kaffa/obsidian
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
Files
f012c9c6fd8f3769098579d5b8c3c6c7d4be0476
obsidian/services/searxng.md
kappa 0d0bab5657 searxng: add Gateway API routing info
2026-03-21 23:10:05 +09:00

134 lines
5.2 KiB
Markdown
Raw Blame History

---
title: SearXNG 검색 엔진
updated: 2026-03-21
tags: [search, proxy, google]
---
## 개요
SearXNG 메타 검색 엔진. K3s 클러스터(searxng 네임스페이스)에 Helm으로 배포.
- URL: https://searxng.inouter.com/
- Helm chart: `searxng/searxng`
- 설정 repo: `gitea.anvil.it.com/kaffa/k3s-config``searxng/`
- Values: `searxng/values.yaml`
- 라우팅: [[gateway-api|Gateway API]] HTTPRoute (Ingress 사용 안 함)
## 라우팅 (Gateway API)
HTTPRoute로 외부 노출. [[gateway-api]] 참조.
- Gateway: `traefik-gateway` (kube-system)
- Host: `searxng.inouter.com`
- Backend: `searxng:8080`
- TLS: Gateway 레벨에서 종료 (`wildcard-inouter-com-tls`)
- Helm values에서 `ingress.main.enabled: false` (Ingress 비활성)
## Google 차단 우회 (tlsproxy)
Google이 SearXNG의 요청을 차단하는 두 가지 메커니즘:
1. **TLS fingerprint** — Python httpx의 TLS ClientHello가 봇으로 인식됨
2. **GSA User-Agent** — SearXNG가 사용하는 Google Search App UA가 특정 IP에서 차단됨
### tlsproxy
Go + [[https://github.com/refraction-networking/utls|utls]] 기반 MITM forward proxy. HTTP CONNECT 프록시로 동작하며, Google 도메인에 대해 Chrome TLS fingerprint로 연결을 중계함.
- 소스: sandbox-tokyo `/tmp/tlsproxy/` (TODO: Gitea repo로 이관)
- Docker 이미지: `tlsproxy:latest` (각 서버에서 로컬 빌드)
- 포트: 8443
- CA 인증서: `/opt/tlsproxy/ca.crt` (10년 유효, 서버 간 공유 필요)
동작 방식:
1. SearXNG → HTTP CONNECT → tlsproxy
2. tlsproxy가 Google에 Chrome TLS fingerprint(utls `HelloChrome_Auto`, ALPN http/1.1)로 연결
3. 클라이언트에게 자체 CA로 서명한 인증서 제시
4. 양방향 relay
### 배포 현황
| 서버 | 상태 | GSA UA | 비고 |
|------|------|--------|------|
| sandbox-tokyo (100.79.87.48:8443) | **운영 중** | 200 | 현재 SearXNG가 사용 중 |
| apisix-osaka (100.108.39.107:8443) | 대기 | 403 | IP 차단됨, IPv4 전용(`tcp4`) |
| relay4wd | 미배포 | 403 | IP 차단됨 |
| incus-jp1 | 미배포 | 403 | IP 차단됨 |
### SearXNG 설정
`outgoing.networks``google_proxy` 네트워크를 정의하고, Google 엔진에서 `network: google_proxy`로 참조.
```yaml
outgoing:
networks:
google_proxy:
enable_http2: false
verify: /etc/ssl/custom/ca-certificates.crt
proxies: http://100.79.87.48:8443
engines:
- name: google
engine: google
network: google_proxy
```
### CA 인증서 주입
Helm chart가 `extraVolumes`를 지원하지 않아 `kubectl patch`로 적용. **helm upgrade 시 재적용 필요.**
```bash
# CA 번들 Secret (시스템 CA + tlsproxy CA)
kubectl get secret searxng-ca-bundle -n searxng
# Deployment 패치 (helm upgrade 후 재실행)
kubectl patch deployment searxng -n searxng --type=json -p='[
{"op":"add","path":"/spec/template/spec/volumes/-","value":{"name":"ca-bundle","secret":{"secretName":"searxng-ca-bundle"}}},
{"op":"add","path":"/spec/template/spec/containers/0/volumeMounts/-","value":{"name":"ca-bundle","mountPath":"/etc/ssl/custom/ca-certificates.crt","subPath":"ca-certificates.crt","readOnly":true}},
{"op":"add","path":"/spec/template/spec/containers/0/env/-","value":{"name":"SSL_CERT_FILE","value":"/etc/ssl/custom/ca-certificates.crt"}},
{"op":"add","path":"/spec/template/spec/containers/0/env/-","value":{"name":"REQUESTS_CA_BUNDLE","value":"/etc/ssl/custom/ca-certificates.crt"}}
]'
```
### IP 차단 상태 확인 방법
서버에서 GSA UA로 Google 검색을 요청하여 확인:
```bash
curl -4 -s -o /dev/null -w '%{http_code}' --max-time 10 \
-H "User-Agent: Mozilla/5.0 (iPhone; CPU iPhone OS 17_7_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) GSA/406.0.862495628 Mobile/15E148 Safari/604.1" \
"https://www.google.com/search?q=test&hl=en-US"
# 200 = OK, 403 = 차단됨
```
### 주의사항
- **GSA UA 필수**: SearXNG Google 엔진 파서가 GSA 응답 형식에 의존. Chrome UA로 바꾸면 파싱 실패 (결과 0)
- **프록시 round-robin 불가**: SearXNG의 `proxies`를 dict(list) 형태로 넣으면 프록시를 무시하는 버그 있음. 단일 문자열만 동작
- **CA 번들 패치 영속성**: helm upgrade 시 volume mount/env 패치가 사라짐. upgrade 후 반드시 `kubectl patch` 재실행
- **새 프록시 서버 추가 시**: CA 키를 공유(`/opt/tlsproxy/ca.crt`, `ca.key`)하고, K8s Secret의 CA 번들도 갱신 필요
## 기타 프록시 (SOCKS5)
이전에 Google 우회 목적으로 배포했으나, TLS fingerprint 문제로 Google에는 무효. 다른 엔진이나 용도로는 사용 가능.
| 서버 | 포트 | 타입 |
|------|------|------|
| sandbox-tokyo | 1080 | Docker microsocks (IPv4) |
| relay4wd | 1080 | Docker microsocks |
| incus-jp1 socks5-proxy | 1080 | Incus 컨테이너 microsocks |
| apisix-osaka | 1081, 1082 | Docker microsocks (IPv6 `1d00::1`, `1d01::1`) |
## Helm 업그레이드 절차
```bash
# 1. Helm upgrade
helm upgrade searxng searxng/searxng -n searxng -f ~/path/to/values.yaml
# 2. CA 번들 패치 재적용 (위 kubectl patch 명령)
# 3. 검증
kubectl exec -n searxng deploy/searxng -- wget -qO- \
"http://localhost:8080/search?q=test&format=json&engines=google" | \
python3 -c "import sys,json; d=json.load(sys.stdin); print(len(d['results']), 'results')"
```
Reference in New Issue View Git Blame Copy Permalink