Nginx como reverse proxy: configuração prática

1. Fundamentos do reverse proxy com Nginx

O Nginx é um dos servidores web mais utilizados no mundo, e uma de suas aplicações mais poderosas é atuar como reverse proxy. Um reverse proxy é um servidor intermediário que recebe requisições de clientes e as encaminha para servidores backend, retornando as respostas aos clientes como se fosse o próprio servidor de origem.

Diferenças fundamentais:
- Proxy direto: atua em nome do cliente, ocultando sua identidade
- Reverse proxy: atua em nome do servidor, ocultando a infraestrutura backend
- Balanceador de carga: distribui tráfego entre múltiplos servidores

Casos de uso comuns:
- Ocultar a arquitetura interna do backend
- SSL termination (descarregar o processamento TLS dos servidores backend)
- Cache de conteúdo estático
- Compressão de dados
- Limitação de taxa de requisições

2. Instalação e estrutura básica de configuração

Instalação no Ubuntu/Debian:

sudo apt update
sudo apt install nginx -y

Instalação no CentOS/RHEL:

sudo yum install epel-release -y
sudo yum install nginx -y

Hierarquia de diretórios:
- /etc/nginx/nginx.conf — arquivo principal de configuração
- /etc/nginx/sites-available/ — configurações disponíveis (por domínio)
- /etc/nginx/sites-enabled/ — configurações ativas (links simbólicos)
- /etc/nginx/conf.d/ — configurações adicionais

Diretivas essenciais:
- server {} — define um bloco de servidor virtual
- location {} — define regras para caminhos específicos
- upstream {} — define grupo de servidores backend para balanceamento

3. Configuração de proxy reverso para um backend simples

Crie um arquivo em /etc/nginx/sites-available/app.exemplo.com:

server {
    listen 80;
    server_name app.exemplo.com;

    location / {
        proxy_pass http://localhost:3000;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;
    }
}

Para ativar a configuração:

sudo ln -s /etc/nginx/sites-available/app.exemplo.com /etc/nginx/sites-enabled/
sudo nginx -t
sudo systemctl reload nginx

Explicação dos cabeçalhos:
- Host $host — preserva o domínio original da requisição
- X-Real-IP — passa o IP real do cliente
- X-Forwarded-For — mantém o histórico de IPs por onde a requisição passou
- X-Forwarded-Proto — informa se a requisição original era HTTP ou HTTPS

4. Balanceamento de carga com upstream

Definição de grupo de servidores backend:

upstream backend_servers {
    # Algoritmos de balanceamento
    # round-robin (padrão), least_conn, ip_hash
    least_conn;

    server 192.168.1.10:3000 max_fails=3 fail_timeout=30s;
    server 192.168.1.11:3000 max_fails=3 fail_timeout=30s;
    server 192.168.1.12:3000 backup;  # servidor de reserva
}

server {
    listen 80;
    server_name api.exemplo.com;

    location / {
        proxy_pass http://backend_servers;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
    }
}

Algoritmos de balanceamento:
- round-robin (padrão) — distribuição sequencial
- least_conn — envia para o servidor com menos conexões ativas
- ip_hash — garante que um mesmo IP sempre vá para o mesmo servidor

Health checks passivos:
- max_fails=3 — número máximo de falhas antes de marcar como inativo
- fail_timeout=30s — tempo de espera antes de tentar novamente

5. SSL/TLS e HTTPS no proxy reverso

Geração de certificados com Let's Encrypt:

sudo apt install certbot python3-certbot-nginx -y
sudo certbot --nginx -d app.exemplo.com

Configuração manual de SSL:

server {
    listen 443 ssl http2;
    server_name app.exemplo.com;

    ssl_certificate /etc/letsencrypt/live/app.exemplo.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/app.exemplo.com/privkey.pem;

    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_ciphers HIGH:!aNULL:!MD5;

    location / {
        proxy_pass http://localhost:3000;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;
    }
}

# Redirecionamento HTTP para HTTPS
server {
    listen 80;
    server_name app.exemplo.com;
    return 301 https://$server_name$request_uri;
}

6. Headers de segurança e otimização

server {
    listen 443 ssl http2;
    server_name app.exemplo.com;

    # Headers de segurança
    add_header X-Frame-Options "SAMEORIGIN" always;
    add_header X-Content-Type-Options "nosniff" always;
    add_header X-XSS-Protection "1; mode=block" always;
    add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
    add_header Referrer-Policy "strict-origin-when-cross-origin" always;

    # Cache de conteúdo estático
    location ~* \.(jpg|jpeg|png|gif|ico|css|js|woff2)$ {
        expires 30d;
        add_header Cache-Control "public, immutable";
        proxy_pass http://localhost:3000;
    }

    # Compressão gzip
    gzip on;
    gzip_types text/plain text/css application/json application/javascript text/xml image/svg+xml;
    gzip_min_length 1000;
    gzip_comp_level 6;
    gzip_vary on;

    location / {
        proxy_pass http://localhost:3000;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
    }
}

7. Logs, monitoramento e troubleshooting

Formatação personalizada de logs:

http {
    log_format detalhado '$remote_addr - $remote_user [$time_local] '
                        '"$request" $status $body_bytes_sent '
                        '"$http_referer" "$http_user_agent" '
                        'upstream: $upstream_addr '
                        'upstream_status: $upstream_status '
                        'request_time: $request_time';

    access_log /var/log/nginx/app_access.log detalhado;
    error_log /var/log/nginx/app_error.log warn;
}

Comandos úteis para troubleshooting:

# Testar configuração
sudo nginx -t

# Verificar status do serviço
sudo systemctl status nginx

# Monitorar logs em tempo real
sudo tail -f /var/log/nginx/error.log
sudo tail -f /var/log/nginx/access.log

# Recarregar configuração sem interromper o serviço
sudo systemctl reload nginx

8. Boas práticas e exemplos completos

Estrutura recomendada para múltiplos domínios:

/etc/nginx/
├── sites-available/
│   ├── app.exemplo.com
│   ├── api.exemplo.com
│   └── blog.exemplo.com
└── sites-enabled/
    ├── app.exemplo.com -> ../sites-available/app.exemplo.com
    ├── api.exemplo.com -> ../sites-available/api.exemplo.com
    └── blog.exemplo.com -> ../sites-available/blog.exemplo.com

Exemplo completo: proxy reverso + SSL + upstream + cache:

upstream app_backend {
    least_conn;
    server 127.0.0.1:3000 max_fails=3 fail_timeout=30s;
    server 127.0.0.1:3001 max_fails=3 fail_timeout=30s;
    server 127.0.0.1:3002 backup;
}

server {
    listen 443 ssl http2;
    server_name app.exemplo.com;

    ssl_certificate /etc/letsencrypt/live/app.exemplo.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/app.exemplo.com/privkey.pem;
    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_ciphers HIGH:!aNULL:!MD5;
    ssl_prefer_server_ciphers on;
    ssl_session_cache shared:SSL:10m;
    ssl_session_timeout 10m;

    add_header X-Frame-Options "SAMEORIGIN" always;
    add_header X-Content-Type-Options "nosniff" always;
    add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;

    gzip on;
    gzip_types text/plain text/css application/json application/javascript text/xml;
    gzip_min_length 1000;
    gzip_comp_level 6;

    location /static/ {
        alias /var/www/app/static/;
        expires 30d;
        add_header Cache-Control "public, immutable";
        access_log off;
    }

    location / {
        proxy_pass http://app_backend;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;
        proxy_redirect off;
        proxy_buffering off;
        proxy_http_version 1.1;
        proxy_set_header Upgrade $http_upgrade;
        proxy_set_header Connection "upgrade";

        # Timeouts
        proxy_connect_timeout 60s;
        proxy_send_timeout 60s;
        proxy_read_timeout 60s;
    }

    access_log /var/log/nginx/app_access.log;
    error_log /var/log/nginx/app_error.log warn;
}

server {
    listen 80;
    server_name app.exemplo.com;
    return 301 https://$server_name$request_uri;
}

Checklist de validação antes de produção:
1. Testar configuração: nginx -t
2. Verificar certificados SSL: openssl s_client -connect app.exemplo.com:443
3. Testar balanceamento: curl -I https://app.exemplo.com
4. Verificar logs de erro: tail -f /var/log/nginx/error.log
5. Validar headers de segurança: curl -I https://app.exemplo.com
6. Testar redirecionamento HTTP para HTTPS
7. Verificar cache de conteúdo estático
8. Monitorar uso de recursos: htop, netstat

Referências

• Documentação Oficial do Nginx - Reverse Proxy — Guia oficial da NGINX Inc. sobre configuração de proxy reverso com exemplos detalhados
• Certbot - Obtenha certificados SSL gratuitos — Ferramenta oficial da EFF para automatizar certificados Let's Encrypt no Nginx
• Nginx Reverse Proxy - DigitalOcean Tutorial — Tutorial completo da DigitalOcean com exemplos práticos para Ubuntu
• Nginx Load Balancing - Documentação Oficial — Referência completa sobre algoritmos de balanceamento e diretivas upstream
• Mozilla SSL Configuration Generator — Gerador de configurações SSL otimizadas e seguras para Nginx da Mozilla
• Nginx Security Headers Guide — Guia da NGINX sobre headers de segurança e melhores práticas
• Nginx Logging and Monitoring — Documentação oficial sobre formatação de logs e monitoramento de performance