PricingAdd-onSupport ProgramBlog

Proxy Protocol

OvenMediaEngine Enterprise 0.16.6.2-1 버전부터 HAProxy의 The PROXY protocol version 1을 지원합니다.

이 기능을 통해 OvenMediaEngine은 The PROXY protocol을 통해 입력되는 스트림을 처리할 수 있습니다. 이 기능을 활성화 하기 위해서는 다음과 같이 Server.xml에서 <HAProxyProtocol>을 활성화 하십시오.

<Server>
...
  <Modules>
    <!-- Cloudflare를 위한 HAProxyProtocol 기능 활성화, 기본값: false -->
    <HAProxyProtocol>
      <Enable>true</Enable>
    </HAProxyProtocol>
...

Access Control에서 HAProxy Protocol 사용하기

당신은 HAProxy Protocol 위에서 전달되는 Client Address를 Access Control에서 사용할 수 있습니다.

SignedPolicy

SignedPoicyreal_ip 정책이 설정되면 당신은 HAProxy Protocol을 통해 전달되는 Client Address를 검증할 수 있습니다. allow_ip는 직접 연결된 클라이언트의 IP이므로, 접속된 IP가 허용된 프록시 서버의 IP인지 먼저 검사하면 보안성을 더 강화할 수 있습니다.

{
    "url_activate":1399711581,                                    
    "url_expire":1399721581,                                    
    "stream_expire":1399821581,                                    
    "allow_ip":"192.168.100.5/32",
    "real_ip":"111.111.111.111/32"
}

HAProxyProtocol이 활성화 될 경우, SignedPolicy는 The Proxy protocol 을 통해 전달되는 Client Address를 real_ip와 비교하여 검증합니다.

세부 가이드: https://airensoft.gitbook.io/ovenmediaengine/v/dev/access-control/signedpolicy

Admission Webhooks

AdmissionWebhooksreal_ip에 HAProxy Protocol을 통해 전달되는 Client Address가 Control Server에 전달됩니다.

address에는 기존과 동일하게 직접 연결된 클라이언트의 IP가 전달되므로, 그 IP가 허용된 프록시 서버의 IP인지 먼저 검사하면 보안성을 더 강화할 수 있습니다.

HAProxyProtocol이 활성화 될 경우, AdmissionWebhooksreal_ip에 기존의 X-REAL-IPX-FORWARDED-FOR 헤더보다, The Proxy protocol 을 통해 전달되는 Client Address를 가장 높은 우선순위로 셋팅합니다.

세부 가이드: https://airensoft.gitbook.io/ovenmediaengine/v/dev/access-control/admission-webhooks

PreviousCDN Cache ControlNextSEI Insertion

Was this helpful?