ky0

depends_on + healthcheck в docker-compose. Просто depends_on недостаточно - нужно проверять работоспособность сервиса, а не просто что контейнер запустился.

Как бы сделал я - настроил отдачу разных IP для DNS-запросов из цивилизованных стран и всех остальных. Первым бы отдавал Lets's Encrypt, вторым - что их высокоблагородие пожелает. Тогда можно и nginx православный юзать, и шифры, и ОС - не влияя на работу уже настроенного.

Когда определитесь, чем "скачивание" отличается от "открывается на сайте" - добавьте это условие в конфиг, и будет вам счастье.

Можно делать по-разному, но задумайтесь сразу, как эти сертификаты будут обновляться (очевидно, нужен отдельный контейнер с certbot'ом) и как nginx будет узнавать, что ему нужно сделать релоад после обновления.

Вам нужен не доступ к сервисам, а развёрнутый сокращатель ссылок. То, что вы пытаетесь сделать, рано или поздно превратится в некрасивую простыню в конфиге.

binary_remote_addr выглядит по-другому, он же binary. Ваш "66.249.70.*" с ним не проканает.

В смысле? Nginx и умеет - https://nginx.org/en/docs/http/ngx_http_geoip_modu...

Можно реализовать шаблонизацию на Jinja2 и не используя template - прямо внутри таски с set_fact, например. Это костыль, но условиям удовлетворяет.

Надо отталкиваться от прикладных последствий. "Всплески входящих соединений" как-то влияют на работоспособность системы? Если нет - ограничивать коннекты преждевременно (ну, разве что как-то на грани здравого смысла, типа 50 запросов в секунду на пользователя).

Потому что сервер ищет картинку в каталоге /site/randServer/uploads/upload. Почитайте, как работают префиксные локейшены в nginx.

1. Выпускаете сертификат на новом сервере (если хочется бесшовно - через DNS-challenge или запроксировав каталог .well-known/acme-challenge на новый сервер).
2. Переключаете А-запись домена на новый сервер, проверяете, что всё работает.
3. Делаете certbot delete на старом сервере.

Если контейнеры (в том числе nginx) в одной docker-сети, то направлять нужно не по localhost, а по имени контейнера и внутреннему порту.

Если контейнеры нет возможности засунуть в одну сеть - proxy_pass можно направить на host.docker.internal.

Написать локейшен с регулярным выражением, срабатывающим только на урлы вида *.(jpg|png|что-там-ещё-у-вас). Внутрь локейшена засунуть try_files, который в какой-то момент будет дёргать PHP-скрипт.

 Дамп трафика снимите (желательно на обеих сторонах, чтобы потом сравнить) - из него станет понятно, кто там кого ждёт.