Полное руководство

1. Upstream — имя пула, например api_pool. Вкладки Баланс и Health-check.
2. Бэкенды — добавьте target в пул: Docker my-app:3000 или 10.0.0.5:8080. Probe должен быть OK.
3. Сертификаты — запись example.com → «Выпустить» (HTTP-01: DNS на edge, порт 80 открыт).
4. Сайты — домен example.com, HTTPS + сертификат, маршрут / → upstream api_pool.
5. Безопасность — по необходимости: geo, WAF preset, bot limit, ACL.
6. Дополнения — по необходимости: security headers, proxy_set_header, таймауты.
7. Конфиг nginx → Test → Сгенерировать и применить.

• Сайты / Сертификаты / Upstream / Бэкенды — количество записей в БД
• Нестабильные Docker-upstream — бэкенды в статусе down
• Статус nginx — валидность конфига, последний reload, режим host/docker
• Запросы за 24ч — график из access log JSON
• Домены — распределение трафика по server_name
• Алерты TLS — сертификаты, истекающие в ближайшие 14 дней
• Онлайн · 5 мин — live RPS и активные соединения (stub_status)
• WAF summary — заблокировано за период

• Запросы по времени — RPS, latency percentiles
• По доменам — топ server_name
• По upstream — нагрузка на пулы
• HTTP-статусы — 2xx/4xx/5xx
• Ошибки nginx — upstream timeout, connection refused
• География — страны по GeoIP (нужен GeoLite2-Country.mmdb)
• Топ IP — самые активные клиенты
• Bot scores — распределение оценок ботов

Период: 1ч / 6ч / 24ч / 7д / 30д. Фильтр по сайту, если несколько доменов.

1. Сайты → сайт → вкладка Логи
2. Access log: Как в панели (JSON) или JSON со своим путём
3. Убедитесь, что worker читает тот же файл (ACCESS_LOG_PATH на сервере)
4. Подождите 1–2 минуты после трафика — данные агрегируются в PostgreSQL

• Выбор файла из списка (включая per-domain)
• Поиск по подстроке в строке
• Follow — tail в реальном времени
• Скачать — выгрузка фрагмента

1. Безопасность → карточка домена → вкладка Безопасность
2. Включите строгий WAF / выберите CRS exclusion preset (wordpress, nextcloud…)
3. Задайте paranoia level 0–4 и при необходимости under_attack
4. Сохраните → nginx apply
5. События смотрите в WAF → События и на Дашборде

Политика — глобальные пороги: режим block vs detect по категориям атак. anomaly_threshold (1–20, по умолчанию 5) — сумма score правил до блокировки.

На домене: CRS exclusion presets (WordPress, Next.js, REST API) снижают ложные срабатывания. Точечные исключения — rule id или SecRule snippet в патчах.

IP-правила синхронизируются worker'ом в ip-rules.conf на edge. При action=blocked WAF может автоматически добавить IP в deny (WAF_AUTO_BLOCK_ENABLED, TTL 24h по умолчанию).

Таблица IP: страна, источник (manual/feed/auto), срок блокировки. Клик по строке → история запросов, разблок / whitelist.

Глобально — WAF → Боты: enabled, rate_limit_rps, burst. На домен — Безопасность → Bot rate limit: inherit / custom / off. Режимы: off (registry, mail), location (только UI/static), server (полный limit на server).

limit_req_zone $binary_remote_addr zone=sn_bot_<site_id>:10m rate=20r/s;
limit_req zone=sn_bot_<site_id> burst=40 nodelay;

Инфраструктура → Сайты → форма вверху страницы.

location /api/ {
    proxy_pass http://api_pool;
    proxy_set_header Host $host;
    proxy_set_header X-Real-IP $remote_addr;
    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    proxy_set_header X-Forwarded-Proto $scheme;
    proxy_http_version 1.1;
    proxy_set_header Upgrade $http_upgrade;
    proxy_set_header Connection "upgrade";
}

Расширенные поля в карточке маршрута: raw snippet (директивы внутри location), импорт OpenAPI, advanced headers.

Вкладка Ошибки: кастомный HTML для 404 и 502. Переменные: {{site_name}}, {{year}}.

error_page 404 /sn-errors/<site-id>/404.html;
location = /sn-errors/<site-id>/404.html {
    internal;
    alias /var/lib/smart-nginx/error-pages/<site-id>/404.html;
}

HTTP-маршруты не генерируются. Если TCP health upstream в down — listen для stream-сайта не попадает в конфиг.

Вставьте фрагмент nginx → Применить к настройкам — парсится в Домен, HTTPS, Маршруты.

1. Инфраструктура → Безопасность
2. Клик по карточке домена
3. Вкладка Безопасность или ACL
4. Сохранить → nginx apply

Включите proxy cache на вкладке Безопасность. Очистка: UI (host, path, весь сайт) или API.

POST /api/sites/{id}/cache/purge?host=example.com&path=/api/
GET /api/sites/{id}/cache/status

Правила сверху вниз — первое совпадение побеждает.

Директивы внутри server { }. Не путать с маршрутами — это уровень всего домена.

gzip on;
gzip_types application/json text/css application/javascript;
proxy_buffering off;
proxy_read_timeout 120s;

Пресеты: Запрет в iframe, Защита MIME, Referrer-Policy.

add_header X-Frame-Options "DENY" always;
add_header X-Content-Type-Options "nosniff" always;
add_header Referrer-Policy "strict-origin-when-cross-origin" always;

Список маршрутов сайта (из Сайты → Маршруты). Для каждого: raw_snippet и пары proxy_set_header.

Имя латиницей: api_pool, static_backends. После создания — вкладки в модалке.

1. На карточке upstream → server → Drain (30 мин по умолчанию)
2. weight=0 — новые запросы не идут, активные дорабатывают
3. С apply=true — сразу в конфиге

POST /api/upstreams/{id}/servers
{"host":"10.0.0.5","port":8080,"weight":1}

POST /api/upstreams/{id}/servers/{sid}/drain?minutes=15&apply=true
DELETE /api/upstreams/{id}/servers/{sid}

1. Бэкенды → Добавить
2. Привязка: выберите upstream
3. Адрес: тип Docker / IP:port / Папка
4. Docker: выберите контейнер из списка, порт, дождитесь probe OK
5. Балансировка (edit): «Участвует в балансировке» — enabled/disabled
6. Сохранить → nginx apply

1. Сертификаты → Добавить → домены, challenge HTTP-01
2. DNS A/AAAA на edge, порт 80 доступен из интернета
3. На карточке → Выпустить (challenge через /.well-known/acme-challenge/)
4. Сайты → HTTPS → выберите сертификат → apply

Challenge DNS-01 — TXT-запись в DNS. Подходит для *.example.com. Нужен API-токен DNS-провайдера в env сервера.

Worker проверяет срок каждые ~12ч. Обновить все на странице. Дашборд алертит за 14 дней до expiry.

Свой сертификат: укажите пути fullchain/key вручную (внутренний CA, импорт с другого сервера).

POST /api/certificates/{id}/issue
POST /api/certificates/renew-all

Для auto-discovery добавьте labels в docker-compose:

labels:
  smart-nginx.enable: "true"
  smart-nginx.host: app.example.com
  smart-nginx.port: "3000"
  smart-nginx.upstream: app_backend

Worker каждые ~2 мин синхронизирует контейнеры с upstream в БД. Prefix настраивается в Настройки → Docker discovery.

1. Discovery — список контейнеров и compose-проектов
2. Wizard — контейнер + порт → домен + path → создаёт upstream + site + location
3. Конфиг nginx → Apply

GET /api/docker/containers
POST /api/docker/wizard

Drift — расхождения: контейнер удалён, порт изменился, имя другое. Исправьте бэкенд вручную или пересоздайте через wizard.

На странице Docker также: сети, сервисы с proxy, нестабильные upstream, привязка контейнеров.

1. Система → Импорт
2. Вставьте текст nginx.conf или фрагменты с хоста
3. Preview — распознанные sites, upstreams, certificates
4. Отметьте что adopt (принять в БД)
5. Опционально: sync nginx сразу после adopt
6. Проверьте Конфиг nginx → Test → Apply

1. Preview — сгенерированный generated.conf до выката
2. Test (nginx -t) — при ошибке Apply заблокирован
3. Синхронизировать — копирование на edge без reload
4. Reload — перезагрузка без регенерации
5. Сгенерировать и применить — generate + sync + reload
6. Revisions — история; откат на любую ревизию

Конфиг nginx → Сравнение (/nginx/compare) — side-by-side diff двух версий generated.conf.

Режим docker — edge-контейнер с host network. Режим host — системный nginx.

Предпросмотр конфигурации — кнопка загрузит полный generated.conf.

Сохранение → синхронизация WAF + nginx apply.

JWT-логин. Роли: admin (полный доступ), viewer (только чтение). Смените пароль admin на проде сразу после установки.

Глобальные error pages — HTML 4xx/5xx для всех сайтов, если на сайте не заданы свои (Сайты → Ошибки).

Prod: /adm-panel/api/ · Dev: http://localhost:8080/api/

POST /api/auth/login
{"username":"admin","password":"..."}

# Core
DATABASE_URL=postgres://...
JWT_SECRET=...
NGINX_MODE=docker
NGINX_CONTAINER=smart-nginx-edge
API_INTERNAL_URL=http://api:8080
SITE_AUTH_INTERNAL_SECRET=...

# WAF
WAF_DATA_DIR=/data/waf
WAF_LOG_PATH=/var/log/nginx/smart-nginx/waf-audit.json
WAF_AUTO_BLOCK_ENABLED=true
WAF_AUTO_BLOCK_TTL=24h
WAF_BOT_PROTECTION_ENABLED=true
WAF_BOT_RATE_LIMIT_RPS=20

# Analytics
ACCESS_LOG_PATH=/var/log/nginx/smart-nginx/access.json
GEOIP_DB_PATH=/data/geoip/GeoLite2-Country.mmdb

Полный список маршрутов — api/cmd/server/main.go. Env пример — deploy/env.example.