Nginx *

Настоятельно советую перечитать Helm это анти-паттерн
Об этом треде будут слагать легенды.

Эту концепцию можно назвать «Назад в будущее».

Для того, чтобы заскаффолдить (scaffolding – сделать заготовку) такой интерфейс для Nginx контроллера требуется несколько часов времени:

make nginx-help
Nginx Management System
=======================

Core Operations:
  reload-config         - Reload Nginx configuration without downtime
  test-config           - Test Nginx configuration for syntax errors
  get-nginx-config      - View current Nginx configuration
  exec                  - Open interactive shell in Nginx pod
  logs                  - View Nginx logs in real-time

Feature Management:
  enable-module         - Enable specific Nginx module
  disable-module        - Disable specific Nginx module
  enable-ssl            - Configure SSL/TLS termination
  enable-gzip           - Enable Gzip compression
  enable-cache          - Configure caching
  enable-auth           - Enable basic authentication
  enable-rate-limiting  - Configure rate limiting
  enable-geo-routing    - Enable GeoIP-based routing

Advanced Features:
  optimize-config       - AI-powered configuration optimization
  blue-green-switch     - Zero-downtime traffic switching
  chaos-test            - Resilience testing with chaos engineering
  update-waf-rules      - Dynamic WAF rule updates
  renew-certs           - Automated SSL certificate renewal
  inject-lua            - Hot-patch LUA scripts

Monitoring & Analysis:
  live-metrics          - Real-time performance dashboard
  canary-analysis       - Compare canary vs production metrics
  profile-ebpf          - Kernel-level performance profiling
  check-drift           - Detect configuration drift

LLM сделали код дешевле, а дебаггинг непростительно дорогим.

Подключение к этому сайту не защищено...

Когда веб-браузер не может «договориться» с веб-сервером о способе шифрования данных, сайт не открывается, а на экран выдаются сообщения: «Подключение к этому сайту не защищено. Этот сайт не может обеспечить безопасное соединение», «Не удаётся открыть эту страницу. Подключение было сброшено» или даже «Не удаётся получить доступ к сайту. Превышено время ожидания ответа от сайта».

В последнее время причиной таких нестыковок стала активация алгоритма согласования криптографических ключей Kyber768 в веб-браузерах, построенных на платформе Chromium. После включения этого механизма изменяется запрос, отправляемый веб-браузером для установки защищённого соединения TLS 1.3, но ещё не все серверы «умеют» правильно его обрабатывать, что приводит к досадным отказам в обслуживании.

Если попасть на веб-сайт всё-таки необходимо, то можно временно отключить в веб-браузере механизм Kyber768. Например, в Microsoft Edge для этого надо:

1. Набрать в адресной строке текст:edge://flags/

2. Набрать в строке поиска текст:TLS 1.3 hybridized

3. Изменить значение параметра «TLS 1.3 hybridized Kyber support» с Default на Disabled

4. Перезапустить веб-браузер

В других веб-браузерах поиск настройки отличается только текстом в адресной строке: chrome://flags — для Google Chrome, vivaldi://flags — для Vivaldi, и т. д.

Если после этого сайт стал открываться, то можно уведомить о проблеме его владельца. В противном случае значение изменённого параметра лучше восстановить.

Представлен открытый проект ngtop. Это утилита командной строки для вывода количества запросов (request counts) из файлов access.log nginx.

Исходный код ngtop написан на go и распространяется на GitHub под лицензией GNU General Public License v3.0.

10 мая 2024 года Cloudflare представила второй публичный релиз открытого проекта Pingora v0.2.0. Это асинхронный многопоточный фреймворк на Rust, который помогает создавать прокси-сервисы HTTP. Проект используется для создания сервисов, обеспечивающих значительную часть трафика в Cloudflare (вместо применения Nginx). Исходный код Pingora опубликован на GitHub под лицензией Apache 2.0.

Pingora предоставляет библиотеки и API для создания сервисов поверх HTTP/1 и HTTP/2, TLS или просто TCP/UDP. В качестве прокси-сервера он поддерживает сквозное проксирование HTTP/1 и HTTP/2, gRPC и WebSocket. (Поддержка HTTP/3 — в планах). Pingora также включает в себя настраиваемые стратегии балансировки нагрузки и аварийного переключения. Чтобы соответствовать требованиям и безопасности он поддерживает как широко используемые библиотеки OpenSSL, так и BoringSSL, которые соответствуют требованиям FIPS (федеральных стандартов обработки информации США) и пост-квантового шифрования.

Изменения в новой версии:

• добавлена поддержка установки фильтров для дополнительных заголовков HTTP/2;

• добавлена возможность изменения размера буфера входящих пакетов для TCP;

• добавлена функция body_bytes_read();

• добавлен фильтр cache_not_modified_filter;

• добавлена возможность ведения лога TLS-ключей;

• добавлена callback-функция purge_response.

В рабочем режиме Pingora обеспечивает плавный перезапуск без простоев для самостоятельного обновления, не теряя ни одного входящего запроса.

Опубликован сервер приложений NGINX Unit 1.31.0, в рамках которого развивается решение для обеспечения запуска web-приложений на различных языках программирования (Python, PHP, Perl, Ruby, Go, JavaScript/Node.js, WebAssembly и Java). Под управлением NGINX Unit может одновременно выполняться несколько приложений на разных языках программирования, параметры запуска которых можно изменять динамически без необходимости правки файлов конфигурации и перезапуска. Код написан на языке С и распространяется под лицензией Apache 2.0. С особенностями NGINX Unit можно познакомиться в анонсе первого выпуска.

Источник: OpenNET.

Сформирован выпуск основной ветки nginx 1.25.1, в рамках которой продолжается развитие новых возможностей. В параллельно поддерживаемой стабильной ветке 1.24.x вносятся только изменения, связанные с устранением серьёзных ошибок и уязвимостей.

В дальнейшем на базе основной ветки 1.25.x будет сформирована стабильная ветка 1.26.

Среди изменений:

• Добавлена отдельная директива "http2" для выборочного включения протокола HTTP/2 в привязке к серверам (может использоваться в отдельных блоках "server"). Параметр "http2" в директиве "listen" объявлен устаревшим.

• Удалена поддержка технологии Server push в HTTP/2.

• Прекращена поддержка директивы "ssl", ранее объявленной устаревшей.

• Решены проблемы при использовании HTTP/3 при сборке с библиотекой OpenSSL.

Источник информации: OpenNET.