nginx regex patterns für proxy config

moin comunity,

wir haben liveconfig von usnerem server-anbieter auf unserem managed server laufen..

unsere eigentlichen Kundenanwendungen laufen in docker-compose setups.

liveconfig wird also *nur* also ssl-endpoint proxy mit netter config-oberfläche eingesetzt.

nun würde ich gerne in etwa folgendes Szenario abbilden:

- Kundensystem1 wird von KundeSonne.produkt.de auf localhost:1111 gemapped.
- Kundensystem2 wird von KundeWinter.produkt.de auf localhost:1111 gemapped.
- Production-Staging System wird von staging-sommer.produkt.de auf localhost:2222 gemapped.

- devsystem1 wird von dev-herbst.dev-kram.de auf localhost:9999 gemapped.
- devsystem2 wird von dev-frühling.dev-kram.de auf localhost:9999 gemapped.
- devsystem3 wird von oha-was-anderes.dev-kram.de auf localhost:8888 gemapped.

das lässt sich ansich alles mit

https://nginx.org/en/docs/http/server_names.html#regex_names

umsetzen.
habe dies auch schon in einem localen nginx erfolgreich so testen können.

im liveconfig ist mein hoster bereit meine benötigte config einzutragen - über die UI ist das nicht möglich.

allerdings gibt es hier zwei große fragezeichen:

bei den rege_names ist eine komplexere reihenfolge der eintragungen und *wertigkeiten* in der config relevant sonst werden immer andere einträge *als erstes* verwendet..

und die große frage ob liveconfig mich dann noch die benötigten LetsEncrypt Certificate manuell anlegen lässt..

(da hier (noch) kein wild-card möglich ist)

da hier in der web-ui ja da der SSL-Dialog überprüft ob eine domain vorhanden ist - vermute ich das dies nut mit den eindeutig definierten namen klappt..

vielleicht hat ja jemand hier in der communiity schon mal irgendwie was ähnliches gemacht -
oder ihr habt noch andere ideen wie ich da sonst noch dran gehen könnte...

ich freue mich auf feedback!

sonnige grüße
stefan k

nach rücksprache mit dem liveconfig support haben wir es nun folgendermaßen gelöst:

mein server-provider hat eine 000-manual.conf angelegt.

durch das 000 wird diese als erstes includiert - hat also vorrang vor allen LiveConfig generierten hosts..

in dieser habe ich dann entsprechend meine benötigten (regex) server_name einfügen können..

wichtig hier ist bei den listen direktiven die IP addressen der Interfaces zu hinterlegen -

dazu am einfachsten mit nginx -T  die aktuell gesamte config ausgeben lassen -
und dann die von LiveConfig generierten Blöcke als Vorlage zu benutzen...

in meinem fall sieht das wie folgt aus:

(ausschnitt)

server {
    listen        123.12.12.12:443 ssl;
    listen        [aabb:aabb:100:200::1]:443 ssl;
    server_name pma.cat.example.org;

    ssl_certificate     /etc/nginx/ssl/2025/_.example.org/cert_self_signed.pem;
    ssl_certificate_key /etc/nginx/ssl/2025/_.example.org/key_self_signed_.pem;
    location / {
        set $proxy_host localhost:8471;
        proxy_pass    http://$proxy_host$request_uri;
        proxy_read_timeout    120;
        proxy_hide_header    Upgrade;
        client_body_buffer_size    128k;
        proxy_send_timeout    120;
        proxy_redirect    off;
        client_body_temp_path    /var/cache/nginx/tmp;
        client_max_body_size    0;
        proxy_pass_header    Set-Cookie;
        proxy_set_header    Host $host;
        proxy_set_header    X-Real-IP $remote_addr;
        proxy_set_header    X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header    X-Forwarded-Proto $scheme;
    }
}


# regex:

server {
    listen        123.12.12.12:443 ssl;
    listen        [aabb:aabb:100:200::1]:443 ssl;
    server_name "~^(?:test-)?.+\.cat\.example\.org$";

    ssl_certificate     /etc/nginx/ssl/2025/_.example.org/cert_self_signed.pem;
    ssl_certificate_key /etc/nginx/ssl/2025/_.example.org/key_self_signed_.pem;

    location / {
        set $proxy_host localhost:8470;
        proxy_pass    http://$proxy_host$request_uri;
        proxy_read_timeout    120;
        proxy_hide_header    Upgrade;
        client_body_buffer_size    128k;
        proxy_send_timeout    120;
        proxy_redirect    off;
        client_body_temp_path    /var/cache/nginx/tmp;
        client_max_body_size    0;
        proxy_pass_header    Set-Cookie;
        proxy_set_header    Host $host;
        proxy_set_header    X-Real-IP $remote_addr;
        proxy_set_header    X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header    X-Forwarded-Proto $scheme;
    }

    # deny access to .htaccess files, if Apache's document root
    # concurs with nginx's one
    location ~ /\.ht {
       deny  all;
    }
}

wir haben desweiteren mit minica ein selfsigned certifact für dieses dev-setup aufgesetzt.

vielleicht hilft das hier auch noch anderen.

sonnige grüße
stefan