HTTP/3 s Nginx

Nginx je webový server, ktorý je možné použiť v roly cache server, loadbalancer, alebo tiež reverzný proxy. Ja používam Nginx v roly reverzného proxy servera. HTTP znamená „Hypertextový prenosový protokol“ čo je komunikačný protokol, ktorý sa používa na prenos hypertextových dokumentov, ako sú napr. webové stránky, medzi webovým klientom (napr. webový prehliadač) a webovým serverom. Prvá ver. HTTP protokolu HTTP/0.9 bola nasadená v roku 1990 a postupne sa protokol zdokonaľoval cez ver. HTTP/1.0, HTTP/1.1, HTTP/2 a v súčasnej dobe prechádza väčšina webových serverov na HTTP-over-QUIC, resp. HTTP/3.

V minulom blogu som sa pokúšal migrovať z Nginx na Caddy, čo sa mi aj podarilo, ale problém bol v dlhom načitávaní WordPress webov. Čiže s Caddy som po krátkom čase prešiel znova na Nginx. Ak by som ostal pri Caddy, tak HTTP/3 tam funguje po vybalení z krabice a nič extra nie je potrebné nastavovať.

Nginx vydal prvé binárne balíčky s oficiálnou podporou HTTP/3 už 02.08.2023 a to pre 2 veľké distribúcie, Red Hat 9 a Ubuntu 22.04. Nginx teda oficiálne podporuje HTTP/3 s QUIC od verzie 1.25.1. Do vtedy bolo možné tiež experimentálne používať Nginx s podporou QUIC, ale bola potrebná kompilácia zo zdroja. V debiane je to teraz omnoho jednoduchšie a môžeme na to použiť jednoduchý baličkovací nástroj APT.

V dobe písania tohto článku mám Nginx nasadení v linuxovom kontajnery Debian 12. Upozorňujem, že nám nestačí použiť klasicky

Pretože v repozitároch Debian 12 sa nachádza

nginx version: nginx/1.22.1

Táto verzia ešte nepodporuje HTTP/3. Preto musíme systém nastaviť tak, aby neinštaloval Nginx s Debian repozitárov, ale aby použil repozitár Nginx. Postupovať by sme mali podľa návodu na nginx webe. Najprv nainštalujeme (je možné že už to máme nainštalované)

Poznámka: Ja už mám Nginx nainštalovaný budem len aktualizovať na ver. 1.25.2

Importujeme oficiálny podpisový kľúč nginx, aby apt mohol overiť pravosť balíkov.

Skontrolujeme, či stiahnutý súbor obsahuje správny kľúč:

Výstup by mal obsahovať cely fingerprint 573BFD6B3D8FBC641079A6ABABF5BD827BD9BF62 takto:

pub   rsa2048 2011-08-19 [SC] [expires: 2024-06-14]
      573BFD6B3D8FBC641079A6ABABF5BD827BD9BF62
uid                      nginx signing key <signing-key@nginx.com>

Teraz môžeme nastaviť aby sa inštalovalo buď zo stabilnej, alebo z hlavnej vetvy. Kedže podpora HTTP/3 je od ver. 1.25.1 a v stabilnej vetve ešte nie je tato ver. tak musíme nastaviť hlavnú vetvu.

Toto je pre stabilnú vetvu, takže mi nepoužijeme tento príkaz, pretože pri písani tohto článku ešte v stabilnej vetve nie je nginx s podporou HTTP/3

Až tento príkaz pre hlavnú vetvu obsahuje nginx s podporou HTTP/3

Nastavíme aby sa uprednostnila inštalácia z nginx úložiska pred inštaláciou poskytovateľa distribúcie (čiže úložisko pre Debian 12)

Aktualizujeme zmeny, ktoré sme pridali a môžete inštalovať

Počas inštalácie uvidíme ničo také (upozorňujem, že táto hláška sa objaví, len na systéme, kde už je nainštalovaná strašia ver. Nginx).

Configuration file '/etc/nginx/nginx.conf'
 ==> Modified (by you or by a script) since installation.
 ==> Package distributor has shipped an updated version.
   What would you like to do about it ?  Your options are:
    Y or I  : install the package maintainer's version
    N or O  : keep your currently-installed version
      D     : show the differences between the versions
      Z     : start a shell to examine the situation
 The default action is to keep your current version.
*** nginx.conf (Y/I/N/O/D/Z) [default=N] ?

Táto hláška hovorí o tom že konfiguračný súbor je iný ako pôvodný a my sa máme rozhodnúť či nainštalujeme nový, alebo ponecháme pôvodný (príp. skontrolovať rozdieli). Predvolene je vybraté „N“, takže môžeme pokračovať s pôvodným. Po nainštalovaní povolíme službu nginx v systemd a na manipuláciu budeme používať štandardne príkazy

Či je v Nginx určite dostupný aj modul pre HTTP/3 sa môžeme presvedčiť napr. takto

Všimnime si posledný modul. To znamená, že binárka je skompilovaná s HTTP/3 modulom.

--with-http_addition_module
--with-http_auth_request_module
--with-http_dav_module
--with-http_flv_module
--with-http_gunzip_module
--with-http_gzip_static_module
--with-http_mp4_module
--with-http_random_index_module
--with-http_realip_module
--with-http_secure_link_module
--with-http_slice_module
--with-http_ssl_module
--with-http_stub_status_module
--with-http_sub_module
--with-http_v2_module
--with-http_v3_module

Ak sme Nginx už spustili, tak všetky konfiguračné súbory by mali byť Nginxom načítane a malo by to všetko fungovať. Môžeme sa však stretnúť minimálne z jednou zastaralou direktívou a to HTTP2. Po štarte nginx, resp. po reloade môžeme vidieť tieto hlášky a to pre každý konfiguračný súbor (čiže ich tam môže byť viac).

Spôsobené je to touto smernicou

Musíme ju nahradiť týmto

Po tejto zmene v každom konfiguračnom súbore už po reloade nedostaneme žiadne škaredé hlášky

Ak by sme nechceli používať HTTP/3, tak jednoducho už nič nemusíme robiť a naďalej budme fungovať s HTTP/2. Avšak naším cieľom je HTTP/3.

Sem ešte vsuniem jednu drobnú ale dôležitú poznámku. Aby sme sa po konfigurácii servera zbytočne netrápili, prečo nám nefunguje HTTP/3, tak na našom routery/firewalle musíme v časti NAT okrem TCP povoliť tiež UDP protokol na porte 443.

Musím napísať, že podľa manuálu na nginx webe to mala byť jednoduchá záležitosť, ale dosť som sa s tým potrápil. Z návodu plynie, že pre základnú implementáciu HTTP/3 sú potrebné 3 smernice

Vzhľadom k tomu, že smernicu ssl_protocols už mám globálne v hlavnom config file, tak som dostal upozornenie na duplicitu. Zúžilo sa to na smernicu listen a add_header. V každom konfiguračnom súbore mám 2 server bloky. Najprv redirect z non www na www a potom na https. Čiže do oboch blokov som nasadil (vrátane HTTP hlavičky)

A vždy som dostal po kontrole konfigurácie hlášku

OK, odstránením smernice z prvého server blocku

to už fungovalo bez problémov s HTTP/3. Konfiguráciu som si uložil a na editáciu ma čakali ďalšie konfiguráky pre ďalšie domény. Najprv som skúsil upraviť druhý konfigurák a znova som dostal podobnú hlášku

Začal som teda pátrať, prečo sa to tak správa. Musím napísať, že fakt som sa s tým pár hodín trápil až som našiel na stackoverflow, že problém sa dá veľmi jednoducho vyriešiť. Smernicu s reuseport je možné použiť v celej konfigurácii len raz. To znamená, že v jednom konfiguráku to nastavíme s

V ďalších server blockoch už pridáme len

Vidíme, že reuseport tam už nie je. Čiže každý ďalší konfigurák by mohol vyzerať nejak takto. Je to klasická konfigurácia pre reverzný proxy server obohatená o bezpečnostné HTTP hlavičky a pridaná podpora pre HTTP/3.

Či skutočne používame HTTP/3 protokol sa môžeme presvedčiť vo webovom prehliadači, napr. Mozilla, F12 (vývojárska konzola), kde si necháme zobraziť odpovede zo servera (v časti Network -> Headers).

Ale tiež keď pôjdme na http3check

Záver

Musím sa priznať, že prechod na HTTP/3 ma trocha potrápil, ale nakoniec to snáď dopadlo dobre. Všetky weby ktoré hostujem na mojich serveroch bežia už s protokolom HTTP/3. Už z princípu by mal byť HTTP/3 rýchlejší ako HTTP/2 (1.1), pretože funguje na UDP. Bežný užívateľ si to až tak veľmi nevšimne, pretože sa jedná o milisekundy. Netvrdím, že moja konfigurácia je ideálna, určite by sa dala ešte vylepšiť, ale v rámci možnosti mi to funguje celkom slušne. Zatiaľ to mám nasadené len niekoľko dní, takže časom to možno budem odlaďovať.

Použitá literatúra

• HTTP na wikipedii
• HTTP/3 na Wikipedii
• Vysvetlenie reuseport na stackoverflow
• Konfigurácia nginx s podporou HTTP/3
• Postup inštalácie nginx s podporou HTTP/3