0.環境
CentOS 7 + Apache + Jupyter
(詳細なバージョンは覚えていないし,気にしなくてもいいと思います.多分この方法はCentOS 7でインストールできるバージョンで通用すると思う)
1.問題点
普通の場合,Jupyterは特定のポート番号(default 8888)をlistenして,Web BroswerにIP(あるいはドメイン)の後ろにそのポート番号を追加してアクセスするが.Jupyterをインターネットに公開したい場合,なるべくポート番号ではなく,jupyter.xxx.comのようなサブドメインとして公開したい.サブドメインを使うのが一般的ですし,そしてClientが学校,会社などでProxyを通じてインターネットをアクセスしている場合,使えるプロトコルのデフォルトポート以外のポートが制限されている可能性が高い.この場合,そのままポート番号で公開しても,Clientからアクセスできない.
2.解決方法
ApacheのReverseProxy機能を使って,Jupyterへのアクセスを全部Apacheに中継してもらう.こうすればApacheのVirtualHostの機能を使って,Jupyterをサブドメインとして公開できるうえ,Apacheの現存のVirtualHostと共存できる.
3.設定
まず,ApacheがReverseProxyとして他のプロセスと通信できるように,CentOSのSelinux Policyを変える(最初からSelinuxをOFFにした人はpass)
|
1 |
sudo setsebool -P httpd_can_network_connect true |
Jupyterは8888ポートそのままlistenするようにして,jupyter側ではhttpsを設定しない.(Apacheにoff-loadするため)
Apache側のvhost設定
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 |
########################### ## Jupyter Notebook HTTP ## ########################### <VirtualHost *:80> ServerName jupyter.xxx.com ServerAdmin webmaster@xxx.com ErrorLog logs/jupyter-notebook-error.log # Possible values include: debug, info, notice, warn, error, crit, # alert, emerg. LogLevel warn CustomLog logs/jupyter-notebook-access.log combined RewriteEngine On RewriteCond %{HTTPS} off RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301] </VirtualHost> ############################ ## Jupyter Notebook HTTPS ## ############################ <VirtualHost _default_:443> ServerName jupyter.xxx.com ServerAdmin webmaster@xxx.com ProxyRequests Off ProxyPreserveHost On <Location /> ProxyPass http://localhost:8888/ ProxyPassReverse http://localhost:8888/ </Location> <Location /terminals/websocket/> ProxyPass ws://localhost:8888/terminals/websocket/ ProxyPassReverse ws://localhost:8888/terminals/websocket/ </Location> <LocationMatch /(api/kernels/[^/]+/channels.*)> ProxyPass ws://localhost:8888/$1 ProxyPassReverse ws://localhost:8888/$1 </LocationMatch> ErrorLog logs/jupyter-notebook-error.log LogLevel warn CustomLog logs/jupyter-notebook-access.log combined SSLEngine on SSLProtocol all -SSLv3 -TLSv1 SSLHonorCipherOrder on SSLCipherSuite HIGH:MEDIUM:!MD5:!RC4 SSLCertificateFile /etc/letsencrypt/live/xxx.com/fullchain.pem SSLCertificateKeyFile /etc/letsencrypt/live/xxx.com/privkey.pem BrowserMatch "MSIE [2-5]" \ nokeepalive ssl-unclean-shutdown \ downgrade-1.0 force-response-1.0 </VirtualHost> |
この設定ではclient – apache 間の通信をcertbotで取った証明書を使ってHTTPS化し,apache – jupyter 間はHTTP通信を行う.
そして,clientがHTTPでアクセスしてきたらRewriteでHTTPSに強制リダイレクトさせる.JupyterのWeb Contentの取得には普通のHTTPプロトコルを使っているが,Kernelとの通信にHTTPのPostとWebsocket両方,Terminalとの通信にWebsocketを使っているので,Proxy設定は3つのLocationに分けて設定する必要がありました.
あとはfirewallの設定確認して(HTTP, HTTPSのデフォルトポート80, 443の開放),必要に応じてJupyterとApacheの設定を加えれば良いと思います.
設定の具体的な意味などはGoogle先生やApacheの公式Documentを参照すれば良いと思います.
4.参考
[1] Jupyter notebookをApache2によるプロキシ経由のリモートサーバで実行する
(この設定例ではterminalのwebsocketリダイレクト設定がなく,kernelへのリダイレクトをすべてwebsocketとして設定しているので,Jupyterのterminal機能とkernelのstop, restartが使えないことを確認しています)(kennelのstop, restartはwebsocketではなく,http postで実装されている,しかもwebsocketとhttp postのpathが結構混ざっているので,分離してほしいところですね)