Как правильно обслуживать огромное кол-во хостов?

Question

[kalnin_yuri]

Есть сервис где пользователь делает посадочные страницы, и может к странице привязать свой домен SSL сертификат. Сейчас сервер на apache, под каждый пользовательский домен создается виртуальный сервер и ssl сертификат. Имеется куча файлов виртуальных хостов.

Сейчас переношу все на nginx + php-fpm. Появилось несколько вопросов:

Есть ли более простые способы обслуживать множество виртуальных хостов? А не создавать под каждый сайт файл конфига.
Есть ли лимиты у nginx на кол-во виртуальных хостов?

Comments

[Lynn «Кофеман»]

Что может быть проще чем файл на хост?

Возможно надо будет подкрутить server_names_hash_bucket_size и server_names_hash_max_size. См. https://nginx.org/ru/docs/hash.html.

Answer 1

[Дмитрий]

server_name  ~^(www\.)?(?<domain>.+)$;
root  /var/www/$domain/public_html/;

Comments

[kalnin_yuri]

А сертификаты как?)

[ky0]

kalnin_yuri, так же, через подстановку переменной.

[kalnin_yuri]

ky0, в логи пишет 4 cannot load certificate "/etc/nginx/certs/users//bundle.crt"

server {
listen 443 ssl;
server_name ~^(www\.)?(?.+)$;
ssl_certificate /etc/nginx/certs/users/$domain/bundle.crt;
ssl_certificate_key /etc/nginx/certs/users/$domain/private.key;

access_log /var/log/nginx/default_access.log combined;
error_log /var/log/nginx/default_error.log;

include /etc/nginx/snippets/main.conf;
}

т.е в переменной $domain пусто

[Дмитрий]

kalnin_yuri, ага. В директивах ssl и log path кажется можно использовать только переменную $host

https://nginx.org/en/docs/http/ngx_http_ssl_module...

[Дмитрий]

kalnin_yuri, Я честно говоря эту конструкцию для разработки использовал. И следовательно дальше root лбом не стучался

[kalnin_yuri]

Ребят посмотрите плиз

server {
listen 443 ssl;
server_name _;
ssl_certificate /etc/nginx/certs/users/$ssl_server_name/bundle.crt;
ssl_certificate_key /etc/nginx/certs/users/$ssl_server_name/private.key;

access_log /var/log/nginx/quiz-domains_access.log combined;
error_log /var/log/nginx/quiz-domains_error.log;
}

вот такой конфиг работает как мне надо.

Но если заходишь на домен https://domain.com и при этом в папке /etc/nginx/certs/users/domain.com/ нет сертификатов, то в браузер пишет

Не удается получить доступ к сайту
Соединение сброшено.
ERR_CONNECTION_RESET

можно ли как то эту ошибку перехватить и отдать html ку?

или как то внутри конфига проверить есть ли файл на сервере по пути /etc/nginx/certs/users/$ssl_server_name/bundle.crt и если нет, то отдать html ку, а если есть то подключить сертификаты

[Дмитрий]

kalnin_yuri, мне вспоминается что ERR_CONNECTION_RESET отдает сам браузер когда не может обменяться сертификатами. Это первое. Второе - никакую html браузер до обмена сертификатами не воспримет. Ибо если сертификат не проверен или не валиден - ясень хрен это сервер злоумышленика. Чего там с него читать. Вы даже редиректа на 80 не подсунете