: /foo変更した設定を有効にするには、すべての PD インスタンスに対してローリング再起動を実行します (
CLUSTER_NAME
クラスター名に置き換えます)。tiup cluster reload CLUSTER_NAME -R pd
詳細は一般的なTiUP操作 - 構成の変更参照。
TiDB ダッシュボード サービスをルート パス ( http://example.com:8033/
など) で実行する場合は、次の構成を使用します。
server_configs:
pd:
dashboard.public-path-prefix: /
ステップ2: リバースプロキシ構成を変更する
HAProxyを使用する
http://example.com:8033/foo/
例にとると、対応する HAProxy 構成は次のようになります。
frontend tidb_dashboard_front
bind *:8033
use_backend tidb_dashboard_back if { path /foo } or { path_beg /foo/ }
backend tidb_dashboard_back
mode http
http-request set-path %[path,regsub(^/foo/?,/dashboard/)]
server tidb_dashboard 192.168.0.123:2379
192.168.0.123:2379
、 ステップ1で取得した TiDB ダッシュボードの実際のアドレスの IP とポートに置き換えます。
TiDB ダッシュボード サービスをルート パス ( http://example.com:8033/
など) で実行する場合は、次の構成を使用します。
frontend tidb_dashboard_front
bind *:8033
use_backend tidb_dashboard_back
backend tidb_dashboard_back
mode http
http-request set-path /dashboard%[path]
server tidb_dashboard 192.168.0.123:2379
設定を変更し、変更した設定を有効にするために HAProxy を再起動します。
NGINXを使用する
http://example.com:8033/foo/
例にとると、対応する NGINX 構成は次のようになります。
server {
listen 8033;
location /foo/ {
proxy_pass http://192.168.0.123:2379/dashboard/;
}
}
http://192.168.0.123:2379/dashboard/
ステップ1で取得した TiDB ダッシュボードの実際のアドレスに置き換えます。
TiDB ダッシュボード サービスをルート パス ( http://example.com:8033/
など) で実行する場合は、次の構成を使用します。
server {
listen 8033;
location / {
proxy_pass http://192.168.0.123:2379/dashboard/;
}
}
設定を変更し、変更した設定を有効にするために NGINX を再起動します。
sudo nginx -s reload
次は何か
ファイアウォールの設定など、TiDB ダッシュボードのセキュリティを強化する方法については、 セキュリティTiDB ダッシュボード参照してください。