A practical guide to setting up TLS certificates for internal services without self-signed certificate headaches. The approach uses split-horizon DNS so that a public domain resolves to an internal IP for VPN clients while remaining publicly resolvable for Let's Encrypt's http-01 ACME challenge. Nginx is configured to bind only to the VPN network interface, acting as a WAF layer. The post covers the full setup with NetBird for VPN/DNS, acme.sh for certificate issuance and auto-renewal via cron, and a bonus section on using TLS SANs with CNAMEs to share one certificate across multiple internal subdomains.
Nguồn: https://tuxnet.dev/posts/tls-for-internal-services. 8sync News chỉ tóm tắt và dẫn link; bản quyền nội dung thuộc tác giả và nguồn gốc.
Bài nghiên cứu điển hình giới thiệu hệ thống xác thực và phân quyền mTLS tùy chỉnh ipng-nginx-auth cho NGINX, gồm ba thành phần: authd (bộ điều khiển trung tâm với CA riêng, SQLite và API gRPC), authz (sidecar per-NGINX thực thi ACL qua module auth_request), và authc (CLI vận hành). Chứng chỉ client dài hạn được cấp bởi CA riêng và cài vào trình duyệt dưới dạng PKCS#12 hoặc mobileconfig. Hệ thống đạt ~110k req/s với độ trễ 70µs nhờ 10 quy tắc ACL, hỗ trợ cập nhật ACL theo giai đoạn, truyền chính sách thời gian thực qua gRPC streaming, metrics Prometheus và logging debug theo yêu cầu.
ipng-nginx-auth để áp dụng trong dự án của mình.A practical architecture pattern for creating a network boundary around AI agents using NGINX as both a reverse and forward proxy, combined with OpenTelemetry for observability. NGINX enforces egress traffic control via iptables rules, ensuring all agent outbound requests pass through a single controlled path. The NGINX native OpenTelemetry module emits OTEL spans for every request, enabling audit logging and integration with tools like Jaeger, Grafana, or a SIEM. The design was validated on a single-node Kubernetes cluster running NGINX, Ollama, OpenClaw, and an OpenTelemetry Collector. The approach is positioned as one layer in a defense-in-depth strategy, complementing identity, policy, and runtime security controls.
Passenger 6.1.7 has been released, addressing an ABI break in EL9 (RHEL/Rocky/Alma) Nginx packages. The release includes upgrade guides for different platforms and encourages users to stay current with the latest version.
Phiên bản Passenger 6.1.6 đã được phát hành, cập nhật Nginx đi kèm trong Passenger standalone và khắc phục lỗi ABI trên các bản Nginx cho RHEL, Rocky Linux và AlmaLinux. Người dùng nên nâng cấp ngay theo hướng dẫn cụ thể theo nền tảng.
Lập trình viên cần đọc để khắc phục vấn đề tương thích ABI bị phá hủy trong các hệ điều hành Linux như RHEL, Rocky Linux và AlmaLinux, giúp đảm bảo ứng dụng của họ chạy ổn định khi sử dụng Nginx gói Passenger.