cookbooks/imagery/templates/default/nginx_imagery.conf.erb

   1 server {
   2     listen 80;
   3     server_name <%= @name %> a.<%= @name %> b.<%= @name %> c.<%= @name %><% @aliases.each do |alias_name| %> <%= alias_name %> a.<%= alias_name %> b.<%= alias_name %> c.<%= alias_name %><%- end -%>;
   4
   5     rewrite ^/\.well-known/acme-challenge/(.*)$ http://acme.openstreetmap.org/.well-known/acme-challenge/$1 permanent;
   6     return 301 https://$host$request_uri;
   7 }
   8
   9 upstream <%= @name %>_fastcgi {
  10     server "unix:/var/run/mapserver-fastcgi/layer-<%= @name %>-0.socket" max_fails=0;
  11     server "unix:/var/run/mapserver-fastcgi/layer-<%= @name %>-1.socket" max_fails=0;
  12     server "unix:/var/run/mapserver-fastcgi/layer-<%= @name %>-2.socket" max_fails=0;
  13     server "unix:/var/run/mapserver-fastcgi/layer-<%= @name %>-3.socket" max_fails=0;
  14     server "unix:/var/run/mapserver-fastcgi/layer-<%= @name %>-4.socket" max_fails=0;
  15     server "unix:/var/run/mapserver-fastcgi/layer-<%= @name %>-5.socket" max_fails=0;
  16     server "unix:/var/run/mapserver-fastcgi/layer-<%= @name %>-6.socket" max_fails=0;
  17     server "unix:/var/run/mapserver-fastcgi/layer-<%= @name %>-7.socket" max_fails=0;
  18
  19     # Use default round-robin to distribute requests, rather than pick "fast" but maybe faulty.
  20     # Do not use keepalive
  21 }
  22
  23 server {
  24     listen 443 ssl http2;
  25     server_name <%= @name %> a.<%= @name %> b.<%= @name %> c.<%= @name %><% @aliases.each do |alias_name| %> <%= alias_name %> a.<%= alias_name %> b.<%= alias_name %> c.<%= alias_name %><%- end -%>;
  26
  27     ssl_certificate /etc/ssl/certs/<%= @name %>.pem;
  28     ssl_certificate_key /etc/ssl/private/<%= @name %>.key;
  29 <% if node[:ssl][:strict_transport_security] -%>
  30
  31     add_header Strict-Transport-Security "<%= node[:ssl][:strict_transport_security] %>" always;
  32 <% end -%>
  33
  34     # CSP report only policy
  35     add_header Content-Security-Policy-Report-Only "default-src 'none'; form-action 'none'; frame-ancestors 'none'; report-uri https://openstreetmap.report-uri.com/r/d/csp/wizard";
  36     # Add NEL reporting
  37     add_header Report-To "{\"group\":\"default\",\"max_age\":604800,\"endpoints\":[{\"url\":\"https://openstreetmap.report-uri.com/a/d/g\"}],\"include_subdomains\":true}";
  38     add_header NEL "{\"report_to\":\"default\",\"max_age\":604800,\"include_subdomains\":true}";
  39
  40     # Requests sent within early data are subject to replay attacks.
  41     # See: http://nginx.org/en/docs/http/ngx_http_ssl_module.html#ssl_early_data
  42     ssl_early_data on;
  43
  44     root "/srv/<%= @name %>";
  45
  46     gzip on;
  47     gzip_types text/plain text/css application/json application/javascript application/x-javascript text/javascript text/xml application/xml application/rss+xml application/atom+xml application/rdf+xml image/svg+xml; # text/html is implicit
  48     gzip_min_length 512;
  49     gzip_http_version 1.0;
  50     gzip_proxied any;
  51     gzip_comp_level 9;
  52     gzip_vary on;
  53
  54     # Include site imagery layers
  55     include /srv/imagery/nginx/<%= @name %>/layer-*.conf;
  56 }