Телеграмм чат группы nginx

16:05пожаловаться #1

ок, принял

16:05пожаловаться #2

Второе - nginx наверное тоже должен ssl наружу торчать?
Зачем убрали ssl в listen 8020; ?

16:06пожаловаться #3

сертификаты описаны, а ssl не включен

16:06пожаловаться #4

Третье - у вас подсталвяются заголовки Upgrade и Connection, но в конфиге не представлен map, в котором $connection_upgrade проставляется в зависимости от наличия заголовка Upgrade

16:08пожаловаться #5

```

map $http_upgrade $connection_upgrade {
        default upgrade;
        '' close;
    }

```

16:08пожаловаться #6

Наверное будет лучше, если запускать python-сервер без ssl и на 127.0.0.1, а nginx-ом проксировать на http://127.0.0.1:8020

16:09пожаловаться #7

Зачем держать то, что скрывается, на публичном адресе?

16:10пожаловаться #8

Zudva Zudvin in nginx_ru

логично

16:11пожаловаться #9

согласен, исправлю

16:11пожаловаться #10

а Nginx не будет возмущаться от того, почему мы скачем с защищенного протокола на незащищенный, например, как это делают браузеры?

16:12пожаловаться #11

Anton in nginx_ru

кстати, будет ли полезным в upstream добавить keepalive , или для ws?

16:12пожаловаться #12

Zudva Zudvin in nginx_ru

прописанно в nginx.conf:

map $http_upgrade $connection_upgrade {
        default upgrade;
        '' close;
    }

16:13пожаловаться #13

на SO пишут, что добавлять нужно

16:13пожаловаться #14

Nginx в этом случае полностью полагается на своего администратора. Администратор обычно знает, что делает. По-умолчанию он игнорит валидность сертификатов бэкенда

16:13пожаловаться #15

keepalive в upstream - это не HTTP-шный keepalive

16:13пожаловаться #16

в upstream он обозначает количество соединений, которое надо установить заранее, даже когда нет ни одного клиента.

16:13пожаловаться #17