[Auto-Sync] Atualização das configurações em srvproxy001.itguys.com.br - 2025-09-20 01:48:13

2025-09-20 01:48:13 -03:00 · 2025-09-20 01:48:13 -03:00 · 28cb83396c
parent 7cc9b50734
commit 28cb83396c
1 changed files with 45 additions and 81 deletions
--- a/nginx/sites-available/mimir.itguys.com.br
+++ b/nginx/sites-available/mimir.itguys.com.br
@ -1,114 +1,78 @@
-# ====================================================================================
+# Ficheiro: /etc/nginx/sites-available/mimir.itguys.com.br.conf
-# SERVIDOR HTTP (Porta 80) - APENAS PARA REDIRECIONAMENTO
+#
-# A única função deste bloco é capturar todo o tráfego inseguro (HTTP)
+# Configuração de Proxy Reverso OTIMIZADA para Zabbix.
-# e redirecioná-lo permanentemente (código 301) para a versão segura (HTTPS).
+# Esta versão usa snippets, inclui cache para ficheiros estáticos e está restrita à rede interna.
-# ====================================================================================
+
 # ==============================================================================
 # BLOCO HTTP: Redirecionar para HTTPS
 # ==============================================================================
 server {
    # Escuta na porta 80 para tráfego IPv4 e IPv6.
    listen 80;
    listen [::]:80;
    # Responde apenas a requisições para este nome de domínio específico.
    server_name mimir.itguys.com.br;
-    # Captura todas as requisições para qualquer URL neste domínio.
+    # Permite a validação do Let's Encrypt, mesmo com a trava de rede na porta 443.
    location /.well-known/acme-challenge/ {
        root /var/www/html;
    }
    # Redireciona todo o outro tráfego para a versão segura.
    location / {
        # Retorna um redirecionamento 301.
        # $host mantém o domínio original (mimir.itguys.com.br).
        # $request_uri mantém o caminho original (ex: /zabbix/dashboard.php).
        return 301 https://$host$request_uri;
    }
 }
-# ====================================================================================
+# ==============================================================================
-# SERVIDOR HTTPS (Porta 443) - O SERVIDOR PRINCIPAL
+# BLOCO HTTPS: O Coração da nossa Configuração
-# Este bloco lida com todo o tráfego seguro e contém toda a lógica de
+# ==============================================================================
 # proxy reverso, segurança e cache para a aplicação Zabbix.
 # ====================================================================================
 server {
    # Escuta na porta 443 para tráfego IPv4 e IPv6.
    # 'ssl' ativa a encriptação TLS.
    # 'http2' ativa o protocolo HTTP/2 para melhor performance.
    listen 443 ssl http2;
    listen [::]:443 ssl http2;
    include /etc/nginx/snippets/global_robots.conf;
    # Responde apenas a requisições para este nome de domínio.
    server_name mimir.itguys.com.br;
-    # --- CAMINHOS DOS CERTIFICADOS SSL ---
+    # --- Certificados e Segurança SSL ---
-    # O Certbot gere estas linhas automaticamente. Não as descomente manualmente.
+    ssl_certificate /etc/letsencrypt/live/mimir.itguys.com.br/fullchain.pem;
-    ssl_certificate /etc/letsencrypt/live/mimir.itguys.com.br/fullchain.pem; # managed by Certbot
+    ssl_certificate_key /etc/letsencrypt/live/mimir.itguys.com.br/privkey.pem;
-    ssl_certificate_key /etc/letsencrypt/live/mimir.itguys.com.br/privkey.pem; # managed by Certbot
+    ssl_trusted_certificate /etc/letsencrypt/live/mimir.itguys.com.br/fullchain.pem;
    # Inclui o nosso "kit" de segurança SSL com cifras modernas e cabeçalhos.
    include /etc/nginx/snippets/ssl_params.conf;
-    # --- CONFIGURAÇÕES DE SEGURANÇA E LOGS ---
+    # --- Políticas de Acesso e Logs ---
-
+    # A TRAVA DE SEGURANÇA: Restringe o acesso apenas às suas redes internas.
    # Inclui o ficheiro que contém a lista de IPs da sua rede interna permitidos.
    # A diretiva 'deny all' dentro daquele ficheiro irá bloquear todo o resto.
    include /etc/nginx/conf.d/internal_networks.conf;
-
+    # Bloqueia a indexação por motores de busca.
-    # Define que os logs de acesso para este site devem usar o nosso formato JSON detalhado.
+    include /etc/nginx/snippets/robots_block_all.conf;
    # Usa o nosso formato de log JSON detalhado.
    access_log /var/log/nginx/access.log detailed_proxy;
    # Define o ficheiro para onde os logs de erro específicos deste site serão escritos.
    error_log /var/log/nginx/error.log;
-    # --- CABEÇALHOS DE PROXY GLOBAIS ---
+    # --- ESTRATÉGIA DE CACHE HÍBRIDA ---
-    # Estas diretivas são aplicadas a TODAS as requisições de proxy neste bloco,
+    # Usa a nossa zona de cache pública.
    # evitando a necessidade de repeti-las em cada 'location'.
    proxy_set_header Host $host;
    proxy_set_header X-Real-IP $remote_addr;
    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    proxy_set_header X-Forwarded-Proto $scheme;
    # --- ESTRATÉGIA DE CACHE HÍBRIDA E SEGURA ---
    # Aponta para a zona de cache 'zabbix_cache' que definimos no nginx.conf.
    proxy_cache zabbix_cache;
    # Adiciona um cabeçalho na resposta para podermos ver se o cache foi um HIT, MISS, ou BYPASS.
    add_header X-Proxy-Cache $upstream_cache_status;
-
+    # Regra geral: NÃO cachear nada por defeito. Isto protege todo o conteúdo dinâmico.
-    # Criamos uma variável $skip_cache. Por padrão, o seu valor é 0 ("não saltar o cache").
+    proxy_no_cache 1;
-    set $skip_cache 0;
+    proxy_cache_bypass 1;
    # Se a requisição usar o método POST (usado para submeter formulários, criar itens, etc.),
    # mudamos o valor da variável para 1 ("saltar o cache").
    if ($request_method = POST) {
        set $skip_cache 1;
    }
    # Diz ao Nginx para ignorar o cache se $skip_cache for 1.
    proxy_cache_bypass $skip_cache;
    # Diz ao Nginx para NÃO guardar a resposta no cache se $skip_cache for 1.
    proxy_no_cache $skip_cache;
    # --- REGRAS DE ROTEAMENTO (LOCATIONS) ---
    # O Nginx processa estas regras na ordem, procurando a mais específica.
-    # 1. LOCALIZAÇÃO PARA FICHEIROS ESTÁTICOS (CACHE ATIVADO)
+    # 1. Rota para Ficheiros Estáticos (Cache Agressivo)
-    # Captura requisições para ficheiros com extensões estáticas comuns.
+    # Apanha a "casca" da aplicação Zabbix para acelerar o carregamento.
-    location ~* \.(jpg|jpeg|gif|png|webp|svg|css|js|ico|woff2|ttf)$ {
+    location ~* \.(?:css|js|mjs|svg|gif|png|jpg|jpeg|ico|wasm|woff2?|ttf|eot)$ {
-        # ATIVA o cache para estes ficheiros, sobrescrevendo a regra geral.
+        include /etc/nginx/snippets/proxy_params.conf;
-        # Como as requisições para estes ficheiros são GET, $skip_cache será 0.
+        include /etc/nginx/snippets/cache_aggressive_static.conf;
        proxy_no_cache 0;
        proxy_cache_bypass 0;
        # Define que as respostas válidas (código 200) devem ser cacheadas por 60 minutos.
        proxy_cache_valid 200 60m;
        # Encaminha a requisição para o servidor Zabbix.
        proxy_pass http://172.16.254.11;
    }
-    # 2. LOCALIZAÇÃO PARA TODO O RESTO (PÁGINAS DINÂMICAS - SEM CACHE)
+    # 2. Rota Principal para a Aplicação (SEM CACHE)
-    # Esta localização captura todas as outras requisições (ex: zabbix.php, dashboard.php).
+    # Apanha todo o resto do tráfego (zabbix.php, dashboards, APIs, etc.).
    location / {
-        # Aqui, não definimos nenhuma regra de cache específica. Portanto, as regras
+        include /etc/nginx/snippets/proxy_params.conf;
-        # gerais do servidor são aplicadas. Se a requisição for um POST, $skip_cache
+        # Embora o Zabbix não use WebSockets de forma intensiva, incluir este snippet
-        # será 1 e o cache será ignorado. Se for um GET, o cache também será
+        # não prejudica e mantém a configuração padronizada.
-        # ignorado porque as regras gerais `proxy_no_cache 1` e `proxy_cache_bypass 1`
+        include /etc/nginx/snippets/websocket_params.conf;
        # do Zabbix não foram sobrescritas como fizemos para os ficheiros estáticos.
        # Encaminha a requisição para o servidor Zabbix.
        proxy_pass http://172.16.254.11;
    }
 }