リバースプロキシの背後でTiDBダッシュボードを使用する

リバースプロキシとしてHAProxyを使用する場合は、次の手順を実行します。

1. たとえば、 8033ポートでTiDBダッシュボードにリバースプロキシを使用します。 HAProxy構成ファイルに、次の構成を追加します。

   frontend tidb_dashboard_front
     bind *:8033
     use_backend tidb_dashboard_back if { path /dashboard } or { path_beg /dashboard/ }
   
   backend tidb_dashboard_back
     mode http
     server tidb_dashboard 192.168.0.123:2379
   

   192.168.0.123:2379をステップ1で取得したTiDBダッシュボードの実際のアドレスのIPとポートに置き換えます。

   警告

   このパスのサービスのみがリバースプロキシの背後にあることを保証するために、 use_backendディレクティブのifの部分を保持する必要があります。そうしないと、セキュリティリスクが発生する可能性があります。 セキュリティTiDBダッシュボードを参照してください。

2. 設定を有効にするためにHAProxyを再起動します。

3. リバースプロキシが有効かどうかをテストします。HAProxyが配置されているマシンの8033ポート（ http://example.com:8033/dashboard/など）の/dashboard/アドレスにアクセスして、TiDBダッシュボードにアクセスします。

リバースプロキシとしてNGINXを使用する場合は、次の手順を実行します。

1. たとえば、 8033ポートでTiDBダッシュボードにリバースプロキシを使用します。 NGINX構成ファイルに、次の構成を追加します。

   server {
       listen 8033;
       location /dashboard/ {
       proxy_pass http://192.168.0.123:2379/dashboard/;
       }
   }
   

   http://192.168.0.123:2379/dashboard/をステップ1で取得したTiDBダッシュボードの実際のアドレスに置き換えます。

   警告

   このパスの下のサービスのみが逆プロキシされるようにするには、 proxy_passディレクティブの/dashboard/パスを保持する必要があります。そうしないと、セキュリティリスクが発生します。 セキュリティTiDBダッシュボードを参照してください。

2. 構成を有効にするためにNGINXをリロードします。

   sudo nginx -s reload
   

3. リバースプロキシが有効かどうかをテストします。NGINXが配置されているマシンの8033ポート（ http://example.com:8033/dashboard/など）の/dashboard/アドレスにアクセスして、TiDBダッシュボードにアクセスします。

新しいクラスタをデプロイする場合は、上記の構成をtopology.yaml TiUPトポロジファイルに追加して、クラスタをデプロイできます。具体的な手順については、 TiUP導入ドキュメントを参照してください。

デプロイされたクラスタの場合：

1. クラスタの構成ファイルを編集モードで開きます（ CLUSTER_NAMEをクラスタ名に置き換えます）。

   tiup cluster edit-config CLUSTER_NAME
   

2. server_configsのpd構成で構成アイテムを変更または追加します。 server_configsが存在しない場合は、トップレベルに追加します。

   monitored:
     ...
   server_configs:
     tidb: ...
     tikv: ...
     pd:
       dashboard.public-path-prefix: /foo
     ...
   

   変更後の構成ファイルは、次のファイルのようになります。

   server_configs:
     pd:
       dashboard.public-path-prefix: /foo
     global:
       user: tidb
       ...
   

   または

   monitored:
     ...
   server_configs:
     tidb: ...
     tikv: ...
     pd:
       dashboard.public-path-prefix: /foo
   

3. 変更した構成を有効にするために、すべてのPDインスタンスに対してローリングリスタートを実行します（ CLUSTER_NAMEをクラスタ名に置き換えます）。

   tiup cluster reload CLUSTER_NAME -R pd
   

詳細については、 一般的なTiUP操作-構成を変更しますを参照してください。

http://example.com:8033/foo/を例にとると、対応するHAProxy構成は次のとおりです。

frontend tidb_dashboard_front
  bind *:8033
  use_backend tidb_dashboard_back if { path /foo } or { path_beg /foo/ }

backend tidb_dashboard_back
  mode http
  http-request set-path %[path,regsub(^/foo/?,/dashboard/)]
  server tidb_dashboard 192.168.0.123:2379

192.168.0.123:2379をステップ1で取得したTiDBダッシュボードの実際のアドレスのIPとポートに置き換えます。

TiDBダッシュボードサービスをルートパス（ http://example.com:8033/など）で実行する場合は、次の構成を使用します。

frontend tidb_dashboard_front
  bind *:8033
  use_backend tidb_dashboard_back
backend tidb_dashboard_back
  mode http
  http-request set-path /dashboard%[path]
  server tidb_dashboard 192.168.0.123:2379

構成を変更し、変更した構成を有効にするためにHAProxyを再起動します。

http://example.com:8033/foo/を例にとると、対応するNGINX構成は次のとおりです。

server {
  listen 8033;
  location /foo/ {
    proxy_pass http://192.168.0.123:2379/dashboard/;
  }
}

http://192.168.0.123:2379/dashboard/をステップ1で取得したTiDBダッシュボードの実際のアドレスに置き換えます。

TiDBダッシュボードサービスをルートパス（ http://example.com:8033/など）で実行する場合は、次の構成を使用します。

server {
  listen 8033;
  location / {
    proxy_pass http://192.168.0.123:2379/dashboard/;
  }
}

構成を変更し、変更した構成を有効にするためにNGINXを再起動します。

sudo nginx -s reload