Есть такое nginx-module-vts (умеет экспортировать метрики в формате Prometheus)
Можно заставить Nginx писать логи в JSON-формате и с помощью, например, Filebeat сохранять их в Elasticsearch, а затем делать выборки по интересующим критериям с помощью prometheus-es-exporter
Как один из вариантов — настроить прокси внутри VPN, так, чтобы без VPN он не работал. В этом случае доступа к необходимым сайтам просто не будет без VPN-подключения. PAC-файл позволит вам гибко настроить проксируемые домены и адреса.
Без использования кипалайва каждый коннект проходит все стадии SSL-хэндшейка - скорее всего нагрузка именно из-за этого. Попробуйте включить кипалайв и сравнить результаты.
Все предложенные варианты имеют право на жизнь.
Но я за контейнеризацию, т.к. плюсы размещения в контейнере очевидны, вся конфигурация приложения при следовании лучшим практикам находится в одном месте, например:
/opt/docker-compose/
в котором есть список ваших приложений, например:
nginx-reverse/
certbot/
nodejs-front/
nodejs-back/
something-else/
Такая компоновка обеспечит более легкий деплоймент в пайплайне (ci/cd), да и ручной перенос с хостинга на хостинг. Локальное тестирование тоже проще осуществить.
nextcloud , поставили себе на сервер, создал пользователей и всем кому надо права на папки раздал
установка слегка запутана но зато профит огромен
есть как webdav так и клиент как у гугл/яндекс диска так и доступ через сайт + можно расшаривать файлы или папки просто сгенерировав ссылку
Зачем лезть в вопросы "внутривиндового" существования? И контроллеры доменов, и обычные тачки периодически обновляют свои сертификаты, если есть работающий виндовый CA. Причем контроллеры доменов выпускают несколько сертификатов - часть из них именно для целей работы домена. Если изначально шаблон не предусматривал одобрение администратора CA - не нужно этого делать, у винды куча своих собственных внутренних шаблонов, пусть себе живет своей жизнью.
"Часть опций" при прямом доступе к конфигу ограничить не получится - одинаковые директивы ниже по конфигу имеют более высокий приоритет. Придётся колхозить скрипт, который разрешал бы менять только нужное + проверять конфиг на валидность.
Вообще, имхо, идея не очень. Лучше сделать общий веб-сервер, и проксировать с него запросы на отдельные для каждого пользователя, которые те смогут ломать как им заблагорассудится.
