]> git.openstreetmap.org Git - chef.git/blobdiff - cookbooks/imagery/templates/default/nginx_imagery.conf.erb
mail: fix typo on community.openstreetmap.org domain
[chef.git] / cookbooks / imagery / templates / default / nginx_imagery.conf.erb
index 9d21be6b03a1348678bd8fa4e5ee47145fb056f1..e1d33c7b67e90cc1a899777de79c87c42100de04 100644 (file)
@@ -1,6 +1,6 @@
 server {
+    listen 80;
     listen [::]:80;
-    listen *:80;
     server_name <%= @name %> a.<%= @name %> b.<%= @name %> c.<%= @name %><% @aliases.each do |alias_name| %> <%= alias_name %> a.<%= alias_name %> b.<%= alias_name %> c.<%= alias_name %><%- end -%>;
 
     rewrite ^/\.well-known/acme-challenge/(.*)$ http://acme.openstreetmap.org/.well-known/acme-challenge/$1 permanent;
@@ -9,19 +9,14 @@ server {
 
 upstream <%= @name %>_fastcgi {
     server "unix:/var/run/mapserver-fastcgi/layer-<%= @name %>.socket" max_fails=0;
-    server "unix:/var/run/mapserver-fastcgi/layer-<%= @name %>.socket" max_fails=0;
-    server "unix:/var/run/mapserver-fastcgi/layer-<%= @name %>.socket" max_fails=0;
-    server "unix:/var/run/mapserver-fastcgi/layer-<%= @name %>.socket" max_fails=0;
-    server "unix:/var/run/mapserver-fastcgi/layer-<%= @name %>.socket" max_fails=0;
-    server "unix:/var/run/mapserver-fastcgi/layer-<%= @name %>.socket" max_fails=0;
-    server "unix:/var/run/mapserver-fastcgi/layer-<%= @name %>.socket" max_fails=0;
-    server "unix:/var/run/mapserver-fastcgi/layer-<%= @name %>.socket" max_fails=0;
-    least_conn;
+
+    # Use default round-robin to distribute requests, rather than pick "fast" but maybe faulty.
+    # Do not use keepalive
 }
 
 server {
-    listen [::]:443 ssl;
-    listen *:443 ssl;
+    listen 443 ssl http2;
+    listen [::]:443 ssl http2;
     server_name <%= @name %> a.<%= @name %> b.<%= @name %> c.<%= @name %><% @aliases.each do |alias_name| %> <%= alias_name %> a.<%= alias_name %> b.<%= alias_name %> c.<%= alias_name %><%- end -%>;
 
     ssl_certificate /etc/ssl/certs/<%= @name %>.pem;
@@ -31,6 +26,10 @@ server {
     add_header Strict-Transport-Security "<%= node[:ssl][:strict_transport_security] %>" always;
 <% end -%>
 
+    # Requests sent within early data are subject to replay attacks.
+    # See: http://nginx.org/en/docs/http/ngx_http_ssl_module.html#ssl_early_data
+    ssl_early_data on;
+
     root "/srv/<%= @name %>";
 
     gzip on;
@@ -41,9 +40,6 @@ server {
     gzip_comp_level 9;
     gzip_vary on;
 
-    sendfile   on;
-    tcp_nopush on;
-
     # Include site imagery layers
     include /srv/imagery/nginx/<%= @name %>/layer-*.conf;
 }