Nginx и proxy_pass 80->443?

Question

[Сергей Савостин]

Помогите, люди добрые, даже ChatGPT зациклился и помочь не может.
Есть такой (странный) конфиг Nginx:

upstream external {
    server api.site.com:443; # https upstream
}

server {
    listen 80; # Listen on HTTP (!)
    server_name test;

    location / {
        proxy_pass https://external; # Proxy to the HTTPS (!) upstream
        proxy_ssl on; # Enable SSL/TLS for proxy connection
### [emerg] 1#1: "proxy_ssl" directive is not allowed here ###
        proxy_ssl_verify off; # Disable SSL certificate verification
        proxy_set_header Host "api.site.com"; # Set the host header
        proxy_set_header X-Forwarded-Proto $scheme; # Set the forwarded protocol
    }
}

Nginx при этом тоже "немного странный" (собран из исходников в Docker nginx:1.24-alpine), но вроде бы все необходимое есть, и даже много лишнего, но не суть:

nginx version: nginx/1.24.0
built by gcc 12.2.1 20220924 (Alpine 12.2.1_git20220924-r4) 
built with OpenSSL 3.0.7 1 Nov 2022 (running with OpenSSL 3.0.12 24 Oct 2023)
TLS SNI support enabled
configure arguments: --prefix=/etc/nginx --sbin-path=/usr/sbin/nginx --modules-path=/usr/lib/nginx/modules --conf-path=/etc/nginx/nginx.conf --error-log-path=/var/log/nginx/error.log --http-log-path=/var/log/nginx/access.log --pid-path=/var/run/nginx.pid --lock-path=/var/run/nginx.lock --http-client-body-temp-path=/var/cache/nginx/client_temp --http-proxy-temp-path=/var/cache/nginx/proxy_temp --http-fastcgi-temp-path=/var/cache/nginx/fastcgi_temp --http-uwsgi-temp-path=/var/cache/nginx/uwsgi_temp --http-scgi-temp-path=/var/cache/nginx/scgi_temp --with-perl_modules_path=/usr/lib/perl5/vendor_perl --user=nginx --group=nginx --with-compat --with-file-aio --with-threads --with-http_addition_module --with-http_auth_request_module --with-http_dav_module --with-http_flv_module --with-http_gunzip_module --with-http_gzip_static_module --with-http_mp4_module --with-http_random_index_module --with-http_realip_module --with-http_secure_link_module --with-http_slice_module --with-http_ssl_module --with-http_stub_status_module --with-http_sub_module --with-http_v2_module --with-mail --with-mail_ssl_module --with-stream --with-stream_realip_module --with-stream_ssl_module --with-stream_ssl_preread_module --with-cc-opt='-Os -fomit-frame-pointer -g' --with-ld-opt=-Wl,--as-needed,-O1,--sort-common

Понимаю, что "хочется странного", а именно проксировать нешифрованый трафик на шифрованый upstream, но все же.
Проблема в том, что Nginx отказывается принимать "proxy_ssl on".
Чего ему не хватает-то? Без этой директивы запускается, но, естественно, пытается отправить http на https upstream.

Comments

[dodo512]

Проблема в том, что Nginx отказывается принимать "proxy_ssl on".
Чего ему не хватает-то?

proxy_ssl это директива ngx_stream_proxy_module для проксирования потоков данных по TCP, UDP и UNIX-сокетам.
Для HTTP ngx_http_proxy_module там нет директивы proxy_ssl.

Answer 1

[ky0]

Ничего особо странного - такие штуки часто используют, например, когда хочется заглянуть внутрь трафика, едущего потом куда-то с шифрованием.

Никаких proxy_ssl on вам не надо, достаточно просто указать схему https в proxy_pass. Nginx'у всё равно, что у него "снаружи" HTTP, а у прокси HTTPS. Всё должно работать, если поубирать все директивы кроме проксирования и заголовков (ну и X-Forwarded-Proto выставить явно, конечно же).

Comments

[Сергей Савостин]

Я тоже так думал, и даже всегда так работало кажется...
Но если ничего этого не указать, Cloudflare, который перед https://api.site.com/ ругается на "400 The plain HTTP request was sent to HTTPS port".
Подозреваю мой Nginx шлет туда незашифрованный трафик почему-то.

[dodo512]

ругается на "400 The plain HTTP request was sent to HTTPS port".

Сергей Савостин, это похоже на потерю буквы s в https://external.

Для Cloudflare еще потребуется proxy_ssl_server_name on;
Если используете upstream, то еще и proxy_ssl_name

proxy_pass https://external;
proxy_ssl_server_name on;
proxy_ssl_name        "api.site.com";
proxy_set_header Host "api.site.com";

Если без upstream

proxy_pass https://api.site.com;
proxy_ssl_server_name on;

Answer 2

[Сергей Савостин]

Нашел причину (правда не смог решить).
Дело в том, что у меня этот location был описан несколько иначе (зря упростил в вопросе).
Он был internal, а перед ним стоял rewrite для установки переменных из URL.
Там на самом деле у меня много location, Nginx не умеет вложенные add_header в которые надо вставить переменные из URL, и пришлось бы в каждом location прописывать add_header, но не суть.

Короче, переписал location без internal и все заработало. Всем спасибо!