tilecache: switch port 80 traffic to nginx

[chef.git] / cookbooks / tilecache / templates / default / nginx_tile.conf.erb
diff --git a/cookbooks/tilecache/templates/default/nginx_tile.conf.erb b/cookbooks/tilecache/templates/default/nginx_tile.conf.erb

index c1f9956c9c693dbd2faea5c1ae53f745adc3dd65..d298fe98e0b4efa0e3e6094c0d03595bd8e5d1a3 100644 (file)
--- a/cookbooks/tilecache/templates/default/nginx_tile.conf.erb
+++ b/cookbooks/tilecache/templates/default/nginx_tile.conf.erb
@@ -1,21 +1,20 @@
  # DO NOT EDIT - This file is being maintained by Chef
  
  upstream tile_cache_backend {
  # DO NOT EDIT - This file is being maintained by Chef
  
  upstream tile_cache_backend {
-  server 127.0.0.1;
+  server 127.0.0.1:8080;
+  server 127.0.0.2:8080;
  
    # Add the other caches to relieve pressure if local squid failing
    # Balancer: round-robin
  <% @caches.each do |cache| -%>
  <% if cache[:hostname] != node[:hostname] -%>
  
    # Add the other caches to relieve pressure if local squid failing
    # Balancer: round-robin
  <% @caches.each do |cache| -%>
  <% if cache[:hostname] != node[:hostname] -%>
-<% if node[:tilecache][:tile_siblings].include? cache[:fqdn] -%>
  <% cache.ipaddresses(:family => :inet, :role => :external).sort.each do |address| -%>
  <% cache.ipaddresses(:family => :inet, :role => :external).sort.each do |address| -%>
-  server <%= address %> backup; # Server <%= cache[:hostname] %>
-<% end -%>
+  server <%= address %>:80 backup; # Server <%= cache[:hostname] %>
  <% end -%>
  <% end -%>
  <% end -%>
  
  <% end -%>
  <% end -%>
  <% end -%>
  
-  keepalive 1024;
+  keepalive 512;
    keepalive_requests 1024;
  }
  
    keepalive_requests 1024;
  }
  
@@ -71,25 +70,36 @@ map $http_referer $denied_referer {
    'http://osm.org'                 1; # Faked
  }
  
    'http://osm.org'                 1; # Faked
  }
  
+map $http_referer $osm_referer {
+  default                                 '';    # False
+  '~^https:\/\/www\.openstreetmap\.org\/' 'osm'; # True
+}
+
  # Limit Cache-Control header to only approved User-Agents
  # Limit Cache-Control header to only approved User-Agents
-map $http_user_agent $limit_http_cache_control {
-  default '';                              # Unset Header
-  '~^Mozilla\/5\.0\ QGIS\/' '';            # Unset Header
-  '~^Mozilla\/5\.0\ ' $http_cache_control; # Pass Header
+map $osm_referer$http_user_agent $limit_http_cache_control {
+  default '';                                # Unset Header
+  '~^osmMozilla\/5\.0\ QGIS\/' '';            # Unset Header
+  '~^osmMozilla\/5\.0\ ' $http_cache_control; # Pass Header
  }
  
  # Limit Pragma header to only approved User-Agents
  }
  
  # Limit Pragma header to only approved User-Agents
-map $http_user_agent $limit_http_pragma {
-  default '';                       # Unset Header
-  '~^Mozilla\/5\.0\ QGIS\/' '';     # Unset Header
-  '~^Mozilla\/5\.0\ ' $http_pragma; # Pass Header
+map $osm_referer$http_user_agent $limit_http_pragma {
+  default '';                          # Unset Header
+  '~^osmMozilla\/5\.0\ QGIS\/' '';     # Unset Header
+  '~^osmMozilla\/5\.0\ ' $http_pragma; # Pass Header
  }
  
  server {
  }
  
  server {
+    # IPv4
+    listen       80 deferred backlog=16384 reuseport fastopen=2048 default_server;
      listen       443 ssl deferred backlog=16384 reuseport fastopen=2048 http2 default_server;
      listen       443 ssl deferred backlog=16384 reuseport fastopen=2048 http2 default_server;
+    # IPv6
+    # listen       [::]:80 deferred backlog=16384 reuseport fastopen=2048 default_server;
+    # listen       [::]:443 ssl deferred backlog=16384 reuseport fastopen=2048 http2 default_server;
      server_name  localhost;
  
      proxy_buffers 8 64k;
      server_name  localhost;
  
      proxy_buffers 8 64k;
+    proxy_busy_buffers_size 64k;
  
      ssl_certificate      /etc/ssl/certs/tile.openstreetmap.org.pem;
      ssl_certificate_key  /etc/ssl/private/tile.openstreetmap.org.key;
  
      ssl_certificate      /etc/ssl/certs/tile.openstreetmap.org.pem;
      ssl_certificate_key  /etc/ssl/private/tile.openstreetmap.org.key;
@@ -164,7 +174,7 @@ server {
        return 404;
      }
  
        return 404;
      }
  
-<% for i in 0..13 do %>
+<% for i in 0..14 do %>
  <% if i == 0 -%>
      # Default Fallback Location Handler (lowest)
      location / {
  <% if i == 0 -%>
      # Default Fallback Location Handler (lowest)
      location / {
@@ -172,19 +182,39 @@ server {
      # Dedicated zoom handler for caching
      location /<%= i %>/ {
  <% end %>
      # Dedicated zoom handler for caching
      location /<%= i %>/ {
  <% end %>
+      # Only allow GET / HEAD / OPTIONS (CORS) requests
+      limit_except GET HEAD OPTIONS {
+        deny all;
+      }
+
        proxy_pass http://tile_cache_backend;
        proxy_set_header X-Forwarded-For $remote_addr;
        proxy_http_version 1.1;
        proxy_set_header Connection '';
  
        proxy_pass http://tile_cache_backend;
        proxy_set_header X-Forwarded-For $remote_addr;
        proxy_http_version 1.1;
        proxy_set_header Connection '';
  
-      proxy_connect_timeout 5s;
+      proxy_connect_timeout 10s;
  
  
-      # Preserve host header.
-      proxy_set_header Host $host;
+      # Replace host header.
+      proxy_set_header Host 'tile.openstreetmap.org';
        # Do not pass cookies to backends.
        proxy_set_header Cookie '';
        # Do not pass Accept-Encoding to backends.
        proxy_set_header Accept-Encoding '';
        # Do not pass cookies to backends.
        proxy_set_header Cookie '';
        # Do not pass Accept-Encoding to backends.
        proxy_set_header Accept-Encoding '';
+      # Do not pass Accept to backends.
+      proxy_set_header Accept '';
+      # Do not pass Accept-Language to backends as unused.
+      proxy_set_header Accept-Language '';
+      proxy_set_header Accept-Charset '';
+      # Do not send origin, we allow all.
+      proxy_set_header origin '';
+      # Do not pass invalid headers to backend.
+      proxy_set_header X-Forwarded-Host '';
+      proxy_set_header X-Host '';
+      proxy_set_header Authorization '';
+      proxy_set_header Proxy-Authorization '';
+
+      # Drop partial requests
+      proxy_set_header range '';
  
        # Do not allow setting cookies from backends due to caching.
        proxy_ignore_headers Set-Cookie;
  
        # Do not allow setting cookies from backends due to caching.
        proxy_ignore_headers Set-Cookie;
@@ -200,9 +230,11 @@ server {
        proxy_cache_use_stale error timeout updating http_500 http_503 http_504;
        # If in cache as stale, serve stale and update in background
        proxy_cache_background_update on;
        proxy_cache_use_stale error timeout updating http_500 http_503 http_504;
        # If in cache as stale, serve stale and update in background
        proxy_cache_background_update on;
+      # Enable revalidation using If-Modified-Since and If-None-Match for stale items
+      proxy_cache_revalidate on;
        proxy_cache_min_uses 8;
  
        proxy_cache_min_uses 8;
  
-      add_header X-Nginx-Cache-Status $upstream_cache_status;
+      add_header x-cache-status $upstream_cache_status;
  <% end -%>
  
        # Set a QoS cookie if none presented (uses nginx Map)
  <% end -%>
  
        # Set a QoS cookie if none presented (uses nginx Map)