Module Apache mod_proxy_ajp

Langues Disponibles: en | fr | ja

Description:	Module de support AJP pour `mod_proxy`
Statut:	Extension
Identificateur de Module:	proxy_ajp_module
Fichier Source:	mod_proxy_ajp.c
Compatibilité:	Disponible à partir de la version 2.1 du serveur HTTP Apache

Sommaire

Ce module nécessite le chargement de mod_proxy. Il fournit le support du Protocole Apache JServ version 1.3 (nommé dans la suite de ce document AJP13).

Pour être en mesure d'exploiter le protocole AJP13, il est donc nécessaire de charger les modules mod_proxy et mod_proxy_ajp.

Avertissement

N'activez pas la fonctionnalité de mandataire avant d'avoir sécurisé votre serveur. Les serveurs mandataires ouverts sont dangereux non seulement pour votre réseau, mais aussi pour l'Internet au sens large.

Directives

Ce module ne fournit aucune directive.

Traitement des bugs

Voir aussi

Utilisation

Ce module permet de mandater en inverse un serveur d'application d'arrière-plan (comme Apache Tomcat) qui utilise le protocole AJP13. Son utilisation est similaire à celle d'un mandataire inverse HTTP, mais s'appuie sur le prefixe ajp:// :

Mandataire inverse simple

ProxyPass "/app" "ajp://backend.example.com:8009/app"

Les options telles que l'option secret de Tomcat (requise par défaut depuis Tomcat 8.5.51 et 9.0.31) peut tout simplement être ajoutée en tant que paramètre séparé à la fin des directives ProxyPass ou BalancerMember. Ce paramètre est disponible à partir de la version 2.4.42 du serveur HTTP Apache :

Mandataire inverse simple avec l'option `secret`

ProxyPass "/app" "ajp://backend.example.com:8009/app" secret=YOUR_AJP_SECRET

On peut aussi configurer un répartiteur de charge :

Mandataire inverse avec répartiteur de charge

<Proxy "balancer://cluster">
    BalancerMember "ajp://app1.example.com:8009" loadfactor=1
    BalancerMember "ajp://app2.example.com:8009" loadfactor=2
    ProxySet lbmethod=bytraffic
</Proxy>
ProxyPass "/app" "balancer://cluster/app"

Notez qu'en général, la directive ProxyPassReverse n'est pas nécessaire. La requête AJP inclut l'en-tête host original fourni au mandataire, et le serveur d'application est sensé générer des en-têtes auto-référençants relatifs à cet hôte ; aucune réécriture n'est donc nécessaire.

La situation la plus courante dans laquelle la directive ProxyPassReverse est nécessaire se rencontre lorsque le chemin de l'URL au niveau du mandataire est différente de celle du serveur d'arrière-plan. Dans ce cas, un en-tête redirect peut être réécrit relativement à l'URL de l'hôte original (et non du serveur d'arrière-plan ajp:// URL) ; par exemple :

Réécriture d'un chemin mandaté

ProxyPass "/apps/foo" "ajp://backend.example.com:8009/foo"
ProxyPassReverse "/apps/foo" "http://www.example.com/foo"

Il est cependant préférable en général de déployer l'application sur le serveur d'arrière-plan avec le même chemin que sur le mandataire.

Variables d'environnement

Les variables d'environnement dont le nom possède le préfixe AJP_ sont transmises au serveur original en tant qu'attributs de requête AJP (le préfixe AJP_ étant supprimé du nom de la clé).

Vue d'ensemble du protocole

Le protocole AJP13 est orienté paquet. Le format binaire a été préféré, probablement pour des raisons de performances, au format texte pourtant plus lisible. Le serveur web communique avec le conteneur de servlets sur une connexion TCP. Pour diminuer la charge induite par le processus de création de socket, le serveur web va tenter d'utiliser des connexions TCP persistantes avec le conteneur de servlets, et de réutiliser les connexions pendant plusieurs cycles requêtes/réponse.

Lorsqu'une connexion a été assignée à une requête particulière, elle ne sera utilisée pour aucune autre jusqu'à ce que le cycle de traitement de la requête se soit terminé. En d'autres termes, il n'y a pas de multiplexage des requêtes sur une connexion. Ceci se traduit par un code beaucoup plus simple à chaque extrémité de la connexion, un nombre plus important de connexions étant cependant ouvertes en même temps.

Lorsque le serveur web a ouvert une connexion vers le conteneur de servlets, celle-ci peut se trouver dans l'un des états suivants :

Idle
Aucune requête n'est traitée sur cette connexion.
Assigned
La connexion fait l'objet d'un traitement de requête.

Lorsqu'une connexion est assignée au traitement d'une requête particulière, les informations de base de cette dernière (comme les en-têtes HTTP, etc...) sont envoyées sur la connexion sous une forme très condensée (par exemple les chaînes courantes sont codées sous forme d'entiers). Vous trouverez des détails sur ce format plus loin dans la structure des paquets de requête. Si la requête possède un corps (content-length > 0), il est envoyé dans un paquet séparé immédiatement après.

A ce moment, le conteneur est probablement prêt à traiter la requête. Au cours de ce traitement, il peut renvoyer les messages suivants au serveur web :

SEND_HEADERS
Renvoie un jeu d'en-têtes au navigateur.
SEND_BODY_CHUNK
Renvoie un tronçon de corps de requête au navigateur.
GET_BODY_CHUNK
Reçoit un autre tronçon de données de la requête si elle n'a pas encore été transmise intégralement. Ce type de transmission est nécessaire car les paquets possèdent une taille maximale fixe, et des quantités quelconques de données peuvent être contenues dans le corps de la requête (pour un chargement de fichier, par exemple). Notez que cela n'a rien à voir avec le transfert HTTP fractionné.
END_RESPONSE
Termine le cycle du traitement de la requête.

Chaque message est associé à un paquet de données formaté différemment. Voir plus loin les structures des paquets de réponses pour plus de détails.

Structure de base des paquets

Ce protocole hérite en partie de XDR, mais il diffère sur de nombreux points (pas d'alignement sur 4 bits, par exemple).

AJP13 utilise les octets selon leur ordre d'arrivée par le réseau pour tous les types de données.

Le protocole comporte quatre types de données : octets, booléens, entiers et chaînes de caractères.

Octet: Un seul octet.
Booléen: Un seul octet, 1 = vrai, 0 = faux. L'utilisation d'autres valeurs non nulles (dans le style C) peut fonctionner dans certains cas, mais pas dans certains autres..
Entier: Un nombre compris entre 0 et 2^16 (32768), stocké sur 2 octets en débutant par l'octet de poids forts.
Chaîne: Une chaîne de taille variable (longueur limitée à 2^16). Elle est codée comme suit : les deux premiers octets représentent la longueur de la chaîne, les octets suivants constituent la chaîne proprement dite (y compris le '\0' final). Notez que la longueur encodée dans les deux premiers octets ne prend pas en compte le '\0' final, de la même manière que strlen. Cela peut prêter à confusion du point de vue de Java qui est surchargé de déclarations d'autoincrémentation étranges destinées à traiter ces terminateurs. Je suppose que le but dans lequel cela a été conçu ainsi était de permettre au code C d'être plus efficace lors de la lecture de chaînes en provenance du conteneur de servlets -- avec le caractère \0 final, le code C peut transmettre des références dans un seul tampon, sans avoir à effectuer de copie. En l'absence du caractère \0 final, le code C doit effectuer une copie afin de pouvoir tenir compte de sa notion de chaîne.

Taille du paquet

Selon la majorité du code, la taille maximale du paquet est de 8 * 1024 bytes (8K). La taille réelle du paquet est encodée dans l'en-tête.

En-têtes de paquet

Les paquets envoyés par le serveur vers le conteneur commencent par 0x1234. Les paquets envoyés par le conteneur vers le serveur commencent par AB (c'est à dire le code ASCII de A suivi du code ASCII de B). Ensuite, vient un entier (codé comme ci-dessus) représentant la longueur des données transmises. Bien que ceci puisse faire croire que la taille maximale des données est de 2^16, le code définit en fait ce maximum à 8K.

Format du paquet (Serveur->Conteneur)
Octet	0	1	2	3	4...(n+3)
Contenu	0x12	0x34	Taille des données (n)		Data

Format du paquet (Conteneur->Serveur)
Octet	0	1	2	3	4...(n+3)
Contenu	A	B	Taille des données (n)		Data

Pour la plupart des paquets, le premier octet de la charge utile encode le type de message, à l'exception des paquets contenant un corps de requête envoyés du serveur vers le conteneur -- ils comportent un en-tête standard (0x1234 suivi de la taille du paquet), mais celui-ci n'est suivi d'aucun préfixe.

Le serveur web peut envoyer les messages suivants au conteneur de servlets :

Code	Type de paquet	Signification
2	Fait suivre la requête	Débute le cycle de traitement de la requête avec les données qui suivent.
7	Arrêt	Le serveur web demande au conteneur de s'arrêter.
8	Ping	Le serveur web demande au conteneur de prendre le contrôle (phase de connexion sécurisée).
10	CPing	Le serveur web demande au conteneur de répondre rapidement avec un CPong.
none	Données	Taille (2 octets) et les données correspondantes.

À des fins de sécurité, le conteneur n'effectuera réellement son Arrêt que si la demande provient de la machine par laquelle il est hébergé.

Le premier paquet Données est envoyé immédiatement après le paquet Faire suivre la requête par le serveur web.

Le conteneur de servlets peut envoyer les types de messages suivants au serveur web :

Code	Type de paquet	Signification
3	Envoi d'un tronçon de corps	Envoi d'un tronçon de corps depuis le conteneur de servlets vers le serveur web (et probablement vers le navigateur).
4	Envoie les en-têtes	Envoi des en-têtes de réponse depuis le conteneur de servlets vers le serveur web (et probablement vers le navigateur).
5	Fin de la réponse	Marque la fin de la réponse (et par conséquent du cycle de traitement de la requête).
6	Réception du tronçon de corps suivant	Réception de la suite des données de la requête si elles n'ont pas encore été entièrement transmises.
9	Réponse CPong	La réponse à une requête CPing

Chacun des messages ci-dessus possède une structure interne différente dont vous trouverez les détails ci-dessous.