savostin
@savostin
Еще один программист

Nginx и proxy_pass 80->443?

Помогите, люди добрые, даже ChatGPT зациклился и помочь не может.
Есть такой (странный) конфиг Nginx:
upstream external {
    server api.site.com:443; # https upstream
}

server {
    listen 80; # Listen on HTTP (!)
    server_name test;

    location / {
        proxy_pass https://external; # Proxy to the HTTPS (!) upstream
        proxy_ssl on; # Enable SSL/TLS for proxy connection
### [emerg] 1#1: "proxy_ssl" directive is not allowed here ###
        proxy_ssl_verify off; # Disable SSL certificate verification
        proxy_set_header Host "api.site.com"; # Set the host header
        proxy_set_header X-Forwarded-Proto $scheme; # Set the forwarded protocol
    }
}

Nginx при этом тоже "немного странный" (собран из исходников в Docker nginx:1.24-alpine), но вроде бы все необходимое есть, и даже много лишнего, но не суть:
nginx version: nginx/1.24.0
built by gcc 12.2.1 20220924 (Alpine 12.2.1_git20220924-r4) 
built with OpenSSL 3.0.7 1 Nov 2022 (running with OpenSSL 3.0.12 24 Oct 2023)
TLS SNI support enabled
configure arguments: --prefix=/etc/nginx --sbin-path=/usr/sbin/nginx --modules-path=/usr/lib/nginx/modules --conf-path=/etc/nginx/nginx.conf --error-log-path=/var/log/nginx/error.log --http-log-path=/var/log/nginx/access.log --pid-path=/var/run/nginx.pid --lock-path=/var/run/nginx.lock --http-client-body-temp-path=/var/cache/nginx/client_temp --http-proxy-temp-path=/var/cache/nginx/proxy_temp --http-fastcgi-temp-path=/var/cache/nginx/fastcgi_temp --http-uwsgi-temp-path=/var/cache/nginx/uwsgi_temp --http-scgi-temp-path=/var/cache/nginx/scgi_temp --with-perl_modules_path=/usr/lib/perl5/vendor_perl --user=nginx --group=nginx --with-compat --with-file-aio --with-threads --with-http_addition_module --with-http_auth_request_module --with-http_dav_module --with-http_flv_module --with-http_gunzip_module --with-http_gzip_static_module --with-http_mp4_module --with-http_random_index_module --with-http_realip_module --with-http_secure_link_module --with-http_slice_module --with-http_ssl_module --with-http_stub_status_module --with-http_sub_module --with-http_v2_module --with-mail --with-mail_ssl_module --with-stream --with-stream_realip_module --with-stream_ssl_module --with-stream_ssl_preread_module --with-cc-opt='-Os -fomit-frame-pointer -g' --with-ld-opt=-Wl,--as-needed,-O1,--sort-common


Понимаю, что "хочется странного", а именно проксировать нешифрованый трафик на шифрованый upstream, но все же.
Проблема в том, что Nginx отказывается принимать "proxy_ssl on".
Чего ему не хватает-то? Без этой директивы запускается, но, естественно, пытается отправить http на https upstream.
  • Вопрос задан
  • 93 просмотра
Пригласить эксперта
Ответы на вопрос 2
ky0
@ky0 Куратор тега Nginx
Миллиардер, филантроп, патологический лгун
Ничего особо странного - такие штуки часто используют, например, когда хочется заглянуть внутрь трафика, едущего потом куда-то с шифрованием.

Никаких proxy_ssl on вам не надо, достаточно просто указать схему https в proxy_pass. Nginx'у всё равно, что у него "снаружи" HTTP, а у прокси HTTPS. Всё должно работать, если поубирать все директивы кроме проксирования и заголовков (ну и X-Forwarded-Proto выставить явно, конечно же).
Ответ написан
savostin
@savostin Автор вопроса
Еще один программист
Нашел причину (правда не смог решить).
Дело в том, что у меня этот location был описан несколько иначе (зря упростил в вопросе).
Он был internal, а перед ним стоял rewrite для установки переменных из URL.
Там на самом деле у меня много location, Nginx не умеет вложенные add_header в которые надо вставить переменные из URL, и пришлось бы в каждом location прописывать add_header, но не суть.

Короче, переписал location без internal и все заработало. Всем спасибо!
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы