SquidによるReverse Proxyの構築

1.1 リバースプロキシ (Reverse Proxy)とは？

リバースプロシキキャッシュはWebサーバの加速器(アクセラレータ)として知られており、インターネットとWebサーバの間に入れることで、Webサーバのロードによるビジー状態を削減する方法です。また別の利点としてはセキュリティの強化も可能です。
これらは、複雑にすることなくスケーラビリティを改善する方法を提供します。　リバースプロキシの良い使い方としては、静的・動的の両方のコンテンツを提供するWebサーバの負荷を緩和させることです。　静的なコンテンツはキャッシュにより処理されるため、Webサーバは動的コンテンツの為により多くの処理時間をつかう事ができます。

■リバースプロキシ（アクセラレータ）を経由してサイトを配置する例と効果。

• サーバを増やすことによる経費を削減できます。
• より多くの静的コンテンツのリクエストに対応できます。
• Webサーバはより多くの動的コンテンツに対応できます。
• Webサイトの訪問者により早い応答でコンテンツを提供し、ダウンロード時間を加速します。
• Webサーバの見た目の容易に性能をあげる事ができます。
• Webサーバ単体の障害が発生しても、リクエストを処理することができます。

リバースプロキシを構築するにあたって、基となるサーバのコンテンツはプロキシを考慮して書かれるべきです。すなわちこれらは「キャッシュし易い」ようになっているべきです。もし基となるサーバのコンテンツがキャッシュの事を考慮していないなら、リバースプロキシを最大限に活用することは出来ないでしょう。

リバースプロキシモードでは、SquidプロキシサーバはクライアントにとってWebサーバのように振る舞います。
内部からのプロキシの利用と違い、外部のクライアントがプロキシのための設定をする必要はありません。 プロキシをWebサーバようにアクセスするだけです。　
実際のWebサーバはURLによって経路が決定されます。
プロキシのキャッシュによって、オリジナルサーバや内部ネットワークをファイヤーウォールで守られた背後に置く事で、基となるWebサーバを外部クライアントに晒すことなくコンテンツを送る事ができます。　

このページの目的は、SquidのWebアクセラレータおよびにリバースプロキシの実装について説明する事です。

1.2 Ｓｑｕｉｄとは？

Squidは、Unixシステム上で動作するようにデザインされたオープン・ソースのハイ・パフォーマンス プロキシーです。National Science Foundation（NSF:米国立科学財団）は、Squidプロジェクトに資金を供給しています。　Squidは、たくさんのISPと世界中の会社で利用されています。　Squidほとんどのプロキシ・サーバーがすることができるｌ事よりも遙かに多くをすることが実現できます。

・Squidでのサポート

• HTTP、FTP、と他のURLのプロキシとキャッシング
• SSLのためのプロキシ
• 階層キャッシュ
• ICP, HTCP, CARP, and Cache Digests
• 透過なキャッシング- WCCP
• 広範囲なアクセス・コントロール
• HTTPサーバー加速器（アクセラレータ）
• SNMP
• DNS探索のキャッシング。

ネットワークに構成できるプロキシの3つの機能があります。

■標準的なプロキシキャッシュ

■透過キャッシュ（Transparent Cache）

■リバースプロキシキャッシュ（アクセラレータ）

クライアントブラウザがHTTPをリクエストした時、DNSは実際のWebサーバではなくリバースプロキシを指し示すようにしておく。
リバースプロキシは要求されたアイテムがキャッシュに無いかを確認する。もし本当にキャッシュにない場合には実際のWebサーバに要求を転送し、その内容をダウンロードします。

CGIスクリプトやアクティブサーバページズなどの動的なコンテンツはキャッシュする事ができません。　プロキシは静的なページのコンテンツのみをキャッシュできます。

リバースプロキシにおいてブラウザに返すコンテンツを、オリジナルサーバとするかキャッシュとするかの判断に使われる４つの重要なヘッダータグが存在します。

• Last-Modified: プロキシにページの最終更新日を知らせます。
• Expires: キャッシュからいつ削除するかをプロキシに知らせます。
• Cache-Control: いつプロキシにキャッシュされるべきかを指示します。
• Pragma: プロキシにページをキャッシュすべきかどうかを指示します。

例： デフォルトでアクティブサーバページズが戻すヘッダーには「Cache-control: private.」が付いてきます。　このため、このページはキャッシュされません。

HTTPアクセラレータとしてSquidを機能させるのは、squid.confをほんの少し修正するだけで簡単です。　大抵の場合このファイルはRedHatなどの場合には /etc/squid か /usr/local/etc/squid のどちらかで見つけられる事でしょう。　ソースコードらSquidをコンパイルした場合には、/etc/squid にあると思います。　squid.confを編集するためにrootになった後、以下の項目を修正することで、リバースプロキシ（HTTPアクセラレータ）とることができます。

■ リバースプロキシと別のマシンでWebサーバが動いている場合：

まず、Squidにポート80（通常）でリッスンするように指示する必要があるため、http_portオプションにdefaultsiteオプションを設定して、Squidにこのサイトのアクセラレーターであることを伝えます。

http_port 80 accel defaultsite=your.main.website.name no-vhost

• accel はSquidに、このポートに着信するリクエストをWebサーバーであるかのように処理するよう指示します。
• defaultsite=X は、ドメインXがこれを必要としている事を Squid に指示します。
• no-vhost によって Squid-3.2以降では HTTP/1.1のドメインベースの仮想ホスティングサポートを無効にします。 古いSquidバージョンには、このオプションはありません。

次に、実際のWebサーバーの場所をSquidに指示する必要があります。

そして最後に、他のWeb要求をWebサーバーにプッシュすることなく、サイトへのアクセスを許可するアクセス制御を設定する必要があります。

これでSquidは、リクエストをHTTPサーバーのように処理します。

■ テスト：

リバースプロキシのテストは、本番環境で使用されるSquidが適切に構成された状態で行う必要があります。
しかし、公開DNS設定はそれをプロキシを指してないでしょう。 そのような場合はリクエストするテストマシンの/etc/hostsファイルを変更して、バックエンドWebサーバーではなくsquid のIPにテストリクエストを送信できます。

そのテストで正常に機能するとき、公開DNSを更新してリクエストをバックエンドWebサーバーではなくSquidプロキシに送信することができ、アクセラレータが直ちに開始されます。

尚、SSLを使ったリバースプロキシの構築についてはこちらをご覧ください。