Différences

Ci-dessous, les différences entre deux révisions de la page.

--- admin:procedures:ajout-host-reverse-proxy-nginx [2017/07/12 10:19] – [Ajout d'un host au reverse proxy] fpoulain
+++ admin:procedures:ajout-host-reverse-proxy-nginx [2025/04/04 23:36] (Version actuelle) – [Déploiement de l'host avec TLS] C'est le port 442 qui est utilisé (le port 443 étant partagé avec XMPP #5614) pilou
@@ Ligne 4: / Ligne 4: @@
 Les manipulations sont à faire sur le [[admin:machines_virtuelles:bastion|bastion]].
-<note important>Doc écrite a posteriori mais pas encore testée. Merci de retirer ce bandeau lorsqu'elle sera déplombée et sans faille.</note>
 ===== Prérequis =====
@@ Ligne 20: / Ligne 18: @@
     server_name bling.chapril.org;
-    access_log /var/log/nginx/bling.chapril.org/bling.chapril.org.access_log;
+    access_log /var/log/nginx/bling.chapril.org/bling.chapril.org-access.log;
-    error_log /var/log/nginx/bling.chapril.org/bling.chapril.org.error_log;
+    error_log /var/log/nginx/bling.chapril.org/bling.chapril.org-error.log;
     include /etc/nginx/acme-challenge;
+    include /etc/nginx/sexy-chapril;
 }
 </code>
@@ Ligne 43: / Ligne 42: @@
 ===== Obtention d'un certificat TLS =====
-On ajoute dans /etc/dehydrated/domains.txt :
+On ajoute dans ''/etc/dehydrated/domains.txt'' :
 <code conf /etc/dehydrated/domains.txt>
 bling.chapril.org
@@ Ligne 51: / Ligne 50: @@
   dehydrated -c
-Le couple clé/certificat obtenu est dans /var/lib/dehydrated/certs/bling.chapril.org
+Le couple clé/certificat obtenu est dans ''/var/lib/dehydrated/certs/bling.chapril.org''.
 ===== Déploiement de l'host avec TLS =====
@@ Ligne 58: / Ligne 57: @@
 <code C /etc/nginx/sites-available/bling.chapril.org>
     include /etc/nginx/acme-challenge;
+    include /etc/nginx/sexy-chapril; # favicon.{ico,png}
-    rewrite ^(.*)$ https://$host$request_uri permanent;
+    include /etc/nginx/force-ssl;
+    include /etc/nginx/custom_50x;
+    #include /etc/nginx/maintenance; # utilisé en cas de maintenance
 }
 </code>
@@ Ligne 67: / Ligne 67: @@
 <code C /etc/nginx/sites-available/bling.chapril.org>
 server {
-    listen 443 ssl;
+    listen 442 http2 ssl proxy_protocol;
-    listen [::]:443 ssl;
+    listen [::]:442 http2 ssl proxy_protocol;
     server_name bling.chapril.org;
-    access_log /var/log/nginx/bling.chapril.org/bling.chapril.org.access_log;
+    access_log /var/log/nginx/bling.chapril.org/bling.chapril.org-access.log;
-    error_log /var/log/nginx/bling.chapril.org/bling.chapril.org.error_log;
+    error_log /var/log/nginx/bling.chapril.org/bling.chapril.org-error.log;
     ssl_certificate     /var/lib/dehydrated/certs/bling.chapril.org/fullchain.pem;
     ssl_certificate_key /var/lib/dehydrated/certs/bling.chapril.org/privkey.pem;
+    include /etc/nginx/acme-challenge;
+    include /etc/nginx/sexy-chapril;
+    include /etc/nginx/custom_50x;
+    include /etc/nginx/chapril-banner-location; # ⚠️ en fonction des services, met à dispo la bannière via /Chapril-banner
     location / {
+        include /etc/nginx/chapril-banner-v2; # en fonction des services, inject la bannière (requiert /Chapril-banner)
         # remplacer par le nom de la machine qui héberge le service :
         proxy_pass http://bling;
-        proxy_set_header Host $host;
-        proxy_set_header Proxy "";
     }
 }
@@ Ligne 100: / Ligne 103: @@
 ===== Monitoring =====
-Il faut impérativement penser à [[admin:procedures:ajout-d-une-machine|monitorer]] le service une fois terminé.
+Il faut impérativement penser à [[admin:monitoring:add-host|monitorer]] le service une fois terminé.
 Il suffit pour cela, sur la machine [[admin:machines_virtuelles:admin|admin]], dans le fichier ''/etc/icinga2/zones.d/master/cluster/bling.conf'' (remplacer bling par le nom de la machine concernée) d'ajouter quelque chose comme :