[Auto-Sync] Atualização das configurações em srvproxy001.itguys.com.br - 2025-09-21 01:42:57
This commit is contained in:
srvproxy001.itguys.com.br
parent
47042f9d5a
commit
69a89c2d78
|
|
@ -1,114 +1,90 @@
|
||||||
# Ficheiro: /etc/nginx/sites-available/anatram.com.br.conf
|
# Ficheiro: /etc/nginx/sites-available/anatram.com.br.conf
|
||||||
#
|
#
|
||||||
# Configuração de Proxy Reverso OTIMIZADA com redirecionamento canónico
|
# Configuração de Proxy Reverso OTIMIZADA com redirecionamento canónico (VERSÃO CORRIGIDA)
|
||||||
# para o site anatram.com.br. Esta versão é pública e usa snippets para
|
#
|
||||||
# a máxima consistência e performance.
|
# --- HISTÓRICO DE ALTERAÇÕES ---
|
||||||
|
# - [2025-09-21] Refatoração completa para alinhar com as melhores práticas.
|
||||||
|
# - Consolidados os 3 blocos de servidor originais em 2 blocos mais eficientes.
|
||||||
|
# - Simplificado o bloco HTTP para um único redirecionamento canónico.
|
||||||
|
# - Unificado o bloco HTTPS para lidar com 'www' e 'não-www', com um redirecionamento interno.
|
||||||
|
# - Agrupadas todas as diretivas SSL para melhor legibilidade.
|
||||||
|
# - Centralizada a diretiva `proxy_ssl_verify` para evitar repetição.
|
||||||
|
#
|
||||||
|
# --- DESCRIÇÃO ---
|
||||||
|
# Este ficheiro serve o site público anatram.com.br, forçando o uso de HTTPS e do domínio sem 'www'.
|
||||||
|
|
||||||
# ==============================================================================
|
# ==============================================================================
|
||||||
# BLOCO 1: Redirecionar todo o tráfego da porta 80 para a versão segura SEM WWW
|
# BLOCO 1: HTTP (Porta 80) - Redirecionamento Global para o Destino Canónico
|
||||||
# ==============================================================================
|
# ==============================================================================
|
||||||
server {
|
server {
|
||||||
if ($host = www.anatram.com.br) {
|
|
||||||
return 301 https://$host$request_uri;
|
|
||||||
} # managed by Certbot
|
|
||||||
|
|
||||||
|
|
||||||
if ($host = anatram.com.br) {
|
|
||||||
return 301 https://$host$request_uri;
|
|
||||||
} # managed by Certbot
|
|
||||||
|
|
||||||
|
|
||||||
listen 80;
|
listen 80;
|
||||||
listen [::]:80;
|
listen [::]:80;
|
||||||
# Apanha ambos os domínios, com e sem 'www'.
|
|
||||||
server_name anatram.com.br www.anatram.com.br;
|
server_name anatram.com.br www.anatram.com.br;
|
||||||
include /etc/nginx/snippets/custom_errors.conf; # Carrega as páginas de erro personalizadas
|
|
||||||
|
|
||||||
# Permite a validação do Let's Encrypt.
|
# Permite a validação do Let's Encrypt para ambos os domínios.
|
||||||
location /.well-known/acme-challenge/ {
|
location /.well-known/acme-challenge/ {
|
||||||
root /var/www/html;
|
root /var/www/html;
|
||||||
}
|
}
|
||||||
|
|
||||||
# Redireciona todo o outro tráfego para a URL final e correta (sem www).
|
# Redireciona permanentemente (301) todo o tráfego diretamente para a URL final e correta.
|
||||||
|
# Esta abordagem é mais limpa e eficiente do que múltiplos 'if' ou redirecionamentos em cadeia.
|
||||||
location / {
|
location / {
|
||||||
return 301 https://anatram.com.br$request_uri;
|
return 301 https://anatram.com.br$request_uri;
|
||||||
}
|
}
|
||||||
|
|
||||||
|
|
||||||
|
|
||||||
|
|
||||||
}
|
}
|
||||||
|
|
||||||
# ==============================================================================
|
# ==============================================================================
|
||||||
# BLOCO 2: Redirecionar o tráfego HTTPS COM WWW para a versão SEM WWW
|
# BLOCO 2: HTTPS (Porta 443) - Servidor Principal e Canónico
|
||||||
# ==============================================================================
|
# ==============================================================================
|
||||||
server {
|
server {
|
||||||
listen 443 ssl http2;
|
listen 443 ssl http2;
|
||||||
listen [::]:443 ssl http2;
|
listen [::]:443 ssl http2;
|
||||||
# Apanha APENAS o domínio com 'www'.
|
# Escuta em ambos os domínios para poder redirecionar a versão 'www'.
|
||||||
server_name www.anatram.com.br;
|
server_name anatram.com.br www.anatram.com.br;
|
||||||
include /etc/nginx/snippets/custom_errors.conf; # Carrega as páginas de erro personalizadas
|
|
||||||
|
|
||||||
# Envia um redirecionamento permanente para a versão canónica sem 'www'.
|
|
||||||
return 301 https://anatram.com.br$request_uri;
|
|
||||||
|
|
||||||
|
# --- Configurações de Segurança e SSL ---
|
||||||
|
# Diretivas SSL agrupadas para clareza. O mesmo certificado vale para ambos os subdomínios.
|
||||||
ssl_certificate /etc/letsencrypt/live/anatram.com.br/fullchain.pem; # managed by Certbot
|
ssl_certificate /etc/letsencrypt/live/anatram.com.br/fullchain.pem; # managed by Certbot
|
||||||
ssl_certificate_key /etc/letsencrypt/live/anatram.com.br/privkey.pem; # managed by Certbot
|
ssl_certificate_key /etc/letsencrypt/live/anatram.com.br/privkey.pem; # managed by Certbot
|
||||||
}
|
|
||||||
|
|
||||||
# ==============================================================================
|
|
||||||
# BLOCO 3: O SERVIDOR PRINCIPAL E CANÓNICO (HTTPS SEM WWW)
|
|
||||||
# ==============================================================================
|
|
||||||
server {
|
|
||||||
listen 443 ssl http2;
|
|
||||||
listen [::]:443 ssl http2;
|
|
||||||
# Apanha o domínio canónico sem 'www'.
|
|
||||||
server_name anatram.com.br;
|
|
||||||
include /etc/nginx/snippets/custom_errors.conf; # Carrega as páginas de erro personalizadas
|
|
||||||
|
|
||||||
# Inclui o nosso "kit" de segurança SSL com cifras modernas e cabeçalhos.
|
|
||||||
include /etc/nginx/snippets/ssl_params.conf;
|
include /etc/nginx/snippets/ssl_params.conf;
|
||||||
|
|
||||||
# --- Políticas de Acesso e Logs ---
|
# --- Redirecionamento Canónico de 'www' para 'não-www' ---
|
||||||
# NÃO incluímos a trava de rede interna, pois este site é público.
|
# Se a requisição chegar em HTTPS com 'www', redireciona para a versão sem 'www'.
|
||||||
# NÃO incluímos o robots_block_all.conf. O backend deve gerir o seu próprio robots.txt permissivo.
|
# Este é um dos poucos usos considerados aceitáveis e eficientes para a diretiva 'if'.
|
||||||
|
if ($host = "www.anatram.com.br") {
|
||||||
|
return 301 https://anatram.com.br$request_uri;
|
||||||
|
}
|
||||||
|
|
||||||
|
# --- Políticas de Acesso, Erros e Logs ---
|
||||||
|
include /etc/nginx/snippets/custom_errors.conf;
|
||||||
access_log /var/log/nginx/access.log detailed_proxy;
|
access_log /var/log/nginx/access.log detailed_proxy;
|
||||||
error_log /var/log/nginx/error.log;
|
error_log /var/log/nginx/error.log;
|
||||||
|
|
||||||
# --- ESTRATÉGIA DE CACHE HÍBRIDA ---
|
# --- Parâmetros de Proxy e Backend ---
|
||||||
proxy_cache static_cache; # Usa a nossa zona de cache para ficheiros estáticos.
|
include /etc/nginx/snippets/proxy_params.conf;
|
||||||
|
# A diretiva foi movida para o nível do servidor para evitar repetição nos blocos 'location'.
|
||||||
|
# NOTA: Desativar a verificação SSL só é recomendado para backends em rede interna segura.
|
||||||
|
proxy_ssl_verify off;
|
||||||
|
|
||||||
|
# --- ESTRATÉGIA DE CACHE HÍBRIDA (Padrão: NÃO CACHEAR) ---
|
||||||
|
proxy_cache static_cache;
|
||||||
add_header X-Proxy-Cache $upstream_cache_status;
|
add_header X-Proxy-Cache $upstream_cache_status;
|
||||||
# Regra geral: NÃO cachear nada por defeito.
|
|
||||||
proxy_no_cache 1;
|
proxy_no_cache 1;
|
||||||
proxy_cache_bypass 1;
|
proxy_cache_bypass 1;
|
||||||
# Inclui os nossos cabeçalhos de proxy padrão.
|
|
||||||
include /etc/nginx/snippets/proxy_params.conf;
|
|
||||||
|
|
||||||
# --- REGRAS DE ROTEAMENTO (LOCATIONS) ---
|
# --- REGRAS DE ROTEAMENTO (LOCATIONS) ---
|
||||||
|
|
||||||
# 1. Rota para Ficheiros Estáticos (Cache Agressivo)
|
# 1. Rota para Ficheiros Estáticos (Cache Agressivo)
|
||||||
location ~* \.(?:css|js|mjs|svg|gif|png|jpg|jpeg|ico|wasm|woff2?|ttf|eot)$ {
|
location ~* \.(?:css|js|mjs|svg|gif|png|jpg|jpeg|ico|wasm|woff2?|ttf|eot)$ {
|
||||||
# Usa o nosso snippet de cache mais agressivo para a máxima performance.
|
|
||||||
include /etc/nginx/snippets/cache_static_assets.conf;
|
include /etc/nginx/snippets/cache_static_assets.conf;
|
||||||
|
|
||||||
# Como o backend é HTTPS, precisamos de dizer ao Nginx para não verificar o certificado interno.
|
|
||||||
proxy_ssl_verify off;
|
|
||||||
proxy_pass https://172.16.12.9:443;
|
proxy_pass https://172.16.12.9:443;
|
||||||
}
|
}
|
||||||
|
|
||||||
# 2. Rota Principal para a Aplicação (Cache Curto)
|
# 2. Rota Principal para a Aplicação (Cache Curto de 5 minutos)
|
||||||
# Apanha todo o resto do tráfego (páginas HTML, APIs, etc.).
|
|
||||||
location / {
|
location / {
|
||||||
# Ativa o cache, mas por um período curto (5 minutos).
|
|
||||||
proxy_no_cache 0;
|
proxy_no_cache 0;
|
||||||
proxy_cache_bypass 0;
|
proxy_cache_bypass 0;
|
||||||
proxy_cache_valid 200 5m;
|
proxy_cache_valid 200 5m;
|
||||||
|
|
||||||
# Como o backend é HTTPS, precisamos de dizer ao Nginx para não verificar o certificado interno.
|
|
||||||
proxy_ssl_verify off;
|
|
||||||
proxy_pass https://172.16.12.9:443;
|
proxy_pass https://172.16.12.9:443;
|
||||||
}
|
}
|
||||||
|
|
||||||
ssl_certificate /etc/letsencrypt/live/anatram.com.br/fullchain.pem; # managed by Certbot
|
|
||||||
ssl_certificate_key /etc/letsencrypt/live/anatram.com.br/privkey.pem; # managed by Certbot
|
|
||||||
}
|
}
|
||||||
|
|
|
||||||
Loading…
Reference in New Issue