Module Apache mod_proxy_ajp

Langues Disponibles: en | fr | ja

Description:	Module de support AJP pour `mod_proxy`
Statut:	Extension
Identificateurï¿½deï¿½Module:	proxy_ajp_module
Fichierï¿½Source:	mod_proxy_ajp.c
Compatibilitï¿½:	Disponible depuis la version 2.1 d'Apache

Sommaire

Ce module nï¿½cessite le chargement de mod_proxy. Il fournit le support du Protocole Apache JServ version 1.3 (nommï¿½ dans la suite de ce document AJP13).

Pour ï¿½tre en mesure d'exploiter le protocole AJP13, il est donc nï¿½cessaire de charger les modules mod_proxy et mod_proxy_ajp.

Avertissement

N'activez pas la fonctionnalitï¿½ de mandataire avant d'avoir sï¿½curisï¿½ votre serveur. Les serveurs mandataires ouverts sont dangereux non seulement pour votre rï¿½seau, mais aussi pour l'Internet au sens large.

Directives

Ce module ne fournit aucune directive.

Voir aussi

Commentaires

Utilisation

Ce module permet de mandater en inverse un serveur d'application d'arriï¿½re-plan (comme Apache Tomcat) qui utilise le protocole AJP13. Son utilisation est similaire ï¿½ celle d'un mandataire inverse HTTP, mais s'appuie sur le prefixe ajp:// :

Mandataire inverse simple

ProxyPass /app ajp://backend.example.com:8009/app

On peut aussi configurer un rï¿½partiteur de charge :

Mandataire inverse avec rï¿½partiteur de charge

<Proxy balancer://cluster>
    BalancerMember ajp://app1.example.com:8009 loadfactor=1
    BalancerMember ajp://app2.example.com:8009 loadfactor=2
    ProxySet lbmethod=bytraffic
</Proxy>
ProxyPass /app balancer://cluster/app

Notez qu'en gï¿½nï¿½ral, la directive ProxyPassReverse n'est pas nï¿½cessaire. La requï¿½te AJP inclut l'en-tï¿½te host original fourni au mandataire, et le serveur d'application est sensï¿½ gï¿½nï¿½rer des en-tï¿½tes auto-rï¿½fï¿½renï¿½ants relatifs ï¿½ cet hï¿½te ; aucune rï¿½ï¿½criture n'est donc nï¿½cessaire.

La situation la plus courante dans laquelle la directive ProxyPassReverse est nï¿½cessaire se rencontre lorsque le chemin de l'URL au niveau du mandataire est diffï¿½rente de celle du serveur d'arriï¿½re-plan. Dans ce cas, un en-tï¿½te redirect peut ï¿½tre rï¿½ï¿½crit relativement ï¿½ l'URL de l'hï¿½te original (et non du serveur d'arriï¿½re-plan ajp:// URL) ; par exemple :

Rï¿½ï¿½criture d'un chemin mandatï¿½

ProxyPass /apps/foo ajp://backend.example.com:8009/foo
ProxyPassReverse /apps/foo http://www.example.com/foo

Il est cependant prï¿½fï¿½rable en gï¿½nï¿½ral de dï¿½ployer l'application sur le serveur d'arriï¿½re-plan avec le mï¿½me chemin que sur le mandataire.

Variables d'environnement

Les variables d'environnement dont le nom possï¿½de le prï¿½fixe AJP_ sont transmises au serveur original en tant qu'attributs de requï¿½te AJP (le prï¿½fixe AJP_ ï¿½tant supprimï¿½ du nom de la clï¿½).

Vue d'ensemble du protocole

Le protocole AJP13 est orientï¿½ paquet. Le format binaire a ï¿½tï¿½ prï¿½fï¿½rï¿½, probablement pour des raisons de performances, au format texte pourtant plus lisible. Le serveur web communique avec le conteneur de servlets sur une connexion TCP. Pour diminuer la charge induite par le processus de crï¿½ation de socket, le serveur web va tenter d'utiliser des connexions TCP persistantes avec le conteneur de servlets, et de rï¿½utiliser les connexions pendant plusieurs cycles requï¿½tes/rï¿½ponse.

Lorsqu'une connexion a ï¿½tï¿½ assignï¿½e ï¿½ une requï¿½te particuliï¿½re, elle ne sera utilisï¿½e pour aucune autre jusqu'ï¿½ ce que le cycle de traitement de la requï¿½te se soit terminï¿½. En d'autres termes, il n'y a pas de multiplexage des requï¿½tes sur une connexion. Ceci se traduit par un code beaucoup plus simple ï¿½ chaque extrï¿½mitï¿½ de la connexion, un nombre plus important de connexions ï¿½tant cependant ouvertes en mï¿½me temps.

Lorsque le serveur web a ouvert une connexion vers le conteneur de servlets, celle-ci peut se trouver dans l'un des ï¿½tats suivants :

Idle
Aucune requï¿½te n'est traitï¿½e sur cette connexion.
Assigned
La connexion fait l'objet d'un traitement de requï¿½te.

Lorsqu'une connexion est assignï¿½e au traitement d'une requï¿½te particuliï¿½re, les informations de base de cette derniï¿½re (comme les en-tï¿½tes HTTP, etc...) sont envoyï¿½es sur la connexion sous une forme trï¿½s condensï¿½e (par exemple les chaï¿½nes courantes sont codï¿½es sous forme d'entiers). Vous trouverez des dï¿½tails sur ce format plus loin dans la structure des paquets de requï¿½te. Si la requï¿½te possï¿½de un corps (content-length > 0), il est envoyï¿½ dans un paquet sï¿½parï¿½ immï¿½diatement aprï¿½s.

A ce moment, le conteneur est probablement prï¿½t ï¿½ traiter la requï¿½te. Au cours de ce traitement, il peut renvoyer les messages suivants au serveur web :

SEND_HEADERS
Renvoie un jeu d'en-tï¿½tes au navigateur.
SEND_BODY_CHUNK
Renvoie un tronï¿½on de corps de requï¿½te au navigateur.
GET_BODY_CHUNK
Reï¿½oit un autre tronï¿½on de donnï¿½es de la requï¿½te si elle n'a pas encore ï¿½tï¿½ transmise intï¿½gralement. Ce type de transmission est nï¿½cessaire car les paquets possï¿½dent une taille maximale fixe, et des quantitï¿½s quelconques de donnï¿½es peuvent ï¿½tre contenues dans le corps de la requï¿½te (pour un chargement de fichier, par exemple). Notez que cela n'a rien ï¿½ voir avec le transfert HTTP fractionnï¿½.
END_RESPONSE
Termine le cycle du traitement de la requï¿½te.

Chaque message est associï¿½ ï¿½ un paquet de donnï¿½es formatï¿½ diffï¿½remment. Voir plus loin les structures des paquets de rï¿½ponses pour plus de dï¿½tails.

Structure de base des paquets

Ce protocole hï¿½rite en partie de XDR, mais il diffï¿½re sur de nombreux points (pas d'alignement sur 4 bits, par exemple).

Ordre des octets : je ne suis pas sï¿½r du type endian des octets individuels. Je suppose qu'ils sont de type little-endian, car cela correspond ï¿½ la spï¿½cification XDR, et je suppose aussi que la bibliothï¿½que sys/socket fonctionne ainsi automatiquement (du point de vue du langage C). Il serait souhaitable que quelqu'un possï¿½dant une meilleure connaissance des appels socket puisse prendre le relai.

Le protocole comporte quatre types de donnï¿½es : octets, boolï¿½ens, entiers et chaï¿½nes de caractï¿½res.

Octet: Un seul octet.
Boolï¿½en: Un seul octet, 1 = vrai, 0 = faux. L'utilisation d'autres valeurs non nulles (dans le style C) peut fonctionner dans certains cas, mais pas dans certains autres..
Entier: Un nombre compris entre 0 et 2^16 (32768), stockï¿½ sur 2 octets en dï¿½butant par l'octet de poids forts.
Chaï¿½ne: Une chaï¿½ne de taille variable (longueur limitï¿½e ï¿½ 2^16). Elle est codï¿½e comme suit : les deux premiers octets reprï¿½sentent la longueur de la chaï¿½ne, les octets suivants constituent la chaï¿½ne proprement dite (y compris le '\0' final). Notez que la longueur encodï¿½e dans les deux premiers octets ne prend pas en compte le '\0' final, de la mï¿½me maniï¿½re que strlen. Cela peut prï¿½ter ï¿½ confusion du point de vue de Java qui est surchargï¿½ de dï¿½clarations d'autoincrï¿½mentation ï¿½tranges destinï¿½es ï¿½ traiter ces terminateurs. Je suppose que le but dans lequel cela a ï¿½tï¿½ conï¿½u ainsi ï¿½tait de permettre au code C d'ï¿½tre plus efficace lors de la lecture de chaï¿½nes en provenance du conteneur de servlets -- avec le caractï¿½re \0 final, le code C peut transmettre des rï¿½fï¿½rences dans un seul tampon, sans avoir ï¿½ effectuer de copie. En l'absence du caractï¿½re \0 final, le code C doit effectuer une copie afin de pouvoir tenir compte de sa notion de chaï¿½ne.

Taille du paquet

Selon la majoritï¿½ du code, la taille maximale du paquet est de 8 * 1024 bytes (8K). La taille rï¿½elle du paquet est encodï¿½e dans l'en-tï¿½te.

En-tï¿½tes de paquet

Les paquets envoyï¿½s par le serveur vers le conteneur commencent par 0x1234. Les paquets envoyï¿½s par le conteneur vers le serveur commencent par AB (c'est ï¿½ dire le code ASCII de A suivi du code ASCII de B). Ensuite, vient un entier (codï¿½ comme ci-dessus) reprï¿½sentant la longueur des donnï¿½es transmises. Bien que ceci puisse faire croire que la taille maximale des donnï¿½es est de 2^16, le code dï¿½finit en fait ce maximum ï¿½ 8K.

Format du paquet (Serveur->Conteneur)
Octet	0	1	2	3	4...(n+3)
Contenu	0x12	0x34	Taille des donnï¿½es (n)		Data

Format du paquet (Conteneur->Serveur)
Octet	0	1	2	3	4...(n+3)
Contenu	A	B	Taille des donnï¿½es (n)		Data

Pour la plupart des paquets, le premier octet de la charge utile encode le type de message, ï¿½ l'exception des paquets contenant un corps de requï¿½te envoyï¿½s du serveur vers le conteneur -- ils comportent un en-tï¿½te standard (0x1234 suivi de la taille du paquet), mais celui-ci n'est suivi d'aucun prï¿½fixe.

Le serveur web peut envoyer les messages suivants au conteneur de servlets :

Code	Type de paquet	Signification
2	Fait suivre la requï¿½te	Dï¿½bute le cycle de traitement de la requï¿½te avec les donnï¿½es qui suivent.
7	Arrï¿½t	Le serveur web demande au conteneur de s'arrï¿½ter.
8	Ping	Le serveur web demande au conteneur de prendre le contrï¿½le (phase de connexion sï¿½curisï¿½e).
10	CPing	Le serveur web demande au conteneur de rï¿½pondre rapidement avec un CPong.
none	Donnï¿½es	Taille (2 octets) et les donnï¿½es correspondantes.

ï¿½ des fins de sï¿½curitï¿½, le conteneur n'effectuera rï¿½ellement son Arrï¿½t que si la demande provient de la machine par laquelle il est hï¿½bergï¿½.

Le premier paquet Donnï¿½es est envoyï¿½ immï¿½diatement aprï¿½s le paquet Faire suivre la requï¿½te par le serveur web.

Le conteneur de servlets peut envoyer les types de messages suivants au serveur web :

Code	Type de paquet	Signification
3	Envoi d'un tronï¿½on de corps	Envoi d'un tronï¿½on de corps depuis le conteneur de servlets vers le serveur web (et probablement vers le navigateur).
4	Envoie les en-tï¿½tes	Envoi des en-tï¿½tes de rï¿½ponse depuis le conteneur de servlets vers le serveur web (et probablement vers le navigateur).
5	Fin de la rï¿½ponse	Marque la fin de la rï¿½ponse (et par consï¿½quent du cycle de traitement de la requï¿½te).
6	Rï¿½ception du tronï¿½on de corps suivant	Rï¿½ception de la suite des donnï¿½es de la requï¿½te si elles n'ont pas encore ï¿½tï¿½ entiï¿½rement transmises.
9	Rï¿½ponse CPong	La rï¿½ponse ï¿½ une requï¿½te CPing

Chacun des messages ci-dessus possï¿½de une structure interne diffï¿½rente dont vous trouverez les dï¿½tails ci-dessous.

Structure des paquets de requï¿½te

Pour les messages de type Faire suivre la requï¿½te depuis le serveur vers le conteneur :

AJP13_FORWARD_REQUEST :=
    prefix_code      (byte) 0x02 = JK_AJP13_FORWARD_REQUEST
    method           (byte)
    protocol         (string)
    req_uri          (string)
    remote_addr      (string)
    remote_host      (string)
    server_name      (string)
    server_port      (integer)
    is_ssl           (boolean)
    num_headers      (integer)
    request_headers *(req_header_name req_header_value)
    attributes      *(attribut_name attribute_value)
    request_terminator (byte) OxFF

Les request_headers possï¿½dent la structure suivante :

req_header_name :=
    sc_req_header_name | (string)  [voir ci-dessous pour la maniï¿½re dont
    ceci est interprï¿½tï¿½]

sc_req_header_name := 0xA0xx (integer)

req_header_value := (string)

Les attributes sont optionnels et possï¿½dent la structure suivante :

attribute_name := sc_a_name | (sc_a_req_attribute string)

attribute_value := (string)

Un des en-tï¿½tes les plus importants est content-length, car il indique si le conteneur doit ou non attendre un autre paquet immï¿½diatement.

Description dï¿½taillï¿½e de la requï¿½te que le serveur fait suivre vers le conteneur

Prï¿½fixe de la requï¿½te

Pour toutes les requï¿½tes, ce prï¿½fixe est 2. Voir ci-dessus pour les dï¿½tails des autres codes de prï¿½fixes.

Mï¿½thode

La mï¿½thode HTTP, encodï¿½e sous la forme d'un seul octet :

Nom commande	Code
OPTIONS	1
GET	2
HEAD	3
POST	4
PUT	5
DELETE	6
TRACE	7
PROPFIND	8
PROPPATCH	9
MKCOL	10
COPY	11
MOVE	12
LOCK	13
UNLOCK	14
ACL	15
REPORT	16
VERSION-CONTROL	17
CHECKIN	18
CHECKOUT	19
UNCHECKOUT	20
SEARCH	21
MKWORKSPACE	22
UPDATE	23
LABEL	24
MERGE	25
BASELINE_CONTROL	26
MKACTIVITY	27

Les versions futures d'ajp13 pourront transmettre des mï¿½thodes supplï¿½mentaires, mï¿½me si elles ne font pas partie de cette liste.

protocol, req_uri, remote_addr, remote_host, server_name, server_port, is_ssl

Les significations de ces ï¿½lï¿½ments sont triviales. Ils sont tous obligatoires et seront envoyï¿½s avec chaque requï¿½te.

En-tï¿½tes

La structure de request_headers est la suivante : tout d'abord, le nombre d'en-tï¿½tes num_headers est encodï¿½, suivi d'une liste de paires nom d'en-tï¿½te req_header_name / valeur req_header_value. Les noms d'en-tï¿½tes courants sont codï¿½s sous forme d'entiers afin de gagner de la place. Si le nom d'en-tï¿½te ne fait partie de la liste des en-tï¿½tes courants, il est encodï¿½ normalement (une chaï¿½ne de caractï¿½res prï¿½fixï¿½e par la taille). La liste des en-tï¿½tes courants sc_req_header_name avec leurs codes se prï¿½sente comme suit (il sont tous sensibles ï¿½ la casse) :

Nom	Valeur du code	Nom du code
accept	0xA001	SC_REQ_ACCEPT
accept-charset	0xA002	SC_REQ_ACCEPT_CHARSET
accept-encoding	0xA003	SC_REQ_ACCEPT_ENCODING
accept-language	0xA004	SC_REQ_ACCEPT_LANGUAGE
authorization	0xA005	SC_REQ_AUTHORIZATION
connection	0xA006	SC_REQ_CONNECTION
content-type	0xA007	SC_REQ_CONTENT_TYPE
content-length	0xA008	SC_REQ_CONTENT_LENGTH
cookie	0xA009	SC_REQ_COOKIE
cookie2	0xA00A	SC_REQ_COOKIE2
host	0xA00B	SC_REQ_HOST
pragma	0xA00C	SC_REQ_PRAGMA
referer	0xA00D	SC_REQ_REFERER
user-agent	0xA00E	SC_REQ_USER_AGENT

Le code Java qui lit ceci extrait l'entier reprï¿½sentï¿½ par les deux premiers octets, et si le premier octet est '0xA0', il utilise l'entier reprï¿½sentï¿½ par le deuxiï¿½me octet comme index d'un tableau de noms d'en-tï¿½tes. Si le premier octet n'est pas 0xA0, l'entier reprï¿½sentï¿½ par les deux octets est considï¿½rï¿½ comme la longueur d'une chaï¿½ne qui est alors lue.

Ceci ne peut fonctionner que si aucun nom d'en-tï¿½te ne possï¿½de une taille supï¿½rieure ï¿½ 0x9FFF (==0xA000 - 1), ce qui est vraisemblable, bien qu'un peu arbitraire.

Note:

L'en-tï¿½te content-length est extrï¿½mement important. S'il est prï¿½sent et non nul, le conteneur considï¿½re que la requï¿½te possï¿½de un corps (une requï¿½te POST, par exemple), et lit immï¿½diatement le paquet suivant dans le flux d'entrï¿½e pour extraire ce corps.

Attributs

Les attributs prï¿½fixï¿½s par ? (par exemple ?context) sont tous optionnels. Chacun d'eux est reprï¿½sentï¿½ par un octet correspondant au type de l'attribut et par sa valeur (chaï¿½ne ou entier). Ils peuvent ï¿½tre envoyï¿½s dans un ordre quelconque (bien que le code C les envoie dans l'ordre ci-dessous). Un code de terminaison spï¿½cial est envoyï¿½ pour signaler la fin de la liste des attributs optionnels. La liste des codes est la suivante :

Information	Valeur code	Type de valeur	Note
?context	0x01	-	Non implï¿½mentï¿½ actuellement
?servlet_path	0x02	-	Non implï¿½mentï¿½ actuellement
?remote_user	0x03	String
?auth_type	0x04	String
?query_string	0x05	String
?jvm_route	0x06	String
?ssl_cert	0x07	String
?ssl_cipher	0x08	String
?ssl_session	0x09	String
?req_attribute	0x0A	String	Nom (le nom de l'attribut vient ensuite)
?ssl_key_size	0x0B	Integer
are_done	0xFF	-	request_terminator

context et servlet_path ne sont pas dï¿½finis actuellement par le code C, et la majoritï¿½ du code Java ignore complï¿½tement ce qui est envoyï¿½ par l'intermï¿½diaire de ces champs (il va mï¿½me parfois s'interrompre si une chaï¿½ne est envoyï¿½e aprï¿½s un de ces codes). Je ne sais pas si c'est une bogue ou une fonctionnalitï¿½ non implï¿½mentï¿½e, ou tout simplement du code obsolï¿½te, mais en tout cas, il n'est pris en charge par aucune des deux extrï¿½mitï¿½s de la connexion.

remote_user et auth_type concernent probablement l'authentification au niveau HTTP, et contiennent le nom de l'utilisateur distant ainsi que le type d'authentification utilisï¿½e pour ï¿½tablir son identitï¿½ (ï¿½ savoir Basic, Digest).

query_string, ssl_cert, ssl_cipher et ssl_session contiennent les ï¿½lï¿½ments HTTP et HTTPS correspondants.

jvm_route est utilisï¿½ dans le cadre des sessions persistantes, en associant une session utilisateur ï¿½ une instance Tomcat particuliï¿½re en prï¿½sence de plusieurs rï¿½partiteurs de charge.

Au delï¿½ de cette liste de base, tout autre attribut supplï¿½mentaire peut ï¿½tre envoyï¿½ via le code req_attribute 0x0A. Une paire de chaï¿½nes reprï¿½sentant le nom et la valeur de l'attribut est envoyï¿½e immï¿½diatement aprï¿½s chaque instance de ce code. Les variables d'environnement sont transmises par cette mï¿½thode.

Enfin, lorsque tous les attributs ont ï¿½tï¿½ transmis, le terminateur d'attributs, 0xFF, est envoyï¿½. Ce dernier indique ï¿½ la fois la fin de la liste d'attributs et la fin du paquet de la requï¿½te

Structure du paquet de la rï¿½ponse

Pour les messages que le conteneur peut renvoyer au serveur.

AJP13_SEND_BODY_CHUNK :=
  prefix_code   3
  chunk_length  (integer)
  chunk        *(byte)
  chunk_terminator (byte) Ox00


AJP13_SEND_HEADERS :=
  prefix_code       4
  http_status_code  (integer)
  http_status_msg   (string)
  num_headers       (integer)
  response_headers *(res_header_name header_value)

res_header_name :=
    sc_res_header_name | (string)   [voir ci-dessous pour la maniï¿½re
    dont ceci est interprï¿½tï¿½]

sc_res_header_name := 0xA0 (byte)

header_value := (string)

AJP13_END_RESPONSE :=
  prefix_code       5
  reuse             (boolean)


AJP13_GET_BODY_CHUNK :=
  prefix_code       6
  requested_length  (integer)

Dï¿½tails:

Envoi d'un tronï¿½on de corps

Le tronï¿½on se compose essentiellement de donnï¿½es binaires et est renvoyï¿½ directement au navigateur.

Envoi des en-tï¿½tes

Les code et message d'ï¿½tat correspondent aux code et message HTTP habituels (par exemple 200 et OK). Les noms d'en-tï¿½tes de rï¿½ponses sont codï¿½s de la mï¿½me faï¿½on que les noms d'en-tï¿½tes de requï¿½tes. Voir ci-dessus le codage des en-tï¿½tes pour plus de dï¿½tails ï¿½ propos de la maniï¿½re dont les codes se distinguent des chaï¿½nes.
Les codes des en-tï¿½tes courants sont ::

Nom	Valeur code
Content-Type	0xA001
Content-Language	0xA002
Content-Length	0xA003
Date	0xA004
Last-Modified	0xA005
Location	0xA006
Set-Cookie	0xA007
Set-Cookie2	0xA008
Servlet-Engine	0xA009
Status	0xA00A
WWW-Authenticate	0xA00B

La valeur de l'en-tï¿½te est codï¿½e immï¿½diatement aprï¿½s le code ou la chaï¿½ne du nom d'en-tï¿½te.

Fin de la rï¿½ponse

Signale la fin de ce cycle de traitement de requï¿½te. Si le drapeau reuse est ï¿½ true (==1), cette connexion TCP peut ï¿½tre rï¿½utilisï¿½e pour traiter de nouvelles requï¿½tes entrantes. Si reuse est ï¿½ false (toute autre valeur que 1 dans le vï¿½ritable code C), la connexion sera fermï¿½e.

Rï¿½ception d'un tronï¿½on de corps

Le conteneur rï¿½clame la suite des donnï¿½es de la requï¿½te (dans le cas oï¿½ la taille du corps ï¿½tait trop importante pour pouvoir ï¿½tre contenue dans le premier paquet envoyï¿½, oï¿½ lorsque la requï¿½te est fractionnï¿½e). Le serveur va alors envoyer un paquet contenant une quantitï¿½ de donnï¿½es correspondant au minimum de la request_length, la taille maximale de corps envoyï¿½e (8186 (8 Koctets - 6)), et le nombre rï¿½el d'octets restants ï¿½ envoyer pour ce corps de requï¿½te.
S'il ne reste plus de donnï¿½es ï¿½ transmettre pour ce corps de requï¿½te (c'est ï¿½ dire si le conteneur de servlets tente de lire au delï¿½ de la fin du corps), le serveur va renvoyer un paquet vide dont la charge utile est de longueur 0 et se prï¿½sentant sous la forme (0x12,0x34,0x00,0x00).