nginx+TLS перед бэкендом на прод VPS вместо голых портов наружу
Build & Push Image / Build and push to GHCR (push) Failing after 15s
Build & Push Image / Build and push Caddy (Cloudflare DNS) image (push) Failing after 13s
CI / fmt + clippy + test (push) Failing after 21m30s

Порт 8080 закрыт для всего интернета (ufw allow только с IP VPS данных —
нужен центральному Prometheus для /metrics), публичный вход только
account.netrunner-vpn.com через system nginx с настоящим Let's Encrypt
сертификатом. Тот же принцип, что и nginx у netrunner-data.
This commit is contained in:
2026-07-10 19:07:10 +07:00
parent 4e998d789b
commit 51788f73ee
4 changed files with 181 additions and 0 deletions
+17
View File
@@ -0,0 +1,17 @@
# Часть 1/2 — включается всегда, с самого первого деплоя (см.
# .gitea/workflows/deploy-nginx.yml). Обслуживает ACME-challenge для certbot
# и редиректит всё остальное на HTTPS. account-ssl.conf (сам бэкенд) деплой
# включает отдельно, только когда сертификат уже существует.
server {
listen 80;
listen [::]:80;
server_name account.netrunner-vpn.com;
location /.well-known/acme-challenge/ {
root /var/www/certbot;
}
location / {
return 301 https://$host$request_uri;
}
}