В настоящее время я пытаюсь перенаправить HTTP на HTTPS на своем веб-сервере NGINX, однако только для внешних подключений. Внутренние соединения, такие как localhost, должны иметь доступ к нему через HTTP без перенаправления. Это для livenessProbe и readinessProbe для кластера Kubernetes (GKE) этот контейнер Docker запущен (и, возможно, может быть полезен для разработки).
Когда я перенаправляю ВСЕ HTTP-трафик на HTTPS, я считаю, что причина 400 в том, что у меня ssl_verify_client on, поэтому HTTPS-соединения должны проходить через доменное имя, которое Cloudflare будет ловить и проверять.
Есть ли способ условно перенаправить только внешние соединения, не затрагивая локальную сеть?
Вот как мои nginx.conf в настоящее время выглядит так, до любых попыток перенаправления на HTTPS:
worker_processes auto;
events {
worker_connections 1024;
}
http {
# Prevents XSS (Cross-Site-Scripting) and Clickjacking
# See: https://developer.mozilla.org/en-US/docs/Web/HTTP/CSP
add_header Content-Security-Policy "default-src 'self' https://*.elypia.com https://*.fontawesome.com https://*.googleapis.com https://youtube.com https://discordapp.co https://gitab.co https://reddit.co https://twitch.t https://twitter.com; base-uri 'self'; manifest-src 'self'; script-src 'self' 'unsafe-inline' https://*.fontawesome.com; style-src 'self' 'unsafe-inline' https://*.googleapis.com; img-src 'self' https://*.elypia.com; connect-src 'self' https://*.elypia.com https://*.fontawesome.com https://haveibeenpwned.com; font-src https://*.gstatic.com; object-src 'none'; media-src 'self'; child-src https://discordapp.com; form-action 'self' https://*.elypia.com; frame-ancestors 'self'; upgrade-insecure-requests;" always;
server {
listen 80 default_server;
listen [::]:80 ipv6only=on default_server;
listen 443 ssl http2 default_server;
listen [::]:443 ssl http2 ipv6only=on default_server;
# Enables HTTPS
ssl_certificate /etc/nginx/certs/cert.pem;
ssl_certificate_key /etc/nginx/certs/key.pem;
# Prevents connections to IP directly as you must connect through
# Cloudflare in order to accept connections.
ssl_verify_client on;
ssl_client_certificate /etc/nginx/certs/ca.pem;
# Due to the POODLE vulnerability in SSLv3, it is advised to not use SSLv3 in your SSL-enabled sites.
# See: https://www.nginx.com/resources/wiki/start/topics/tutorials/config_pitfalls/#using-sslv3-with-https
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
root /usr/share/nginx/html;
index index.html;
include /etc/nginx/mime.types;
gzip on;
gzip_min_length 1000;
gzip_types text/plain text/css application/json application/javascript application/x-javascript text/xml application/xml application/xml+rss text/javascript;
access_log off;
location / {
# Redirect to index.html instead of producing a 404 as we assume it's for
# Angular, if it really us a 404, the web application will manage it.
try_files $uri $uri/ /index.html;
}
}
}
Я бы предложил примерно следующее:
server {
listen 80 default_server;
listen [::]:80 ipv6only=on default_server;
# redirect to https
}
server {
listen 127.0.0.1:80; # For kubernetes
listen 443 ssl http2 default_server;
listen [::]:443 ssl http2 ipv6only=on default_server;
# ...
}
Итак, подключения к порту 80 на любой IP, кроме 127.0.0.1 будет обрабатываться сервером по умолчанию и подключаться к 127.0.0.1:80 будет обрабатываться основным сервером.
Что касается вашего вопроса, я нашел этот интересный вопрос StackOverflow, задающий очень похожую настройку, как это. В принятом ответе есть файлы config.conf и yaml, используемые для этой настройки.