Nginx, обратное проксирование http и https?

Question

[Макс]

Господа, выручайте!
В сети:
Керио - разруливает трафик. Http и https отправляет на Nginx.
Nginx - должен выступать в роли реверс-прокси.
IIS - выступает в роли реверс-прокси.
Тестовые сайты разработчиков, как правило хостятся на доменных машинах самих разработчиков, работают по HTTP (test_1.test.domain.net, test_2.test.domain.net......) для них на IIS написаны схемы переопределения по типу test_1 = ip:port и т.д.
Боевые сайты, хостятся на серверах в домене, некоторые работают по HTTPS (site_1.domain.ru, site_2.domain.ru....) для них на IIS подняты фермы, написаны шаблоны, указаны либо ip адреса с портами, либо фермы.
Задача: убрать IIS, а роль реверс прокси предоставить Nginx`у.

На данный момент на Керио работает правило, по которому весь HTTPS трафик уходит на Nginx:

server {
    listen 443 ssl;
    server_name .domain.ru;
      
    include /etc/nginx/include/ssl;  # инклюд сертификатов
      
    location / {
        proxy_pass http://IIS:80/;
        proxy_set_header Host $host;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    }
}

По сути, Nginx только цепляет сертификат к сайту и футболит его на IIS, где сайт попадает под то или иное правило, и попадает либо на соответствующую ферму, либо на соответствующий ip:port.

С тестовыми сайтами, работающими по http вроде разобрался. Предварительно включив правило в Керио, по которому HTTP трафик уходит на Nginx:

server {
	    listen 80;   
	    server_name test_1.test.domain.net;       #проверяем имя сайта
    
  	location / {

		proxy_pass http://192.168.0.100/;    #IP адрес и порт сайта внутри сети
                proxy_redirect  off;
		proxy_set_header Host $host;
                proxy_set_header X-relay-IP $remote_addr;
		proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
	}
}

и так далее для каждого тестового сайта по http.

А вот для https ни как не могу настроить... Если добавляю конфиг хотябы для одного сайта:

server {
    
    listen 443 ssl;
    server_name site_1.domain.ru;
    
    include /etc/nginx/include/ssl;  # инклюд сертификатов
    access_log /etc/nginx/logs/issues.access.log;
    error_log /etc/nginx/logs/issues.error.log;
    
    location / {
		proxy_pass http://site_1.domain.ru;
		proxy_set_header Host $host;
		proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
	}
 }

Остальные сайты site_2.domain.ru, site_3.domain.ru, для которых нет явных конфигов тоже работают. Мне этот момент не понятен ни как...

Собственно, как реализовать реверс проксирование для https? Не хочется делать по аналогии с http. Хочется как-то унифицировать это дело.

З.Ы. Сильно не пинайте, с Nginx`ом только начал разбираться.

Answer 1

[Борис Сёмов]

Если у вас сайт там же, то зачем вам вообще двойное проксирование? Принимайте сразу запросы на тот server{} который во втором фрагменте.

В чём проблема во втором случае, из вопроса вообще не понятно. Вы терминируете ssl на nginx, и проксируете дальше на бекэнд http запросы, всё правильно.

Comments

[Макс]

Ок, исправил второй конфиг с 81 на 80 порт, первый конфиг убрал. Работает.
Но с ssl не могу разобраться, почему-то не работает, если в proxy_pass http: писать ip и порт. При чем в IIS часть сайтов по именам машин прописана, часть по IP:port. Я не понимаю для чего так сделано. До меня корявили.

[Борис Сёмов]

А что в логе? Почему именно, и что не работает?

[Макс]

Борис Сёмов,
К примеру для одного из сайтов сейчас попробовал переписать конфиг

server {
    
    listen 443 ssl;
    server_name sitename.ru sitename.net oldsitename.ru;
    
    include /etc/nginx/include/ssl;  
    access_log /etc/nginx/logs/issues.access.log;
    error_log /etc/nginx/logs/issues.error.log;
    
    location / {
		proxy_pass http://sitename.net;   #основное, рабочее имя сайта
		proxy_set_header Host $host;
		proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
	}
 }

error.log пустой

Все запросы почему-то так и идут на IIS...

[Борис Сёмов]

Если в /etc/nginx/include/ssl сертификаты для нужного сайта, а sitename.net на этой машине резольвится в нужный ip адрес того бекэнда, который должен обрабатывать запросы, то всё верно. Но скорее всего там должно быть прописано http://ip:port бекэнда. И проблема именно в proxy_pass http://sitename.net;

Все запросы почему-то так и идут на IIS...

Можно подробнее об этом? Мимо nginx идут? Или после nginx идут не туда? Или в чём вообще проблема?

[Макс]

Борис Сёмов,

Можно подробнее об этом? Мимо nginx идут? Или после nginx идут не туда? Или в чём вообще проблема?

Сам не понял. Стоит Керио, на нем 2 правила, которые весь http и https трафик отправляют прямиком на nginx.
С http вроде всё в порядке. А вот https ведет себя странно. Если в конфиге nginx`а прописываю

server {
    
    listen 443 ssl;
    server_name sitename.ru sitename.net oldsitename.ru;
.....

и т.д., то какого-то фига все сайты, даже для которых нет записей в конфигах открываются...
Если убираю эту запись из конфигов, то не работает ни один сайт.
На самом nginx`е не хостится ни каких сайтов, все сайты на разных машинах в сети домена.

Как узнать на каком ip и порту висит конкретный сайт?

[Борис Сёмов]

Опишите максимально подробно, что именно происходит... Что значит открываются все? Что значит не работает? Не работает по http? По https? Если второе, то не удивительно. Если первое, какая ошибка?

Как узнать на каком ip и порту висит конкретный сайт?

Из конфигурации веб сервера который обеспечивает его работу, вероятно.

[Макс]

Борис Сёмов, переписал вопрос. Вроде всё теперь подробно расписано.

[Борис Сёмов]

Кажется я понял, в чём у вас проблема.
Уточню: начинают работать сатйты, которые находятся на том же бекэнде, что и указанный в конфиге?
Вам нужен конфиг под каждый сайт, и конфиг под сайт по умолчанию, который будет ловить запросы, которые не относятся к остальным доменам, и возвращать ошибку или заглушку. То же нужно и для http, кстати.

Вот эта ссылка будет вам полезна: https://nginx.ru/ru/docs/http/request_processing.html
И отсюда параметр default_server: https://nginx.ru/ru/docs/http/ngx_http_core_module...

[Макс]

Борис Сёмов, Спасибо. Буду разбираться.
Тут еще один момент всплыл, на iis хостятся некоторые сайты на 80 порту и на 8080. Видимо это меня ввело в заблуждение.