Почему не работает NGINX?

Question

[Developeer]

Есть сервер на aws, на нем развернуто nodejs приложение, крутиться на pm2, на 5000 порту.
Есть домен, направленный А-записью на этот хост.
Мне нужно выпустить SSL сертификат на этот домен.
Я пока пытался просто сделать чтоб по домену был доступ к приложению. без указывания порта и у меня не особо получается.
Сейчас по адресу domain:5000 отображается приложение, а по domain нет ничего.
nginx перезапускал через service restart

/etc/nginx/nginx.conf:

user www-data;
worker_processes auto;
pid /run/nginx.pid;
include /etc/nginx/modules-enabled/*.conf ;

events {
        worker_connections 768;
        # multi_accept on;
}

http {

        ##
        # Basic Settings
        ##

        sendfile on;
        tcp_nopush on;
        tcp_nodelay on;
        keepalive_timeout 65;
        types_hash_max_size 2048;
        # server_tokens off;

        # server_names_hash_bucket_size 64;
        # server_name_in_redirect off;
 include /etc/nginx/mime.types;
        default_type application/octet-stream;

        ##
        # SSL Settings
        ##

        ssl_protocols TLSv1 TLSv1.1 TLSv1.2; # Dropping SSLv3, ref: POODLE
        ssl_prefer_server_ciphers on;

        ##
        # Logging Settings
        ##

        access_log /var/log/nginx/access.log;
        error_log /var/log/nginx/error.log;

        ##
        # Gzip Settings
        ##

        gzip on;

        # gzip_vary on;
        # gzip_proxied any;
        # gzip_comp_level 6;
        # gzip_buffers 16 8k;
        # gzip_http_version 1.1;
        # gzip_types text/plain text/css application/json application/javascript text/xml application/xml application/xml+rss text/javascript;

        ##
        # Virtual Host Configs
        ##

        include /etc/nginx/conf.d/*.conf;
        include /etc/nginx/sites-enabled/*;
}

etc/nginx/sites-available/domain.conf:
server {
listen 80;
server_name domain;
location / {
proxy_pass http://localhost:5000;
proxy_http_version 1.1;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection ‘upgrade’;
proxy_set_header Host $host;
proxy_cache_bypass $http_upgrade;
}
}

/etc/nginx/sites-enabled/domain.conf:

server {
listen 80;
server_name domain;
location / {
proxy_pass http://localhost:5000;
proxy_http_version 1.1;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection ‘upgrade’;
proxy_set_header Host $host;
proxy_cache_bypass $http_upgrade;
}
}

Comments

[Lynn «Кофеман»]

Он запущен?
Что в логах?

Answer 1

[Александр Карабанов]

/etc/nginx/sites-enabled/domain.conf должен быть симлинком на /etc/nginx/sites-available/domain.conf, а не его копией.
Если не умеешь делать симлинки оставь только конфиг в /etc/nginx/sites-enabled/domain.conf
Убедись, что в /etc/nginx/nginx.conf есть include /etc/nginx/sites-enabled/*.conf;

Конфиг сделай таким:

server {
    listen 80;

    server_name domain;

    location /.well-known/acme-challenge/ {
            alias /path/to/.well-known/acme-challenge/;
            allow all;
            default_type "text/plain";
            try_files $uri =404;
    }

    location / {
        return 301 https://domain$request_uri;
    }
}

Получи сертификат:

certbot certonly --agree-tos  --email webmaster@domain --webroot -w /path/to/ -d domain

Сгенерируй dhparam

openssl dhparam -out /etc/nginx/dhparam4096.pem 4096

Затем добавь конфиг для https версии:

server {
    listen 443 ssl http2;

    server_name domain;

    ssl_certificate /etc/letsencrypt/live/domain/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/domain/privkey.pem;

    ssl_dhparam /etc/nginx/dhparam4096.pem; 
    ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384;
    ssl_prefer_server_ciphers off;
    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_ecdh_curve secp384r1:prime256v1:X25519;
    ssl_session_timeout 24h;
    ssl_session_cache shared:TLS:20m;
    resolver 1.1.1.1 8.8.8.8;
    resolver_timeout 5s;
    ssl_stapling on;
    ssl_stapling_verify on;
    add_header Strict-Transport-Security "max-age=63072000; includeSubDomains" always;

    location / {
        proxy_pass http://localhost:5000;

        proxy_http_version 1.1;
        proxy_set_header Upgrade $http_upgrade;
        proxy_set_header Connection ‘upgrade’;
        proxy_cache_bypass $http_upgrade;

        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;
    }
}

Синтаксис: proxy_pass URL; - протокол тоже надо указывать.

Answer 2

[Drno]

В Virtualhost - почему 2 одинаковых сервера указаны?
И для ssl обычно используется 443 порт... а не 80

UPdюю аа увидел. 1 конфиг Вы два раза показали зачем то

Короче копайте в стороны прописать 443 порт

Comments

[Developeer]

Ну по идее с текущим конфигом у меня приложение должно открываться просто по 80 порту? т.е.
domain, без 5000 порта?
А этого не происходит, получаеся что-то не то

[Александр Карабанов]

Developeer, да, протокол не указан в proxy_pass

Синтаксис: proxy_pass URL; - протокол тоже надо указывать.