Varnish で使われている VCL 言語は C や Java 等の手続き型言語に似ていてプログラマライクですが非プログラマの場合には敷居が高くなってしまうかもしれません。今回は VCL の簡単な説明をします。
まず最初に標準で Varnish に付属される default.vcl を見ておきましょう。長くなるので本記事の一番下に掲載しています。
VCL でバックエンドを定義する
いきなり VCL の特殊な部分ですが、まずバックエンド(リアルな Web サーバ)があります。バックエンドは host 名や IP アドレス、ポートが変わる可能性がある為、別名としてサーバに名前を振ることができるような機能です。またバックエンドの設定も定義可能でタイムアウト等もここで記載します。
backend www1 {
.host = "192.168.1.50";
# www1 サーバの IP アドレス
.port = "80"; # www1 サーバのポート番号
.connect_timeout = 1s; # コネクションに接続するまでのタイムアウト
.first_byte_timeout = 15s; # 最初の byte を取得するまでのタイムアウト
}バックエンドは VCL 内の条件文等で利用可能で例えば以下のように使えます。
sub vcl_recv {
if (client.ip == "222.222.222.xxx"){
# 接続先が 222.222.222.xxx だった時はバックエンドを www1 に切り替える
set req.backend = www1;
}
}VCL で ACL(アクセス制御リスト)を定義する
次に ACL です。以下に例示していますが、ACL を使えば内部ネットワーク(localnet)だったりアクセスを遮断したい IP アドレス等をグループ化しておくことが可能で IP アドレスが変わるごとに VCL プログラムを直接修正しなくていいようになります。この定義は acl と acl の名称を事前に宣言し、IP アドレス/ホストを列挙していくだけになります。
acl localnet {
"localhost"; # ホスト名で指定
"192.168.1.0"/24; # ネットワークで指定
!"192.168.1.40"; # 除外条件
}この ACL は以下のように使えます
sub vcl_recv {
if (client.ip != localnet){
# 内部ネットワーク以外は拒否
error 405 "You do not have permission";
}
}標準で Varnish に付属される default.vcl
以下は Varnish 3.0-1 に付属された default.vcl です。参考にして下さい (実際はコメントアウトを解除して使います)。
# This is a basic VCL configuration file for varnish. See the vcl(7)
# man page for details on VCL syntax and semantics.
#
# Default backend definition. Set this to point to your content
# server.
#
backend default {
.host = "127.0.0.1";
.port = "8080";
}
#
# Below is a commented-out copy of the default VCL logic. If you
# redefine any of these subroutines, the built-in logic will be
# appended to your code.
# sub vcl_recv {
# if (req.restarts == 0) {
# if (req.http.x-forwarded-for) {
# set req.http.X-Forwarded-For =
# req.http.X-Forwarded-For + ", " + client.ip;
# } else {
# set req.http.X-Forwarded-For = client.ip;
# }
# }
# if (req.request != "GET" &&
# req.request != "HEAD" &&
# req.request != "PUT" &&
# req.request != "POST" &&
# req.request != "TRACE" &&
# req.request != "OPTIONS" &&
# req.request != "DELETE") {
# /* Non-RFC2616 or CONNECT which is weird. */
# return (pipe);
# }
# if (req.request != "GET" && req.request != "HEAD") {
# /* We only deal with GET and HEAD by default */
# return (pass);
# }
# if (req.http.Authorization || req.http.Cookie) {
# /* Not cacheable by default */
# return (pass);
# }
# return (lookup);
# }
#
# sub vcl_pipe {
# # Note that only the first request to the backend will have
# # X-Forwarded-For set. If you use X-Forwarded-For and want to
# # have it set for all requests, make sure to have:
# # set bereq.http.connection = "close";
# # here. It is not set by default as it might break some broken web
# # applications, like IIS with NTLM authentication.
# return (pipe);
# }
#
# sub vcl_pass {
# return (pass);
# }
#
# sub vcl_hash {
# hash_data(req.url);
# if (req.http.host) {
# hash_data(req.http.host);
# } else {
# hash_data(server.ip);
# }
# return (hash);
# }
#
# sub vcl_hit {
# return (deliver);
# }
#
# sub vcl_miss {
# return (fetch);
# }
#
# sub vcl_fetch {
# if (beresp.ttl <= 0s ||
# beresp.http.Set-Cookie ||
# beresp.http.Vary == "*") {
# /*
# * Mark as "Hit-For-Pass" for the next 2 minutes
# */
# set beresp.ttl = 120 s;
# return (hit_for_pass);
# }
# return (deliver);
# }
#
# sub vcl_deliver {
# return (deliver);
# }
#
# sub vcl_error {
# set obj.http.Content-Type = "text/html; charset=utf-8";
# set obj.http.Retry-After = "5";
# synthetic {"
# <?xml version="1.0" encoding="utf-8"?>
# <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN"
# "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
# <html>
# <head>
# <title>"} + obj.status + " " + obj.response + {"</title>
# </head>
# <body>
# <h1>Error "} + obj.status + " " + obj.response + {"</h1>
# <p>"} + obj.response + {"</p>
# <h3>Guru Meditation:</h3>
# <p>XID: "} + req.xid + {"</p>
# <hr>
# <p>Varnish cache server</p>
# </body>
# </html>
# "};
# return (deliver);
# }
#
# sub vcl_init {
# return (ok);
# }
#
# sub vcl_fini {
# return (ok);
# }