Despliegue con Nginx#

Nginx es un servidor y proxy HTTP extremadamente rápido, confiable, y fácil de configurar. Aunque Vapor soporta servir peticiones HTTP con o sin TLS directamente, hacer un proxy con Nginx puede proporcionar un aumento en rendimiento, seguridad y facilidad de uso.

Descripción#

¿Qué significa poner un proxy a un servidor HTTP? En pocas palabras, un proxy actúa como un intermediario entre el Internet público y tu servidor HTTP. Las peticiones llegan al proxy y éste las envía a Vapor.

Una propiedad importante de este proxy intermediario es que puede alterar e inclusive redirigir las peticiones. Por ejemplo, el proxy puede requerir que el cliente use TLS (https), limitar la tasa de peticiones e incluso servir ficheros públicos sin comunicarse con tu aplicación de Vapor.

Más Detalles#

El puerto por defecto para recibir peticiones HTTP es el puerto 80 (y 443 para HTTPS). Cuando enlazas un servidor de Vapor al puerto 80, recibirá y responderá directamente a las peticiones HTTP que lleguen a tu servidor. Cuando añades un proxy como Nginx, enlazas Vapor a un puerto interno, como el puerto 8080.

Cuando Vapor está enlazado a otro puerto además de 80 o 443, no será accesible para el Internet externo. Entonces enlazas Nginx al puerto 80 y lo configuras para que enrute las peticiones a tu servidor de Vapor enlazado en el puerto 8080 (o el que hayas elegido).

Y eso es todo. Si Nginx está configurado correctamente, verás que tu aplicación de Vapor responde a las peticiones en el puerto 80. Nginx actúa como proxy ante las peticiones y responde de manera invisible.

Instalar Nginx#

El primer paso es instalar Nginx. Una de las mejores cosas de Nginx es la enorme cantidad de recursos de la comunidad y documentación que tiene. Por ello, no entraremos en detalle sobre cómo instalar Nginx, pues seguramente hay un tutorial para tu plataforma, sistema operativo y proveedor.

Tutoriales:

• How To Install Nginx on Ubuntu 20.04

• How To Install Nginx on Ubuntu 18.04

• How to Install Nginx on CentOS 8

• How To Install Nginx on Ubuntu 16.04

• How to Deploy Nginx on Heroku

Package Managers#

Nginx puede instalarse mediante package managers en Linux.

Ubuntu#

sudo apt-get update
sudo apt-get install nginx

CentOS y Amazon Linux#

sudo yum install nginx

Fedora#

sudo dnf install nginx

Validar la Instalación#

Comprueba que Nginx se ha instalado correctamente visitando la dirección IP de tu servidor en un navegador.

http://server_domain_name_or_IP

Servicio#

El servicio puede iniciarse o detenerse.

sudo service nginx stop
sudo service nginx start
sudo service nginx restart

Arrancando Vapor#

Nginx puede iniciarse y detenerse con los comandos sudo service nginx .... Necesitarás algo parecido para iniciar y detener tu servidor de Vapor.

Existen muchas formas de hacerlo, dependiendo de la plataforma en la que vayas a desplegar. Revisa las instrucciones de Supervisor para añadir comandos para iniciar y detener tu aplicación de Vapor.

Configurar el Proxy#

Los ficheros de configuración para los sitios habilitados pueden encontrarse en /etc/nginx/sites-enabled/.

Crea un nuevo fichero o copia la plantilla de ejemplo ubicada en /etc/nginx/sites-available/ para empezar.

A continuación tienes un ejemplo de un fichero de configuración para un proyecto de Vapor llamado Hello en el directorio “home”.

server {
    server_name hello.com;
    listen 80;

    root /home/vapor/Hello/Public/;

    location @proxy {
        proxy_pass http://127.0.0.1:8080;
        proxy_pass_header Server;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_connect_timeout 3s;
        proxy_read_timeout 10s;
    }
}

Este fichero de configuración asume que el proyecto Hello se enlaza con el puerto 8080 al iniciarlo en el modo de producción.

Servir Ficheros#

Nginx también puede servir ficheros públicos sin preguntar a tu aplicación de Vapor. Esto puede mejorar el rendimiento liberando el proceso de Vapor para otras tareas más pesadas.

server {
    ...

    # Sirve todos los ficheros públicos/estáticos via nginx y recurre a Vapor para el resto
    location / {
        try_files $uri @proxy;
    }

    location @proxy {
        ...
    }
}

TLS#

Añadir TLS es relativamente sencillo siempre y cuando los certificados hayan sido generados correctamente. Para generar certificados TLS gratuitamente, echa un vistazo a Let’s Encrypt.

server {
    ...

    listen 443 ssl;

    ssl_certificate /etc/letsencrypt/live/hello.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/hello.com/privkey.pem;

    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    ssl_prefer_server_ciphers on;
    ssl_dhparam /etc/ssl/certs/dhparam.pem;
    ssl_ciphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA';
    ssl_session_timeout 1d;
    ssl_session_cache shared:SSL:50m;
    ssl_stapling on;
    ssl_stapling_verify on;
    add_header Strict-Transport-Security max-age=15768000;

    ...

    location @proxy {
       ...
    }
}

La configuración de arriba son los ajustes relativamente estrictos para TLS con Nginx. Algunos ajustes no son necesarios, pero aumentan la seguridad.