[Auto-Sync] Atualização das configurações em srvproxy001.itguys.com.br - 2025-09-23 13:51:48
This commit is contained in:
srvproxy001.itguys.com.br
parent
50bc472653
commit
698fe9146e
|
|
@ -0,0 +1,154 @@
|
|||
# ARQUIVO: /etc/nginx/sites-available/cloud.grupopralog.com.br.conf
|
||||
# DATA DA ALTERAÇÃO: 2025-09-23 13:49
|
||||
#
|
||||
# AUDITORIA E CORREÇÃO DE CONFIGURAÇÃO UNIFICADA PARA NEXTCLOUD + OFFICE ONLINE
|
||||
# VERSÃO: 5.0
|
||||
#
|
||||
# EXPLICAÇÕES GERAIS:
|
||||
#
|
||||
# 1. ARQUITETURA UNIFICADA:
|
||||
# - Este arquivo agora serve como o único ponto de entrada para os usuários.
|
||||
# Ele recebe todas as requisições em 'cloud.grupopralog.com.br' e as
|
||||
# distribui para o backend correto (Nextcloud ou Office Online) com base na URL.
|
||||
# Isso simplifica a gestão de certificados SSL e a configuração geral.
|
||||
#
|
||||
# 2. UPSTREAMS COM IP DIRETO:
|
||||
# - Os upstreams agora usam os IPs internos dos servidores de backend.
|
||||
# Isso é mais rápido e confiável do que usar nomes DNS que precisam ser resolvidos.
|
||||
#
|
||||
# 3. PARÂMETROS SSL/TLS INTEGRADOS:
|
||||
# - O 'include' para 'ssl_params.conf' foi removido. As melhores práticas de
|
||||
# segurança para SSL/TLS foram adicionadas diretamente neste arquivo,
|
||||
# garantindo que a configuração seja auto-contida e explícita.
|
||||
#
|
||||
# 4. CORREÇÃO DO PROXY DO OFFICE ONLINE (PONTO CRÍTICO):
|
||||
# - O cabeçalho 'Host' agora é definido como '$proxy_host'. Esta variável
|
||||
# contém o nome ou IP definido no bloco 'upstream', que é o que o servidor
|
||||
# de backend (em HTTP) espera receber. Isso corrige o loop de redirecionamento.
|
||||
# - A lógica completa de tratamento de CORS para as requisições 'OPTIONS' foi
|
||||
# adicionada a este bloco, resolvendo os erros no navegador.
|
||||
# - Foram adicionados os cabeçalhos para suporte a WebSockets, necessários para
|
||||
# a edição colaborativa.
|
||||
#
|
||||
# 5. BLOCO NEXTCLOUD:
|
||||
# - A rota principal '/' continua direcionando para o Nextcloud, com todas as
|
||||
# configurações de proxy recomendadas para seu correto funcionamento.
|
||||
|
||||
# ------------------------------------------------------------------------------
|
||||
# A. UPSTREAMS - Bloco 2
|
||||
# ------------------------------------------------------------------------------
|
||||
upstream nextcloud_backend {
|
||||
server 172.16.253.12;
|
||||
}
|
||||
|
||||
# Usando o IP interno do servidor Office Online para melhor performance e confiabilidade.
|
||||
upstream officeonline_backend {
|
||||
server 172.16.253.101;
|
||||
}
|
||||
|
||||
# ==============================================================================
|
||||
# B. BLOCO HTTP: Redirecionar para HTTPS
|
||||
# ==============================================================================
|
||||
server {
|
||||
listen 80;
|
||||
listen [::]:80;
|
||||
server_name cloud.grupopralog.com.br;
|
||||
|
||||
location /.well-known/acme-challenge/ {
|
||||
root /var/www/html;
|
||||
}
|
||||
|
||||
location / {
|
||||
return 301 https://$host$request_uri;
|
||||
}
|
||||
}
|
||||
|
||||
# ==============================================================================
|
||||
# C. BLOCO HTTPS: Servidor Principal Unificado
|
||||
# ==============================================================================
|
||||
server {
|
||||
listen 443 ssl http2;
|
||||
listen [::]:443 ssl http2;
|
||||
server_name cloud.grupopralog.com.br;
|
||||
|
||||
client_max_body_size 10G;
|
||||
access_log /var/log/nginx/access.log detailed_proxy;
|
||||
error_log /var/log/nginx/error.log;
|
||||
|
||||
# --- Bloco 3: Parâmetros de SSL/TLS Integrados ---
|
||||
ssl_certificate /etc/letsencrypt/live/cloud.grupopralog.com.br/fullchain.pem;
|
||||
ssl_certificate_key /etc/letsencrypt/live/cloud.grupopralog.com.br/privkey.pem;
|
||||
|
||||
ssl_protocols TLSv1.2 TLSv1.3;
|
||||
ssl_prefer_server_ciphers on;
|
||||
ssl_ciphers "EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH";
|
||||
ssl_ecdh_curve secp384r1;
|
||||
ssl_session_cache shared:SSL:50m; # Mantendo 50m para consistência com o resto do servidor
|
||||
ssl_session_timeout 10m;
|
||||
|
||||
# --- Cabeçalhos de Segurança ---
|
||||
add_header Strict-Transport-Security "max-age=15552000; includeSubDomains" always;
|
||||
add_header X-Content-Type-Options "nosniff" always;
|
||||
add_header X-XSS-Protection "1; mode=block" always;
|
||||
add_header X-Frame-Options "SAMEORIGIN" always; # Importante para Nextcloud
|
||||
|
||||
# --------------------------------------------------------------------------
|
||||
# H. ROTAS ESPECÍFICAS (LOCATIONS)
|
||||
# --------------------------------------------------------------------------
|
||||
location = /.well-known/carddav { return 301 $scheme://$host/remote.php/dav; }
|
||||
location = /.well-known/caldav { return 301 $scheme://$host/remote.php/dav; }
|
||||
|
||||
# ==========================================================================
|
||||
# BLOCO DO OFFICE ONLINE CORRIGIDO - Bloco 4
|
||||
# ==========================================================================
|
||||
location ~ ^/(m|x|we|wv|op/view) {
|
||||
# Tratamento de CORS para permitir requisições do navegador
|
||||
if ($request_method = 'OPTIONS') {
|
||||
add_header 'Access-Control-Allow-Origin' "$scheme://$http_host";
|
||||
add_header 'Access-Control-Allow-Methods' 'GET, POST, OPTIONS, HEAD';
|
||||
add_header 'Access-Control-Allow-Headers' 'Authorization, Content-Type, Accept, Origin, User-Agent, DNT, Cache-Control, X-Mx-ReqToken, Keep-Alive, X-Requested-With, If-Modified-Since';
|
||||
add_header 'Access-Control-Allow-Credentials' 'true';
|
||||
add_header 'Access-Control-Max-Age' 1728000;
|
||||
return 204;
|
||||
}
|
||||
|
||||
add_header 'Access-Control-Allow-Origin' "$scheme://$http_host" always;
|
||||
add_header 'Access-Control-Allow-Credentials' 'true' always;
|
||||
|
||||
# Proxy para o backend do Office Online
|
||||
proxy_pass http://officeonline_backend;
|
||||
|
||||
# Cabeçalhos de proxy CORRIGIDOS
|
||||
proxy_set_header Host $proxy_host; # CORREÇÃO CRÍTICA
|
||||
proxy_set_header X-Real-IP $remote_addr;
|
||||
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
|
||||
proxy_set_header X-Forwarded-Proto $scheme;
|
||||
proxy_set_header X-Forwarded-Host $host;
|
||||
|
||||
# Cabeçalhos para WebSockets (edição colaborativa)
|
||||
proxy_http_version 1.1;
|
||||
proxy_set_header Upgrade $http_upgrade;
|
||||
proxy_set_header Connection "upgrade";
|
||||
}
|
||||
|
||||
# --------------------------------------------------------------------------
|
||||
# Rota Principal da Aplicação Nextcloud - Bloco 5
|
||||
# --------------------------------------------------------------------------
|
||||
location / {
|
||||
proxy_pass http://nextcloud_backend;
|
||||
|
||||
proxy_set_header Host $host;
|
||||
proxy_set_header X-Real-IP $remote_addr;
|
||||
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
|
||||
proxy_set_header X-Forwarded-Proto $scheme;
|
||||
proxy_set_header X-Forwarded-Host $host;
|
||||
proxy_set_header X-Forwarded-Port $server_port;
|
||||
|
||||
proxy_http_version 1.1;
|
||||
proxy_connect_timeout 60s;
|
||||
proxy_read_timeout 3600s;
|
||||
proxy_send_timeout 3600s;
|
||||
proxy_buffering off;
|
||||
proxy_request_buffering off;
|
||||
}
|
||||
}
|
||||
Loading…
Reference in New Issue