Reverse Proxy Deep Dive

Reverse Proxy (обратный прокси) — это не просто пересылка трафика. В архитектуре современного видеохостинга это щит и диспетчер. Он принимает входящие соединения, терминирует TLS, фильтрует мусор и распределяет запросы между апстримами.

1. Ядро конфигурации

При настройке reverse proxy основной задачей является сохранение контекста запроса. Бэкенд (Node.js, Go или Python) должен знать, кто к нему обратился на самом деле.

location / {
    proxy_pass http://backend_pool;
    # Передаем реальный IP клиента
    proxy_set_header Host $host;
    proxy_set_header X-Real-IP $remote_addr;
    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    proxy_set_header X-Forwarded-Proto $scheme;
}

2. Кэширование статики и микро-кэш

Для ускорения отдачи видео-манифестов (.m3u8) крайне эффективно использовать proxy_cache. Это позволяет не дергать бэкенд на каждый запрос одного и того же файла чанка.

# В секции http
proxy_cache_path /var/cache/nginx levels=1:2 keys_zone=VIDEO_CACHE:100m max_size=10g;

server {
    location /hls/ {
        proxy_cache VIDEO_CACHE;
        proxy_cache_valid 200 1m;
        proxy_cache_use_stale error timeout updating;
        add_header X-Cache-Status $upstream_cache_status;
    }
}

3. Безопасность и Hardening

Минимальный набор правил для защиты вашего прокси от сканеров и базовых атак:

# Скрываем версию nginx
server_tokens off;

# Ограничение размера тела запроса (защита от заливки мусора)
client_max_body_size 100M;

# Настройка таймаутов для защиты от Slowloris
client_body_timeout 10s;
client_header_timeout 10s;

4. Upstream и Health Checks

Если один из ваших бэкендов "упал", Nginx должен мгновенно исключить его из пула. В бесплатной версии это реализуется через параметры max_fails и fail_timeout.

upstream backend_pool {
    server 192.168.1.10:8080 max_fails=3 fail_timeout=30s;
    server 192.168.1.11:8080 max_fails=3 fail_timeout=30s;
    keepalive 64; # Важно для производительности!
}

--- END OF DOCUMENT ---