Nginx 리버스 프록시 설정
백엔드 애플리케이션을 위한 Nginx 리버스 프록시 설정 템플릿입니다. SSL/TLS, WebSocket 지원, 로드밸런싱, 캐싱, 속도 제한을 포함합니다.
# /etc/nginx/sites-available/app.conf
# 백엔드 애플리케이션용 Nginx 리버스 프록시 설정
# 속도 제한 존 정의 (IP당 분당 60회 요청)
limit_req_zone $binary_remote_addr zone=api_limit:10m rate=60r/m;
# 업스트림 백엔드 풀 (로드밸런싱)
upstream backend_pool {
# least_conn: 가장 연결이 적은 서버로 분산
least_conn;
server 127.0.0.1:3000 weight=3 max_fails=3 fail_timeout=30s;
server 127.0.0.1:3001 weight=2 max_fails=3 fail_timeout=30s;
server 127.0.0.1:3002 weight=1 backup; # 백업 서버
# 연결 유지 설정
keepalive 32;
}
# HTTP → HTTPS 리디렉션
server {
listen 80;
listen [::]:80;
server_name example.com www.example.com;
# Let's Encrypt 인증서 갱신을 위한 예외
location /.well-known/acme-challenge/ {
root /var/www/certbot;
}
# 모든 HTTP 요청을 HTTPS로 영구 리디렉션
location / {
return 301 https://$host$request_uri;
}
}
# HTTPS 메인 서버 블록
server {
listen 443 ssl http2;
listen [::]:443 ssl http2;
server_name example.com www.example.com;
# SSL/TLS 인증서 경로
ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;
ssl_trusted_certificate /etc/letsencrypt/live/example.com/chain.pem;
# TLS 프로토콜 및 암호화 스위트 (Mozilla Modern 권장)
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384;
ssl_prefer_server_ciphers off;
# SSL 세션 캐시로 핸드셰이크 비용 절감
ssl_session_cache shared:SSL:10m;
ssl_session_timeout 1d;
ssl_session_tickets off;
# OCSP Stapling (인증서 유효성 검사 성능 향상)
ssl_stapling on;
ssl_stapling_verify on;
resolver 1.1.1.1 8.8.8.8 valid=300s;
# 보안 헤더
add_header Strict-Transport-Security "max-age=63072000; includeSubDomains; preload" always;
add_header X-Content-Type-Options "nosniff" always;
add_header X-Frame-Options "SAMEORIGIN" always;
add_header X-XSS-Protection "1; mode=block" always;
add_header Referrer-Policy "strict-origin-when-cross-origin" always;
# gzip 압축 (텍스트 기반 응답 용량 절감)
gzip on;
gzip_vary on;
gzip_proxied any;
gzip_comp_level 6;
gzip_types text/plain text/css application/json application/javascript text/xml application/xml image/svg+xml;
# 로그 설정
access_log /var/log/nginx/app_access.log combined;
error_log /var/log/nginx/app_error.log warn;
# 정적 파일 서빙 및 캐싱
location /static/ {
alias /var/www/app/static/;
expires 30d;
add_header Cache-Control "public, immutable";
access_log off;
}
# WebSocket 엔드포인트 (업그레이드 헤더 처리)
location /ws/ {
proxy_pass http://backend_pool;
proxy_http_version 1.1;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection "upgrade";
proxy_set_header Host $host;
proxy_read_timeout 3600s; # WebSocket 장기 연결 유지
proxy_send_timeout 3600s;
}
# API 엔드포인트 (속도 제한 적용)
location /api/ {
limit_req zone=api_limit burst=20 nodelay;
limit_req_status 429;
proxy_pass http://backend_pool;
proxy_http_version 1.1;
proxy_set_header Connection ""; # keepalive를 위해 빈 값으로 초기화
# 실제 클라이언트 IP 전달
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header Host $host;
# 프록시 타임아웃
proxy_connect_timeout 10s;
proxy_send_timeout 60s;
proxy_read_timeout 60s;
# 버퍼 설정 (대용량 응답 처리)
proxy_buffering on;
proxy_buffer_size 8k;
proxy_buffers 16 8k;
}
# 메인 애플리케이션
location / {
proxy_pass http://backend_pool;
proxy_http_version 1.1;
proxy_set_header Connection "";
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header Host $host;
# 백엔드 오류 시 커스텀 에러 페이지
proxy_intercept_errors on;
error_page 502 503 504 /50x.html;
}
location = /50x.html {
root /var/www/errors;
internal;
}
}