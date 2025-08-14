|
> автоматизации запроса, получения и обновления сертификатов
Уже слишком поздно. В современных серверах такой функционал был годами, и вряд ли щас все кинутся обратно в нгинкс, лишь потому что он наконец проявил какие-то редкие признаки современности. Нгинкс всё.
А какие есть плюсы у nginx в настоящее время? Раньше-то понятно, если сравнивать с апачем
Плюсы у nginx сейчас такие же, как и раньше: тянет тысячи и тысячи запросов в секунду, при этом PHP не падает, а вот на apache очень даже падает. Делал высоканагруженные приложения на PHP и мне еще ни разу удалось нормально завести свою разработку на apche, а вот на nginx все без проблем работает, т. е. это все личный опыт.
P. S. И вот не надо мне тут, что я не умею настраивать apche, все я умею, в свое время все конфиги и все нюансы изучил пытаясь подкрутить его.
У нгинха внезапно нет php, есть только интерфейс к fpm. На апаче тоже можно mpm_event завести и дальше mod_proxy к fpm, в итоге будет не сильно нагруженнее нгинха.
И да, ты действительно не умеешь крутить апач.
Почему, есть, называется nginx unit, только это совсем другой продукт. Кстати довольно неплохой.
Нафига тебе тысячи и тысячи запросов index.html с диска? Или ты про robots.txt?
т.е. ты жопу вытирал сначала левой рукой, потом правой и пришел к выводу, что от редьки тебя пучит меньше, чем от гороха?
PHP и высоконагруженное приложение уже смешно звучит! :)
2006-2010 ещё прошло бы, но не в 2025!
> А какие есть плюсы у nginx в настоящее время?
Я бы сказал так: какие бы плюсы ни были у альтернативных решений, им всем сопутствует потеря производительности на 20-40% относительно nginx.
а чем, кстати, в этом сезоне модно раздавать статику и дергать бэкенды?
в этом сезоне немодно статику. Жизненно необходимо favicon.ico хранить в amazon s3!
А где ж ещё его хранить? На железном сервере с линуксом и сабжем? Ух, сейчас бы статические ресурсы не через cdn раздавать. Вам что, реально так нравится сервера админить?
> сейчас бы
палишься, додик из нулевых
сходи на улицу погуляй, потрогай девочку за сиську, или мальчика за письку, и до тебя дойдёт, что жить можно, не спуская всю зарплату на 25 разных подписок, как тебя учили с детства рекламные баннеры
> а чем, кстати, в этом сезоне модно раздавать статику и дергать бэкенды?
Астрологи объявили неделю моды на раздачу статики через NodeJS:
NodeJS -- даёшь по ядру на каждые 10 rps!
а что сейчас модно деплоить в джава-голанг-кластеры среди аркитект-кидди, чтобы был хайлоад, как в настоящщих подкастах, пока мамка руки не поотбивала?
> предварительный выпуск модуля ngx_http_acme
это конечно всё очень интересно, но во-первых там всего лишь http-челлендж поддерживается, а dns-челлендж в большинстве случаев куда удобнее, а во-вторых, как они себе представляют дальнейшее добавление dns-челленджей без ущерба безопасности nginx-а? Всё-таки подобные вещи лучше держать за пределами веб-сервера.
как ты себе представляешь dns-01 в веб-сервере?
> а dns-челлендж в большинстве случаев куда удобнее
в большинстве случаев он совершенно излишен.
Необходимо и достаточно для 99% сайтов-однодневок автоматически получить совершенно им ненужный сертификат и так же автоматически его обновить через пол-дня согласно новым улучшенным требованиям. И всьо.
А для обработки платежей неплохо бы хранить ключи не в /tmp с правами 666, для начала. И может быть даже, о ужас, зашифрованными и с ручной разблокировкой. Хотя, конечно, на самом деле все равно свалят в /tmp и сделают "ЧМОД" а потом еще в гитляп и шитхап закомитят для надежности. А тогда нафига было стараться и с основным сайтом-то?
dns-01 в веб-сервере можно сделать, дергая API dns-сервера (ограничившись dns-серверами, где API есть). Тут бы вполне пригодился njs, чтобы не писать плагины на C/Rust под каждый API.
если у тебя есть доступ к этому апи у веб-мордочки - у тебя уже все плохо.
многие думают, что апи существует для того, чтобы дергать его из любого места :)
> многие думают, что апи существует для того, чтобы дергать его из любого
> места :)
оно потом _оказывается_ что так и есть ;-)
> оно потом _оказывается_ что так и есть ;-)
для публичных апи может и быть, менеджмент апи - нет, сугубо приватное (изолированное от несанкционированного доступа).
А там не надо доступ к апи у веб-мордочки. Там надо доступ у основного процесса мордочки, юзеры в него не смотрят. Ну и даже если проломится до рута - а чего оно кроме единственного TXT подёргает-то...
Мне больше нравится само наличие ключей от ACME в контексте вёб-мордочки, поэтому я эти механизмы не использую вообще, генерацией сертификатов занимается совершенно отдельный сервис, который как раз DNS может подёргать, и уже потом их апдейтит в вебню.
> занимается совершенно отдельный сервис
разделение труда :) эй нджинкс, завари ка чаю
> как ты себе представляешь dns-01 в веб-сервере?
Да элементарно, можно таки dynamic update подёргать. Тот же вайлдкард без dns-01 не выпихать.
> Да элементарно, можно таки dynamic update подёргать.
я бы предпочел чтобы веб-сервер таки не имел доступа ни к каким dynamic updates. И вот особенно - основного домена самого веб-сервера (авторам идеи надо было бы кол в бошку вбить за то что они не додумались выделить субдомен для своих игрищ и еще и запихали запрещенный символ в имя записи)
> Тот же вайлдкард без dns-01 не выпихать.
тот же вайлдкард низачем и не нужен при автоматизированном получении стольких сертификатов сколько душа жаждет.
Он был нужен прежде всего чтобы сэкономить усилия (и еще немножечко вредить). А машина - она железная.
Ды ладно, why not. Разрешить вот конкретный _acme_challenge TXT подёргать - невелика беда. Тем более, что это не в контексте пользователя в том же апаче будет дёргаться, а в контексте основного процесса.
> тот же вайлдкард низачем и не нужен при автоматизированном получении стольких сертификатов
Сейчас если лучшая идиотская идея в виде срока жизни в 30 дней пройдёт - уже будет нужен...
> я бы предпочел чтобы
я помню времена когда бинд (нейм сервер) и апач на одном сервере крутились :)))))
> тот же вайлдкард низачем и не нужен при автоматизированном получении стольких сертификатов сколько душа жаждет
Ровно до тех пор, пока ты не захочешь, чтобы домен не светился в логах Certificate Transparency.
>> а dns-челлендж в большинстве случаев куда удобнее
> в большинстве случаев он совершенно излишен...
...там, где работает полтора землекопа.
А что, если у тебя домен для приватной сети, и торчать в мир он в принципе не должен?
А что, если ты хочешь выставить в мир домен, но ты не хочешь, чтобы мир об этом домене узнал?
А что, если тебе нужно выписать сертификат в kubernetes, ingress-контроллер которого находится за балансером с proxy-protocol-ом? (см. [1])
Чтобы не страдать в описанных выше случаях -- возьмите себе на вооружение сразу и для всего использовать DNS-01.
[1] https://github.com/compumike/hairpin-proxy?tab=readme-ov-file#the-problem
> с использованием SDK NGINX-Rust
"И ты Брут!" Всё, для меня этот зашкварный сервер больше не существует.
Ну так он живёт этим - круглосуточно админит дырявые поделия, с понедельника по пятницу и иногда по выходным (когда нужен благовидный предлог чтобы из дома свалить), было что писать начальству в отчеты, причём всегда "виноват не я! Это разработчики не настоящие, а руко}|{опые погромизды, одни CVEшки пишуть! А другого подходящего софта у меня для вас нет!". А теперь появилась угроза - после первоначальной _правильной_ настройки растовские поделия будут тихо-мирно работать и не жужжать. Обычное же начальство по-прежнему не понимает, за что админы зарплату получают, если не скачут по зданию с оппой в мыле. Вот он и разволновался.
