<-
Apache > Serveur HTTP > Documentation > Version 2.4 > Modules

Module Apache mod_proxy

Langues Disponibles:  en  |  fr  |  ja 

Description:Serveur mandataire/passerelle multi-protocole
Statut:Extension
Identificateur�de�Module:proxy_module
Fichier�Source:mod_proxy.c

Sommaire

Avertissement

N'activez pas la fonctionnalit� de mandataire avec la directive ProxyRequests avant d'avoir s�curis� votre serveur. Les serveurs mandataires ouverts sont dangereux pour votre r�seau, mais aussi pour l'Internet au sens large.

mod_proxy et ses modules associ�s impl�mentent un mandataire/passerelle pour le serveur HTTP Apache, et supportent de nombreux protocoles courants, ainsi que plusieurs algorithmes de r�partition de charge. Le support de protocoles et d'algorithmes de r�partition de charge suppl�mentaires peut �tre assur� par des modules tiers.

Un jeu de modules charg�s dans le serveur permet de fournir les fonctionnalit�s souhait�es. Ces modules peuvent �tre inclus statiquement � la compilation, ou dynamiquement via la directive LoadModule. Ce jeu de module doit comporter :

En outre, d'autres modules fournissent des fonctionnalit�s �tendues. mod_cache et ses modules associ�s fournissent la mise en cache. Les directives SSLProxy* du module mod_ssl permettent de contacter des serveurs distants en utilisant le protocole SSL/TLS. Ces modules additionnels devront �tre charg�s et configur�s pour pouvoir disposer de ces fonctionnalit�s.

Directives

Sujets

Voir aussi

top

Mandataires directs et mandataires/passerelles inverses

Le serveur HTTP Apache peut �tre configur� dans les deux modes mandataire direct et mandataire inverse (aussi nomm� mode passerelle).

Un mandataire direct standard est un serveur interm�diaire qui s'intercale entre le client et le serveur demand�. Pour obtenir un contenu h�berg� par le serveur demand�, le client envoie une requ�te au mandataire en nommant le serveur demand� comme cible, puis le mandataire extrait le contenu depuis le serveur demand� et le renvoie enfin au client. Le client doit �tre configur� de mani�re appropri�e pour pouvoir utiliser le mandataire direct afin d'acc�der � d'autres sites.

L'acc�s � Internet depuis des clients situ�s derri�re un pare-feu est une utilisation typique du mandataire direct. Le mandataire direct peut aussi utiliser la mise en cache (fournie par mod_cache) pour r�duire la charge du r�seau.

La fonctionnalit� de mandataire direct est activ�e via la directive ProxyRequests. Comme les mandataires directs permettent aux clients d'acc�der � des sites quelconques via votre serveur et de dissimuler leur v�ritable origine, il est indispensable de s�curiser votre serveur de fa�on � ce que seuls les clients autoris�s puissent acc�der � votre serveur avant d'activer la fonctionnalit� de mandataire direct.

Un mandataire inverse (ou passerelle), quant � lui, appara�t au client comme un serveur web standard. Aucune configuration particuli�re du client n'est n�cessaire. Le client adresse ses demandes de contenus ordinaires dans l'espace de nommage du mandataire inverse. Ce dernier d�cide alors o� envoyer ces requ�tes, et renvoie le contenu au client comme s'il l'h�bergeait lui-m�me.

L'acc�s d'utilisateurs depuis Internet vers un serveur situ� derri�re un pare-feu est une utilisation typique du mandataire inverse. On peut aussi utiliser les mandataires inverses pour mettre en oeuvre une r�partition de charge entre plusieurs serveurs en arri�re-plan, ou fournir un cache pour un serveur d'arri�re-plan plus lent. Les mandataires inverses peuvent aussi tout simplement servir � rassembler plusieurs serveurs dans le m�me espace de nommage d'URLs.

La fonctionnalit� de mandataire inverse est activ�e via la directive ProxyPass ou le drapeau [P] de la directive RewriteRule. Il n'est pas n�cessaire de d�finir ProxyRequests pour configurer un mandataire inverse.

top

Exemples simples

Les exemples ci-dessous illustrent de mani�re tr�s basique la mise en oeuvre de la fonctionnalit� de mandataire et ne sont l� que pour vous aider � d�marrer. Reportez-vous � la documentation de chaque directive.

Si en outre, vous d�sirez activer la mise en cache, consultez la documentation de mod_cache.

Mandataire inverse

ProxyPass /foo http://foo.example.com/bar
ProxyPassReverse /foo http://foo.example.com/bar
    

Mandataire direct

ProxyRequests On
ProxyVia On

<Proxy *>
  Require host internal.example.com
</Proxy>
    
top

Workers

Le mandataire g�re la configuration et les param�tres de communication des serveurs originaux au sein d'objets nomm�s workers. Deux types de worker sont fournis : le worker par d�faut du mandataire direct et le worker par d�faut du mandataire inverse. Il est aussi possible de d�finir explicitement des workers suppl�mentaires.

Les deux workers par d�faut poss�dent une configuration fig�e et seront utilis�s si aucun autre worker ne correspond � la requ�te. Ils n'utilisent ni les jeux de connexions (connection pooling), ni les connexions HTTP persistantes (Keep-Alive). En effet, les connexions TCP vers le serveur original sont ferm�es et ouvertes pour chaque requ�te.

Les workers d�finis explicitement sont identifi�s par leur URL. Ils sont en g�n�ral d�finis via les directives ProxyPass ou ProxyPassMatch lorsqu'on les utilise dans le cadre d'un mandataire inverse :

          ProxyPass /example http://backend.example.com connectiontimeout=5 timeout=30
	  

Cette directive va cr�er un worker associ� � l'URL du serveur original http://backend.example.com, et utilisant les valeurs de timeout donn�es. Lorsqu'ils sont utilis�s dans le cadre d'un mandataire direct, les workers sont en g�n�ral d�finis via la directive ProxySet,

          ProxySet http://backend.example.com connectiontimeout=5 timeout=30
	  

ou encore via les directives Proxy et ProxySet :

<Proxy http://backend.example.com>
  ProxySet connectiontimeout=5 timeout=30
</Proxy>
      

L'utilisation de workers d�finis explicitement dans le mode mandataire direct n'est pas tr�s courante, car les mandataires directs communiquent en g�n�ral avec de nombreux serveurs originaux. La cr�ation explicite de workers pour certains serveurs originaux peut cependant s'av�rer utile si ces serveurs sont tr�s souvent sollicit�s. A leur niveau, les workers explicitement d�finis ne poss�dent aucune notion de mandataire direct ou inverse. Ils encapsulent un concept de communication commun avec les serveurs originaux. Un worker cr�� via la directive ProxyPass pour �tre utilis� dans le cadre d'un mandataire inverse sera aussi utilis� dans le cadre d'un mandataire directe chaque fois que l'URL vers le serveur original correspondra � l'URL du worker, et vice versa.

L'URL qui identifie un worker correspond � l'URL de son serveur original, y compris un �ventuel chemin donn� :

ProxyPass /examples http://backend.example.com/examples
ProxyPass /docs http://backend.example.com/docs
      

Dans cet exemple, deux workers diff�rents sont d�finis, chacun d'eux utilisant des configurations et jeux de connexions s�par�s.

Partage de workers

Le partage de workers intervient lorsque les URLs des workers s'entrecoupent, ce qui arrive lorsque l'URL d'un worker correspond au d�but de l'URL d'un autre worker d�fini plus loin dans le fichier de configuration. Dans l'exemple suivant,

ProxyPass /apps http://backend.example.com/ timeout=60
ProxyPass /examples http://backend.example.com/examples timeout=10
        

le second worker n'est pas vraiment cr��. C'est le premier worker qui est en fait utilis�. L'avantage de ceci r�side dans le fait qu'il n'existe qu'un seul jeu de connexions, ces derni�res �tant donc r�utilis�es plus souvent. Notez que tous les attributs de configuration d�finis explicitement pour le deuxi�me worker seront ignor�s, ce qui sera journalis� en tant qu'avertissement. Ainsi, dans l'exemple ci-dessus, la valeur de timeout retenue pour l'URL /exemples sera 60, et non 10 !

Si vous voulez emp�cher le partage de workers, classez vos d�finitions de workers selon la longueur des URLs, de la plus longue � la plus courte. Si au contraire vous voulez favoriser ce partage, utilisez l'ordre de classement inverse. Voir aussi l'avertissement � propos de l'ordre de classement des directives ProxyPass.

Les workers d�finis explicitement sont de deux sortes : workers directs et workers de r�partition (de charge). Ils supportent de nombreux attributs de configuration importants d�crits dans la directive ProxyPass. Ces m�mes attributs peuvent aussi �tre d�finis via la directive ProxySet.

Le jeu d'options disponibles pour un worker direct d�pend du protocole sp�cifi� dans l'URL du serveur original. Les protocoles disponibles comprennent ajp, fcgi, ftp, http et scgi.

Les workers de r�partition sont des workers virtuels qui utilisent les workers directs, connus comme faisant partie de leurs membres, pour le traitement effectif des requ�tes. Chaque r�partiteur peut comporter plusieurs membres. Lorsqu'il traite une requ�te, il choisit un de ses membres en fonction de l'algorithme de r�partition de charge d�fini.

Un worker de r�partition est cr�� si son URL de worker comporte balancer comme indicateur de protocole. L'URL du r�partiteur permet d'identifier de mani�re unique le worker de r�partition. La directive BalancerMember permet d'ajouter des membres au r�partiteur.

top

Contr�ler l'acc�s � votre mandataire

Vous pouvez restreindre l'acc�s � votre mandataire via le bloc de contr�le <Proxy> comme dans l'exemple suivant :

<Proxy *>
  Require ip 192.168.0
</Proxy>
      

Pour plus de d�tails sur les directives de contr�le d'acc�s, voir la documentation du module mod_authz_host.

Restreindre l'acc�s de mani�re stricte est essentiel si vous mettez en oeuvre un mandataire direct (en d�finissant la directive ProxyRequests � "on"). Dans le cas contraire, votre serveur pourrait �tre utilis� par n'importe quel client pour acc�der � des serveurs quelconques, tout en masquant sa v�ritable identit�. Ceci repr�sente un danger non seulement pour votre r�seau, mais aussi pour l'Internet au sens large. Dans le cas de la mise en oeuvre d'un mandataire inverse (en utilisant la directive ProxyPass avec ProxyRequests Off), le contr�le d'acc�s est moins critique car les clients ne peuvent contacter que les serveurs que vous avez sp�cifi�s.

Voir aussi la variable d'environnement Proxy-Chain-Auth.

top

Ralentissement au d�marrage

Si vous utilisez la directive ProxyBlock, les noms d'h�tes sont r�solus en adresses IP puis ces derni�res mises en cache au cours du d�marrage � des fins de tests de comparaisons ult�rieurs. Ce processus peut durer plusieurs secondes (ou d'avantage) en fonction de la vitesse � laquelle s'effectue la r�solution des noms d'h�tes.

top

Mandataire en Intranet

Un serveur mandataire Apache httpd situ� � l'int�rieur d'un Intranet doit faire suivre les requ�tes destin�es � un serveur externe � travers le pare-feu de l'entreprise (pour ce faire, d�finissez la directive ProxyRemote de fa�on � ce qu'elle fasse suivre le protocole concern� vers le mandataire du pare-feu). Cependant, lorsqu'il doit acc�der � des ressources situ�es dans l'Intranet, il peut se passer du pare-feu pour acc�der aux serveurs. A cet effet, la directive NoProxy permet de sp�cifier quels h�tes appartiennent � l'Intranet et peuvent donc �tre acc�d�s directement.

Les utilisateurs d'un Intranet ont tendance � oublier le nom du domaine local dans leurs requ�tes WWW, et demandent par exemple "http://un-serveur/" au lieu de http://un-serveur.example.com/. Certains serveurs mandataires commerciaux acceptent ce genre de requ�te et les traitent simplement en utilisant un nom de domaine local implicite. Lorsque la directive ProxyDomain est utilis�e et si le serveur est configur� comme mandataire, Apache httpd peut renvoyer une r�ponse de redirection et ainsi fournir au client l'adresse de serveur correcte, enti�rement qualifi�e. C'est la m�thode � privil�gier car le fichier des marque-pages de l'utilisateur contiendra alors des noms de serveurs enti�rement qualifi�s.

top

Ajustements relatifs au protocole

Pour les cas o� mod_proxy envoie des requ�tes vers un serveur qui n'impl�mente pas correctement les connexions persistantes ou le protocole HTTP/1.1, il existe deux variables d'environnement qui permettent de forcer les requ�tes � utiliser le protocole HTTP/1.0 avec connexions non persistantes. Elles peuvent �tre d�finies via la directive SetEnv.

Il s'agit des variables force-proxy-request-1.0 et proxy-nokeepalive.

<Location /buggyappserver/>
  ProxyPass http://buggyappserver:7001/foo/
  SetEnv force-proxy-request-1.0 1
  SetEnv proxy-nokeepalive 1
</Location>
        
top

Corps de requ�tes

Certaines m�thodes de requ�tes comme POST comportent un corps de requ�te. Le protocole HTTP stipule que les requ�tes qui comportent un corps doivent soit utiliser un codage de transmission fractionn�e (chunked transfer encoding), soit envoyer un en-t�te de requ�te Content-Length. Lorsqu'il fait suivre ce genre de requ�te vers le serveur demand�, mod_proxy_http s'efforce toujours d'envoyer l'en-t�te Content-Length. Par contre, si la taille du corps est importante, et si la requ�te originale utilise un codage � fractionnement, ce dernier peut aussi �tre utilis� dans la requ�te montante. Ce comportement peut �tre contr�l� � l'aide de variables d'environnement. Ainsi, si elle est d�finie, la variable proxy-sendcl assure une compatibilit� maximale avec les serveurs demand�s en imposant l'envoi de l'en-t�te Content-Length, alors que proxy-sendchunked diminue la consommation de ressources en imposant l'utilisation d'un codage � fractionnement.

Dans certaines circonstances, le serveur doit mettre en file d'attente sur disque les corps de requ�tes afin de satisfaire le traitement demand� des corps de requ�tes. Par exemple, cette mise en file d'attente se produira si le corps original a �t� envoy� selon un codage morcel� (et poss�de une taille importante), alors que l'administrateur a demand� que les requ�tes du serveur d'arri�re-plan soient envoy�es avec l'en-t�te Content-Length ou en HTTP/1.0. Cette mise en file d'attente se produira aussi si le corps de la requ�te contient d�j� un en-t�te Content-Length, alors que le serveur est configur� pour filtrer les corps des requ�tes entrantes.

La directive LimitRequestBody ne s'applique qu'aux corps de requ�tes que le serveur met en file d'attente sur disque.

top

En-t�tes de requ�te du mandataire inverse

Lorsqu'il est configur� en mode mandataire inverse (en utilisant par exemple la directive ProxyPass), mod_proxy_http ajoute plusieurs en-t�tes de requ�te afin de transmettre des informations au serveur demand�. Ces en-t�tes sont les suivants :

X-Forwarded-For
L'adresse IP du client.
X-Forwarded-Host
L'h�te d'origine demand� par le client dans l'en-t�te de requ�te HTTP Host.
X-Forwarded-Server
Le nom d'h�te du serveur mandataire.

Ces en-t�tes doivent �tre utilis�s avec pr�cautions sur le serveur demand�, car ils contiendront plus d'une valeur (s�par�es par des virgules) si la requ�te originale contenait d�j� un de ces en-t�tes. Par exemple, vous pouvez utiliser %{X-Forwarded-For}i dans la cha�ne de format du journal du serveur demand� pour enregistrer les adresses IP des clients originaux, mais il est possible que vous obteniez plusieurs adresses si la requ�te passe � travers plusieurs mandataires.

Voir aussi les directives ProxyPreserveHost et ProxyVia directives, qui permettent de contr�ler d'autres en-t�tes de requ�te.

top

BalancerGrowth Directive

Description:Nombre de membres suppl�mentaires pouvant �tre ajout�s apr�s la configuration initiale
Syntaxe:BalancerGrowth #
D�faut:BalancerGrowth 5
Contexte:configuration du serveur, serveur virtuel
Statut:Extension
Module:mod_proxy
Compatibilit�:BalancerGrowth est disponible depuis la version 2.3.13 du serveur HTTP Apache

Cette directive permet de d�finir le nombre de membres pouvant �tre ajout�s au groupe de r�partition de charge pr�configur� d'un serveur virtuel. Elle n'est active que si le groupe a �t� pr�configur� avec un membre au minimum.

top

BalancerInherit Directive

Description:H�ritage des membres du groupes de r�partition de charge du mandataire d�finis au niveau du serveur principal
Syntaxe:BalancerInherit On|Off
D�faut:BalancerInherit On
Contexte:configuration du serveur, serveur virtuel
Statut:Extension
Module:mod_proxy
Compatibilit�:Disponible � partir de la version 2.5.0 du serveur HTTP Apache.

Cette directive permet d'attribuer au serveur virtuel courant l'h�ritage des membres de groupes de r�partition de charge d�finis au niveau du serveur principal. Elle ne doit pas �tre activ�e si vous utilisez la fonctionnalit� de modifications dynamiques du gestionnaire de r�partition de charge (Balancer Manager) pour �viter des probl�mes et des comportements inattendus.

Les d�finitions au niveau du serveur principal constituent les d�finitions par d�faut au niveau des serveurs virtuels.

top

BalancerMember Directive

Description:Ajoute un membre � un groupe de r�partition de charge
Syntaxe:BalancerMember [balancerurl] url [cl�=valeur [cl�=valeur ...]]
Contexte:r�pertoire
Statut:Extension
Module:mod_proxy
Compatibilit�:Disponible depuis la version 2.2 du serveur HTTP Apache.

Cette directive parmet d'ajouter un membre � un groupe de r�partition de charge. Elle peut se trouver dans un conteneur <Proxy balancer://...>, et accepte tous les param�tres de paires cl�/valeur que supporte la directive ProxyPass.

La directive BalancerMember accepte un param�tre suppl�mentaire : loadfactor. Il s'agit du facteur de charge du membre - un nombre entre 1 (valeur par d�faut) et 100, qui d�finit la charge � appliquer au membre en question.

L'argument balancerurl n'est requis que s'il ne se trouve pas d�j� dans la directive de conteneur <Proxy balancer://...>. Il correspond � l'URL d'un r�partiteur de charge d�fini par une directive ProxyPass.

La partie chemin de l'URL du r�partiteur dans toute directive de conteneur <Proxy balancer://...> est ignor�e.

En particulier, le slash de fin de l'URL d'un BalancerMember doit �tre supprim�.

top

BalancerPersist Directive

Description:Tente de conserver les changements effectu�s par le gestionnaire de r�partition de charge apr�s un red�marrage du serveur.
Syntaxe:BalancerPersist On|Off
D�faut:BalancerPersist Off
Contexte:configuration du serveur, serveur virtuel
Statut:Extension
Module:mod_proxy
Compatibilit�:BalancerPersist n'est disponible qu'� partir de la version 2.5.0 du serveur HTTP Apache.

Cette directive permet de conserver le contenu de l'espace m�moire partag� associ� aux r�partiteurs de charge et � leurs membres apr�s un red�marrage du serveur. Ces modifications locales ne sont ainsi pas perdues lors des transitions d'�tat dues � un red�marrage.

top

NoProxy Directive

Description:Serveurs, domaines ou r�seaux auquels on se connectera directement
Syntaxe:NoProxy domaine [domaine] ...
Contexte:configuration du serveur, serveur virtuel
Statut:Extension
Module:mod_proxy

Cette directive n'a d'utilit� que pour les serveurs mandataires Apache httpd au sein d'Intranets. La directive NoProxy permet de sp�cifier une liste de sous-r�seaux, d'adresses IP, de serveurs et/ou de domaines s�par�s par des espaces. Une requ�te pour un serveur qui correspond � un ou plusieurs crit�res sera toujours servie par ce serveur directement, sans �tre redirig�e vers le(s) serveur(s) mandataire(s) d�fini(s) par la directive ProxyRemote.

Exemple

ProxyRemote  *  http://firewall.example.com:81
NoProxy         .example.com 192.168.112.0/21
    

Le type des arguments serveur de la directive NoProxy appartiennent � la liste suivante :

Domaine

Un domaine est ici un nom de domaine DNS partiellement qualifi� pr�c�d� d'un point. Il repr�sente une liste de serveurs qui appartiennent logiquement au m�me domaine ou � la m�me zonz DNS (en d'autres termes, les nom des serveurs se terminent tous par domaine).

Exemple

.com .example.org.

Pour faire la distinction entre domaines et nom d'h�tes (des points de vue � la fois syntaxique et s�mantique, un domaine DNS pouvant aussi avoir un enregistrement DNS de type A !), les domaines sont toujours sp�cifi�s en les pr�fixant par un point.

Note

Les comparaisons de noms de domaines s'effectuent sans tenir compte de la casse, et les parties droites des Domaines sont toujours cens�es correspondre � la racine de l'arborescence DNS, si bien que les domaines .ExEmple.com et .example.com. (notez le point � la fin du nom) sont consid�r�s comme identiques. Comme une comparaison de domaines ne n�cessite pas de recherche DNS, elle est beaucoup plus efficace qu'une comparaison de sous-r�seaux.

Sous-r�seau

Un Sous-r�seau est une adresse internet partiellement qualifi�e sous forme num�rique (quatre nombres s�par�s par des points), optionnellement suivie d'un slash et du masque de sous-r�seau sp�cifiant le nombre de bits significatifs dans le Sous-r�seau. Il repr�sente un sous-r�seau de serveurs qui peuvent �tre atteints depuis la m�me interface r�seau. En l'absence de masque de sous-r�seau explicite, il est sous-entendu que les digits manquants (ou caract�res 0) de fin sp�cifient le masque de sous-r�seau (Dans ce cas, le masque de sous-r�seau ne peut �tre qu'un multiple de 8). Voici quelques exemples :

192.168 ou 192.168.0.0
le sous-r�seau 192.168.0.0 avec un masque de sous-r�seau implicite de 16 bits significatifs (parfois exprim� sous la forme 255.255.0.0)
192.168.112.0/21
le sous-r�seau 192.168.112.0/21 avec un masque de sous-r�seau implicite de 21 bits significatifs (parfois exprim� sous la forme255.255.248.0)

Comme cas extr�mes, un Sous-r�seau avec un masque de sous-r�seau de 32 bits significatifs est �quivalent � une adresse IP, alors qu'un Sous-r�seau avec un masque de sous-r�seau de 0 bit significatif (c'est � dire 0.0.0.0/0) est identique � la constante _Default_, et peut correspondre � toute adresse IP.

Adresse IP

Une Adresse IP est une adresse internet pleinement qualifi�e sous forme num�rique (quatre nombres s�par�s par des points). En g�n�ral, cette adresse repr�sente un serveur, mais elle ne doit pas n�cessairement correspondre � un nom de domaine DNS.

Exemple

192.168.123.7

Note

Une Adresse IP ne n�cessite pas de r�solution DNS, et peut ainsi s'av�rer plus efficace quant aux performances d'Apache.

Nom de serveur

Un Nom de serveur est un nom de domaine DNS pleinement qualifi� qui peut �tre r�solu en une ou plusieurs adresses IP par le service de noms de domaines DNS. Il repr�sente un h�te logique (par opposition aux Domaines, voir ci-dessus), et doit pouvoir �tre r�solu en une ou plusieurs adresses IP (ou souvent en une liste d'h�tes avec diff�rentes adresses IP).

Exemples

prep.ai.example.edu
www.example.org

Note

Dans de nombreuses situations, il est plus efficace de sp�cifier une adresse IP qu'un Nom de serveur car cela �vite d'avoir � effectuer une recherche DNS. La r�solution de nom dans Apache httpd peut prendre un temps tr�s long lorsque la connexion avec le serveur de noms utilise une liaison PPP lente.

Les comparaisons de Nom de serveur s'effectuent sans tenir compte de la casse, et les parties droites des Noms de serveur sont toujours cens�es correspondre � la racine de l'arborescence DNS, si bien que les domaines WWW.ExEmple.com et www.example.com. (notez le point � la fin du nom) sont consid�r�s comme identiques.

Voir aussi

top

<Proxy> Directive

Description:Conteneur de directives s'appliquant � des ressources mandat�es
Syntaxe:<Proxy url-avec-jokers> ...</Proxy>
Contexte:configuration du serveur, serveur virtuel
Statut:Extension
Module:mod_proxy

Les directives situ�es dans une section <Proxy> ne s'appliquent qu'au contenu mandat� concern�. Les jokers de style shell sont autoris�s.

Par exemple, les lignes suivantes n'autoriseront � acc�der � un contenu via votre serveur mandataire que les h�tes appartenant � votre-reseau.example.com :

<Proxy *>
  Require host votre-reseau.example.com
</Proxy>
    

Dans l'exemple suivant, tous les fichiers du r�pertoire foo de example.com seront trait�s par le filtre INCLUDES lorsqu'ils seront envoy�s par l'interm�diaire du serveur mandataire :

    
<Proxy http://example.com/foo/*>
  SetOutputFilter INCLUDES
</Proxy>
    

Voir aussi

top

ProxyAddHeaders Directive

Description:Ajoute des informations � propos du mandataire aux en-t�tes X-Forwarded-*
Syntaxe:ProxyAddHeaders Off|On
D�faut:ProxyAddHeaders On
Contexte:configuration du serveur, serveur virtuel, r�pertoire
Statut:Extension
Module:mod_proxy
Compatibilit�:Disponible depuis la version 2.3.10

Cette directive permet de passer au serveur d'arri�re-plan des informations � propos du mandataire via les en-t�tes HTTP X-Forwarded-For, X-Forwarded-Host et X-Forwarded-Server.

Utilit�

Cette option n'est utile que dans le cas du mandat HTTP trait� par mod_proxy_http.

top

ProxyBadHeader Directive

Description:D�termine la mani�re de traiter les lignes d'en-t�te incorrectes d'une r�ponse
Syntaxe:ProxyBadHeader IsError|Ignore|StartBody
D�faut:ProxyBadHeader IsError
Contexte:configuration du serveur, serveur virtuel
Statut:Extension
Module:mod_proxy

La directive ProxyBadHeader permet de d�terminer le comportement de mod_proxy lorsqu'il re�oit des lignes d'en-t�te de r�ponse dont la syntaxe n'est pas valide (c'est � dire ne contenant pas de caract�re ':') en provenance du serveur original. Les arguments disponibles sont :

IsError
Annule la requ�te et renvoie une r�ponse de code 502 (mauvaise passerelle). C'est le comportement par d�faut.
Ignore
Traite les lignes d'en-t�te incorrectes comme si elles n'avaient pas �t� envoy�es.
StartBody
A la r�ception de la premi�re ligne d'en-t�te incorrecte, les autres en-t�tes sont lus et ce qui reste est trait� en tant que corps. Ceci facilite la prise en compte des serveurs d'arri�re-plan bogu�s qui oublient d'ins�rer une ligne vide entre les en-t�tes et le corps.
top

ProxyBlock Directive

Description:Termes, serveurs ou domaines bloqu�s par le mandataire
Syntaxe:ProxyBlock *|terme|serveur|domaine [terme|serveur|domaine] ...
Contexte:configuration du serveur, serveur virtuel
Statut:Extension
Module:mod_proxy

La directive ProxyBlock permet de sp�cifier une liste de termes, serveurs et/ou domaines, s�par�s par des espaces. Les requ�tes de documents HTTP, HTTPS, FTP vers des sites dont les noms contiennent des termes, noms de serveur ou domaine correspondants seront bloqu�s par le serveur mandataire. La module proxy va aussi tenter de d�terminer les adresses IP des �l�ments de la liste qui peuvent correspondre � des noms d'h�tes au cours du d�marrage, et les mettra en cache � des fins de comparaisons ult�rieures. Ceci peut ralentir le d�marrage du serveur.

Exemple

      ProxyBlock news.example.com auctions.example.com friends.example.com
      

Notez qu'example suffirait aussi pour atteindre ces sites.

Hosts conviendrait aussi s'il �tait r�f�renc� par adresse IP.

Notez aussi que

      ProxyBlock *
    

bloque les connexions vers tous les sites.

top

ProxyDomain Directive

Description:Nom de domaine par d�faut pour les requ�tes mandat�es
Syntaxe:ProxyDomain Domaine
Contexte:configuration du serveur, serveur virtuel
Statut:Extension
Module:mod_proxy

Cette directive n'a d'utilit� que pour les serveurs mandataires Apache httpd au sein d'un Intranet. La directive ProxyDomain permet de sp�cifier le domaine par d�faut auquel le serveur mandataire apache appartient. Si le serveur re�oit une requ�te pour un h�te sans nom de domaine, il va g�n�rer une r�ponse de redirection vers le m�me h�te suffix� par le Domaine sp�cifi�.

Exemple

      ProxyRemote  *  http://firewall.example.com:81
NoProxy .example.com 192.168.112.0/21
ProxyDomain .example.com
top

ProxyErrorOverride Directive

Description:Outrepasser les pages d'erreur pour les contenus mandat�s
Syntaxe:ProxyErrorOverride On|Off
D�faut:ProxyErrorOverride Off
Contexte:configuration du serveur, serveur virtuel, r�pertoire
Statut:Extension
Module:mod_proxy

Cette directive est utile pour les configurations de mandataires inverses, lorsque vous souhaitez que les pages d'erreur envoy�es aux utilisateurs finaux pr�sentent un aspect homog�ne. Elle permet aussi l'inclusion de fichiers (via les SSI de mod_include) pour obtenir le code d'erreur et agir en cons�quence (le comportement par d�faut afficherait la page d'erreur du serveur mandat�, alors que c'est le message d'erreur SSI qui sera affich� si cette directive est � "on").

Cette directive n'affecte pas le traitement des r�ponses informatives (1xx), de type succ�s normal (2xx), ou de redirection (3xx).

top

ProxyIOBufferSize Directive

Description:D�termine la taille du tampon interne de transfert de donn�es
Syntaxe:ProxyIOBufferSize octets
D�faut:ProxyIOBufferSize 8192
Contexte:configuration du serveur, serveur virtuel
Statut:Extension
Module:mod_proxy

La directive ProxyIOBufferSize permet d'ajuster la taille du tampon interne utilis� comme bloc-note pour les transferts de donn�es entre entr�e et sortie. La taille minimale est de 512 octets.

Dans la plupart des cas, il n'y a aucune raison de modifier cette valeur.

Si elle est utilis�e avec AJP, cette directive permet de d�finir la taille maximale du paquet AJP en octets. Si la valeur sp�cifi�e est sup�rieure � 65536, elle est corrig�e et prend la valeur 65536. Si vous ne conservez pas la valeur par d�faut, vous devez aussi modifier l'attribut packetSize de votre connecteur AJP du c�t� de Tomcat ! L'attribut packetSize n'est disponible que dans Tomcat 5.5.20+ et 6.0.2+.

Il n'est normalement pas n�cessaire de modifier la taille maximale du paquet. Des probl�mes ont cependant �t� rapport�s avec la valeur par d�faut lors de l'envoi de certificats ou de cha�nes de certificats.

top

<ProxyMatch> Directive

Description:Conteneur de directives s'appliquant � des ressources mandat�es correspondant � une expression rationnelle
Syntaxe:<ProxyMatch regex> ...</ProxyMatch>
Contexte:configuration du serveur, serveur virtuel
Statut:Extension
Module:mod_proxy

La directive <ProxyMatch> est identique � la directive <Proxy>, � l'exception qu'elle d�finit les URLs auxquelles elle s'applique en utilisant une expression rationnelle.

Voir aussi

top

ProxyMaxForwards Directive

Description:Nombre maximum de mandataires � travers lesquelles une requ�te peut �tre redirig�e
Syntaxe:ProxyMaxForwards nombre
D�faut:ProxyMaxForwards -1
Contexte:configuration du serveur, serveur virtuel
Statut:Extension
Module:mod_proxy
Compatibilit�:Comportement par d�faut modifi� dans 2.2.7

La directive ProxyMaxForwards permet de sp�cifier le nombre maximum de mandataires � travers lesquels une requ�te peut passer dans le cas o� la la requ�te ne contient pas d'en-t�te Max-Forwards. Ceci permet de se pr�munir contre les boucles infinies de mandataires ou contre les attaques de type d�ni de service.

Exemple

      ProxyMaxForwards 15
      

Notez que la d�finition de la directive ProxyMaxForwards constitue une violation du protocole HTTP/1.1 (RFC2616), qui interdit � un mandataire de d�finir Max-Forwards si le client ne l'a pas fait lui-m�me. Les versions pr�c�dentes d'Apache httpd la d�finissaient syst�matiquement. Une valeur n�gative de ProxyMaxForwards, y compris la valeur par d�faut -1, implique un comportement compatible avec le protocole, mais vous expose aux bouclages infinis.

top

ProxyPass Directive

Description:R�f�rencer des serveurs distants depuis l'espace d'URLs du serveur local
Syntaxe:ProxyPass [chemin] !|url [cl�=valeur [cl�=valeur ...]] [nocanon] [interpolate] [noquery]
Contexte:configuration du serveur, serveur virtuel, r�pertoire
Statut:Extension
Module:mod_proxy

Cette directive permet de r�f�rencer des serveurs distants depuis l'espace d'URLs du serveur local ; le serveur local n'agit pas en tant que mandataire au sens conventionnel, mais plut�t comme miroir du serveur distant. Le serveur local est souvent nomm� mandataire inverse ou passerelle. L'argument chemin est le nom d'un chemin virtuel local ; url est une URL partielle pour le serveur distant et ne doit pas contenir de cha�ne d'arguments.

Note : Cette directive ne peut pas �tre utilis�e dans un contexte de niveau r�pertoire.
En g�n�ral, la directive ProxyRequests doit �tre d�finie � off lorsqu'on utilise la directive ProxyPass.

Supposons que le serveur local a pour adresse http://example.com/ ; alors la ligne

<Location /mirror/foo/>
    ProxyPass http://backend.example.com/
</Location>
    

va convertir en interne toute requ�te pour http://example.com/miroir/foo/bar en une requ�te mandat�e pour http://backend.example.com/bar.

La syntaxe alternative suivante est valide, bien qu'elle puisse induire une d�gradation des performances lorsqu'elle est pr�sente en tr�s grand nombre. Elle poss�de l'avantage de permettre un contr�le dynamique via l'interface Balancer Manager :

        ProxyPass /miroir/foo/ http://backend.example.com/
    

Si le premier argument se termine par un slash /, il doit en �tre de m�me pour le second argument et vice versa. Dans le cas contraire, il risque de manquer des slashes n�cessaires dans la requ�te r�sultante vers le serveur d'arri�re-plan et les r�sulats ne seront pas ceux attendus.

Le drapeau ! permet de soustraire un sous-r�pertoire du mandat inverse, comme dans l'exemple suivant :

<Location /mirror/foo/>
    ProxyPass http://backend.example.com/
</Location>
<Location /mirror/foo/i>
    ProxyPass !
</Location>
    
ProxyPass /mirror/foo/i !
ProxyPass /mirror/foo http://backend.example.com
    

va mandater toutes les requ�tes pour /miroir/foo vers backend.example.com, sauf les requ�tes pour /miroir/foo/i.

Ordre de classement des directives ProxyPass

Les directives ProxyPass et ProxyPassMatch sont �valu�es dans l'ordre de leur apparition dans le fichier de configuration. La premi�re r�gle qui correspond s'applique. Vous devez donc en g�n�ral classer les r�gles ProxyPass qui entrent en conflit de l'URL la plus longue � la plus courte. Dans le cas contraire, les r�gles situ�es apr�s une r�gle dont l'URL correspond au d�but de leur propre URL seront ignor�es. Notez que tout ceci est en relation avec le partage de workers. Par contre, on ne peut placer qu'une seule directive ProxyPass dans une section Location, et c'est la section la plus sp�cifique qui l'emportera.

Pour les m�mes raisons, les exclusions doivent se situer avant les directives ProxyPass g�n�rales.

Depuis la version 2.1 du serveur HTTP Apache, mod_proxy supporte les groupements de connexions vers un serveur d'arri�re-plan. Les connexions cr��es � la demande peuvent �tre enregistr�es dans un groupement pour une utilisation ult�rieure. La taille du groupe ainsi que d'autres caract�ristiques peuvent �tre d�finies via la directive ProxyPass au moyen de param�tres cl�=valeur dont la description fait l'objet du tableau ci-dessous.

Par d�faut, mod_proxy permet et met en r�serve le nombre maximum de connexions pouvant �tre utilis�es simultan�ment par le processus enfant concern� du serveur web. Le param�tre max permet de r�duire cette valeur par d�faut. Le param�tre ttl, quant � lui, permet de d�finir une dur�e de vie optionnelle ; les connexions qui n'ont pas �t� utilis�es pendant au moins ttl secondes seront ferm�es. ttl permet aussi d'emp�cher l'utilisation d'une connexion susceptible d'�tre ferm�e suite � une fin de vie de connexion persistante sur le serveur d'arri�re-plan.

Le groupement de connexions est maintenu au niveau de chaque processus enfant du serveur web, et max, ainsi que les autres param�tres, ne font l'objet d'aucune coordination entre les diff�rents processus enfants, sauf si un seul processus enfant est autoris� par la configuration ou la conception du module multi-processus (MPM).

Exemple

        ProxyPass /example http://backend.example.com max=20 ttl=120 retry=300
	
Param�tres de BalancerMember
Param�tre D�faut Description
min 0 Nombre minimum d'entr�es dans le pool de connexions, distinct du nombre de connexions effectif. La valeur par d�faut ne doit �tre modifi�e que dans des circonstances particuli�res o� la m�moire associ�e aux connexions avec le serveur d'arri�re-plan doit �tre pr�allou�e ou r�serv�e dans le tas.
max 1...n Nombre maximum de connexions autoris�es vers le serveur d'arri�re-plan. La valeur par d�faut correspond au nombre de threads par processus pour le MPM (Module Multi Processus) actif. La valeur sera toujours 1 pour le MPM Prefork, alors qu'elle d�pendra de la d�finition de la directive ThreadsPerChild pour les autres MPMs.
smax max Les entr�es du pool de connexions conserv�es au del� de cette limite sont lib�r�es au cours de certaines op�rations si elles n'ont pas �t� utilis�es au cours de leur dur�e de vie, d�finie par le param�tre ttl. Si l'entr�e du pool de connexions est associ�e � une connexion, cette derni�re sera ferm�e. La valeur par d�faut ne doit �tre modifi�e que dans des circonstances particuli�res o� les entr�es du pool de connexions et toutes connexions associ�es qui ont d�pass� leur dur�e de vie doivent �tre lib�r�es ou ferm�es de mani�re plus autoritaire.
acquire - Cette cl� permet de d�finir le d�lai maximum d'attente pour une connexion libre dans le jeu de connexions, en millisecondes. S'il n'y a pas de connexion libre dans le jeu, Apache httpd renverra l'�tat SERVER_BUSY au client.
connectiontimeout timeout D�lai d'attente d'une connexion en secondes. La dur�e en secondes pendant laquelle Apache httpd va attendre pour l'�tablissement d'une connexion vers le serveur d'arri�re-plan. Le d�lai peut �tre sp�cifi� en millisecondes en ajoutant le suffixe ms.
disablereuse Off Vous pouvez utiliser cette cl� pour forcer mod_proxy � fermer imm�diatement une connexion vers le serveur d'arri�re-plan apr�s utilisation, et ainsi d�sactiver le jeu de connexions permanentes vers ce serveur. Ceci peut s'av�rer utile dans des situations o� un pare-feu situ� entre Apache httpd et le serveur d'arri�re-plan (quelque soit le protocole) interrompt des connexions de mani�re silencieuse, ou lorsque le serveur d'arri�re-plan lui-m�me est accessible par rotation de DNS (round-robin DNS). Pour d�sactiver la r�utilisation du jeu de connexions, d�finissez cette cl� � On.
flushpackets off Permet de d�finir si le module mandataire doit vider automatiquement le tampon de sortie apr�s chaque tron�on de donn�es. 'off' signifie que le tampon sera vid� si n�cessaire, 'on' que le tampon sera vid� apr�s chaque envoi d'un tron�on de donn�es, et 'auto' que le tampon sera vid� apr�s un d�lai de 'flushwait' millisecondes si aucune entr�e n'est re�ue. Actuellement, cette cl� n'est support�e que par AJP.
flushwait 10 Le d�lai d'attente pour une entr�e additionnelle, en millisecondes, avant le vidage du tampon en sortie dans le cas o� 'flushpackets' est � 'auto'.
iobuffersize 8192 Permet de d�finir la taille du tampon d'entr�es/sorties du bloc-notes interne. Cette cl� vous permet d'outrepasser la directive ProxyIOBufferSize pour un serveur cible sp�cifique. La valeur doit �tre au minimum 512 ou d�finie � 0 pour la valeur par d�faut du syst�me de 8192.
keepalive Off

Cette cl� doit �tre utilis�e lorsque vous avez un pare-feu entre Apache httpd et le serveur d'arri�re-plan, et si ce dernier tend � interrompre les connexions inactives. Cette cl� va faire en sorte que le syst�me d'exploitation envoie des messages KEEP_ALIVE sur chacune des connexions inactives et ainsi �viter la fermeture de la connexion par le pare-feu. Pour conserver les connexions persistantes, definissez cette propri�t� � On.

La fr�quence de v�rification des connexions TCP persistantes initiale et subs�quentes d�pend de la configuration globale de l'OS, et peut atteindre 2 heures. Pour �tre utile, la fr�quence configur�e dans l'OS doit �tre inf�rieure au seuil utilis� par le pare-feu.

lbset 0 D�finit le groupe de r�partition de charge dont le serveur cible est membre. Le r�partiteur de charge va essayer tous les membres d'un groupe de r�partition de charge de num�ro inf�rieur avant d'essayer ceux dont le groupe poss�de un num�ro sup�rieur.
ping 0 Avec la cl� Ping, le serveur web va "tester" la connexion vers le serveur d'arri�re-plan avant de transmettre la requ�te. Avec AJP, mod_proxy_ajp envoie une requ�te CPING sur la connexion ajp13 (impl�ment� sur Tomcat 3.3.2+, 4.1.28+ et 5.0.13+). Avec HTTP, mod_proxy_http envoie 100-Continue au serveur d'arri�re-plan (seulement avecHTTP/1.1 - pour les serveurs d'arri�re-plan non HTTP/1.1, cette cl� ne produit aucun effet). Dans les deux cas, ce param�tre correspond au d�lai en secondes pour l'attente de la r�ponse. Cette fonctionnalit� a �t� ajout�e pour �viter les probl�mes avec les serveurs d'arri�re-plan bloqu�s ou surcharg�s. Le trafic r�seau peut s'en trouver augment� en fonctionnement normal, ce qui peut poser probl�me, mais peut s'en trouver diminu� dans les cas o� les noeuds de cluster sont arr�t�s ou surcharg�s. Le d�lai peut aussi �tre d�fini en millisecondes en ajoutant le suffixe ms.
receivebuffersize 0 D�finit la taille du tampon r�seau explicite (TCP/IP) pour les connexions mandat�es. Cette cl� vous permet d'outrepasser la directive ProxyReceiveBufferSize pour un serveur cible sp�cifique. Sa valeur doit �tre au minimum 512 ou d�finie � 0 pour la valeur par d�faut du syst�me.
redirect - Route pour la redirection du serveur cible. Cette valeur est en g�n�ral d�finie dynamiquement pour permettre une suppression s�curis�e du noeud du cluster. Si cette cl� est d�finie, toutes les requ�tes sans identifiant de session seront redirig�es vers le membre de groupe de r�partition de charge dont la route correspond � la valeur de la cl�.
retry 60 D�lai entre deux essais du serveur cible du jeu de connexions en secondes. Si le serveur cible du jeu de connexions vers le serveur d'arri�re-plan est dans un �tat d'erreur, Apache httpd ne redirigera pas de requ�te vers ce serveur avant l'expiration du d�lai sp�cifi�. Ceci permet d'arr�ter le serveur d'arri�re-plan pour maintenance, et de le remettre en ligne plus tard. Une valeur de 0 implique de toujours essayer les serveurs cibles dans un �tat d'erreur sans d�lai.
route - La route du serveur cible lorsqu'il est utilis� au sein d'un r�partiteur de charge. La route est une valeur ajout�e � l'identifiant de session.
status - Valeur constitu�e d'une simple lettre et d�finissant l'�tat initial de ce serveur cible.
D: le serveur cible est d�sactiv� et n'accepte aucune requ�te.
S: le serveur cible est arr�t�.
I: le serveur cible est en mode "erreurs ignor�es", et sera toujours consid�r� comme disponible.
H: le serveur cible est en mode d'attente et ne sera utilis� que si aucun autre serveur n'est disponible.
E: le serveur cible est en erreur.
N: le serveur cible est en mode vidage, n'acceptera que les sessions persistantes qui lui appartiennent, et refusera toutes les autres requ�tes.
Une valeur d'�tat peut �tre d�finie (ce qui correspond au comportement par d�faut) en pr�fixant la valeur par '+', ou annul�e en pr�fixant la valeur par '-'. Ainsi, la valeur 'S-E' d�finit l'�tat de ce serveur cible � "arr�t�" et supprime le drapeau "en-erreur".
timeout ProxyTimeout D�lai d'attente de la connexion en secondes. Le nombre de secondes pendant lesquelles Apache httpd attend l'envoi de donn�es vers le serveur d'arri�re-plan.
ttl - Dur�e de vie des connexions inactives et des entr�es du pool de connexions associ�es en secondes. Une fois cette limite atteinte, une connexion ne sera pas r�utilis�e ; elle sera ferm�e apr�s un d�lai variable.

Si l'URL de la directive Proxy d�bute par balancer:// (par exemple: balancer://cluster, toute information relative au chemin est ignor�e), alors un serveur cible virtuel ne communiquant pas r�ellement avec le serveur d'arri�re-plan sera cr��. Celui-ci sera en fait responsable de la gestion de plusieurs serveurs cibles "r�els". Dans ce cas, un jeu de param�tres particuliers s'applique � ce serveur cible virtuel. Voir mod_proxy_balancer pour plus d'informations � propos du fonctionnement du r�partiteur de charge.

Param�tres du r�partiteur
Param�tre D�faut Description
lbmethod byrequests M�thode de r�partition de charge utilis�e. Permet de s�lectionner la m�thode de planification de la r�partition de charge � utiliser. La valeur est soit byrequests, pour effectuer un d�compte de requ�tes pond�r�es, soit bytraffic, pour effectuer une r�partition en fonction du d�compte des octets transmis, soit bybusyness, pour effectuer une r�partition en fonction des requ�tes en attente. La valeur par d�faut est byrequests.
maxattempts 1 de moins que le nombre de workers, ou 1 avec un seul worker Nombre maximum d'�checs avant abandon.
nofailover Off Si ce param�tre est d�fini � On, la session va s'interrompre si le serveur cible est dans un �tat d'erreur ou d�sactiv�. D�finissez ce param�tre � On si le serveur d'arri�re-plan ne supporte pas la r�plication de session.
stickysession - Nom de session persistant du r�partiteur. La valeur est g�n�ralement du style JSESSIONID ou PHPSESSIONID, et d�pend du serveur d'application d'arri�re-plan qui supporte les sessions. Si le serveur d'application d'arri�re-plan utilise des noms diff�rents pour les cookies et les identifiants cod�s d'URL (comme les conteneurs de servlet), s�parez-les par le caract�re '|'. La premi�re partie contient le cookie et la seconde le chemin.
stickysessionsep "." D�finit le caract�re de s�paration dans le cookie de session. Certains serveurs d'application d'arri�re-plan n'utilisent pas le caract�re '.' comme s�parateur. Par exemple le serveur Oracle Weblogic utilise le caract�re '!'. Cette option permet d'attribuer au caract�re de s�paration la valeur appropri�e. Si elle est d�finie � 'Off', aucun caract�re de s�paration n'est utilis�.
scolonpathdelim Off Si ce param�tre est d�fini � On, le caract�re ';' sera utilis� comme s�parateur de chemin de session persistante additionnel. Ceci permet principalement de simuler le comportement de mod_jk lorsqu'on utilise des chemins du style JSESSIONID=6736bcf34;foo=aabfa.
timeout 0 D�lai du r�partiteur en secondes. Si ce param�tre est d�fini, sa valeur correspond � la dur�e maximale d'attente pour un serveur cible libre. Le comportement par d�faut est de ne pas attendre.
failonstatus - Une liste de codes d'�tat HTTP s�par�s par des virgules. Si ce param�tre est pr�sent, le worker se mettra en erreur si le serveur d'arri�re-plan renvoie un des codes d'�tat sp�cifi�s dans la liste. La r�cup�ration du worker s'effectue comme dans le cas des autres erreurs de worker.
failontimeout Off Si ce param�tre est d�fini � "On", un d�lai d'attente d�pass� en entr�e/sortie apr�s envoi d'une requ�te au serveur d'arri�re-plan va mettre le processus en �tat d'erreur. La sortie de cet �tat d'erreur se passe de la m�me fa�on que pour les autres erreurs. Disponible � partir de la version 2.4.5 du serveur HTTP Apache.
nonce <auto> Le nombre � usage unique de protection utilis� dans la page de l'application balancer-manager. Par d�faut, la protection de la page est assur�e par un nombre � usage unique automatique � base d'UUID. Si une valeur est pr�cis�e, elle sera utilis�e comme nombre � usage unique. La valeur None d�sactive la v�rification du nombre � usage unique.

Note

En plus du nombre � usage unique, la page de l'application balancer-manager peut �tre prot�g�e par une ACL.

growth 0 Nombre de membres suppl�mentaires que l'on peut ajouter � ce r�partiteur en plus de ceux d�finis au niveau de la configuration.
forcerecovery On Force la relance imm�diate de tous les membres sans tenir compte de leur param�tre retry dans le cas o� ils sont tous en �tat d'erreur. Il peut cependant arriver qu'un membre d�j� surcharg� entre dans une situation critique si la relance de tous les membres est forc�e sans tenir compte du param�tre retry de chaque membre. Dans ce cas, d�finissez ce param�tre � Off.

Exemple de configuration d'un r�partiteur de charge

ProxyPass /special-area http://special.example.com smax=5 max=10
ProxyPass / balancer://mycluster/ stickysession=JSESSIONID|jsessionid nofailover=On
<Proxy balancer://mycluster>
    BalancerMember ajp://1.2.3.4:8009
    BalancerMember ajp://1.2.3.5:8009 loadfactor=20
    # Less powerful server, don't send as many requests there,
    BalancerMember ajp://1.2.3.6:8009 loadfactor=5
</Proxy>
    

Configuration d'un serveur cible de r�serve qui ne sera utilis� que si aucun autre serveur cible n'est disponible

ProxyPass / balancer://hotcluster/ 
<Proxy balancer://hotcluster>
    BalancerMember ajp://1.2.3.4:8009 loadfactor=1
    BalancerMember ajp://1.2.3.5:8009 loadfactor=2
    # The server below is on hot standby
    BalancerMember ajp://1.2.3.6:8009 status=+H
    ProxySet lbmethod=bytraffic
</Proxy>
    

Normalement, mod_proxy va mettre sous leur forme canonique les URLs trait�es par ProxyPass. Mais ceci peut �tre incompatible avec certains serveurs d'arri�re-plan, et en particulier avec ceux qui utilisent PATH_INFO. Le mot-cl� optionnel nocanon modifie ce comportement et permet de transmettre le chemin d'URL sous sa forme brute au serveur d'arri�re-plan. Notez que ceci peut affecter la s�curit� de votre serveur d'arri�re-plan, car la protection limit�e contre les attaques � base d'URL que fournit le mandataire est alors supprim�e.

Par d�faut, mod_proxy inclut la cha�ne de param�tres lors de la g�n�ration de la variable d'environnement SCRIPT_FILENAME. Le mot-cl� optionnel noquery (disponible � partir de la version 2.4.1) permet d'exclure cette cha�ne.

Lorsque la directive ProxyPass est utilis�e � l'int�rieur d'une section <Location>, le premier argument est omis et le r�pertoire local est obtenu � partir de la section <Location>. Il en sera de m�me dans une section <LocationMatch> ; cependant, ProxyPass n'interpr�te pas les expressions rationnelles, et il sera ici n�cessaire d'utiliser la directive ProxyPassMatch � la place.

Cette directive ne peut pas �tre plac�e dans une section <Directory> ou <Files>.

Si vous avez besoin d'un configuration de mandataire inverse plus souple, reportez-vous � la documentaion de la directive RewriteRule et son drapeau [P].

Le mot-cl� optionnel interpolate (disponible depuis httpd 2.2.9), en combinaison avec la directive ProxyPassInterpolateEnv, permet � ProxyPass d'interpoler les variables d'environnement � l'aide de la syntaxe ${VARNAME}. Notez que de nombreuses variables d'environnement standard d�riv�es de CGI n'existeront pas lorsque l'interpolation se produit ; vous devrez alors encore avoir avoir recours � mod_rewrite pour des r�gles complexes. Notez aussi que l'interpolation n'est pas support�e dans la partie protocole d'une URL. La d�termination dynamique du protocole peut �tre effectu�e � l'aide de mod_rewrite comme dans l'exemple suivant :

RewriteEngine On

RewriteCond %{HTTPS} =off
RewriteRule . - [E=protocol:http]
RewriteCond %{HTTPS} =on
RewriteRule . - [E=protocol:https]

RewriteRule ^/mirror/foo/(.*) %{ENV:protocol}://backend.example.com/$1 [P]
ProxyPassReverse  /mirror/foo/ http://backend.example.com/
ProxyPassReverse  /mirror/foo/ https://backend.example.com/
    
top

ProxyPassInherit Directive

Description:H�ritage des directives ProxyPass d�finies au niveau du serveur principal
Syntaxe:ProxyPassInherit On|Off
D�faut:ProxyPassInherit On
Contexte:configuration du serveur, serveur virtuel
Statut:Extension
Module:mod_proxy
Compatibilit�:Disponible � partir de la version 2.5.0 du serveur HTTP Apache.

Cette directive permet � un serveur virtuel d'h�riter des directives ProxyPass d�finies au niveau du serveur principal. Si vous utilisez la fonctionnalit� de modifications dynamiques du Balancer Manager, cette directive peut causer des probl�mes et des comportements inattendus et doit donc �tre d�sactiv�e.

Les valeurs d�finies au niveau du serveur principal constituent les valeurs par d�faut pour tous les serveurs virtuels.

La d�sactivation de ProxyPassInherit d�sactive aussi la directive BalancerInherit.

top

ProxyPassInterpolateEnv Directive

Description:Active l'interpolation des variables d'environnement dans les configurations de mandataires inverses
Syntaxe:ProxyPassInterpolateEnv On|Off
D�faut:ProxyPassInterpolateEnv Off
Contexte:configuration du serveur, serveur virtuel, r�pertoire
Statut:Extension
Module:mod_proxy
Compatibilit�:Disponible depuis la version 2.2.9 d'Apache

Cette directive, ainsi que l'argument interpolate des directives ProxyPass, ProxyPassReverse, ProxyPassReverseCookieDomain et ProxyPassReverseCookiePath, permet de configurer dynamiquement un mandataire inverse � l'aide de variables d'environnement, ces derni�res pouvant �tre d�finies par un autre module comme mod_rewrite. Elle affecte les directives ProxyPass, ProxyPassReverse, ProxyPassReverseCookieDomain, et ProxyPassReverseCookiePath, en leur indiquant de remplacer la cha�ne ${nom_var} dans les directives de configuration par la valeur de la variable d'environnement nom_var (si l'option interpolate est sp�cifi�e).

Conservez cette directive � off (pour les performances du serveur), sauf si vous en avez r�ellement besoin.

top

ProxyPassMatch Directive

Description:Fait correspondre des serveurs distants dans l'espace d'URL du serveur local en utilisant des expressions rationnelles
Syntaxe:ProxyPassMatch [regex] !|url [cl�=valeur [cl�=valeur ...]]
Contexte:configuration du serveur, serveur virtuel, r�pertoire
Statut:Extension
Module:mod_proxy

Cette directive est identique � la directive ProxyPass, mais fait usage des expressions rationnelles, au lieu d'une simple comparaison de pr�fixes. L'expression rationnelle sp�cifi�e est compar�e � l'url, et si elle correspond, le serveur va substituer toute correspondance entre parenth�ses dans la cha�ne donn�e et l'utiliser comme nouvelle url.

Note : Cette directive ne peut pas �tre utilis�e dans un contexte de niveau r�pertoire.

Supposons que le serveur local a pour adresse http://example.com/ ; alors

      ProxyPassMatch ^(/.*\.gif)$ http://backend.example.com$1
    

va provoquer la conversion interne de la requ�te locale http://example.com/foo/bar.gif en une requ�te mandat�e pour http://backend.example.com/foo/bar.gif.

Note

L'argument URL doit pouvoir �tre interpr�t� en tant qu'URL avant les substitutions d'expressions rationnelles (et doit aussi l'�tre apr�s). Ceci limite les correspondances que vous pouvez utiliser. Par exemple, si l'on avait utilis�

        ProxyPassMatch ^(/.*\.gif)$ http://backend.example.com:8000$1
      

dans l'exemple pr�c�dent, nous aurions provoqu� une erreur de syntaxe au d�marrage du serveur. C'est une bogue (PR 46665 dans ASF bugzilla), et il est possible de la contourner en reformulant la correspondance :

        ProxyPassMatch ^/(.*\.gif)$ http://backend.example.com:8000/$1
      

Le drapeau ! vous permet de ne pas mandater un sous-r�pertoire donn�.

Dans une section <LocationMatch>, le premier argument est omis et l'expression rationnelle est obtenue � partir de la directive <LocationMatch>.

Si vous avez besoin d'une configuration du mandataire inverse plus flexible, voyez la directive RewriteRule avec le drapeau [P].

Avertissement � propos de la s�curit�

Lors de la construction de l'URL cible de la r�gle, il convient de prendre en compte l'impact en mati�re de s�curit� qu'aura le fait de permettre au client d'influencer le jeu d'URLs pour lesquelles votre serveur agira en tant que mandataire. Assurez-vous que la partie protocole://nom-serveur de l'URL soit fixe, ou ne permette pas au client de l'influencer induement.

top

ProxyPassReverse Directive

Description:Ajuste l'URL dans les en-t�tes de la r�ponse HTTP envoy�e par un serveur mandat� en inverse
Syntaxe:ProxyPassReverse [chemin] url [interpolate]
Contexte:configuration du serveur, serveur virtuel, r�pertoire
Statut:Extension
Module:mod_proxy

Cette directive permet de faire en sorte qu'Apache httpd ajuste l'URL dans les en-t�tes Location, Content-Location et URI des r�ponses de redirection HTTP. Ceci est essentiel lorsqu'Apache httpd est utilis� en tant que mandataire inverse (ou passerelle), afin d'�viter de court-circuiter le mandataire inverse suite aux redirections HTTP sur le serveur d'arri�re-plan qui restent derri�re le mandataire inverse.

Seuls les en-t�tes de r�ponse HTTP sp�cialement mentionn�s ci-dessus seront r��crits. Apache httpd ne r��crira ni les autres en-t�tes de r�ponse, ni par d�faut les r�f�rences d'URLs dans les pages HTML. Cela signifie que dans le cas o� un contenu mandat� contient des r�f�rences � des URLs absolues, elles court-circuiteront le mandataire. Pour r��crire un contenu HTML afin qu'il corresponde au mandataire, vous devez charger et activer le module mod_proxy_html.

chemin est le nom d'un chemin virtuel local. url est une URL partielle pour le serveur distant - ils sont utilis�s de la m�me fa�on qu'avec la directive ProxyPass.

Supposons par exemple que le serveur local a pour adresse http://example.com/ ; alors

ProxyPass         /mirror/foo/ http://backend.example.com/
ProxyPassReverse  /mirror/foo/ http://backend.example.com/
ProxyPassReverseCookieDomain  backend.example.com  public.example.com
ProxyPassReverseCookiePath  /  /mirror/foo/
    

ne va pas seulement provoquer la conversion interne d'une requ�te locale pour http://example.com/miroir/foo/bar en une requ�te mandat�e pour http://backend.example.com/bar (la fonctionnalit� fournie par ProxyPass). Il va aussi s'occuper des redirections que le serveur backend.example.com envoie : lorsque http://backend.example.com/bar est redirig� par celui-ci vers http://backend.example.com/quux, Apache httpd corrige ceci en http://example.com/miroir/foo/quux avant de faire suivre la redirection HTTP au client. Notez que le nom d'h�te utilis� pour construire l'URL est choisi en respectant la d�finition de la directive UseCanonicalName.

Notez que la directive ProxyPassReverse peut aussi �tre utilis�e en conjonction avec la fonctionnalit� pass-through (RewriteRule ... [P]) du module mod_rewrite, car elle ne d�pend pas d'une directive ProxyPass correspondante.

Le mot-cl� optionnel interpolate (disponible depuis httpd 2.2.9), utilis� en combinaison avec la directive ProxyPassInterpolateEnv, permet l'interpolation des variables d'environnement sp�cifi�es en utilisant le format ${VARNAME} Notez que l'interpolation n'est pas support�e dans la partie protocole d'une URL.

Lorsque cette directive est utilis�e dans une section <Location>, le premier argument est omis et le r�pertoire local est obtenu � partir de l'argument de la directive <Location>. Il en est de m�me � l'int�rieur d'une section <LocationMatch>, mais le r�sultat ne sera probablement pas celui attendu car ProxyPassReverse va interpr�ter l'expression rationnelle litt�ralement comme un chemin ; si besoin est dans ce cas, d�finissez la directive ProxyPassReverse en dehors de la section, ou dans une section <Location> s�par�e.

Cette directive ne peut pas �tre plac�e dans une section <Directory> ou <Files>.

top

ProxyPassReverseCookieDomain Directive

Description:Ajuste la cha�ne correspondant au domaine dans les en-t�tes Set-Cookie en provenance d'un serveur mandat�
Syntaxe:ProxyPassReverseCookieDomain domaine-interne domaine-public [interpolate]
Contexte:configuration du serveur, serveur virtuel, r�pertoire
Statut:Extension
Module:mod_proxy

L'utilisation de cette directive est similaire � celle de la directive ProxyPassReverse, mais au lieu de r��crire des en-t�tes qui contiennent des URLs, elle r��crit la cha�ne correspondant au domaine dans les en-t�tes Set-Cookie.

top

ProxyPassReverseCookiePath Directive

Description:Ajuste la cha�ne correspondant au chemin dans les en-t�tes Set-Cookie en provenance d'un serveur mandat�
Syntaxe:ProxyPassReverseCookiePath chemin-interne chemin-public [interpolate]
Contexte:configuration du serveur, serveur virtuel, r�pertoire
Statut:Extension
Module:mod_proxy

Cette directive s'av�re utile en conjonction avec la directive ProxyPassReverse dans les situations o� les chemins d'URL d'arri�re-plan correspondent � des chemins publics sur le mandataire inverse. Cette directive permet de r��crire la cha�ne path dans les en-t�tes Set-Cookie. Si le d�but du chemin du cookie correspond � chemin-interne, le chemin du cookie sera remplac� par chemin-public.

Dans l'exemple fourni avec la directive ProxyPassReverse, la directive :

      ProxyPassReverseCookiePath  /  /mirror/foo/
    

va r��crire un cookie poss�dant un chemin d'arri�re-plan / (ou /example ou en fait tout chemin) en /mirror/foo/..

top

ProxyPreserveHost Directive

Description:Utilise l'en-t�te de requ�te entrante Host pour la requ�te du mandataire
Syntaxe:ProxyPreserveHost On|Off
D�faut:ProxyPreserveHost Off
Contexte:configuration du serveur, serveur virtuel, r�pertoire
Statut:Extension
Module:mod_proxy
Compatibilit�:Utilisable dans un contexte de r�pertoire depuis la version 2.3.3.

Lorsqu'elle est activ�e, cette directive va transmettre l'en-t�te Host: de la requ�te entrante vers le serveur mandat�, au lieu du nom d'h�te sp�cifi� par la directive ProxyPass.

Cette directive est habituellement d�finie � Off. Elle est principalement utile dans les configurations particuli�res comme l'h�bergement virtuel mandat� en masse � base de nom, o� l'en-t�te Host d'origine doit �tre �valu� par le serveur d'arri�re-plan.

top

ProxyReceiveBufferSize Directive

Description:Taille du tampon r�seau pour les connexions mandat�es HTTP et FTP
Syntaxe:ProxyReceiveBufferSize octets
D�faut:ProxyReceiveBufferSize 0
Contexte:configuration du serveur, serveur virtuel
Statut:Extension
Module:mod_proxy

La directive ProxyReceiveBufferSize permet de sp�cifier une taille de tampon r�seau explicite (TCP/IP) pour les connexions mandat�es HTTP et FTP, afin d'am�liorer le d�bit de donn�es. Elle doit �tre sup�rieure � 512 ou d�finie � 0 pour indiquer que la taille de tampon par d�faut du syst�me doit �tre utilis�e.

Exemple

      ProxyReceiveBufferSize 2048
      
top

ProxyRemote Directive

Description:Mandataire distant � utiliser pour traiter certaines requ�tes
Syntaxe:ProxyRemote comparaison serveur-distant
Contexte:configuration du serveur, serveur virtuel
Statut:Extension
Module:mod_proxy

Cette directive permet de d�finir des mandataires distants pour ce mandataire. comparaison est soit le nom d'un protocole que supporte le serveur distant, soit une URL partielle pour laquelle le serveur distant devra �tre utilis�, soit * pour indiquer que le serveur distant doit �tre utilis� pour toutes les requ�tes. serveur-distant est une URL partielle correspondant au serveur distant. Syntaxe :

serveur-distant = protocole://nom-serveur[:port]

protocole est effectivement le protocole � utiliser pour communiquer avec le serveur distant ; ce module ne supporte que http et https. Lorsqu'on utilise https, les requ�tes sont redirig�es par le mandataire distant en utilisant la m�thode HTTP CONNECT.

Exemple

ProxyRemote http://goodguys.example.com/ http://mirrorguys.example.com:8000
ProxyRemote * http://cleverproxy.localdomain
ProxyRemote ftp http://ftpproxy.mydomain:8080
    

Dans la derni�re ligne de l'exemple, le mandataire va faire suivre les requ�tes FTP, encapsul�es dans une autre requ�te mandat�e HTTP, vers un autre mandataire capable de les traiter.

Cette directive supporte aussi les configurations de mandataire inverse - un serveur web d'arri�re-plan peut �tre int�gr� dans l'espace d'URL d'un serveur virtuel, m�me si ce serveur est cach� par un autre mandataire direct.

top

ProxyRemoteMatch Directive

Description:Le mandataire distant � utiliser pour traiter les requ�tes correspondant � une expression rationnelle
Syntaxe:ProxyRemoteMatch regex serveur-distant
Contexte:configuration du serveur, serveur virtuel
Statut:Extension
Module:mod_proxy

La directive ProxyRemoteMatch est identique � la directive ProxyRemote, � l'exception du premier argument qui est une expression rationnelle � mettre en correspondance avec l'URL de la requ�te.

top

ProxyRequests Directive

Description:Active la fonctionnalit� (standard) de mandataire direct
Syntaxe:ProxyRequests On|Off
D�faut:ProxyRequests Off
Contexte:configuration du serveur, serveur virtuel
Statut:Extension
Module:mod_proxy

Cette directive permet d'activer/d�sactiver la fonctionnalit� de serveur mandataire direct d'Apache httpd. D�finir ProxyRequests � Off n'interdit pas l'utilisation de la directive ProxyPass.

Pour une configuration typique de mandataire inverse ou passerelle, cette directive doit �tre d�finie � Off.

Afin d'activer la fonctionnalit� de mandataire pour des sites HTTP et/ou FTP, les modules mod_proxy_http et/ou mod_proxy_ftp doivent �galement �tre charg�s dans le serveur.

Pour activer la fonctionnalit� de mandataire sur les sites chiffr�s en HTTPS, le module mod_proxy_connect doit �galement �tre charg� dans le serveur.

Avertissement

N'activez pas la fonctionnalit� de mandataire avec la directive ProxyRequests avant d'avoir s�curis� votre serveur. Les serveurs mandataires ouverts sont dangereux non seulement pour votre r�seau, mais aussi pour l'Internet au sens large.

Voir aussi

top

ProxySet Directive

Description:D�finit diff�rents param�tres relatifs � la r�partition de charge des mandataires et aux membres des groupes de r�partition de charge
Syntaxe:ProxySet url cl�=valeur [cl�=valeur ...]
Contexte:r�pertoire
Statut:Extension
Module:mod_proxy
Compatibilit�:ProxySet n'est disponible que depuis la version 2.2 du serveur HTTP Apache.

Cette directive propose une m�thode alternative pour d�finir tout param�tre relatif aux r�partiteurs de charge et serveurs cibles de mandataires normalement d�finis via la directive ProxyPass. Si elle se trouve dans un conteneur <Proxy url de r�partiteur|url de serveur cible>, l'argument url n'est pas n�cessaire. Comme effet de bord, le r�partiteur ou serveur cible respectif est cr��. Ceci peut s'av�rer utile pour la mise en oeuvre d'un mandataire inverse via une directive RewriteRule au lieu de ProxyPass.

<Proxy balancer://hotcluster>
    BalancerMember http://www2.example.com:8080 loadfactor=1
    BalancerMember http://www3.example.com:8080 loadfactor=2
    ProxySet lbmethod=bytraffic
</Proxy>
      
<Proxy http://backend>
    ProxySet keepalive=On
</Proxy>
    
        ProxySet balancer://foo lbmethod=bytraffic timeout=15
    
        ProxySet ajp://backend:7001 timeout=15
    

Avertissement

Gardez � l'esprit qu'une m�me cl� de param�tre peut avoir diff�rentes significations selon qu'elle s'applique � un r�partiteur ou � un serveur cible, et ceci est illustr� par les deux exemples pr�c�dents o� il est question d'un timeout.

top

ProxySourceAddress Directive

Description:D�finit l'adresse IP locale pour les connexions mandat�es sortantes
Syntaxe:ProxySourceAddress adresse
Contexte:configuration du serveur, serveur virtuel
Statut:Extension
Module:mod_proxy
Compatibilit�:Disponible depuis la version 2.3.9

Cette directive permet de d�finir une adresse IP locale sp�cifique � laquelle faire r�f�rence lors d'une connexion � un serveur d'arri�re-plan.

top

ProxyStatus Directive

Description:Affiche l'�tat du r�partiteur de charge du mandataire dans mod_status
Syntaxe:ProxyStatus Off|On|Full
D�faut:ProxyStatus Off
Contexte:configuration du serveur, serveur virtuel
Statut:Extension
Module:mod_proxy
Compatibilit�:Disponible depuis la version 2.2 d'Apache

Cette directive permet de sp�cifier si les donn�es d'�tat du r�partiteur de charge du mandataire doivent �tre affich�es via la page d'�tat du serveur du module mod_status.

Note

L'argument Full produit le m�me effet que l'argument On.

top

ProxyTimeout Directive

Description:D�lai d'attente r�seau pour les requ�tes mandat�es
Syntaxe:ProxyTimeout secondes
D�faut:Valeur de la directive Timeout
Contexte:configuration du serveur, serveur virtuel
Statut:Extension
Module:mod_proxy

Cette directive permet � l'utilisateur de sp�cifier un d�lai pour les requ�tes mandat�es. Ceci s'av�re utile dans le cas d'un serveur d'applications lent et bogu� qui a tendance � se bloquer, et si vous pr�f�rez simplement renvoyer une erreur timeout et abandonner la connexion en douceur plut�t que d'attendre jusqu'� ce que le serveur veuille bien r�pondre.

top

ProxyVia Directive

Description:Information fournie dans l'en-t�te de r�ponse HTTP Via pour les requ�tes mandat�es
Syntaxe:ProxyVia On|Off|Full|Block
D�faut:ProxyVia Off
Contexte:configuration du serveur, serveur virtuel
Statut:Extension
Module:mod_proxy

Cette directive permet de contr�ler l'utilisation de l'en-t�te HTTP Via: par le mandataire. Le but recherch� est de contr�ler le flux des requ�tes mandat�es tout au long d'une cha�ne de serveurs mandataires. Voir RFC 2616 (HTTP/1.1), section 14.45 pour une description des lignes d'en-t�te Via:.

Langues Disponibles:  en  |  fr  |  ja 

top

Commentaires

Notice:
This is not a Q&A section. Comments placed here should be pointed towards suggestions on improving the documentation or server, and may be removed again by our moderators if they are either implemented or considered invalid/off-topic. Questions on how to manage the Apache HTTP Server should be directed at either our IRC channel, #httpd, on Freenode, or sent to our mailing lists.