Как правильно настроить nginx?

Question

[Drno]

Есть nginx,обслуживает 80 и 443 порты, пара доменов, всё ок

Есть приложение докер. Работает на 8080:80. Доступно по адресу app.mysite.ru:8080
Есть желание закрыть его reverse-proxy заодно вкорячить SSL. Чтоб оно стало доступно по адресу newapp.mysite.ru

Если я правильно понимаю план дейтсвий -
переводим приложение на другой порт
ставим nginx прослушивать порт 8080

далее в nginx надо сделать proxy_pass -- можете дать пример?
чтоб при заходе на app.mysite.ru:8080 запрос проксировался на newapp.mysite.ru:443
И что бы приложение видело IP клиента, а не прокси-сервера

Comments

[Valentin Barbolin]

| переводим приложение на другой порт
| ставим nginx прослушивать порт 8080
Не надо.

server {
        listen 443 ssl http2;
        server_name  newapp.mysite.ru;

        keepalive_timeout 70;
        ssl                  on;
        ssl_certificate /etc/ssl/certs/wildcard-dv-domain-ua.cer;
        ssl_certificate_key /etc/ssl/private/wildcard-dv-domain-ua-private.key;

location / {
        proxy_pass http://localhost:8080;
         proxy_set_header   Host $http_host;
    proxy_set_header   X-Real-IP $remote_addr;
    proxy_set_header   X-Forwarded-For $proxy_add_x_forwarded_for;
    proxy_set_header   X-Forwarded-Proto $scheme;

   }
}

[Lynn «Кофеман»]

> Если я правильно понимаю план дейтсвий

строго наоборот.

[Drno]

Lynn «Кофеман», объясните тогда как правильно?

[Lynn «Кофеман»]

Drno, вам уже выше написали

[Александр Карабанов]

Andrey Barbolin
ssl on; устаревшая директива, не надо её использовать.
Вложенный location здесь не нужен.
"^~" - отказаться от обработки location c регулярками и обработать запрос в текущем location, здесь не нужен.

[Drno]

Александр Карабанов, вот я тоже не понял смысл регулярки... вообще. работает и с ней и без неё... можете разжевать?

[Александр Карабанов]

Drno, "^~" - это не регулярка, это выключить дальнейшую обработку location c регулярками (символ "!" был занят поэтому Игорь Сысоев выбрал "^" в качестве символа отрицания).

Вот здесь вполне адекватно описано Алгоритм выбора location в Nginx
Там, правда, парсер некоторые символы пожрал, поэтому может быть не сразу понятно о чём речь.

[Valentin Barbolin]

Александр Карабанов, Ошибка закралась. Поправил.

Answer 1

[Александр Карабанов]

server {
        listen 80;
        server_name  newapp.mysite.ru;

        location /.well-known/acme-challenge/ {
                alias /path/to/.well-known/acme-challenge/;
                allow all;
                default_type "text/plain";
                try_files $uri =404;
        }


       location / {
            return 301 https://newapp.mysite.ru$request_uri;
       }
}

server {
        listen 443 ssl http2;
        server_name  newapp.mysite.ru;

        ssl_certificate /path/to/cert/fullchain.pem;
        ssl_certificate_key /path/to/cert/privkey.pem;

        location / {
                proxy_pass http://localhost:8080;
                proxy_set_header   Host $http_host;
                proxy_set_header   X-Real-IP $remote_addr;
                proxy_set_header   X-Forwarded-For $proxy_add_x_forwarded_for;
                proxy_set_header   X-Forwarded-Proto $scheme;
        }
}

listen
ssl_certificate
set_real_ip_from
proxy_pass

Comments

[Drno]

я уже разобрался, спасибо) с помощью комента в ответе

[Drno]

Александр Карабанов а как переадресовать клиентов, которые ломятся на 8080 порт на новый домен?
Завернуть их iptables?

[Александр Карабанов]

Drno, не надо iptables (хоть там и есть действие REDIRECT)

Можно так:

server {
        listen 80;
        listen 8080;
        server_name  newapp.mysite.ru;

       location / {
            return 301 https://newapp.mysite.ru$request_uri;
       }
}

[Drno]

Александр Карабанов, так у меня на этом же хосте 8080 занят получается... nginx же не сможет порт занять

[Александр Карабанов]

Drno, повесь сервис, который слушает 8080 на 127.0.0.1, а в listen впиши внеший ip типо listen 111.111.111.111:8080; тогда конфликта не будет.

[Drno]

Александр Карабанов, Оо кстати... спасибо, попробую)

Answer 2

[ky0]

Пихаем 8080 порт в proxy_pass нгинкса. IP клиента забираем из X-Real-IP или с помощью модуля realip пихаем в стандартный заголовок.