]> git.openstreetmap.org Git - chef.git/blobdiff - cookbooks/imagery/templates/default/nginx_imagery.conf.erb
imagery: add additional upstream to allow backend retry
[chef.git] / cookbooks / imagery / templates / default / nginx_imagery.conf.erb
index 42994a6fca9f5c87797f35ebdd6f67eb61b82761..42ae9ac014b3a10b609adec40e0f1504fdb8e0cb 100644 (file)
@@ -1,22 +1,55 @@
 server {
-    listen       80;
-    server_name  <%= @name %> a.<%= @name %> b.<%= @name %> c.<%= @name %><% @aliases.each do |alias_name| %> <%= alias_name %><%- end -%>;
+    listen 80;
+    listen [::]:80;
+    server_name <%= @name %> a.<%= @name %> b.<%= @name %> c.<%= @name %><% @aliases.each do |alias_name| %> <%= alias_name %> a.<%= alias_name %> b.<%= alias_name %> c.<%= alias_name %><%- end -%>;
+
+    rewrite ^/\.well-known/acme-challenge/(.*)$ http://acme.openstreetmap.org/.well-known/acme-challenge/$1 permanent;
+    return 301 https://$host$request_uri;
+}
+
+<% if @uses_tiler -%>
+upstream <%= @name %>_tiler_backend {
+    server unix:/srv/imagery/sockets/titiler.sock max_fails=0;
+    server unix:/srv/./imagery/sockets/titiler.sock max_fails=0;
+}
+<% else -%>
+upstream <%= @name %>_fastcgi {
+    server "unix:/var/run/mapserver-fastcgi/layer-<%= @name %>.socket" max_fails=0;
+
+    # Use default round-robin to distribute requests, rather than pick "fast" but maybe faulty.
+    # Do not use keepalive
+}
+<% end -%>
+
+server {
+    listen 443 ssl http2;
+    listen [::]:443 ssl http2;
+    server_name <%= @name %> a.<%= @name %> b.<%= @name %> c.<%= @name %><% @aliases.each do |alias_name| %> <%= alias_name %> a.<%= alias_name %> b.<%= alias_name %> c.<%= alias_name %><%- end -%>;
+
+    http2_max_concurrent_streams 512;
+    keepalive_timeout 30s;
+
+    ssl_certificate /etc/ssl/certs/<%= @name %>.pem;
+    ssl_certificate_key /etc/ssl/private/<%= @name %>.key;
+<% if node[:ssl][:strict_transport_security] -%>
+
+    add_header Strict-Transport-Security "<%= node[:ssl][:strict_transport_security] %>" always;
+<% end -%>
+
+    # Requests sent within early data are subject to replay attacks.
+    # See: http://nginx.org/en/docs/http/ngx_http_ssl_module.html#ssl_early_data
+    ssl_early_data on;
 
     root "/srv/<%= @name %>";
 
     gzip on;
-    gzip_disable "msie6";
-    # text/html is implicit
-    gzip_types text/plain text/css application/json application/javascript application/x-javascript text/javascript text/xml application/xml application/rss+xml application/atom+xml application/rdf+xml image/svg+xml;
-    gzip_min_length 1024;
+    gzip_types text/plain text/css application/json application/javascript application/x-javascript text/javascript text/xml application/xml application/rss+xml application/atom+xml application/rdf+xml image/svg+xml; # text/html is implicit
+    gzip_min_length 512;
     gzip_http_version 1.0;
     gzip_proxied any;
-    gzip_comp_level 6;
+    gzip_comp_level 9;
     gzip_vary on;
 
-    sendfile   on;
-    tcp_nopush on;
-
     # Include site imagery layers
     include /srv/imagery/nginx/<%= @name %>/layer-*.conf;
 }