Nginx 기본 설정 파일 구조 완벽 가이드

Nginx의 핵심 설정 파일 구조와 디렉티브를 체계적으로 이해하고, 실무에서 바로 활용할 수 있는 설정 방법을 배워봅니다. 초급자도 쉽게 따라할 수 있도록 각 설정의 의미와 사용법을 상세히 설명합니다.

nginx.conf 메인 설정 파일 - 모든 설정의 시작점
Server 블록 - 가상 호스트 설정의 핵심
Location 블록 - URL 경로별 처리 규칙
Upstream 블록 - 로드 밸런싱과 프록시 설정
SSL/TLS 설정 - HTTPS 보안 통신 구성
Gzip 압축 설정 - 대역폭 절약과 속도 향상
로그 설정 - 접근 기록과 오류 추적
리버스 프록시 설정 - 백엔드 애플리케이션 연동
캐싱 설정 - 성능 최적화의 핵심
Rate Limiting - DDoS 공격 방어와 트래픽 제어

1. nginx.conf 메인 설정 파일 - 모든 설정의 시작점

시작하며

여러분이 Nginx를 처음 설치하고 웹 서버를 구동하려 할 때, 어디서부터 설정을 시작해야 할지 막막했던 적 있나요? 수많은 설정 파일과 디렉티브들 앞에서 어떤 파일을 먼저 수정해야 할지 고민하게 됩니다.

이런 혼란은 Nginx의 설정 파일 구조를 제대로 이해하지 못해서 발생합니다. 잘못된 위치에 설정을 추가하거나, 필수 디렉티브를 빠뜨리면 서버가 제대로 작동하지 않거나 예상치 못한 오류가 발생할 수 있습니다.

바로 이럴 때 필요한 것이 nginx.conf 메인 설정 파일에 대한 이해입니다. 이 파일의 구조를 파악하면 Nginx의 모든 설정을 체계적으로 관리할 수 있습니다.

개요

간단히 말해서, nginx.conf는 Nginx 웹 서버의 가장 중요한 메인 설정 파일입니다. 모든 Nginx 설정의 시작점이 되는 파일로, 일반적으로 /etc/nginx/nginx.conf 경로에 위치합니다.

이 파일이 필요한 이유는 워커 프로세스 수, 이벤트 처리 방식, HTTP 서버 기본 동작 등 Nginx의 전역 설정을 담당하기 때문입니다. 예를 들어, 동시 접속자가 많은 서비스를 운영할 때 워커 프로세스 수를 조정하거나, 로그 파일 위치를 지정하는 경우에 매우 유용합니다.

전통적으로 Apache는 httpd.conf 하나에 모든 설정을 넣었다면, Nginx는 nginx.conf를 중심으로 모듈화된 설정 구조를 사용합니다. 이를 통해 각 사이트별로 독립적인 설정 파일을 관리할 수 있습니다.

nginx.conf의 핵심 특징은 블록 구조(Context)를 사용한다는 점입니다. main, events, http, server, location 등의 계층적 블록으로 구성되며, 각 블록은 특정 범위에서만 유효한 디렉티브를 포함합니다.

이러한 구조적 설계가 설정의 명확성과 유지보수성을 높여줍니다.

코드 예제

# 워커 프로세스 설정 - CPU 코어 수에 맞춰 자동 조정
user nginx;
worker_processes auto;
error_log /var/log/nginx/error.log warn;
pid /var/run/nginx.pid;

# 이벤트 처리 설정 - 동시 접속 처리
events {
    worker_connections 1024;  # 워커당 최대 동시 접속 수
    use epoll;  # Linux 최적화 이벤트 모델
}

# HTTP 서버 기본 설정
http {
    include /etc/nginx/mime.types;
    default_type application/octet-stream;

    # 로그 포맷 정의
    log_format main '$remote_addr - $remote_user [$time_local] "$request" '
                    '$status $body_bytes_sent "$http_referer"';

    access_log /var/log/nginx/access.log main;

    # 성능 최적화 설정
    sendfile on;
    tcp_nopush on;
    keepalive_timeout 65;

    # 가상 호스트 설정 파일 포함
    include /etc/nginx/conf.d/*.conf;
}

설명

이것이 하는 일: nginx.conf 파일은 Nginx 서버가 시작될 때 가장 먼저 읽어들이는 설정 파일로, 서버의 전체적인 동작 방식을 정의합니다. 첫 번째로, 최상위 main 컨텍스트에서는 워커 프로세스 관련 설정을 담당합니다.

worker_processes auto는 시스템의 CPU 코어 수를 자동으로 감지하여 최적의 워커 프로세스 수를 설정합니다. 이렇게 하는 이유는 CPU 자원을 효율적으로 활용하여 동시 요청 처리 성능을 극대화하기 위함입니다.

그 다음으로, events 블록이 실행되면서 각 워커 프로세스가 동시에 처리할 수 있는 연결 수를 결정합니다. worker_connections 1024는 워커 프로세스 하나당 최대 1024개의 동시 접속을 처리할 수 있다는 의미입니다.

epoll은 Linux 환경에서 가장 효율적인 이벤트 처리 메커니즘을 사용하도록 지정합니다. http 블록에서는 웹 서버로서의 핵심 기능이 설정됩니다.

include 디렉티브를 통해 MIME 타입을 정의하고, log_format으로 접근 로그의 형식을 지정합니다. sendfile과 tcp_nopush는 정적 파일 전송 시 커널 레벨에서 최적화를 수행하여 성능을 향상시킵니다.

마지막으로, include /etc/nginx/conf.d/*.conf가 실행되어 최종적으로 별도의 설정 파일들을 불러옵니다. 이를 통해 각 웹사이트별 설정을 독립적인 파일로 관리할 수 있습니다.

여러분이 이 설정을 사용하면 체계적인 Nginx 서버 구성, 성능 최적화, 그리고 유지보수가 용이한 설정 관리를 얻을 수 있습니다. 특히 트래픽이 증가할 때 워커 프로세스와 연결 수만 조정하면 쉽게 스케일링할 수 있다는 장점이 있습니다.

실전 팁

💡 worker_processes는 auto로 설정하는 것이 좋지만, 특정 CPU 코어를 할당하고 싶다면 worker_cpu_affinity 디렉티브를 함께 사용하세요. 예: worker_cpu_affinity 0001 0010 0100 1000 (4코어 각각에 워커 할당)

💡 설정 파일을 수정한 후에는 반드시 nginx -t 명령으로 문법 검사를 수행하세요. 잘못된 설정으로 서버가 재시작되지 않는 것을 방지할 수 있습니다.

💡 worker_connections 값은 시스템의 열린 파일 디스크립터 제한(ulimit -n)보다 작아야 합니다. 제한을 초과하면 연결 오류가 발생할 수 있습니다.

💡 프로덕션 환경에서는 error_log 레벨을 warn이나 error로 설정하세요. debug 레벨은 디스크 I/O를 급격히 증가시켜 성능 저하를 일으킬 수 있습니다.

💡 설정 파일에 주석을 충분히 작성하여 나중에 여러분이나 팀원이 설정을 이해하기 쉽게 만드세요. 특히 성능 튜닝 값에는 변경 이유를 반드시 기록하세요.

2. Server 블록 - 가상 호스트 설정의 핵심

시작하며

여러분이 하나의 서버에서 여러 개의 웹사이트를 운영하려고 할 때, 각 도메인마다 다른 설정을 적용해야 하는 상황을 겪어본 적 있나요? example.com과 api.example.com을 같은 서버에서 다르게 처리해야 하는 경우가 바로 그런 상황입니다.

이런 문제는 가상 호스트(Virtual Host) 개념을 이해하지 못하면 해결하기 어렵습니다. 각 도메인마다 별도의 서버를 구축하는 것은 비용과 관리 측면에서 비효율적입니다.

바로 이럴 때 필요한 것이 Nginx의 Server 블록입니다. 하나의 Nginx 인스턴스에서 여러 개의 독립적인 웹사이트를 효율적으로 관리할 수 있게 해줍니다.

개요

간단히 말해서, Server 블록은 Nginx에서 가상 호스트를 정의하는 설정 단위입니다. 각 Server 블록은 하나의 독립적인 웹사이트 또는 애플리케이션을 나타냅니다.

이 개념이 필요한 이유는 하나의 물리적 서버에서 여러 도메인을 효율적으로 처리하기 위함입니다. 예를 들어, 메인 웹사이트, API 서버, 관리자 페이지를 각각 다른 도메인으로 운영하면서도 하나의 Nginx 인스턴스로 관리할 수 있습니다.

전통적으로 Apache는 VirtualHost 디렉티브를 사용했다면, Nginx는 더 직관적인 Server 블록을 사용합니다. 이를 통해 listen 포트, server_name 도메인, root 디렉토리 등을 명확하게 분리할 수 있습니다.

Server 블록의 핵심 특징은 요청 매칭 우선순위를 가진다는 점입니다. listen 포트와 server_name이 일치하는 블록을 찾고, 여러 개가 매칭되면 가장 구체적인 것을 선택합니다.

default_server 옵션을 사용하면 매칭되지 않는 모든 요청을 처리하는 기본 서버를 지정할 수 있습니다.

코드 예제

# 메인 웹사이트 서버 블록
server {
    listen 80;  # HTTP 포트
    listen [::]:80;  # IPv6 지원
    server_name example.com www.example.com;  # 도메인 매칭

    # 웹 루트 디렉토리 지정
    root /var/www/example.com/html;
    index index.html index.htm;

    # 접근 로그 및 에러 로그
    access_log /var/log/nginx/example.com.access.log;
    error_log /var/log/nginx/example.com.error.log;

    # Location 블록 - URL 경로별 처리
    location / {
        try_files $uri $uri/ =404;
    }

    # 정적 파일 캐싱
    location ~* \.(jpg|jpeg|png|gif|ico|css|js)$ {
        expires 30d;
        add_header Cache-Control "public, immutable";
    }
}

설명

이것이 하는 일: Server 블록은 들어오는 HTTP 요청을 받아서 어떤 웹사이트로 라우팅할지 결정하고, 해당 사이트의 설정을 적용합니다. 첫 번째로, listen 디렉티브는 Nginx가 어떤 포트에서 요청을 수신할지 지정합니다.

listen 80은 HTTP 기본 포트를 의미하며, listen [::]:80은 IPv6 주소에서도 동일하게 처리하도록 합니다. 이렇게 하는 이유는 IPv4와 IPv6 클라이언트 모두를 지원하기 위함입니다.

그 다음으로, server_name 디렉티브가 실행되면서 이 서버 블록이 처리할 도메인을 정의합니다. example.com과 www.example.com을 함께 지정하면 두 도메인 모두 같은 서버 블록으로 처리됩니다.

Nginx는 HTTP Host 헤더를 확인하여 매칭되는 서버 블록을 찾습니다. root와 index 디렉티브는 웹사이트의 파일 시스템 경로를 설정합니다.

root는 모든 파일의 기본 경로이고, index는 디렉토리 요청 시 기본적으로 제공할 파일을 지정합니다. 예를 들어 example.com/ 요청이 오면 /var/www/example.com/html/index.html을 찾습니다.

location 블록은 URL 경로별로 다른 처리를 정의합니다. location /은 모든 경로에 매칭되며, try_files는 요청된 파일이 존재하면 제공하고, 없으면 404 오류를 반환합니다.

정규표현식 location은 특정 확장자 파일에 대해 캐싱 헤더를 추가하여 브라우저 캐싱을 활성화합니다. 여러분이 이 설정을 사용하면 명확한 도메인별 분리, 독립적인 로그 관리, 그리고 URL 경로별 맞춤 처리를 얻을 수 있습니다.

특히 여러 프로젝트를 하나의 서버에서 관리할 때 각 프로젝트의 설정을 완전히 독립적으로 유지할 수 있다는 장점이 있습니다.

실전 팁

💡 server_name에 와일드카드를 사용할 수 있습니다. *.example.com은 모든 서브도메인을 매칭합니다. 하지만 정규표현식보다 명시적 매칭이 우선순위가 높으니 주의하세요.

💡 HTTPS를 사용할 때는 listen 443 ssl http2로 설정하고, ssl_certificate와 ssl_certificate_key 디렉티브를 추가하세요. HTTP/2를 함께 활성화하면 성능이 크게 향상됩니다.

💡 여러 Server 블록 중 어떤 것도 매칭되지 않을 때를 대비해 default_server 블록을 만드세요. 이를 통해 잘못된 도메인 요청을 처리하거나 404 페이지로 리다이렉트할 수 있습니다.

💡 각 Server 블록을 /etc/nginx/sites-available/ 디렉토리에 별도 파일로 만들고, 활성화할 것만 /etc/nginx/sites-enabled/로 심볼릭 링크를 만드세요. 이는 설정 관리의 표준 방법입니다.

💡 return 301 https://$server_name$request_uri를 사용하여 HTTP 요청을 HTTPS로 리다이렉트하는 별도의 서버 블록을 만드세요. 보안과 SEO에 모두 유리합니다.

3. Location 블록 - URL 경로별 처리 규칙

시작하며

여러분이 웹 애플리케이션을 만들 때, /api/ 경로는 백엔드 서버로 프록시하고, /static/ 경로는 정적 파일을 직접 제공해야 하는 상황을 겪어본 적 있나요? 각 URL 경로마다 완전히 다른 처리 방식이 필요한 경우가 실무에서는 매우 흔합니다.

이런 문제는 URL 라우팅을 제대로 설정하지 못하면 서버 오류나 보안 취약점으로 이어질 수 있습니다. 모든 요청을 동일하게 처리하면 성능도 떨어지고 유연성도 없어집니다.

바로 이럴 때 필요한 것이 Location 블록입니다. URL 경로별로 정밀한 제어와 맞춤 처리를 가능하게 해줍니다.

개요

간단히 말해서, Location 블록은 URL 경로에 따라 요청을 다르게 처리하는 규칙을 정의하는 Nginx의 핵심 디렉티브입니다. Server 블록 내부에서 사용되며, 경로 패턴에 따라 여러 개를 정의할 수 있습니다.

이 개념이 필요한 이유는 현대적인 웹 애플리케이션은 정적 파일 제공, API 프록시, 리버스 프록시, URL 리라이팅 등 다양한 처리 방식이 혼재되어 있기 때문입니다. 예를 들어, React 같은 SPA는 모든 경로를 index.html로 라우팅해야 하지만, /api 경로는 백엔드로 프록시해야 하는 경우에 매우 유용합니다.

전통적으로 단순히 파일을 제공하는 웹 서버였다면, 이제는 location 블록을 통해 마이크로서비스 아키텍처의 게이트웨이 역할을 수행할 수 있습니다. 각 경로를 다른 서비스로 라우팅하거나, 인증을 추가하거나, 캐싱 전략을 다르게 적용할 수 있습니다.

Location 블록의 핵심 특징은 매칭 우선순위와 수식어를 가진다는 점입니다. = (정확히 일치), ^~ (접두사 우선), ~ (대소문자 구분 정규식), ~* (대소문자 무시 정규식) 등의 수식어로 매칭 방식을 제어합니다.

우선순위를 이해하면 복잡한 라우팅 규칙도 쉽게 구현할 수 있습니다.

코드 예제

server {
    listen 80;
    server_name example.com;
    root /var/www/example.com;

    # 정확히 일치 - 최우선 순위
    location = / {
        index index.html;
    }

    # 접두사 매칭 (우선순위 높음) - API 프록시
    location ^~ /api/ {
        proxy_pass http://localhost:3000;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
    }

    # 정규표현식 - 이미지 파일 캐싱
    location ~* \.(jpg|jpeg|png|gif|webp)$ {
        expires 1y;
        add_header Cache-Control "public, immutable";
        access_log off;
    }

    # 기본 접두사 매칭 - SPA 라우팅
    location / {
        try_files $uri $uri/ /index.html;
    }

    # 특정 파일 숨기기
    location ~ /\.(?!well-known) {
        deny all;
    }
}

설명

이것이 하는 일: Location 블록은 들어온 요청의 URI를 분석하여 매칭되는 패턴을 찾고, 해당 블록에 정의된 처리 규칙을 적용합니다. 첫 번째로, location = /는 정확히 루트 경로만 매칭합니다.

이는 가장 높은 우선순위를 가지며, example.com/ 요청이 오면 즉시 이 블록이 실행됩니다. 이렇게 하는 이유는 가장 자주 접근되는 경로를 빠르게 처리하여 성능을 최적화하기 위함입니다.

그 다음으로, location ^~ /api/가 실행되면서 /api/로 시작하는 모든 요청을 처리합니다. ^~ 수식어는 정규표현식보다 우선하므로, 이후의 정규표현식 매칭을 건너뜁니다.

proxy_pass는 요청을 로컬 3000번 포트의 백엔드 서버로 전달하고, proxy_set_header는 원본 클라이언트 정보를 백엔드에 전달합니다. 정규표현식 location ~*는 대소문자 구분 없이 이미지 파일 확장자를 매칭합니다.

expires 1y는 브라우저에 1년간 캐싱하도록 지시하며, access_log off는 이미지 요청에 대한 로그를 기록하지 않아 디스크 I/O를 절약합니다. 기본 location /은 위의 모든 location에 매칭되지 않은 요청을 처리합니다.

try_files는 요청된 파일이 있으면 제공하고, 없으면 index.html로 폴백하여 SPA의 클라이언트 사이드 라우팅을 지원합니다. location ~ /.(?!well-known)은 .git, .env 같은 숨김 파일 접근을 차단하여 보안을 강화합니다.

여러분이 이 설정을 사용하면 유연한 URL 라우팅, 효율적인 캐싱 전략, 그리고 보안 강화를 얻을 수 있습니다. 특히 마이크로서비스 환경에서 각 서비스를 경로별로 라우팅하면서도 하나의 도메인으로 통합할 수 있다는 장점이 있습니다.

실전 팁

💡 Location 매칭 우선순위를 기억하세요: = (정확 일치) > ^~ (접두사 우선) > ~ 또는 ~* (정규식) > 일반 접두사. 복잡한 설정에서 의도하지 않은 매칭을 방지할 수 있습니다.

💡 try_files $uri $uri/ =404 대신 /index.html을 사용하면 SPA 라우팅을 지원할 수 있습니다. 하지만 실제로 존재하지 않는 파일도 200 응답을 반환하므로 SEO에 주의하세요.

💡 proxy_pass에서 URI 끝에 슬래시를 붙이면 location 경로가 제거됩니다. location /api/ { proxy_pass http://backend/; }는 /api/users를 /users로 전달하지만, 슬래시가 없으면 /api/users 그대로 전달됩니다.

💡 정규표현식 location에서 캡처 그룹 $1, $2를 사용할 수 있습니다. location ~ ^/images/(.+.(jpg|png))$ { try_files /cache/$1 /original/$1 =404; } 같은 고급 패턴도 가능합니다.

💡 location 블록 안에서 return 301이나 rewrite를 사용하여 URL 리다이렉션과 재작성을 수행할 수 있습니다. 이를 통해 레거시 URL을 새로운 구조로 마이그레이션할 수 있습니다.

4. Upstream 블록 - 로드 밸런싱과 프록시 설정

시작하며

여러분이 백엔드 서버를 여러 대 운영하면서 트래픽을 분산시켜야 하는 상황을 겪어본 적 있나요? 하나의 서버가 과부하되면 전체 서비스가 다운되는 위험을 피하고, 고가용성을 확보해야 하는 경우가 실무에서는 필수적입니다.

이런 문제는 단일 서버 구조로는 해결할 수 없으며, 별도의 로드 밸런서 장비를 구매하는 것은 비용이 많이 듭니다. 여러 백엔드 서버를 효율적으로 관리하고, 장애가 발생한 서버를 자동으로 제외하는 메커니즘이 필요합니다.

바로 이럴 때 필요한 것이 Upstream 블록입니다. Nginx를 로드 밸런서로 활용하여 트래픽을 여러 서버에 분산시키고, 헬스 체크를 통해 안정성을 확보할 수 있습니다.

개요

간단히 말해서, Upstream 블록은 여러 개의 백엔드 서버를 그룹으로 정의하고, 로드 밸런싱 알고리즘을 적용하여 트래픽을 분산시키는 설정입니다. http 블록 내부에서 정의하며, location 블록의 proxy_pass에서 참조합니다.

이 개념이 필요한 이유는 현대적인 웹 애플리케이션은 수평 확장(Scale-out)을 통해 성능과 안정성을 확보하기 때문입니다. 예를 들어, Node.js 백엔드를 3대 운영하면서 각 서버에 트래픽을 균등하게 분배하거나, 세션 지속성(Sticky Session)을 유지해야 하는 경우에 매우 유용합니다.

전통적으로 하드웨어 로드 밸런서나 별도의 HAProxy를 사용했다면, 이제는 Nginx 하나로 웹 서버와 로드 밸런서 역할을 동시에 수행할 수 있습니다. 이를 통해 인프라를 단순화하고 비용을 절감할 수 있습니다.

Upstream 블록의 핵심 특징은 다양한 로드 밸런싱 알고리즘과 헬스 체크 기능입니다. round-robin(순차 분배), least_conn(최소 연결), ip_hash(클라이언트 IP 기반) 등의 알고리즘을 선택할 수 있으며, max_fails와 fail_timeout으로 장애 서버를 자동으로 제외합니다.

코드 예제

http {
    # 백엔드 서버 그룹 정의
    upstream backend_servers {
        # 최소 연결 수 알고리즘 사용
        least_conn;

        # 백엔드 서버 목록
        server 192.168.1.10:3000 weight=3;  # 가중치 3배
        server 192.168.1.11:3000 weight=1;
        server 192.168.1.12:3000 backup;  # 백업 서버

        # 헬스 체크 설정
        server 192.168.1.13:3000 max_fails=3 fail_timeout=30s;

        # 연결 유지 설정 - 성능 향상
        keepalive 32;
    }

    # 세션 지속성이 필요한 경우
    upstream sticky_backend {
        ip_hash;  # 클라이언트 IP 기반 라우팅
        server 192.168.1.20:8080;
        server 192.168.1.21:8080;
    }

    server {
        listen 80;

        location /api/ {
            proxy_pass http://backend_servers;
            proxy_http_version 1.1;
            proxy_set_header Connection "";
            proxy_set_header Host $host;
            proxy_set_header X-Real-IP $remote_addr;
            proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        }
    }
}

설명

이것이 하는 일: Upstream 블록은 여러 백엔드 서버를 하나의 논리적 그룹으로 묶고, 들어오는 요청을 설정된 알고리즘에 따라 분산시킵니다. 첫 번째로, upstream backend_servers는 백엔드 서버 그룹의 이름을 정의합니다.

least_conn 디렉티브는 현재 활성 연결 수가 가장 적은 서버로 요청을 보내는 알고리즘을 선택합니다. 이렇게 하는 이유는 처리 시간이 다른 요청들을 효율적으로 분산하여 특정 서버의 과부하를 방지하기 위함입니다.

그 다음으로, server 디렉티브들이 실행되면서 각 백엔드 서버의 주소와 옵션을 정의합니다. weight=3은 이 서버가 다른 서버보다 3배 많은 요청을 처리하도록 지정하며, 성능이 더 좋은 서버에 사용합니다.

backup 옵션은 모든 일반 서버가 실패했을 때만 사용되는 예비 서버를 지정합니다. max_fails=3 fail_timeout=30s는 헬스 체크 설정으로, 30초 내에 3번 실패하면 해당 서버를 일시적으로 제외합니다.

30초 후에 자동으로 재시도하여 서버가 복구되었는지 확인합니다. keepalive 32는 백엔드 서버와의 연결을 재사용하여 성능을 크게 향상시킵니다.

ip_hash 알고리즘은 클라이언트 IP 주소를 해싱하여 항상 같은 서버로 라우팅합니다. 이는 세션 데이터가 서버 메모리에 저장되는 경우 필수적입니다.

proxy_pass http://backend_servers는 upstream 그룹을 참조하며, proxy_http_version 1.1과 Connection "" 헤더는 keepalive를 활성화합니다. 여러분이 이 설정을 사용하면 자동 장애 조치(Failover), 효율적인 트래픽 분산, 그리고 성능 향상을 얻을 수 있습니다.

특히 트래픽이 급증할 때 백엔드 서버를 추가하기만 하면 자동으로 로드 밸런싱에 포함되어 쉽게 스케일링할 수 있다는 장점이 있습니다.

실전 팁

💡 least_conn은 WebSocket이나 긴 폴링 같은 장시간 연결에 적합하고, ip_hash는 세션 지속성이 필요할 때, 기본 round-robin은 단순하고 빠른 요청에 적합합니다. 상황에 맞게 선택하세요.

💡 keepalive 설정은 성능에 큰 영향을 미칩니다. 백엔드 연결을 재사용하면 TCP 핸드셰이크 오버헤드를 줄일 수 있습니다. 일반적으로 워커 프로세스당 32-64개가 적절합니다.

💡 max_fails와 fail_timeout을 너무 낮게 설정하면 일시적인 네트워크 지연도 장애로 간주할 수 있습니다. 프로덕션에서는 최소 3번 실패, 30초 이상으로 설정하세요.

💡 upstream 블록에 zone 디렉티브를 추가하면 동적으로 서버를 추가/제거할 수 있는 공유 메모리 영역을 생성합니다. 상용 버전 Nginx Plus에서 더 강력한 기능을 제공합니다.

💡 프록시 타임아웃 설정도 중요합니다. proxy_connect_timeout, proxy_send_timeout, proxy_read_timeout을 백엔드 처리 시간에 맞게 조정하세요. 기본값은 60초이지만 무거운 작업은 더 길게 설정해야 합니다.

5. SSL/TLS 설정 - HTTPS 보안 통신 구성

시작하며

여러분이 웹사이트를 운영할 때, 브라우저에서 "안전하지 않음" 경고가 표시되거나, 사용자의 개인정보가 평문으로 전송되는 보안 위험을 겪어본 적 있나요? 구글은 HTTPS가 아닌 사이트의 검색 순위를 낮추고, 최신 브라우저는 HTTP 사이트를 적극적으로 경고합니다.

이런 문제는 SSL/TLS 인증서를 제대로 설정하지 않아서 발생합니다. 암호화되지 않은 통신은 중간자 공격(MITM)에 취약하며, 사용자의 비밀번호나 개인정보가 노출될 수 있습니다.

바로 이럴 때 필요한 것이 Nginx의 SSL/TLS 설정입니다. Let's Encrypt 같은 무료 인증서를 활용하여 안전한 HTTPS 통신을 쉽게 구현할 수 있습니다.

개요

간단히 말해서, SSL/TLS 설정은 Nginx에서 HTTPS 프로토콜을 활성화하고 보안 통신을 구성하는 디렉티브 모음입니다. 인증서 파일, 암호화 알고리즘, 보안 프로토콜 버전 등을 지정합니다.

이 설정이 필요한 이유는 현대 웹 표준에서 HTTPS가 필수가 되었기 때문입니다. 예를 들어, Service Worker, Geolocation API, WebRTC 같은 최신 웹 기술은 HTTPS 환경에서만 작동하며, 결제 처리나 로그인 같은 민감한 작업은 반드시 암호화가 필요합니다.

전통적으로 SSL 인증서는 비용이 많이 들고 설정이 복잡했다면, 이제는 Let's Encrypt로 무료 인증서를 발급받고 certbot으로 자동 갱신할 수 있습니다. Nginx는 강력한 SSL/TLS 설정 옵션을 제공하여 A+ 등급의 보안 점수를 쉽게 달성할 수 있습니다.

SSL/TLS 설정의 핵심 특징은 프로토콜 버전과 암호화 스위트 선택입니다. TLS 1.2 이상만 허용하고, 안전한 암호화 알고리즘만 사용하도록 설정하면 대부분의 보안 취약점을 방지할 수 있습니다.

OCSP Stapling과 HSTS 헤더로 추가적인 보안을 강화합니다.

코드 예제

server {
    # HTTP를 HTTPS로 리다이렉트
    listen 80;
    server_name example.com www.example.com;
    return 301 https://$server_name$request_uri;
}

server {
    # HTTPS 설정
    listen 443 ssl http2;
    listen [::]:443 ssl http2;
    server_name example.com www.example.com;

    # SSL 인증서 경로 (Let's Encrypt)
    ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;

    # 최신 TLS 프로토콜만 허용
    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_prefer_server_ciphers on;
    ssl_ciphers 'ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256';

    # SSL 세션 캐싱 - 성능 향상
    ssl_session_cache shared:SSL:10m;
    ssl_session_timeout 10m;

    # OCSP Stapling - 인증서 검증 성능 향상
    ssl_stapling on;
    ssl_stapling_verify on;
    ssl_trusted_certificate /etc/letsencrypt/live/example.com/chain.pem;

    # HSTS - 브라우저에 HTTPS 강제
    add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;

    location / {
        root /var/www/html;
        index index.html;
    }
}

설명

이것이 하는 일: SSL/TLS 설정은 클라이언트와 서버 간의 통신을 암호화하여 데이터를 안전하게 전송하고, 서버의 신원을 인증합니다. 첫 번째로, HTTP 포트 80으로 들어오는 요청을 HTTPS 포트 443으로 리다이렉트합니다.

return 301은 영구 리다이렉션을 의미하며, 검색 엔진이 HTTPS 버전을 인덱싱하도록 합니다. 이렇게 하는 이유는 사용자가 실수로 HTTP로 접속해도 자동으로 안전한 HTTPS로 전환하기 위함입니다.

그 다음으로, listen 443 ssl http2가 실행되면서 HTTPS 포트를 열고 HTTP/2 프로토콜을 활성화합니다. ssl_certificate와 ssl_certificate_key는 Let's Encrypt에서 발급받은 인증서 파일의 경로를 지정합니다.

fullchain.pem은 서버 인증서와 중간 인증서를 포함하며, privkey.pem은 개인 키입니다. ssl_protocols TLSv1.2 TLSv1.3은 구형 프로토콜(SSLv3, TLS 1.0/1.1)을 차단하여 알려진 보안 취약점을 방지합니다.

ssl_ciphers는 안전한 암호화 알고리즘만 허용하며, ECDHE는 완전 순방향 비밀성(Perfect Forward Secrecy)을 제공하여 과거 통신도 안전하게 보호합니다. ssl_session_cache는 TLS 핸드셰이크 결과를 캐싱하여 재접속 시 성능을 크게 향상시킵니다.

shared:SSL:10m은 모든 워커 프로세스가 공유하는 10MB 캐시를 의미합니다. ssl_stapling은 OCSP 응답을 서버에서 미리 가져와 클라이언트에 제공하여 인증서 검증 속도를 높입니다.

Strict-Transport-Security 헤더는 브라우저에게 1년간(31536000초) HTTPS로만 접속하도록 지시합니다. includeSubDomains는 모든 서브도메인에도 적용하며, 이후 사용자가 HTTP로 접속을 시도해도 브라우저가 자동으로 HTTPS로 변환합니다.

여러분이 이 설정을 사용하면 암호화된 안전한 통신, SEO 이점, 최신 웹 API 사용 가능, 그리고 사용자 신뢰 향상을 얻을 수 있습니다. 특히 SSL Labs 테스트에서 A+ 등급을 받을 수 있어 보안 인증이 필요한 서비스에 적합합니다.

실전 팁

💡 Let's Encrypt 인증서는 90일마다 갱신해야 합니다. certbot renew --dry-run으로 테스트한 후, cron 작업으로 자동 갱신을 설정하세요: 0 0 * * * certbot renew --quiet && systemctl reload nginx

💡 SSL Labs (ssllabs.com/ssltest)에서 여러분의 도메인을 테스트하세요. A+ 등급을 받으려면 HSTS 헤더와 TLS 1.3이 필수입니다. 취약점이 발견되면 구체적인 개선 방법을 제시해줍니다.

💡 와일드카드 인증서(.example.com)를 사용하면 모든 서브도메인에 하나의 인증서를 사용할 수 있습니다. certbot certonly --dns-route53 -d ".example.com"으로 발급받을 수 있습니다.

💡 HTTP/2는 HTTPS에서만 작동하며, 여러 파일을 병렬로 다운로드하여 페이지 로딩 속도를 크게 향상시킵니다. 특별한 이유가 없다면 항상 http2를 활성화하세요.

💡 개발 환경에서는 mkcert로 로컬 인증서를 생성하여 localhost에서도 HTTPS를 테스트할 수 있습니다. 프로덕션과 동일한 환경에서 개발하면 배포 시 문제를 미리 발견할 수 있습니다.

6. Gzip 압축 설정 - 대역폭 절약과 속도 향상

시작하며

여러분이 웹사이트를 운영하면서 페이지 로딩 속도가 느리고, 서버 대역폭 비용이 계속 증가하는 문제를 겪어본 적 있나요? 특히 모바일 사용자나 느린 네트워크 환경에서 큰 JavaScript나 CSS 파일을 다운로드하는 데 오랜 시간이 걸립니다.

이런 문제는 압축되지 않은 텍스트 파일을 그대로 전송하기 때문에 발생합니다. 1MB의 JavaScript 파일을 압축 없이 전송하면 사용자는 긴 로딩 시간을 견뎌야 하고, 여러분은 불필요한 대역폭 비용을 지불하게 됩니다.

바로 이럴 때 필요한 것이 Gzip 압축 설정입니다. 텍스트 기반 파일을 70-90% 압축하여 전송 속도를 크게 높이고 비용을 절감할 수 있습니다.

개요

간단히 말해서, Gzip 압축은 HTTP 응답을 압축하여 클라이언트에 전송하는 기능입니다. 브라우저는 압축된 데이터를 받아서 자동으로 해제하므로, 사용자는 변화를 느끼지 못하면서 훨씬 빠른 다운로드 속도를 경험합니다.

이 설정이 필요한 이유는 대부분의 웹 콘텐츠가 텍스트 기반(HTML, CSS, JavaScript, JSON)이며, 이들은 압축률이 매우 높기 때문입니다. 예를 들어, React 애플리케이션의 번들 파일이 2MB라면 Gzip으로 압축하면 약 500KB로 줄어들어 4배 빠르게 전송됩니다.

전통적으로 서버 CPU를 절약하기 위해 압축을 사용하지 않았다면, 이제는 CPU 성능이 향상되어 압축 오버헤드는 무시할 수 있는 수준입니다. 반면 네트워크 속도는 여전히 병목 지점이므로 압축의 이점이 훨씬 큽니다.

Gzip 압축의 핵심 특징은 파일 타입별 선택적 압축과 압축 레벨 조정입니다. 이미 압축된 이미지나 비디오 파일은 제외하고, 텍스트 파일만 압축하여 효율을 극대화합니다.

압축 레벨은 1(빠름)부터 9(최대 압축)까지 조정할 수 있으며, 일반적으로 레벨 6이 속도와 압축률의 균형점입니다.

코드 예제

http {
    # Gzip 압축 활성화
    gzip on;

    # 프록시 요청도 압축
    gzip_proxied any;

    # 압축 레벨 (1-9, 기본값 6 권장)
    gzip_comp_level 6;

    # 최소 압축 파일 크기 (바이트) - 작은 파일은 제외
    gzip_min_length 1000;

    # 압축할 MIME 타입 지정
    gzip_types
        text/plain
        text/css
        text/xml
        text/javascript
        application/json
        application/javascript
        application/xml+rss
        application/x-javascript
        image/svg+xml;

    # 구형 브라우저 호환성
    gzip_vary on;
    gzip_disable "msie6";

    # 압축 버퍼 크기
    gzip_buffers 16 8k;
}

설명

이것이 하는 일: Gzip 압축은 서버에서 응답을 전송하기 전에 데이터를 압축하고, Content-Encoding: gzip 헤더를 추가하여 브라우저가 자동으로 압축을 해제하도록 합니다. 첫 번째로, gzip on은 압축 기능을 활성화합니다.

gzip_proxied any는 프록시 서버를 거쳐온 요청에도 압축을 적용하며, 이는 CDN이나 로드 밸런서 뒤에서 작동할 때 중요합니다. 이렇게 하는 이유는 모든 클라이언트가 압축의 이점을 받을 수 있도록 하기 위함입니다.

그 다음으로, gzip_comp_level 6이 실행되면서 중간 수준의 압축을 적용합니다. 레벨 1은 CPU 사용이 적지만 압축률이 낮고, 레벨 9는 최대 압축이지만 CPU를 많이 사용합니다.

레벨 6은 약 80-85%의 압축률을 제공하면서도 CPU 오버헤드가 적어 가장 균형 잡힌 선택입니다. gzip_min_length 1000은 1KB 미만의 파일은 압축하지 않습니다.

매우 작은 파일은 압축 헤더 추가로 오히려 크기가 증가할 수 있으며, 압축/해제 오버헤드가 이점보다 클 수 있습니다. gzip_types는 압축할 MIME 타입을 명시적으로 지정하여 이미 압축된 이미지나 비디오 파일을 제외합니다.

gzip_vary on은 Vary: Accept-Encoding 헤더를 추가하여 프록시 서버가 압축 버전과 비압축 버전을 별도로 캐싱하도록 합니다. 이는 압축을 지원하지 않는 구형 클라이언트에도 올바른 응답을 제공하기 위함입니다.

gzip_disable "msie6"는 압축을 제대로 처리하지 못하는 Internet Explorer 6를 제외합니다. 여러분이 이 설정을 사용하면 페이지 로딩 속도 향상(특히 모바일), 대역폭 비용 절감, 그리고 SEO 이점(구글은 빠른 사이트를 선호)을 얻을 수 있습니다.

특히 JavaScript가 많은 SPA 애플리케이션에서 효과가 극대화됩니다.

실전 팁

💡 gzip_static on을 사용하면 미리 압축된 .gz 파일을 제공할 수 있습니다. 빌드 시 webpack이나 vite로 .gz 파일을 생성하면 런타임 압축 없이 즉시 제공할 수 있어 CPU를 절약합니다.

💡 Brotli 압축은 Gzip보다 약 20% 더 높은 압축률을 제공합니다. ngx_brotli 모듈을 설치하고 brotli on을 추가하면 최신 브라우저에서 더 나은 성능을 얻을 수 있습니다.

💡 개발자 도구의 Network 탭에서 Size 컬럼을 확인하세요. 압축된 파일은 "1.2 MB / 300 KB" 형식으로 표시되며, 실제 전송된 크기를 확인할 수 있습니다.

💡 gzip_types에 text/html을 추가할 필요 없습니다. HTML은 기본적으로 항상 압축됩니다. 중복 지정은 경고를 발생시킬 수 있습니다.

💡 API 응답(application/json)도 압축 대상에 포함하세요. JSON 데이터는 압축률이 매우 높으며(80-90%), 모바일 앱에서 API를 호출할 때 데이터 사용량을 크게 줄일 수 있습니다.

7. 로그 설정 - 접근 기록과 오류 추적

시작하며

여러분이 서버에 문제가 발생했을 때, 어떤 요청이 오류를 일으켰는지, 어떤 IP에서 비정상적인 트래픽이 발생하는지 파악하지 못해 답답했던 적 있나요? 또는 로그 파일이 너무 커져서 디스크 공간을 가득 채우는 문제를 겪어본 적도 있을 것입니다.

이런 문제는 로그 설정을 제대로 하지 않아서 발생합니다. 필요한 정보는 기록되지 않고, 불필요한 정보는 과도하게 쌓여서 관리가 어려워집니다.

보안 사고가 발생해도 추적할 수 있는 로그가 없으면 원인을 파악할 수 없습니다. 바로 이럴 때 필요한 것이 체계적인 로그 설정입니다.

적절한 로그 포맷과 로테이션 정책으로 디버깅, 모니터링, 보안 분석을 효과적으로 수행할 수 있습니다.

개요

간단히 말해서, Nginx 로그 설정은 접근 로그(access log)와 오류 로그(error log)를 어떻게 기록할지 정의하는 디렉티브입니다. 로그 포맷, 저장 위치, 로그 레벨 등을 세밀하게 제어할 수 있습니다.

이 설정이 필요한 이유는 웹 서버의 모든 활동을 추적하여 문제 해결, 성능 분석, 보안 감사에 활용하기 위함입니다. 예를 들어, 특정 API 엔드포인트의 응답 시간이 느리다는 보고가 들어왔을 때, 접근 로그를 분석하여 어떤 요청이 문제인지 정확히 파악할 수 있습니다.

전통적으로 로그는 단순한 텍스트 파일이었다면, 이제는 JSON 포맷으로 구조화하여 Elasticsearch나 Splunk 같은 로그 분석 도구로 쉽게 처리할 수 있습니다. 커스텀 로그 포맷을 정의하여 필요한 정보만 선택적으로 기록할 수 있습니다.

로그 설정의 핵심 특징은 조건부 로깅과 버퍼링입니다. 특정 상태 코드나 URL만 로그에 남기거나, 메모리 버퍼를 사용하여 디스크 I/O를 최적화할 수 있습니다.

로그 레벨을 조정하여 debug, info, warn, error 중 필요한 수준만 기록합니다.

코드 예제

http {
    # 커스텀 로그 포맷 정의 - 상세 정보 포함
    log_format main '$remote_addr - $remote_user [$time_local] '
                    '"$request" $status $body_bytes_sent '
                    '"$http_referer" "$http_user_agent" '
                    '$request_time $upstream_response_time';

    # JSON 포맷 로그 - 분석 도구 친화적
    log_format json escape=json '{'
        '"time":"$time_iso8601",'
        '"remote_addr":"$remote_addr",'
        '"request":"$request",'
        '"status":$status,'
        '"bytes":$body_bytes_sent,'
        '"request_time":$request_time,'
        '"upstream_time":"$upstream_response_time"'
    '}';

    # 기본 접근 로그 - 버퍼링으로 성능 향상
    access_log /var/log/nginx/access.log main buffer=32k flush=5s;

    # 에러 로그 레벨 설정 (debug, info, notice, warn, error, crit)
    error_log /var/log/nginx/error.log warn;

    server {
        listen 80;
        server_name example.com;

        # 서버별 로그 파일
        access_log /var/log/nginx/example.com.access.log json;
        error_log /var/log/nginx/example.com.error.log error;

        # 정적 파일은 로그 제외 - 디스크 절약
        location ~* \.(jpg|jpeg|png|gif|ico|css|js)$ {
            access_log off;
        }

        # 특정 경로만 상세 로그
        location /api/ {
            access_log /var/log/nginx/api.log json;
        }
    }
}

설명

이것이 하는 일: 로그 설정은 모든 HTTP 요청과 서버 오류를 지정된 포맷으로 파일에 기록하여 나중에 분석하고 문제를 해결할 수 있게 합니다. 첫 번째로, log_format main은 로그의 구조를 정의합니다.

$remote_addr는 클라이언트 IP 주소, $status는 HTTP 상태 코드, $request_time은 요청 처리 시간을 기록합니다. 이렇게 하는 이유는 각 요청에 대한 완전한 컨텍스트를 제공하여 문제 발생 시 원인을 신속하게 파악하기 위함입니다.

그 다음으로, log_format json이 실행되면서 JSON 형식의 구조화된 로그를 생성합니다. escape=json은 특수 문자를 자동으로 이스케이프하여 유효한 JSON을 보장합니다.

JSON 로그는 jq 명령어로 쉽게 필터링하거나, Filebeat로 Elasticsearch에 전송하여 Kibana에서 시각화할 수 있습니다. access_log 디렉티브의 buffer=32k flush=5s는 성능 최적화를 위해 32KB의 메모리 버퍼를 사용하고, 5초마다 또는 버퍼가 가득 차면 디스크에 기록합니다.

이는 매 요청마다 디스크에 쓰는 것보다 훨씬 효율적이며, 고트래픽 환경에서 디스크 I/O 병목을 크게 줄입니다. error_log warn은 경고 수준 이상의 오류만 기록합니다.

debug 레벨은 개발 환경에서 유용하지만 프로덕션에서는 너무 많은 로그를 생성하여 성능 저하와 디스크 공간 낭비를 초래합니다. warn이나 error 레벨이 프로덕션에 적합합니다.

access_log off는 특정 location에서 로그를 완전히 비활성화합니다. 정적 이미지나 CSS 파일 같은 자주 요청되는 리소스는 로그에서 제외하면 로그 크기를 크게 줄일 수 있습니다.

반대로 /api/ 경로는 별도의 상세 로그 파일로 분리하여 API 분석을 쉽게 합니다. 여러분이 이 설정을 사용하면 효과적인 디버깅, 성능 모니터링, 보안 감사, 그리고 비즈니스 인사이트를 얻을 수 있습니다.

특히 로그 분석 도구와 결합하면 실시간 대시보드와 자동 알림을 구축할 수 있습니다.

실전 팁

💡 로그 로테이션은 필수입니다. logrotate를 설정하여 일일 또는 주간으로 로그 파일을 압축하고 보관하세요. /etc/logrotate.d/nginx 파일에 rotate 7, compress, delaycompress를 추가하면 7일치 로그를 유지합니다.

💡 $request_time과 $upstream_response_time을 함께 기록하면 Nginx 처리 시간과 백엔드 처리 시간을 구분할 수 있습니다. 성능 병목이 어디인지 정확히 파악할 수 있습니다.

💡 로그 파일 크기를 모니터링하세요. du -sh /var/log/nginx로 확인하고, 예상보다 빠르게 증가하면 DDoS 공격이나 크롤러 봇일 수 있습니다. fail2ban과 연동하여 자동 차단할 수 있습니다.

💡 if 조건문으로 조건부 로깅이 가능합니다. set $loggable 1; if ($status = 200) { set $loggable 0; } access_log /var/log/nginx/errors.log combined if=$loggable; 이렇게 하면 오류 응답만 기록합니다.

💡 syslog 서버로 로그를 전송할 수 있습니다. access_log syslog:server=192.168.1.100:514,tag=nginx combined; 이는 중앙 집중식 로그 관리에 유용하며, 여러 서버의 로그를 한곳에서 분석할 수 있습니다.

8. 리버스 프록시 설정 - 백엔드 애플리케이션 연동

시작하며

여러분이 Node.js, Django, Spring Boot 같은 백엔드 애플리케이션을 운영할 때, 직접 80번 포트에 바인딩하지 않고 Nginx 뒤에서 실행하고 싶은 적 있나요? 또는 정적 파일은 Nginx가 직접 제공하고, API 요청만 백엔드로 전달하여 성능을 최적화하고 싶은 상황도 흔합니다.

이런 구조가 필요한 이유는 백엔드 애플리케이션은 정적 파일 제공에 비효율적이며, 보안상 직접 인터넷에 노출하지 않는 것이 좋기 때문입니다. 또한 SSL 종료, 압축, 캐싱 같은 기능을 Nginx에서 처리하면 백엔드 코드가 단순해집니다.

바로 이럴 때 필요한 것이 리버스 프록시 설정입니다. Nginx가 클라이언트와 백엔드 사이에서 중개자 역할을 하여 요청을 전달하고 응답을 받아옵니다.

개요

간단히 말해서, 리버스 프록시는 Nginx가 클라이언트 요청을 받아서 백엔드 서버로 전달하고, 백엔드의 응답을 다시 클라이언트에 반환하는 아키텍처 패턴입니다. proxy_pass 디렉티브로 구현됩니다.

이 설정이 필요한 이유는 현대적인 웹 애플리케이션은 프론트엔드와 백엔드가 분리되어 있으며, 여러 마이크로서비스가 협력하여 동작하기 때문입니다. 예를 들어, React 프론트엔드는 Nginx가 직접 제공하고, /api 경로만 Express.js 백엔드로 프록시하는 구조가 매우 일반적입니다.

전통적으로 Apache의 mod_proxy를 사용했다면, Nginx는 더 가볍고 빠른 프록시 성능을 제공합니다. 비동기 이벤트 기반 아키텍처 덕분에 수천 개의 동시 프록시 연결을 효율적으로 처리할 수 있습니다.

리버스 프록시의 핵심 특징은 헤더 전달과 버퍼링입니다. 클라이언트의 IP 주소, Host 헤더, 프로토콜 정보를 백엔드에 전달하여 백엔드가 원본 요청 정보를 알 수 있게 합니다.

버퍼링을 활성화하면 느린 클라이언트로부터 백엔드를 보호할 수 있습니다.

코드 예제

server {
    listen 80;
    server_name example.com;

    # 정적 파일은 Nginx가 직접 제공
    location / {
        root /var/www/example.com/dist;
        try_files $uri $uri/ /index.html;
    }

    # API 요청은 백엔드로 프록시
    location /api/ {
        # 백엔드 서버 주소
        proxy_pass http://localhost:3000;

        # 원본 요청 정보 전달
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;

        # 프록시 타임아웃 설정
        proxy_connect_timeout 60s;
        proxy_send_timeout 60s;
        proxy_read_timeout 60s;

        # 버퍼링 설정 - 성능 향상
        proxy_buffering on;
        proxy_buffer_size 4k;
        proxy_buffers 8 4k;

        # WebSocket 지원
        proxy_http_version 1.1;
        proxy_set_header Upgrade $http_upgrade;
        proxy_set_header Connection "upgrade";
    }

    # 별도의 마이크로서비스 프록시
    location /auth/ {
        proxy_pass http://localhost:4000/;
        proxy_set_header Host $host;
    }
}

설명

이것이 하는 일: 리버스 프록시는 외부 클라이언트와 내부 백엔드 서버 사이에서 중개자 역할을 하여, 백엔드를 직접 노출하지 않고 안전하고 효율적으로 서비스를 제공합니다. 첫 번째로, location /api/는 /api/로 시작하는 모든 요청을 매칭합니다.

proxy_pass http://localhost:3000은 이 요청을 로컬 3000번 포트의 백엔드 서버로 전달합니다. 이렇게 하는 이유는 백엔드 애플리케이션이 80번 포트를 사용하지 않고도 웹에서 접근 가능하게 하기 위함입니다.

그 다음으로, proxy_set_header 디렉티브들이 실행되면서 중요한 요청 정보를 백엔드에 전달합니다. X-Real-IP는 클라이언트의 실제 IP 주소를 포함하며, 백엔드에서 로깅이나 보안 검사에 사용합니다.

X-Forwarded-For는 프록시 체인을 거칠 때 모든 IP를 기록하며, X-Forwarded-Proto는 원본 프로토콜(http/https)을 알려줍니다. proxy_connect_timeout 60s는 백엔드 연결 시도 시간을 60초로 제한합니다.

proxy_read_timeout은 백엔드 응답을 기다리는 최대 시간이며, 무거운 데이터베이스 쿼리를 처리하는 API는 더 길게 설정해야 합니다. 타임아웃이 발생하면 Nginx는 504 Gateway Timeout 오류를 반환합니다.

proxy_buffering on은 백엔드 응답을 메모리 버퍼에 저장한 후 클라이언트에 전송합니다. 이는 백엔드가 빠르게 응답을 완료하고 다음 요청을 처리할 수 있게 하며, 느린 클라이언트로부터 백엔드를 보호합니다.

WebSocket 지원을 위해 Upgrade와 Connection 헤더를 전달하여 HTTP에서 WebSocket 프로토콜로 업그레이드합니다. location /auth/의 proxy_pass http://localhost:4000/는 슬래시가 있어서 /auth/를 제거하고 전달합니다.

즉, /auth/login은 백엔드에 /login으로 도착합니다. 이는 백엔드가 /auth 경로를 알 필요 없이 독립적으로 라우팅을 정의할 수 있게 합니다.

여러분이 이 설정을 사용하면 백엔드 보안 강화(직접 노출 방지), 성능 최적화(정적 파일 분리), 유연한 아키텍처(마이크로서비스 지원)를 얻을 수 있습니다. 특히 무중단 배포 시 Nginx는 계속 실행되고 백엔드만 재시작하면 되므로 다운타임이 최소화됩니다.

실전 팁

💡 proxy_pass에서 변수를 사용하면 동적 프록시가 가능합니다. set $backend "http://backend.internal"; proxy_pass $backend; 이렇게 하면 런타임에 백엔드 주소를 변경할 수 있습니다.

💡 X-Forwarded-For 헤더를 신뢰할 때는 주의하세요. 클라이언트가 임의로 설정할 수 있으므로, 백엔드에서 IP 기반 접근 제어를 할 때는 X-Real-IP를 사용하거나 Nginx의 realip 모듈로 검증하세요.

💡 proxy_cache를 사용하면 백엔드 응답을 캐싱하여 동일한 요청에 대해 백엔드를 호출하지 않습니다. API 응답 중 자주 변경되지 않는 것은 캐싱하여 성능을 크게 향상시킬 수 있습니다.

💡 upstream 블록과 함께 사용하여 여러 백엔드 서버에 로드 밸런싱하세요. upstream backend { server backend1:3000; server backend2:3000; } proxy_pass http://backend; 이렇게 하면 고가용성을 확보할 수 있습니다.

💡 프록시 오류를 커스터마이징할 수 있습니다. proxy_intercept_errors on; error_page 502 503 504 /50x.html; 이렇게 하면 백엔드가 다운되어도 사용자에게 친절한 오류 페이지를 표시할 수 있습니다.

9. 캐싱 설정 - 성능 최적화의 핵심

시작하며

여러분이 백엔드 API를 운영하면서 동일한 요청이 반복적으로 들어와 데이터베이스에 과부하가 걸리는 문제를 겪어본 적 있나요? 특히 자주 변경되지 않는 상품 목록이나 카테고리 정보를 매번 DB에서 조회하는 것은 비효율적입니다.

이런 문제는 캐싱 전략이 없어서 발생합니다. 모든 요청을 백엔드로 전달하면 서버 리소스가 낭비되고, 응답 속도도 느려지며, 비용도 증가합니다.

바로 이럴 때 필요한 것이 Nginx 캐싱 설정입니다. 자주 요청되는 응답을 메모리나 디스크에 저장하여 백엔드 부하를 줄이고 응답 속도를 극적으로 향상시킬 수 있습니다.

개요

간단히 말해서, Nginx 캐싱은 프록시 응답이나 정적 파일을 저장해두고, 동일한 요청이 오면 백엔드를 거치지 않고 즉시 캐시된 응답을 반환하는 기능입니다. proxy_cache와 fastcgi_cache 디렉티브로 구현됩니다.

이 설정이 필요한 이유는 웹 애플리케이션의 많은 응답이 반복적이고 예측 가능하기 때문입니다. 예를 들어, 뉴스 사이트의 메인 페이지나 쇼핑몰의 상품 상세 페이지는 수천 명이 동일한 내용을 요청하지만, 콘텐츠는 몇 분 또는 몇 시간 동안 변하지 않습니다.

전통적으로 Redis나 Memcached 같은 외부 캐시 서버를 사용했다면, Nginx는 자체 캐싱 기능을 제공하여 추가 인프라 없이도 강력한 캐싱을 구현할 수 있습니다. 캐시 키, 만료 시간, 조건부 캐싱을 세밀하게 제어할 수 있습니다.

Nginx 캐싱의 핵심 특징은 계층적 캐시 키와 캐시 퍼지(무효화)입니다. URL, 쿼리 스트링, 쿠키를 조합하여 캐시 키를 생성하고, 특정 조건에서만 캐싱하거나 우회할 수 있습니다.

Cache-Control 헤더를 존중하여 백엔드가 캐싱 정책을 제어할 수도 있습니다.

코드 예제

http {
    # 캐시 저장 경로 및 설정
    proxy_cache_path /var/cache/nginx/proxy
                     levels=1:2
                     keys_zone=api_cache:10m
                     max_size=1g
                     inactive=60m
                     use_temp_path=off;

    server {
        listen 80;
        server_name example.com;

        # API 응답 캐싱
        location /api/products {
            proxy_pass http://localhost:3000;

            # 캐시 활성화
            proxy_cache api_cache;
            proxy_cache_key "$scheme$request_method$host$request_uri";

            # 캐시 유효 시간 - 상태 코드별
            proxy_cache_valid 200 304 10m;
            proxy_cache_valid 404 1m;

            # 캐시 히트 여부를 응답 헤더에 추가
            add_header X-Cache-Status $upstream_cache_status;

            # 조건부 캐싱 - POST 요청은 캐시하지 않음
            proxy_cache_methods GET HEAD;

            # 백엔드 오류 시 오래된 캐시 사용
            proxy_cache_use_stale error timeout updating http_500 http_502 http_503;

            # 캐시 갱신 중 복수 요청 방지
            proxy_cache_lock on;
            proxy_cache_lock_timeout 5s;

            # 특정 헤더나 쿠키 있으면 캐시 우회
            proxy_cache_bypass $cookie_nocache $arg_nocache;
        }

        # 정적 파일 브라우저 캐싱
        location ~* \.(jpg|jpeg|png|gif|ico|css|js)$ {
            expires 1y;
            add_header Cache-Control "public, immutable";
        }
    }
}

설명

이것이 하는 일: Nginx 캐싱은 백엔드 응답을 파일 시스템에 저장하고, 동일한 요청이 오면 저장된 응답을 즉시 반환하여 백엔드를 호출하지 않습니다. 첫 번째로, proxy_cache_path는 캐시 저장 위치와 구조를 정의합니다.

levels=1:2는 캐시 파일을 2단계 디렉토리로 나누어 저장하여 하나의 디렉토리에 너무 많은 파일이 생기는 것을 방지합니다. keys_zone=api_cache:10m은 10MB의 공유 메모리를 할당하여 캐시 메타데이터(키, 위치, 만료 시간)를 저장합니다.

이렇게 하는 이유는 캐시 히트를 확인할 때 디스크를 읽지 않고 메모리만 확인하여 빠르게 처리하기 위함입니다. 그 다음으로, max_size=1g inactive=60m이 실행되면서 캐시 크기를 제한합니다.

전체 캐시가 1GB를 초과하면 가장 오래 사용되지 않은 항목을 삭제하고, 60분 동안 접근되지 않은 캐시는 자동으로 제거합니다. use_temp_path=off는 임시 파일 없이 직접 캐시 디렉토리에 쓰기하여 디스크 I/O를 줄입니다.

proxy_cache_key는 캐시를 구분하는 고유 식별자를 생성합니다. $scheme(http/https), $request_method(GET/POST), $host(도메인), $request_uri(경로+쿼리)를 조합하여 각 요청을 정확히 구분합니다.

proxy_cache_valid는 상태 코드별로 캐시 유효 시간을 다르게 설정하며, 200과 304는 10분, 404는 1분만 캐싱합니다. $upstream_cache_status 변수는 HIT(캐시 적중), MISS(캐시 없음), BYPASS(캐시 우회), EXPIRED(만료됨) 등의 상태를 반환합니다.

X-Cache-Status 헤더로 클라이언트에 노출하면 개발 중 캐싱 동작을 쉽게 확인할 수 있습니다. proxy_cache_use_stale은 백엔드가 오류를 반환하거나 다운되었을 때 만료된 캐시라도 제공하여 서비스 가용성을 유지합니다.

proxy_cache_lock on은 캐시 갱신 중에 동일한 요청이 여러 개 들어와도 하나만 백엔드로 전달하고 나머지는 대기시킵니다. 이를 통해 갑작스러운 트래픽 급증(Cache Stampede) 시 백엔드 과부하를 방지합니다.

proxy_cache_bypass는 특정 쿠키나 쿼리 파라미터가 있으면 캐시를 건너뛰고 항상 백엔드를 호출합니다. 여러분이 이 설정을 사용하면 백엔드 부하 감소(수십 배), 응답 속도 향상(밀리초 단위), 서버 비용 절감, 그리고 장애 상황에서도 서비스 지속을 얻을 수 있습니다.

특히 읽기 위주의 API나 콘텐츠 사이트에서 효과가 극대화됩니다.

실전 팁

💡 캐시 키에 $args를 포함시킬지 신중히 결정하세요. ?page=1과 ?page=2를 다르게 캐싱해야 하지만, ?timestamp=xxx 같은 불필요한 파라미터는 캐시 효율을 떨어뜨립니다.

💡 purger 모듈을 사용하면 특정 캐시를 수동으로 삭제할 수 있습니다. location ~ /purge(/.*) { proxy_cache_purge api_cache "$scheme$request_method$host$1"; } 이렇게 하면 콘텐츠 업데이트 시 즉시 캐시를 무효화할 수 있습니다.

💡 X-Accel-Expires 헤더를 백엔드에서 반환하면 Nginx 캐시 시간을 동적으로 제어할 수 있습니다. 프로모션 기간에는 짧게, 평시에는 길게 설정하는 식의 유연한 전략이 가능합니다.

💡 proxy_cache_min_uses 2를 설정하면 동일한 요청이 2번 이상 올 때만 캐싱합니다. 한 번만 요청되는 콘텐츠로 캐시가 낭비되는 것을 방지할 수 있습니다.

💡 캐시 히트율을 모니터링하세요. Nginx 상태 모듈이나 로그를 분석하여 히트율이 70% 이상이면 캐싱이 효과적으로 작동하는 것입니다. 낮다면 캐시 키나 유효 시간을 조정하세요.

10. Rate Limiting - DDoS 공격 방어와 트래픽 제어

시작하며

여러분이 API 서버를 운영하면서 특정 사용자가 초당 수백 개의 요청을 보내 서버가 다운되거나, 악의적인 크롤러가 서버 자원을 독점하는 문제를 겪어본 적 있나요? 또는 무료 API를 제공하면서 남용을 방지하고 공정한 사용을 보장해야 하는 상황도 있습니다.

이런 문제는 요청 속도 제한이 없어서 발생합니다. 단일 클라이언트가 과도한 요청을 보내면 다른 정상 사용자들이 피해를 보고, 서버 비용도 급증하며, 심하면 서비스 전체가 마비될 수 있습니다.

바로 이럴 때 필요한 것이 Rate Limiting 설정입니다. 클라이언트별로 초당 요청 수를 제한하여 DDoS 공격을 방어하고 안정적인 서비스를 유지할 수 있습니다.

개요

간단히 말해서, Rate Limiting은 특정 시간 동안 허용되는 요청 수를 제한하는 보안 및 트래픽 제어 기술입니다. Nginx의 limit_req와 limit_conn 모듈로 구현되며, IP 주소나 API 키 기반으로 제한할 수 있습니다.

이 설정이 필요한 이유는 공개 API나 웹 서비스는 항상 남용의 위험에 노출되어 있기 때문입니다. 예를 들어, 로그인 API에 rate limit이 없으면 무차별 대입 공격(Brute Force)으로 비밀번호를 추측할 수 있으며, 검색 API가 무제한이면 경쟁사가 크롤링하여 데이터를 가져갈 수 있습니다.

전통적으로 애플리케이션 레벨에서 rate limiting을 구현했다면, Nginx에서 처리하면 요청이 백엔드에 도달하기 전에 차단되어 서버 리소스를 보호할 수 있습니다. 이는 훨씬 효율적이며 성능 오버헤드도 적습니다.

Rate Limiting의 핵심 특징은 Leaky Bucket 알고리즘과 burst 설정입니다. 평균 요청 속도를 제한하면서도 일시적인 트래픽 급증(burst)은 허용하여 정상 사용자에게 불편을 주지 않습니다.

delay 옵션으로 초과 요청을 즉시 거부하는 대신 대기시킬 수도 있습니다.

코드 예제

http {
    # IP 주소별 요청 제한 존 정의
    limit_req_zone $binary_remote_addr zone=general_limit:10m rate=10r/s;
    limit_req_zone $binary_remote_addr zone=login_limit:10m rate=5r/m;
    limit_req_zone $binary_remote_addr zone=api_limit:10m rate=100r/s;

    # 동시 연결 수 제한
    limit_conn_zone $binary_remote_addr zone=conn_limit:10m;

    # 로그 레벨 조정 - rate limit 로그 줄이기
    limit_req_log_level warn;
    limit_conn_log_level warn;

    server {
        listen 80;
        server_name example.com;

        # 일반 페이지 - 초당 10개 요청 허용
        location / {
            limit_req zone=general_limit burst=20 nodelay;
            root /var/www/html;
        }

        # 로그인 API - 분당 5개 요청만 허용 (Brute Force 방어)
        location /api/login {
            limit_req zone=login_limit burst=2;
            limit_req_status 429;

            proxy_pass http://localhost:3000;

            # 429 오류 시 사용자 정의 응답
            error_page 429 /rate_limit.html;
        }

        # API 엔드포인트 - 초당 100개 요청 허용
        location /api/ {
            limit_req zone=api_limit burst=50 delay=25;
            limit_conn conn_limit 10;  # IP당 동시 연결 10개까지

            add_header X-RateLimit-Limit "100" always;
            add_header X-RateLimit-Remaining $limit_req_remaining always;

            proxy_pass http://localhost:3000;
        }

        # Rate limit 에러 페이지
        location = /rate_limit.html {
            internal;
            return 429 '{"error": "Too many requests. Please try again later."}';
            add_header Content-Type application/json;
        }
    }
}

설명

이것이 하는 일: Rate Limiting은 클라이언트의 요청 속도를 추적하고, 설정된 임계값을 초과하면 429 Too Many Requests 오류를 반환하여 서버를 보호합니다. 첫 번째로, limit_req_zone은 요청 속도를 추적할 공유 메모리 존을 생성합니다.

$binary_remote_addr는 클라이언트 IP 주소를 바이너리 형식으로 저장하여 메모리를 절약합니다(문자열보다 약 50% 작음). zone=general_limit:10m은 10MB 메모리를 할당하며, 약 160,000개의 IP 주소를 추적할 수 있습니다.

rate=10r/s는 초당 10개 요청을 허용하는 평균 속도를 의미합니다. 이렇게 하는 이유는 정상 사용자는 통과시키면서 비정상적인 트래픽만 차단하기 위함입니다.

그 다음으로, limit_req zone=general_limit burst=20 nodelay가 실행되면서 실제 제한을 적용합니다. burst=20은 일시적으로 최대 20개의 초과 요청을 대기열에 넣습니다.

예를 들어, 사용자가 페이지를 로드하면서 한 번에 30개 요청이 발생해도, 10개는 즉시 처리하고 20개는 대기시켜 모두 성공하도록 합니다. nodelay는 대기 중인 요청도 즉시 처리하여 지연 없이 응답합니다.

로그인 엔드포인트의 rate=5r/m은 분당 5개만 허용하여 무차별 대입 공격을 효과적으로 차단합니다. 공격자가 수천 개의 비밀번호를 시도해도 분당 5번밖에 시도할 수 없어 실질적으로 불가능해집니다.

limit_req_status 429는 제한 시 반환할 HTTP 상태 코드를 지정합니다. API 엔드포인트의 delay=25는 burst 범위 내에서 처음 25개는 즉시 처리하고, 나머지는 속도 제한에 맞춰 지연시킵니다.

이는 갑작스러운 트래픽에 유연하게 대응하면서도 장기적으로는 속도 제한을 유지합니다. limit_conn conn_limit 10은 동시 연결 수를 제한하여 Slowloris 같은 연결 고갈 공격을 방어합니다.

X-RateLimit-Limit 헤더는 클라이언트에게 제한 정보를 알려주어 API 소비자가 자신의 요청을 조절할 수 있게 합니다. error_page 429는 제한 초과 시 사용자 정의 JSON 응답을 반환하여 더 나은 사용자 경험을 제공합니다.

여러분이 이 설정을 사용하면 DDoS 공격 방어, Brute Force 공격 차단, 공정한 리소스 분배, 그리고 서버 안정성 향상을 얻을 수 있습니다. 특히 공개 API를 제공하는 서비스에서는 필수적인 보안 레이어입니다.

실전 팁

💡 $binary_remote_addr 대신 $http_x_api_key를 사용하면 API 키별로 rate limit을 적용할 수 있습니다. 무료 사용자는 제한하고, 유료 사용자는 더 많은 요청을 허용하는 차등 정책이 가능합니다.

💡 geo 모듈과 결합하여 국가별 제한을 다르게 설정할 수 있습니다. geo $limit { default 1; 10.0.0.0/8 0; } limit_req_zone $binary_remote_addr zone=limit:10m rate=$limit; 이렇게 하면 내부 IP는 제한에서 제외됩니다.

💡 burst 값은 신중히 설정하세요. 너무 크면 공격자가 burst 범위 내에서 피해를 줄 수 있고, 너무 작으면 정상 사용자가 불편을 겪습니다. 일반적으로 rate의 2배 정도가 적절합니다.

💡 Redis 기반 rate limiting이 필요하면 lua-resty-limit-traffic 모듈을 사용하세요. 여러 Nginx 인스턴스 간에 rate limit 상태를 공유하여 분산 환경에서도 정확한 제한이 가능합니다.

💡 Rate limit 로그를 모니터링하여 공격 패턴을 파악하세요. 특정 IP에서 지속적으로 429 오류가 발생하면 방화벽에서 완전히 차단하는 것도 고려할 수 있습니다.

#Nginx#설정파일#nginx.conf#디렉티브#서버블록#Nginx,설정

Nginx 기본 설정 파일 구조 완벽 가이드

# Nginx 기본 설정 파일 구조 완벽 가이드 Nginx의 핵심 설정 파일 구조와 디렉티브를 체계적으로 이해하고, 실무에서 바로 활용할 수 있는 설정 방법을 배워봅니다. 초급자도 쉽게 따라할 수 있도록 각 설정의 의미와 사용법을 상세히 설명합니다. --- ## 목차 1. [nginx.conf 메인 설정 파일 - 모든 설정의 시작점](#nginx.conf-메인-설정-파일---모든-설정의-시작점) 2. [Server 블록 - 가상 호스트 설정의 핵심](#server-블록---가상-호스트-설정의-핵심) 3. [Location 블록 - URL 경로별 처리 규칙](#location-블록---url-경로별-처리-규칙) 4. [Upstream 블록 - 로드 밸런싱과 프록시 설정](#upstream-블록---로드-밸런싱과-프록시-설정) 5. [SSL/TLS 설정 - HTTPS 보안 통신 구성](#ssl/tls-설정---https-보안-통신-구성) 6. [Gzip 압축 설정 - 대역폭 절약과 속도 향상](#gzip-압축-설정---대역폭-절약과-속도-향상) 7. [로그 설정 - 접근 기록과 오류 추적](#로그-설정---접근-기록과-오류-추적) 8. [리버스 프록시 설정 - 백엔드 애플리케이션 연동](#리버스-프록시-설정---백엔드-애플리케이션-연동) 9. [캐싱 설정 - 성능 최적화의 핵심](#캐싱-설정---성능-최적화의-핵심) 10. [Rate Limiting - DDoS 공격 방어와 트래픽 제어](#rate-limiting---ddos-공격-방어와-트래픽-제어) --- ## 1. nginx.conf 메인 설정 파일 - 모든 설정의 시작점 ### 시작하며 여러분이 Nginx를 처음 설치하고 웹 서버를 구동하려 할 때, 어디서부터 설정을 시작해야 할지 막막했던 적 있나요? 수많은 설정 파일과 디렉티브들 앞에서 어떤 파일을 먼저 수정해야 할지 고민하게 됩니다. 이런 혼란은 Nginx의 설정 파일 구조를 제대로 이해하지 못해서 발생합니다. 잘못된 위치에 설정을 추가하거나, 필수 디렉티브를 빠뜨리면 서버가 제대로 작동하지 않거나 예상치 못한 오류가 발생할 수 있습니다. 바로 이럴 때 필요한 것이 nginx.conf 메인 설정 파일에 대한 이해입니다. 이 파일의 구조를 파악하면 Nginx의 모든 설정을 체계적으로 관리할 수 있습니다. ### 개요 간단히 말해서, nginx.conf는 Nginx 웹 서버의 가장 중요한 메인 설정 파일입니다. 모든 Nginx 설정의 시작점이 되는 파일로, 일반적으로 /etc/nginx/nginx.conf 경로에 위치합니다. 이 파일이 필요한 이유는 워커 프로세스 수, 이벤트 처리 방식, HTTP 서버 기본 동작 등 Nginx의 전역 설정을 담당하기 때문입니다. 예를 들어, 동시 접속자가 많은 서비스를 운영할 때 워커 프로세스 수를 조정하거나, 로그 파일 위치를 지정하는 경우에 매우 유용합니다. 전통적으로 Apache는 httpd.conf 하나에 모든 설정을 넣었다면, Nginx는 nginx.conf를 중심으로 모듈화된 설정 구조를 사용합니다. 이를 통해 각 사이트별로 독립적인 설정 파일을 관리할 수 있습니다. nginx.conf의 핵심 특징은 블록 구조(Context)를 사용한다는 점입니다. main, events, http, server, location 등의 계층적 블록으로 구성되며, 각 블록은 특정 범위에서만 유효한 디렉티브를 포함합니다. 이러한 구조적 설계가 설정의 명확성과 유지보수성을 높여줍니다. ### 코드 예제 ```javascript # 워커 프로세스 설정 - CPU 코어 수에 맞춰 자동 조정 user nginx; worker_processes auto; error_log /var/log/nginx/error.log warn; pid /var/run/nginx.pid; # 이벤트 처리 설정 - 동시 접속 처리 events { worker_connections 1024; # 워커당 최대 동시 접속 수 use epoll; # Linux 최적화 이벤트 모델 } # HTTP 서버 기본 설정 http { include /etc/nginx/mime.types; default_type application/octet-stream; # 로그 포맷 정의 log_format main '$remote_addr - $remote_user [$time_local] "$request" ' '$status $body_bytes_sent "$http_referer"'; access_log /var/log/nginx/access.log main; # 성능 최적화 설정 sendfile on; tcp_nopush on; keepalive_timeout 65; # 가상 호스트 설정 파일 포함 include /etc/nginx/conf.d/*.conf; } ``` ### 설명 이것이 하는 일: nginx.conf 파일은 Nginx 서버가 시작될 때 가장 먼저 읽어들이는 설정 파일로, 서버의 전체적인 동작 방식을 정의합니다. 첫 번째로, 최상위 main 컨텍스트에서는 워커 프로세스 관련 설정을 담당합니다. worker_processes auto는 시스템의 CPU 코어 수를 자동으로 감지하여 최적의 워커 프로세스 수를 설정합니다. 이렇게 하는 이유는 CPU 자원을 효율적으로 활용하여 동시 요청 처리 성능을 극대화하기 위함입니다. 그 다음으로, events 블록이 실행되면서 각 워커 프로세스가 동시에 처리할 수 있는 연결 수를 결정합니다. worker_connections 1024는 워커 프로세스 하나당 최대 1024개의 동시 접속을 처리할 수 있다는 의미입니다. epoll은 Linux 환경에서 가장 효율적인 이벤트 처리 메커니즘을 사용하도록 지정합니다. http 블록에서는 웹 서버로서의 핵심 기능이 설정됩니다. include 디렉티브를 통해 MIME 타입을 정의하고, log_format으로 접근 로그의 형식을 지정합니다. sendfile과 tcp_nopush는 정적 파일 전송 시 커널 레벨에서 최적화를 수행하여 성능을 향상시킵니다. 마지막으로, include /etc/nginx/conf.d/*.conf가 실행되어 최종적으로 별도의 설정 파일들을 불러옵니다. 이를 통해 각 웹사이트별 설정을 독립적인 파일로 관리할 수 있습니다. 여러분이 이 설정을 사용하면 체계적인 Nginx 서버 구성, 성능 최적화, 그리고 유지보수가 용이한 설정 관리를 얻을 수 있습니다. 특히 트래픽이 증가할 때 워커 프로세스와 연결 수만 조정하면 쉽게 스케일링할 수 있다는 장점이 있습니다. ### 실전 팁 💡 worker_processes는 auto로 설정하는 것이 좋지만, 특정 CPU 코어를 할당하고 싶다면 worker_cpu_affinity 디렉티브를 함께 사용하세요. 예: worker_cpu_affinity 0001 0010 0100 1000 (4코어 각각에 워커 할당) 💡 설정 파일을 수정한 후에는 반드시 nginx -t 명령으로 문법 검사를 수행하세요. 잘못된 설정으로 서버가 재시작되지 않는 것을 방지할 수 있습니다. 💡 worker_connections 값은 시스템의 열린 파일 디스크립터 제한(ulimit -n)보다 작아야 합니다. 제한을 초과하면 연결 오류가 발생할 수 있습니다. 💡 프로덕션 환경에서는 error_log 레벨을 warn이나 error로 설정하세요. debug 레벨은 디스크 I/O를 급격히 증가시켜 성능 저하를 일으킬 수 있습니다. 💡 설정 파일에 주석을 충분히 작성하여 나중에 여러분이나 팀원이 설정을 이해하기 쉽게 만드세요. 특히 성능 튜닝 값에는 변경 이유를 반드시 기록하세요. --- ## 2. Server 블록 - 가상 호스트 설정의 핵심 ### 시작하며 여러분이 하나의 서버에서 여러 개의 웹사이트를 운영하려고 할 때, 각 도메인마다 다른 설정을 적용해야 하는 상황을 겪어본 적 있나요? example.com과 api.example.com을 같은 서버에서 다르게 처리해야 하는 경우가 바로 그런 상황입니다. 이런 문제는 가상 호스트(Virtual Host) 개념을 이해하지 못하면 해결하기 어렵습니다. 각 도메인마다 별도의 서버를 구축하는 것은 비용과 관리 측면에서 비효율적입니다. 바로 이럴 때 필요한 것이 Nginx의 Server 블록입니다. 하나의 Nginx 인스턴스에서 여러 개의 독립적인 웹사이트를 효율적으로 관리할 수 있게 해줍니다. ### 개요 간단히 말해서, Server 블록은 Nginx에서 가상 호스트를 정의하는 설정 단위입니다. 각 Server 블록은 하나의 독립적인 웹사이트 또는 애플리케이션을 나타냅니다. 이 개념이 필요한 이유는 하나의 물리적 서버에서 여러 도메인을 효율적으로 처리하기 위함입니다. 예를 들어, 메인 웹사이트, API 서버, 관리자 페이지를 각각 다른 도메인으로 운영하면서도 하나의 Nginx 인스턴스로 관리할 수 있습니다. 전통적으로 Apache는 VirtualHost 디렉티브를 사용했다면, Nginx는 더 직관적인 Server 블록을 사용합니다. 이를 통해 listen 포트, server_name 도메인, root 디렉토리 등을 명확하게 분리할 수 있습니다. Server 블록의 핵심 특징은 요청 매칭 우선순위를 가진다는 점입니다. listen 포트와 server_name이 일치하는 블록을 찾고, 여러 개가 매칭되면 가장 구체적인 것을 선택합니다. default_server 옵션을 사용하면 매칭되지 않는 모든 요청을 처리하는 기본 서버를 지정할 수 있습니다. ### 코드 예제 ```javascript # 메인 웹사이트 서버 블록 server { listen 80; # HTTP 포트 listen [::]:80; # IPv6 지원 server_name example.com www.example.com; # 도메인 매칭 # 웹 루트 디렉토리 지정 root /var/www/example.com/html; index index.html index.htm; # 접근 로그 및 에러 로그 access_log /var/log/nginx/example.com.access.log; error_log /var/log/nginx/example.com.error.log; # Location 블록 - URL 경로별 처리 location / { try_files $uri $uri/ =404; } # 정적 파일 캐싱 location ~* \.(jpg|jpeg|png|gif|ico|css|js)$ { expires 30d; add_header Cache-Control "public, immutable"; } } ``` ### 설명 이것이 하는 일: Server 블록은 들어오는 HTTP 요청을 받아서 어떤 웹사이트로 라우팅할지 결정하고, 해당 사이트의 설정을 적용합니다. 첫 번째로, listen 디렉티브는 Nginx가 어떤 포트에서 요청을 수신할지 지정합니다. listen 80은 HTTP 기본 포트를 의미하며, listen [::]:80은 IPv6 주소에서도 동일하게 처리하도록 합니다. 이렇게 하는 이유는 IPv4와 IPv6 클라이언트 모두를 지원하기 위함입니다. 그 다음으로, server_name 디렉티브가 실행되면서 이 서버 블록이 처리할 도메인을 정의합니다. example.com과 www.example.com을 함께 지정하면 두 도메인 모두 같은 서버 블록으로 처리됩니다. Nginx는 HTTP Host 헤더를 확인하여 매칭되는 서버 블록을 찾습니다. root와 index 디렉티브는 웹사이트의 파일 시스템 경로를 설정합니다. root는 모든 파일의 기본 경로이고, index는 디렉토리 요청 시 기본적으로 제공할 파일을 지정합니다. 예를 들어 example.com/ 요청이 오면 /var/www/example.com/html/index.html을 찾습니다. location 블록은 URL 경로별로 다른 처리를 정의합니다. location /은 모든 경로에 매칭되며, try_files는 요청된 파일이 존재하면 제공하고, 없으면 404 오류를 반환합니다. 정규표현식 location은 특정 확장자 파일에 대해 캐싱 헤더를 추가하여 브라우저 캐싱을 활성화합니다. 여러분이 이 설정을 사용하면 명확한 도메인별 분리, 독립적인 로그 관리, 그리고 URL 경로별 맞춤 처리를 얻을 수 있습니다. 특히 여러 프로젝트를 하나의 서버에서 관리할 때 각 프로젝트의 설정을 완전히 독립적으로 유지할 수 있다는 장점이 있습니다. ### 실전 팁 💡 server_name에 와일드카드를 사용할 수 있습니다. *.example.com은 모든 서브도메인을 매칭합니다. 하지만 정규표현식보다 명시적 매칭이 우선순위가 높으니 주의하세요. 💡 HTTPS를 사용할 때는 listen 443 ssl http2로 설정하고, ssl_certificate와 ssl_certificate_key 디렉티브를 추가하세요. HTTP/2를 함께 활성화하면 성능이 크게 향상됩니다. 💡 여러 Server 블록 중 어떤 것도 매칭되지 않을 때를 대비해 default_server 블록을 만드세요. 이를 통해 잘못된 도메인 요청을 처리하거나 404 페이지로 리다이렉트할 수 있습니다. 💡 각 Server 블록을 /etc/nginx/sites-available/ 디렉토리에 별도 파일로 만들고, 활성화할 것만 /etc/nginx/sites-enabled/로 심볼릭 링크를 만드세요. 이는 설정 관리의 표준 방법입니다. 💡 return 301 https://$server_name$request_uri를 사용하여 HTTP 요청을 HTTPS로 리다이렉트하는 별도의 서버 블록을 만드세요. 보안과 SEO에 모두 유리합니다. --- ## 3. Location 블록 - URL 경로별 처리 규칙 ### 시작하며 여러분이 웹 애플리케이션을 만들 때, /api/ 경로는 백엔드 서버로 프록시하고, /static/ 경로는 정적 파일을 직접 제공해야 하는 상황을 겪어본 적 있나요? 각 URL 경로마다 완전히 다른 처리 방식이 필요한 경우가 실무에서는 매우 흔합니다. 이런 문제는 URL 라우팅을 제대로 설정하지 못하면 서버 오류나 보안 취약점으로 이어질 수 있습니다. 모든 요청을 동일하게 처리하면 성능도 떨어지고 유연성도 없어집니다. 바로 이럴 때 필요한 것이 Location 블록입니다. URL 경로별로 정밀한 제어와 맞춤 처리를 가능하게 해줍니다. ### 개요 간단히 말해서, Location 블록은 URL 경로에 따라 요청을 다르게 처리하는 규칙을 정의하는 Nginx의 핵심 디렉티브입니다. Server 블록 내부에서 사용되며, 경로 패턴에 따라 여러 개를 정의할 수 있습니다. 이 개념이 필요한 이유는 현대적인 웹 애플리케이션은 정적 파일 제공, API 프록시, 리버스 프록시, URL 리라이팅 등 다양한 처리 방식이 혼재되어 있기 때문입니다. 예를 들어, React 같은 SPA는 모든 경로를 index.html로 라우팅해야 하지만, /api 경로는 백엔드로 프록시해야 하는 경우에 매우 유용합니다. 전통적으로 단순히 파일을 제공하는 웹 서버였다면, 이제는 location 블록을 통해 마이크로서비스 아키텍처의 게이트웨이 역할을 수행할 수 있습니다. 각 경로를 다른 서비스로 라우팅하거나, 인증을 추가하거나, 캐싱 전략을 다르게 적용할 수 있습니다. Location 블록의 핵심 특징은 매칭 우선순위와 수식어를 가진다는 점입니다. = (정확히 일치), ^~ (접두사 우선), ~ (대소문자 구분 정규식), ~* (대소문자 무시 정규식) 등의 수식어로 매칭 방식을 제어합니다. 우선순위를 이해하면 복잡한 라우팅 규칙도 쉽게 구현할 수 있습니다. ### 코드 예제 ```javascript server { listen 80; server_name example.com; root /var/www/example.com; # 정확히 일치 - 최우선 순위 location = / { index index.html; } # 접두사 매칭 (우선순위 높음) - API 프록시 location ^~ /api/ { proxy_pass http://localhost:3000; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; } # 정규표현식 - 이미지 파일 캐싱 location ~* \.(jpg|jpeg|png|gif|webp)$ { expires 1y; add_header Cache-Control "public, immutable"; access_log off; } # 기본 접두사 매칭 - SPA 라우팅 location / { try_files $uri $uri/ /index.html; } # 특정 파일 숨기기 location ~ /\.(?!well-known) { deny all; } } ``` ### 설명 이것이 하는 일: Location 블록은 들어온 요청의 URI를 분석하여 매칭되는 패턴을 찾고, 해당 블록에 정의된 처리 규칙을 적용합니다. 첫 번째로, location = /는 정확히 루트 경로만 매칭합니다. 이는 가장 높은 우선순위를 가지며, example.com/ 요청이 오면 즉시 이 블록이 실행됩니다. 이렇게 하는 이유는 가장 자주 접근되는 경로를 빠르게 처리하여 성능을 최적화하기 위함입니다. 그 다음으로, location ^~ /api/가 실행되면서 /api/로 시작하는 모든 요청을 처리합니다. ^~ 수식어는 정규표현식보다 우선하므로, 이후의 정규표현식 매칭을 건너뜁니다. proxy_pass는 요청을 로컬 3000번 포트의 백엔드 서버로 전달하고, proxy_set_header는 원본 클라이언트 정보를 백엔드에 전달합니다. 정규표현식 location ~*는 대소문자 구분 없이 이미지 파일 확장자를 매칭합니다. expires 1y는 브라우저에 1년간 캐싱하도록 지시하며, access_log off는 이미지 요청에 대한 로그를 기록하지 않아 디스크 I/O를 절약합니다. 기본 location /은 위의 모든 location에 매칭되지 않은 요청을 처리합니다. try_files는 요청된 파일이 있으면 제공하고, 없으면 index.html로 폴백하여 SPA의 클라이언트 사이드 라우팅을 지원합니다. location ~ /\.(?!well-known)은 .git, .env 같은 숨김 파일 접근을 차단하여 보안을 강화합니다. 여러분이 이 설정을 사용하면 유연한 URL 라우팅, 효율적인 캐싱 전략, 그리고 보안 강화를 얻을 수 있습니다. 특히 마이크로서비스 환경에서 각 서비스를 경로별로 라우팅하면서도 하나의 도메인으로 통합할 수 있다는 장점이 있습니다. ### 실전 팁 💡 Location 매칭 우선순위를 기억하세요: = (정확 일치) > ^~ (접두사 우선) > ~ 또는 ~* (정규식) > 일반 접두사. 복잡한 설정에서 의도하지 않은 매칭을 방지할 수 있습니다. 💡 try_files $uri $uri/ =404 대신 /index.html을 사용하면 SPA 라우팅을 지원할 수 있습니다. 하지만 실제로 존재하지 않는 파일도 200 응답을 반환하므로 SEO에 주의하세요. 💡 proxy_pass에서 URI 끝에 슬래시를 붙이면 location 경로가 제거됩니다. location /api/ { proxy_pass http://backend/; }는 /api/users를 /users로 전달하지만, 슬래시가 없으면 /api/users 그대로 전달됩니다. 💡 정규표현식 location에서 캡처 그룹 $1, $2를 사용할 수 있습니다. location ~ ^/images/(.+\.(jpg|png))$ { try_files /cache/$1 /original/$1 =404; } 같은 고급 패턴도 가능합니다. 💡 location 블록 안에서 return 301이나 rewrite를 사용하여 URL 리다이렉션과 재작성을 수행할 수 있습니다. 이를 통해 레거시 URL을 새로운 구조로 마이그레이션할 수 있습니다. --- ## 4. Upstream 블록 - 로드 밸런싱과 프록시 설정 ### 시작하며 여러분이 백엔드 서버를 여러 대 운영하면서 트래픽을 분산시켜야 하는 상황을 겪어본 적 있나요? 하나의 서버가 과부하되면 전체 서비스가 다운되는 위험을 피하고, 고가용성을 확보해야 하는 경우가 실무에서는 필수적입니다. 이런 문제는 단일 서버 구조로는 해결할 수 없으며, 별도의 로드 밸런서 장비를 구매하는 것은 비용이 많이 듭니다. 여러 백엔드 서버를 효율적으로 관리하고, 장애가 발생한 서버를 자동으로 제외하는 메커니즘이 필요합니다. 바로 이럴 때 필요한 것이 Upstream 블록입니다. Nginx를 로드 밸런서로 활용하여 트래픽을 여러 서버에 분산시키고, 헬스 체크를 통해 안정성을 확보할 수 있습니다. ### 개요 간단히 말해서, Upstream 블록은 여러 개의 백엔드 서버를 그룹으로 정의하고, 로드 밸런싱 알고리즘을 적용하여 트래픽을 분산시키는 설정입니다. http 블록 내부에서 정의하며, location 블록의 proxy_pass에서 참조합니다. 이 개념이 필요한 이유는 현대적인 웹 애플리케이션은 수평 확장(Scale-out)을 통해 성능과 안정성을 확보하기 때문입니다. 예를 들어, Node.js 백엔드를 3대 운영하면서 각 서버에 트래픽을 균등하게 분배하거나, 세션 지속성(Sticky Session)을 유지해야 하는 경우에 매우 유용합니다. 전통적으로 하드웨어 로드 밸런서나 별도의 HAProxy를 사용했다면, 이제는 Nginx 하나로 웹 서버와 로드 밸런서 역할을 동시에 수행할 수 있습니다. 이를 통해 인프라를 단순화하고 비용을 절감할 수 있습니다. Upstream 블록의 핵심 특징은 다양한 로드 밸런싱 알고리즘과 헬스 체크 기능입니다. round-robin(순차 분배), least_conn(최소 연결), ip_hash(클라이언트 IP 기반) 등의 알고리즘을 선택할 수 있으며, max_fails와 fail_timeout으로 장애 서버를 자동으로 제외합니다. ### 코드 예제 ```javascript http { # 백엔드 서버 그룹 정의 upstream backend_servers { # 최소 연결 수 알고리즘 사용 least_conn; # 백엔드 서버 목록 server 192.168.1.10:3000 weight=3; # 가중치 3배 server 192.168.1.11:3000 weight=1; server 192.168.1.12:3000 backup; # 백업 서버 # 헬스 체크 설정 server 192.168.1.13:3000 max_fails=3 fail_timeout=30s; # 연결 유지 설정 - 성능 향상 keepalive 32; } # 세션 지속성이 필요한 경우 upstream sticky_backend { ip_hash; # 클라이언트 IP 기반 라우팅 server 192.168.1.20:8080; server 192.168.1.21:8080; } server { listen 80; location /api/ { proxy_pass http://backend_servers; proxy_http_version 1.1; proxy_set_header Connection ""; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; } } } ``` ### 설명 이것이 하는 일: Upstream 블록은 여러 백엔드 서버를 하나의 논리적 그룹으로 묶고, 들어오는 요청을 설정된 알고리즘에 따라 분산시킵니다. 첫 번째로, upstream backend_servers는 백엔드 서버 그룹의 이름을 정의합니다. least_conn 디렉티브는 현재 활성 연결 수가 가장 적은 서버로 요청을 보내는 알고리즘을 선택합니다. 이렇게 하는 이유는 처리 시간이 다른 요청들을 효율적으로 분산하여 특정 서버의 과부하를 방지하기 위함입니다. 그 다음으로, server 디렉티브들이 실행되면서 각 백엔드 서버의 주소와 옵션을 정의합니다. weight=3은 이 서버가 다른 서버보다 3배 많은 요청을 처리하도록 지정하며, 성능이 더 좋은 서버에 사용합니다. backup 옵션은 모든 일반 서버가 실패했을 때만 사용되는 예비 서버를 지정합니다. max_fails=3 fail_timeout=30s는 헬스 체크 설정으로, 30초 내에 3번 실패하면 해당 서버를 일시적으로 제외합니다. 30초 후에 자동으로 재시도하여 서버가 복구되었는지 확인합니다. keepalive 32는 백엔드 서버와의 연결을 재사용하여 성능을 크게 향상시킵니다. ip_hash 알고리즘은 클라이언트 IP 주소를 해싱하여 항상 같은 서버로 라우팅합니다. 이는 세션 데이터가 서버 메모리에 저장되는 경우 필수적입니다. proxy_pass http://backend_servers는 upstream 그룹을 참조하며, proxy_http_version 1.1과 Connection "" 헤더는 keepalive를 활성화합니다. 여러분이 이 설정을 사용하면 자동 장애 조치(Failover), 효율적인 트래픽 분산, 그리고 성능 향상을 얻을 수 있습니다. 특히 트래픽이 급증할 때 백엔드 서버를 추가하기만 하면 자동으로 로드 밸런싱에 포함되어 쉽게 스케일링할 수 있다는 장점이 있습니다. ### 실전 팁 💡 least_conn은 WebSocket이나 긴 폴링 같은 장시간 연결에 적합하고, ip_hash는 세션 지속성이 필요할 때, 기본 round-robin은 단순하고 빠른 요청에 적합합니다. 상황에 맞게 선택하세요. 💡 keepalive 설정은 성능에 큰 영향을 미칩니다. 백엔드 연결을 재사용하면 TCP 핸드셰이크 오버헤드를 줄일 수 있습니다. 일반적으로 워커 프로세스당 32-64개가 적절합니다. 💡 max_fails와 fail_timeout을 너무 낮게 설정하면 일시적인 네트워크 지연도 장애로 간주할 수 있습니다. 프로덕션에서는 최소 3번 실패, 30초 이상으로 설정하세요. 💡 upstream 블록에 zone 디렉티브를 추가하면 동적으로 서버를 추가/제거할 수 있는 공유 메모리 영역을 생성합니다. 상용 버전 Nginx Plus에서 더 강력한 기능을 제공합니다. 💡 프록시 타임아웃 설정도 중요합니다. proxy_connect_timeout, proxy_send_timeout, proxy_read_timeout을 백엔드 처리 시간에 맞게 조정하세요. 기본값은 60초이지만 무거운 작업은 더 길게 설정해야 합니다. --- ## 5. SSL/TLS 설정 - HTTPS 보안 통신 구성 ### 시작하며 여러분이 웹사이트를 운영할 때, 브라우저에서 "안전하지 않음" 경고가 표시되거나, 사용자의 개인정보가 평문으로 전송되는 보안 위험을 겪어본 적 있나요? 구글은 HTTPS가 아닌 사이트의 검색 순위를 낮추고, 최신 브라우저는 HTTP 사이트를 적극적으로 경고합니다. 이런 문제는 SSL/TLS 인증서를 제대로 설정하지 않아서 발생합니다. 암호화되지 않은 통신은 중간자 공격(MITM)에 취약하며, 사용자의 비밀번호나 개인정보가 노출될 수 있습니다. 바로 이럴 때 필요한 것이 Nginx의 SSL/TLS 설정입니다. Let's Encrypt 같은 무료 인증서를 활용하여 안전한 HTTPS 통신을 쉽게 구현할 수 있습니다. ### 개요 간단히 말해서, SSL/TLS 설정은 Nginx에서 HTTPS 프로토콜을 활성화하고 보안 통신을 구성하는 디렉티브 모음입니다. 인증서 파일, 암호화 알고리즘, 보안 프로토콜 버전 등을 지정합니다. 이 설정이 필요한 이유는 현대 웹 표준에서 HTTPS가 필수가 되었기 때문입니다. 예를 들어, Service Worker, Geolocation API, WebRTC 같은 최신 웹 기술은 HTTPS 환경에서만 작동하며, 결제 처리나 로그인 같은 민감한 작업은 반드시 암호화가 필요합니다. 전통적으로 SSL 인증서는 비용이 많이 들고 설정이 복잡했다면, 이제는 Let's Encrypt로 무료 인증서를 발급받고 certbot으로 자동 갱신할 수 있습니다. Nginx는 강력한 SSL/TLS 설정 옵션을 제공하여 A+ 등급의 보안 점수를 쉽게 달성할 수 있습니다. SSL/TLS 설정의 핵심 특징은 프로토콜 버전과 암호화 스위트 선택입니다. TLS 1.2 이상만 허용하고, 안전한 암호화 알고리즘만 사용하도록 설정하면 대부분의 보안 취약점을 방지할 수 있습니다. OCSP Stapling과 HSTS 헤더로 추가적인 보안을 강화합니다. ### 코드 예제 ```javascript server { # HTTP를 HTTPS로 리다이렉트 listen 80; server_name example.com www.example.com; return 301 https://$server_name$request_uri; } server { # HTTPS 설정 listen 443 ssl http2; listen [::]:443 ssl http2; server_name example.com www.example.com; # SSL 인증서 경로 (Let's Encrypt) ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem; ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem; # 최신 TLS 프로토콜만 허용 ssl_protocols TLSv1.2 TLSv1.3; ssl_prefer_server_ciphers on; ssl_ciphers 'ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256'; # SSL 세션 캐싱 - 성능 향상 ssl_session_cache shared:SSL:10m; ssl_session_timeout 10m; # OCSP Stapling - 인증서 검증 성능 향상 ssl_stapling on; ssl_stapling_verify on; ssl_trusted_certificate /etc/letsencrypt/live/example.com/chain.pem; # HSTS - 브라우저에 HTTPS 강제 add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always; location / { root /var/www/html; index index.html; } } ``` ### 설명 이것이 하는 일: SSL/TLS 설정은 클라이언트와 서버 간의 통신을 암호화하여 데이터를 안전하게 전송하고, 서버의 신원을 인증합니다. 첫 번째로, HTTP 포트 80으로 들어오는 요청을 HTTPS 포트 443으로 리다이렉트합니다. return 301은 영구 리다이렉션을 의미하며, 검색 엔진이 HTTPS 버전을 인덱싱하도록 합니다. 이렇게 하는 이유는 사용자가 실수로 HTTP로 접속해도 자동으로 안전한 HTTPS로 전환하기 위함입니다. 그 다음으로, listen 443 ssl http2가 실행되면서 HTTPS 포트를 열고 HTTP/2 프로토콜을 활성화합니다. ssl_certificate와 ssl_certificate_key는 Let's Encrypt에서 발급받은 인증서 파일의 경로를 지정합니다. fullchain.pem은 서버 인증서와 중간 인증서를 포함하며, privkey.pem은 개인 키입니다. ssl_protocols TLSv1.2 TLSv1.3은 구형 프로토콜(SSLv3, TLS 1.0/1.1)을 차단하여 알려진 보안 취약점을 방지합니다. ssl_ciphers는 안전한 암호화 알고리즘만 허용하며, ECDHE는 완전 순방향 비밀성(Perfect Forward Secrecy)을 제공하여 과거 통신도 안전하게 보호합니다. ssl_session_cache는 TLS 핸드셰이크 결과를 캐싱하여 재접속 시 성능을 크게 향상시킵니다. shared:SSL:10m은 모든 워커 프로세스가 공유하는 10MB 캐시를 의미합니다. ssl_stapling은 OCSP 응답을 서버에서 미리 가져와 클라이언트에 제공하여 인증서 검증 속도를 높입니다. Strict-Transport-Security 헤더는 브라우저에게 1년간(31536000초) HTTPS로만 접속하도록 지시합니다. includeSubDomains는 모든 서브도메인에도 적용하며, 이후 사용자가 HTTP로 접속을 시도해도 브라우저가 자동으로 HTTPS로 변환합니다. 여러분이 이 설정을 사용하면 암호화된 안전한 통신, SEO 이점, 최신 웹 API 사용 가능, 그리고 사용자 신뢰 향상을 얻을 수 있습니다. 특히 SSL Labs 테스트에서 A+ 등급을 받을 수 있어 보안 인증이 필요한 서비스에 적합합니다. ### 실전 팁 💡 Let's Encrypt 인증서는 90일마다 갱신해야 합니다. certbot renew --dry-run으로 테스트한 후, cron 작업으로 자동 갱신을 설정하세요: 0 0 * * * certbot renew --quiet && systemctl reload nginx 💡 SSL Labs (ssllabs.com/ssltest)에서 여러분의 도메인을 테스트하세요. A+ 등급을 받으려면 HSTS 헤더와 TLS 1.3이 필수입니다. 취약점이 발견되면 구체적인 개선 방법을 제시해줍니다. 💡 와일드카드 인증서(*.example.com)를 사용하면 모든 서브도메인에 하나의 인증서를 사용할 수 있습니다. certbot certonly --dns-route53 -d "*.example.com"으로 발급받을 수 있습니다. 💡 HTTP/2는 HTTPS에서만 작동하며, 여러 파일을 병렬로 다운로드하여 페이지 로딩 속도를 크게 향상시킵니다. 특별한 이유가 없다면 항상 http2를 활성화하세요. 💡 개발 환경에서는 mkcert로 로컬 인증서를 생성하여 localhost에서도 HTTPS를 테스트할 수 있습니다. 프로덕션과 동일한 환경에서 개발하면 배포 시 문제를 미리 발견할 수 있습니다. --- ## 6. Gzip 압축 설정 - 대역폭 절약과 속도 향상 ### 시작하며 여러분이 웹사이트를 운영하면서 페이지 로딩 속도가 느리고, 서버 대역폭 비용이 계속 증가하는 문제를 겪어본 적 있나요? 특히 모바일 사용자나 느린 네트워크 환경에서 큰 JavaScript나 CSS 파일을 다운로드하는 데 오랜 시간이 걸립니다. 이런 문제는 압축되지 않은 텍스트 파일을 그대로 전송하기 때문에 발생합니다. 1MB의 JavaScript 파일을 압축 없이 전송하면 사용자는 긴 로딩 시간을 견뎌야 하고, 여러분은 불필요한 대역폭 비용을 지불하게 됩니다. 바로 이럴 때 필요한 것이 Gzip 압축 설정입니다. 텍스트 기반 파일을 70-90% 압축하여 전송 속도를 크게 높이고 비용을 절감할 수 있습니다. ### 개요 간단히 말해서, Gzip 압축은 HTTP 응답을 압축하여 클라이언트에 전송하는 기능입니다. 브라우저는 압축된 데이터를 받아서 자동으로 해제하므로, 사용자는 변화를 느끼지 못하면서 훨씬 빠른 다운로드 속도를 경험합니다. 이 설정이 필요한 이유는 대부분의 웹 콘텐츠가 텍스트 기반(HTML, CSS, JavaScript, JSON)이며, 이들은 압축률이 매우 높기 때문입니다. 예를 들어, React 애플리케이션의 번들 파일이 2MB라면 Gzip으로 압축하면 약 500KB로 줄어들어 4배 빠르게 전송됩니다. 전통적으로 서버 CPU를 절약하기 위해 압축을 사용하지 않았다면, 이제는 CPU 성능이 향상되어 압축 오버헤드는 무시할 수 있는 수준입니다. 반면 네트워크 속도는 여전히 병목 지점이므로 압축의 이점이 훨씬 큽니다. Gzip 압축의 핵심 특징은 파일 타입별 선택적 압축과 압축 레벨 조정입니다. 이미 압축된 이미지나 비디오 파일은 제외하고, 텍스트 파일만 압축하여 효율을 극대화합니다. 압축 레벨은 1(빠름)부터 9(최대 압축)까지 조정할 수 있으며, 일반적으로 레벨 6이 속도와 압축률의 균형점입니다. ### 코드 예제 ```javascript http { # Gzip 압축 활성화 gzip on; # 프록시 요청도 압축 gzip_proxied any; # 압축 레벨 (1-9, 기본값 6 권장) gzip_comp_level 6; # 최소 압축 파일 크기 (바이트) - 작은 파일은 제외 gzip_min_length 1000; # 압축할 MIME 타입 지정 gzip_types text/plain text/css text/xml text/javascript application/json application/javascript application/xml+rss application/x-javascript image/svg+xml; # 구형 브라우저 호환성 gzip_vary on; gzip_disable "msie6"; # 압축 버퍼 크기 gzip_buffers 16 8k; } ``` ### 설명 이것이 하는 일: Gzip 압축은 서버에서 응답을 전송하기 전에 데이터를 압축하고, Content-Encoding: gzip 헤더를 추가하여 브라우저가 자동으로 압축을 해제하도록 합니다. 첫 번째로, gzip on은 압축 기능을 활성화합니다. gzip_proxied any는 프록시 서버를 거쳐온 요청에도 압축을 적용하며, 이는 CDN이나 로드 밸런서 뒤에서 작동할 때 중요합니다. 이렇게 하는 이유는 모든 클라이언트가 압축의 이점을 받을 수 있도록 하기 위함입니다. 그 다음으로, gzip_comp_level 6이 실행되면서 중간 수준의 압축을 적용합니다. 레벨 1은 CPU 사용이 적지만 압축률이 낮고, 레벨 9는 최대 압축이지만 CPU를 많이 사용합니다. 레벨 6은 약 80-85%의 압축률을 제공하면서도 CPU 오버헤드가 적어 가장 균형 잡힌 선택입니다. gzip_min_length 1000은 1KB 미만의 파일은 압축하지 않습니다. 매우 작은 파일은 압축 헤더 추가로 오히려 크기가 증가할 수 있으며, 압축/해제 오버헤드가 이점보다 클 수 있습니다. gzip_types는 압축할 MIME 타입을 명시적으로 지정하여 이미 압축된 이미지나 비디오 파일을 제외합니다. gzip_vary on은 Vary: Accept-Encoding 헤더를 추가하여 프록시 서버가 압축 버전과 비압축 버전을 별도로 캐싱하도록 합니다. 이는 압축을 지원하지 않는 구형 클라이언트에도 올바른 응답을 제공하기 위함입니다. gzip_disable "msie6"는 압축을 제대로 처리하지 못하는 Internet Explorer 6를 제외합니다. 여러분이 이 설정을 사용하면 페이지 로딩 속도 향상(특히 모바일), 대역폭 비용 절감, 그리고 SEO 이점(구글은 빠른 사이트를 선호)을 얻을 수 있습니다. 특히 JavaScript가 많은 SPA 애플리케이션에서 효과가 극대화됩니다. ### 실전 팁 💡 gzip_static on을 사용하면 미리 압축된 .gz 파일을 제공할 수 있습니다. 빌드 시 webpack이나 vite로 .gz 파일을 생성하면 런타임 압축 없이 즉시 제공할 수 있어 CPU를 절약합니다. 💡 Brotli 압축은 Gzip보다 약 20% 더 높은 압축률을 제공합니다. ngx_brotli 모듈을 설치하고 brotli on을 추가하면 최신 브라우저에서 더 나은 성능을 얻을 수 있습니다. 💡 개발자 도구의 Network 탭에서 Size 컬럼을 확인하세요. 압축된 파일은 "1.2 MB / 300 KB" 형식으로 표시되며, 실제 전송된 크기를 확인할 수 있습니다. 💡 gzip_types에 text/html을 추가할 필요 없습니다. HTML은 기본적으로 항상 압축됩니다. 중복 지정은 경고를 발생시킬 수 있습니다. 💡 API 응답(application/json)도 압축 대상에 포함하세요. JSON 데이터는 압축률이 매우 높으며(80-90%), 모바일 앱에서 API를 호출할 때 데이터 사용량을 크게 줄일 수 있습니다. --- ## 7. 로그 설정 - 접근 기록과 오류 추적 ### 시작하며 여러분이 서버에 문제가 발생했을 때, 어떤 요청이 오류를 일으켰는지, 어떤 IP에서 비정상적인 트래픽이 발생하는지 파악하지 못해 답답했던 적 있나요? 또는 로그 파일이 너무 커져서 디스크 공간을 가득 채우는 문제를 겪어본 적도 있을 것입니다. 이런 문제는 로그 설정을 제대로 하지 않아서 발생합니다. 필요한 정보는 기록되지 않고, 불필요한 정보는 과도하게 쌓여서 관리가 어려워집니다. 보안 사고가 발생해도 추적할 수 있는 로그가 없으면 원인을 파악할 수 없습니다. 바로 이럴 때 필요한 것이 체계적인 로그 설정입니다. 적절한 로그 포맷과 로테이션 정책으로 디버깅, 모니터링, 보안 분석을 효과적으로 수행할 수 있습니다. ### 개요 간단히 말해서, Nginx 로그 설정은 접근 로그(access log)와 오류 로그(error log)를 어떻게 기록할지 정의하는 디렉티브입니다. 로그 포맷, 저장 위치, 로그 레벨 등을 세밀하게 제어할 수 있습니다. 이 설정이 필요한 이유는 웹 서버의 모든 활동을 추적하여 문제 해결, 성능 분석, 보안 감사에 활용하기 위함입니다. 예를 들어, 특정 API 엔드포인트의 응답 시간이 느리다는 보고가 들어왔을 때, 접근 로그를 분석하여 어떤 요청이 문제인지 정확히 파악할 수 있습니다. 전통적으로 로그는 단순한 텍스트 파일이었다면, 이제는 JSON 포맷으로 구조화하여 Elasticsearch나 Splunk 같은 로그 분석 도구로 쉽게 처리할 수 있습니다. 커스텀 로그 포맷을 정의하여 필요한 정보만 선택적으로 기록할 수 있습니다. 로그 설정의 핵심 특징은 조건부 로깅과 버퍼링입니다. 특정 상태 코드나 URL만 로그에 남기거나, 메모리 버퍼를 사용하여 디스크 I/O를 최적화할 수 있습니다. 로그 레벨을 조정하여 debug, info, warn, error 중 필요한 수준만 기록합니다. ### 코드 예제 ```javascript http { # 커스텀 로그 포맷 정의 - 상세 정보 포함 log_format main '$remote_addr - $remote_user [$time_local] ' '"$request" $status $body_bytes_sent ' '"$http_referer" "$http_user_agent" ' '$request_time $upstream_response_time'; # JSON 포맷 로그 - 분석 도구 친화적 log_format json escape=json '{' '"time":"$time_iso8601",' '"remote_addr":"$remote_addr",' '"request":"$request",' '"status":$status,' '"bytes":$body_bytes_sent,' '"request_time":$request_time,' '"upstream_time":"$upstream_response_time"' '}'; # 기본 접근 로그 - 버퍼링으로 성능 향상 access_log /var/log/nginx/access.log main buffer=32k flush=5s; # 에러 로그 레벨 설정 (debug, info, notice, warn, error, crit) error_log /var/log/nginx/error.log warn; server { listen 80; server_name example.com; # 서버별 로그 파일 access_log /var/log/nginx/example.com.access.log json; error_log /var/log/nginx/example.com.error.log error; # 정적 파일은 로그 제외 - 디스크 절약 location ~* \.(jpg|jpeg|png|gif|ico|css|js)$ { access_log off; } # 특정 경로만 상세 로그 location /api/ { access_log /var/log/nginx/api.log json; } } } ``` ### 설명 이것이 하는 일: 로그 설정은 모든 HTTP 요청과 서버 오류를 지정된 포맷으로 파일에 기록하여 나중에 분석하고 문제를 해결할 수 있게 합니다. 첫 번째로, log_format main은 로그의 구조를 정의합니다. $remote_addr는 클라이언트 IP 주소, $status는 HTTP 상태 코드, $request_time은 요청 처리 시간을 기록합니다. 이렇게 하는 이유는 각 요청에 대한 완전한 컨텍스트를 제공하여 문제 발생 시 원인을 신속하게 파악하기 위함입니다. 그 다음으로, log_format json이 실행되면서 JSON 형식의 구조화된 로그를 생성합니다. escape=json은 특수 문자를 자동으로 이스케이프하여 유효한 JSON을 보장합니다. JSON 로그는 jq 명령어로 쉽게 필터링하거나, Filebeat로 Elasticsearch에 전송하여 Kibana에서 시각화할 수 있습니다. access_log 디렉티브의 buffer=32k flush=5s는 성능 최적화를 위해 32KB의 메모리 버퍼를 사용하고, 5초마다 또는 버퍼가 가득 차면 디스크에 기록합니다. 이는 매 요청마다 디스크에 쓰는 것보다 훨씬 효율적이며, 고트래픽 환경에서 디스크 I/O 병목을 크게 줄입니다. error_log warn은 경고 수준 이상의 오류만 기록합니다. debug 레벨은 개발 환경에서 유용하지만 프로덕션에서는 너무 많은 로그를 생성하여 성능 저하와 디스크 공간 낭비를 초래합니다. warn이나 error 레벨이 프로덕션에 적합합니다. access_log off는 특정 location에서 로그를 완전히 비활성화합니다. 정적 이미지나 CSS 파일 같은 자주 요청되는 리소스는 로그에서 제외하면 로그 크기를 크게 줄일 수 있습니다. 반대로 /api/ 경로는 별도의 상세 로그 파일로 분리하여 API 분석을 쉽게 합니다. 여러분이 이 설정을 사용하면 효과적인 디버깅, 성능 모니터링, 보안 감사, 그리고 비즈니스 인사이트를 얻을 수 있습니다. 특히 로그 분석 도구와 결합하면 실시간 대시보드와 자동 알림을 구축할 수 있습니다. ### 실전 팁 💡 로그 로테이션은 필수입니다. logrotate를 설정하여 일일 또는 주간으로 로그 파일을 압축하고 보관하세요. /etc/logrotate.d/nginx 파일에 rotate 7, compress, delaycompress를 추가하면 7일치 로그를 유지합니다. 💡 $request_time과 $upstream_response_time을 함께 기록하면 Nginx 처리 시간과 백엔드 처리 시간을 구분할 수 있습니다. 성능 병목이 어디인지 정확히 파악할 수 있습니다. 💡 로그 파일 크기를 모니터링하세요. du -sh /var/log/nginx로 확인하고, 예상보다 빠르게 증가하면 DDoS 공격이나 크롤러 봇일 수 있습니다. fail2ban과 연동하여 자동 차단할 수 있습니다. 💡 if 조건문으로 조건부 로깅이 가능합니다. set $loggable 1; if ($status = 200) { set $loggable 0; } access_log /var/log/nginx/errors.log combined if=$loggable; 이렇게 하면 오류 응답만 기록합니다. 💡 syslog 서버로 로그를 전송할 수 있습니다. access_log syslog:server=192.168.1.100:514,tag=nginx combined; 이는 중앙 집중식 로그 관리에 유용하며, 여러 서버의 로그를 한곳에서 분석할 수 있습니다. --- ## 8. 리버스 프록시 설정 - 백엔드 애플리케이션 연동 ### 시작하며 여러분이 Node.js, Django, Spring Boot 같은 백엔드 애플리케이션을 운영할 때, 직접 80번 포트에 바인딩하지 않고 Nginx 뒤에서 실행하고 싶은 적 있나요? 또는 정적 파일은 Nginx가 직접 제공하고, API 요청만 백엔드로 전달하여 성능을 최적화하고 싶은 상황도 흔합니다. 이런 구조가 필요한 이유는 백엔드 애플리케이션은 정적 파일 제공에 비효율적이며, 보안상 직접 인터넷에 노출하지 않는 것이 좋기 때문입니다. 또한 SSL 종료, 압축, 캐싱 같은 기능을 Nginx에서 처리하면 백엔드 코드가 단순해집니다. 바로 이럴 때 필요한 것이 리버스 프록시 설정입니다. Nginx가 클라이언트와 백엔드 사이에서 중개자 역할을 하여 요청을 전달하고 응답을 받아옵니다. ### 개요 간단히 말해서, 리버스 프록시는 Nginx가 클라이언트 요청을 받아서 백엔드 서버로 전달하고, 백엔드의 응답을 다시 클라이언트에 반환하는 아키텍처 패턴입니다. proxy_pass 디렉티브로 구현됩니다. 이 설정이 필요한 이유는 현대적인 웹 애플리케이션은 프론트엔드와 백엔드가 분리되어 있으며, 여러 마이크로서비스가 협력하여 동작하기 때문입니다. 예를 들어, React 프론트엔드는 Nginx가 직접 제공하고, /api 경로만 Express.js 백엔드로 프록시하는 구조가 매우 일반적입니다. 전통적으로 Apache의 mod_proxy를 사용했다면, Nginx는 더 가볍고 빠른 프록시 성능을 제공합니다. 비동기 이벤트 기반 아키텍처 덕분에 수천 개의 동시 프록시 연결을 효율적으로 처리할 수 있습니다. 리버스 프록시의 핵심 특징은 헤더 전달과 버퍼링입니다. 클라이언트의 IP 주소, Host 헤더, 프로토콜 정보를 백엔드에 전달하여 백엔드가 원본 요청 정보를 알 수 있게 합니다. 버퍼링을 활성화하면 느린 클라이언트로부터 백엔드를 보호할 수 있습니다. ### 코드 예제 ```javascript server { listen 80; server_name example.com; # 정적 파일은 Nginx가 직접 제공 location / { root /var/www/example.com/dist; try_files $uri $uri/ /index.html; } # API 요청은 백엔드로 프록시 location /api/ { # 백엔드 서버 주소 proxy_pass http://localhost:3000; # 원본 요청 정보 전달 proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header X-Forwarded-Proto $scheme; # 프록시 타임아웃 설정 proxy_connect_timeout 60s; proxy_send_timeout 60s; proxy_read_timeout 60s; # 버퍼링 설정 - 성능 향상 proxy_buffering on; proxy_buffer_size 4k; proxy_buffers 8 4k; # WebSocket 지원 proxy_http_version 1.1; proxy_set_header Upgrade $http_upgrade; proxy_set_header Connection "upgrade"; } # 별도의 마이크로서비스 프록시 location /auth/ { proxy_pass http://localhost:4000/; proxy_set_header Host $host; } } ``` ### 설명 이것이 하는 일: 리버스 프록시는 외부 클라이언트와 내부 백엔드 서버 사이에서 중개자 역할을 하여, 백엔드를 직접 노출하지 않고 안전하고 효율적으로 서비스를 제공합니다. 첫 번째로, location /api/는 /api/로 시작하는 모든 요청을 매칭합니다. proxy_pass http://localhost:3000은 이 요청을 로컬 3000번 포트의 백엔드 서버로 전달합니다. 이렇게 하는 이유는 백엔드 애플리케이션이 80번 포트를 사용하지 않고도 웹에서 접근 가능하게 하기 위함입니다. 그 다음으로, proxy_set_header 디렉티브들이 실행되면서 중요한 요청 정보를 백엔드에 전달합니다. X-Real-IP는 클라이언트의 실제 IP 주소를 포함하며, 백엔드에서 로깅이나 보안 검사에 사용합니다. X-Forwarded-For는 프록시 체인을 거칠 때 모든 IP를 기록하며, X-Forwarded-Proto는 원본 프로토콜(http/https)을 알려줍니다. proxy_connect_timeout 60s는 백엔드 연결 시도 시간을 60초로 제한합니다. proxy_read_timeout은 백엔드 응답을 기다리는 최대 시간이며, 무거운 데이터베이스 쿼리를 처리하는 API는 더 길게 설정해야 합니다. 타임아웃이 발생하면 Nginx는 504 Gateway Timeout 오류를 반환합니다. proxy_buffering on은 백엔드 응답을 메모리 버퍼에 저장한 후 클라이언트에 전송합니다. 이는 백엔드가 빠르게 응답을 완료하고 다음 요청을 처리할 수 있게 하며, 느린 클라이언트로부터 백엔드를 보호합니다. WebSocket 지원을 위해 Upgrade와 Connection 헤더를 전달하여 HTTP에서 WebSocket 프로토콜로 업그레이드합니다. location /auth/의 proxy_pass http://localhost:4000/는 슬래시가 있어서 /auth/를 제거하고 전달합니다. 즉, /auth/login은 백엔드에 /login으로 도착합니다. 이는 백엔드가 /auth 경로를 알 필요 없이 독립적으로 라우팅을 정의할 수 있게 합니다. 여러분이 이 설정을 사용하면 백엔드 보안 강화(직접 노출 방지), 성능 최적화(정적 파일 분리), 유연한 아키텍처(마이크로서비스 지원)를 얻을 수 있습니다. 특히 무중단 배포 시 Nginx는 계속 실행되고 백엔드만 재시작하면 되므로 다운타임이 최소화됩니다. ### 실전 팁 💡 proxy_pass에서 변수를 사용하면 동적 프록시가 가능합니다. set $backend "http://backend.internal"; proxy_pass $backend; 이렇게 하면 런타임에 백엔드 주소를 변경할 수 있습니다. 💡 X-Forwarded-For 헤더를 신뢰할 때는 주의하세요. 클라이언트가 임의로 설정할 수 있으므로, 백엔드에서 IP 기반 접근 제어를 할 때는 X-Real-IP를 사용하거나 Nginx의 realip 모듈로 검증하세요. 💡 proxy_cache를 사용하면 백엔드 응답을 캐싱하여 동일한 요청에 대해 백엔드를 호출하지 않습니다. API 응답 중 자주 변경되지 않는 것은 캐싱하여 성능을 크게 향상시킬 수 있습니다. 💡 upstream 블록과 함께 사용하여 여러 백엔드 서버에 로드 밸런싱하세요. upstream backend { server backend1:3000; server backend2:3000; } proxy_pass http://backend; 이렇게 하면 고가용성을 확보할 수 있습니다. 💡 프록시 오류를 커스터마이징할 수 있습니다. proxy_intercept_errors on; error_page 502 503 504 /50x.html; 이렇게 하면 백엔드가 다운되어도 사용자에게 친절한 오류 페이지를 표시할 수 있습니다. --- ## 9. 캐싱 설정 - 성능 최적화의 핵심 ### 시작하며 여러분이 백엔드 API를 운영하면서 동일한 요청이 반복적으로 들어와 데이터베이스에 과부하가 걸리는 문제를 겪어본 적 있나요? 특히 자주 변경되지 않는 상품 목록이나 카테고리 정보를 매번 DB에서 조회하는 것은 비효율적입니다. 이런 문제는 캐싱 전략이 없어서 발생합니다. 모든 요청을 백엔드로 전달하면 서버 리소스가 낭비되고, 응답 속도도 느려지며, 비용도 증가합니다. 바로 이럴 때 필요한 것이 Nginx 캐싱 설정입니다. 자주 요청되는 응답을 메모리나 디스크에 저장하여 백엔드 부하를 줄이고 응답 속도를 극적으로 향상시킬 수 있습니다. ### 개요 간단히 말해서, Nginx 캐싱은 프록시 응답이나 정적 파일을 저장해두고, 동일한 요청이 오면 백엔드를 거치지 않고 즉시 캐시된 응답을 반환하는 기능입니다. proxy_cache와 fastcgi_cache 디렉티브로 구현됩니다. 이 설정이 필요한 이유는 웹 애플리케이션의 많은 응답이 반복적이고 예측 가능하기 때문입니다. 예를 들어, 뉴스 사이트의 메인 페이지나 쇼핑몰의 상품 상세 페이지는 수천 명이 동일한 내용을 요청하지만, 콘텐츠는 몇 분 또는 몇 시간 동안 변하지 않습니다. 전통적으로 Redis나 Memcached 같은 외부 캐시 서버를 사용했다면, Nginx는 자체 캐싱 기능을 제공하여 추가 인프라 없이도 강력한 캐싱을 구현할 수 있습니다. 캐시 키, 만료 시간, 조건부 캐싱을 세밀하게 제어할 수 있습니다. Nginx 캐싱의 핵심 특징은 계층적 캐시 키와 캐시 퍼지(무효화)입니다. URL, 쿼리 스트링, 쿠키를 조합하여 캐시 키를 생성하고, 특정 조건에서만 캐싱하거나 우회할 수 있습니다. Cache-Control 헤더를 존중하여 백엔드가 캐싱 정책을 제어할 수도 있습니다. ### 코드 예제 ```javascript http { # 캐시 저장 경로 및 설정 proxy_cache_path /var/cache/nginx/proxy levels=1:2 keys_zone=api_cache:10m max_size=1g inactive=60m use_temp_path=off; server { listen 80; server_name example.com; # API 응답 캐싱 location /api/products { proxy_pass http://localhost:3000; # 캐시 활성화 proxy_cache api_cache; proxy_cache_key "$scheme$request_method$host$request_uri"; # 캐시 유효 시간 - 상태 코드별 proxy_cache_valid 200 304 10m; proxy_cache_valid 404 1m; # 캐시 히트 여부를 응답 헤더에 추가 add_header X-Cache-Status $upstream_cache_status; # 조건부 캐싱 - POST 요청은 캐시하지 않음 proxy_cache_methods GET HEAD; # 백엔드 오류 시 오래된 캐시 사용 proxy_cache_use_stale error timeout updating http_500 http_502 http_503; # 캐시 갱신 중 복수 요청 방지 proxy_cache_lock on; proxy_cache_lock_timeout 5s; # 특정 헤더나 쿠키 있으면 캐시 우회 proxy_cache_bypass $cookie_nocache $arg_nocache; } # 정적 파일 브라우저 캐싱 location ~* \.(jpg|jpeg|png|gif|ico|css|js)$ { expires 1y; add_header Cache-Control "public, immutable"; } } } ``` ### 설명 이것이 하는 일: Nginx 캐싱은 백엔드 응답을 파일 시스템에 저장하고, 동일한 요청이 오면 저장된 응답을 즉시 반환하여 백엔드를 호출하지 않습니다. 첫 번째로, proxy_cache_path는 캐시 저장 위치와 구조를 정의합니다. levels=1:2는 캐시 파일을 2단계 디렉토리로 나누어 저장하여 하나의 디렉토리에 너무 많은 파일이 생기는 것을 방지합니다. keys_zone=api_cache:10m은 10MB의 공유 메모리를 할당하여 캐시 메타데이터(키, 위치, 만료 시간)를 저장합니다. 이렇게 하는 이유는 캐시 히트를 확인할 때 디스크를 읽지 않고 메모리만 확인하여 빠르게 처리하기 위함입니다. 그 다음으로, max_size=1g inactive=60m이 실행되면서 캐시 크기를 제한합니다. 전체 캐시가 1GB를 초과하면 가장 오래 사용되지 않은 항목을 삭제하고, 60분 동안 접근되지 않은 캐시는 자동으로 제거합니다. use_temp_path=off는 임시 파일 없이 직접 캐시 디렉토리에 쓰기하여 디스크 I/O를 줄입니다. proxy_cache_key는 캐시를 구분하는 고유 식별자를 생성합니다. $scheme(http/https), $request_method(GET/POST), $host(도메인), $request_uri(경로+쿼리)를 조합하여 각 요청을 정확히 구분합니다. proxy_cache_valid는 상태 코드별로 캐시 유효 시간을 다르게 설정하며, 200과 304는 10분, 404는 1분만 캐싱합니다. $upstream_cache_status 변수는 HIT(캐시 적중), MISS(캐시 없음), BYPASS(캐시 우회), EXPIRED(만료됨) 등의 상태를 반환합니다. X-Cache-Status 헤더로 클라이언트에 노출하면 개발 중 캐싱 동작을 쉽게 확인할 수 있습니다. proxy_cache_use_stale은 백엔드가 오류를 반환하거나 다운되었을 때 만료된 캐시라도 제공하여 서비스 가용성을 유지합니다. proxy_cache_lock on은 캐시 갱신 중에 동일한 요청이 여러 개 들어와도 하나만 백엔드로 전달하고 나머지는 대기시킵니다. 이를 통해 갑작스러운 트래픽 급증(Cache Stampede) 시 백엔드 과부하를 방지합니다. proxy_cache_bypass는 특정 쿠키나 쿼리 파라미터가 있으면 캐시를 건너뛰고 항상 백엔드를 호출합니다. 여러분이 이 설정을 사용하면 백엔드 부하 감소(수십 배), 응답 속도 향상(밀리초 단위), 서버 비용 절감, 그리고 장애 상황에서도 서비스 지속을 얻을 수 있습니다. 특히 읽기 위주의 API나 콘텐츠 사이트에서 효과가 극대화됩니다. ### 실전 팁 💡 캐시 키에 $args를 포함시킬지 신중히 결정하세요. ?page=1과 ?page=2를 다르게 캐싱해야 하지만, ?timestamp=xxx 같은 불필요한 파라미터는 캐시 효율을 떨어뜨립니다. 💡 purger 모듈을 사용하면 특정 캐시를 수동으로 삭제할 수 있습니다. location ~ /purge(/.*) { proxy_cache_purge api_cache "$scheme$request_method$host$1"; } 이렇게 하면 콘텐츠 업데이트 시 즉시 캐시를 무효화할 수 있습니다. 💡 X-Accel-Expires 헤더를 백엔드에서 반환하면 Nginx 캐시 시간을 동적으로 제어할 수 있습니다. 프로모션 기간에는 짧게, 평시에는 길게 설정하는 식의 유연한 전략이 가능합니다. 💡 proxy_cache_min_uses 2를 설정하면 동일한 요청이 2번 이상 올 때만 캐싱합니다. 한 번만 요청되는 콘텐츠로 캐시가 낭비되는 것을 방지할 수 있습니다. 💡 캐시 히트율을 모니터링하세요. Nginx 상태 모듈이나 로그를 분석하여 히트율이 70% 이상이면 캐싱이 효과적으로 작동하는 것입니다. 낮다면 캐시 키나 유효 시간을 조정하세요. --- ## 10. Rate Limiting - DDoS 공격 방어와 트래픽 제어 ### 시작하며 여러분이 API 서버를 운영하면서 특정 사용자가 초당 수백 개의 요청을 보내 서버가 다운되거나, 악의적인 크롤러가 서버 자원을 독점하는 문제를 겪어본 적 있나요? 또는 무료 API를 제공하면서 남용을 방지하고 공정한 사용을 보장해야 하는 상황도 있습니다. 이런 문제는 요청 속도 제한이 없어서 발생합니다. 단일 클라이언트가 과도한 요청을 보내면 다른 정상 사용자들이 피해를 보고, 서버 비용도 급증하며, 심하면 서비스 전체가 마비될 수 있습니다. 바로 이럴 때 필요한 것이 Rate Limiting 설정입니다. 클라이언트별로 초당 요청 수를 제한하여 DDoS 공격을 방어하고 안정적인 서비스를 유지할 수 있습니다. ### 개요 간단히 말해서, Rate Limiting은 특정 시간 동안 허용되는 요청 수를 제한하는 보안 및 트래픽 제어 기술입니다. Nginx의 limit_req와 limit_conn 모듈로 구현되며, IP 주소나 API 키 기반으로 제한할 수 있습니다. 이 설정이 필요한 이유는 공개 API나 웹 서비스는 항상 남용의 위험에 노출되어 있기 때문입니다. 예를 들어, 로그인 API에 rate limit이 없으면 무차별 대입 공격(Brute Force)으로 비밀번호를 추측할 수 있으며, 검색 API가 무제한이면 경쟁사가 크롤링하여 데이터를 가져갈 수 있습니다. 전통적으로 애플리케이션 레벨에서 rate limiting을 구현했다면, Nginx에서 처리하면 요청이 백엔드에 도달하기 전에 차단되어 서버 리소스를 보호할 수 있습니다. 이는 훨씬 효율적이며 성능 오버헤드도 적습니다. Rate Limiting의 핵심 특징은 Leaky Bucket 알고리즘과 burst 설정입니다. 평균 요청 속도를 제한하면서도 일시적인 트래픽 급증(burst)은 허용하여 정상 사용자에게 불편을 주지 않습니다. delay 옵션으로 초과 요청을 즉시 거부하는 대신 대기시킬 수도 있습니다. ### 코드 예제 ```javascript http { # IP 주소별 요청 제한 존 정의 limit_req_zone $binary_remote_addr zone=general_limit:10m rate=10r/s; limit_req_zone $binary_remote_addr zone=login_limit:10m rate=5r/m; limit_req_zone $binary_remote_addr zone=api_limit:10m rate=100r/s; # 동시 연결 수 제한 limit_conn_zone $binary_remote_addr zone=conn_limit:10m; # 로그 레벨 조정 - rate limit 로그 줄이기 limit_req_log_level warn; limit_conn_log_level warn; server { listen 80; server_name example.com; # 일반 페이지 - 초당 10개 요청 허용 location / { limit_req zone=general_limit burst=20 nodelay; root /var/www/html; } # 로그인 API - 분당 5개 요청만 허용 (Brute Force 방어) location /api/login { limit_req zone=login_limit burst=2; limit_req_status 429; proxy_pass http://localhost:3000; # 429 오류 시 사용자 정의 응답 error_page 429 /rate_limit.html; } # API 엔드포인트 - 초당 100개 요청 허용 location /api/ { limit_req zone=api_limit burst=50 delay=25; limit_conn conn_limit 10; # IP당 동시 연결 10개까지 add_header X-RateLimit-Limit "100" always; add_header X-RateLimit-Remaining $limit_req_remaining always; proxy_pass http://localhost:3000; } # Rate limit 에러 페이지 location = /rate_limit.html { internal; return 429 '{"error": "Too many requests. Please try again later."}'; add_header Content-Type application/json; } } } ``` ### 설명 이것이 하는 일: Rate Limiting은 클라이언트의 요청 속도를 추적하고, 설정된 임계값을 초과하면 429 Too Many Requests 오류를 반환하여 서버를 보호합니다. 첫 번째로, limit_req_zone은 요청 속도를 추적할 공유 메모리 존을 생성합니다. $binary_remote_addr는 클라이언트 IP 주소를 바이너리 형식으로 저장하여 메모리를 절약합니다(문자열보다 약 50% 작음). zone=general_limit:10m은 10MB 메모리를 할당하며, 약 160,000개의 IP 주소를 추적할 수 있습니다. rate=10r/s는 초당 10개 요청을 허용하는 평균 속도를 의미합니다. 이렇게 하는 이유는 정상 사용자는 통과시키면서 비정상적인 트래픽만 차단하기 위함입니다. 그 다음으로, limit_req zone=general_limit burst=20 nodelay가 실행되면서 실제 제한을 적용합니다. burst=20은 일시적으로 최대 20개의 초과 요청을 대기열에 넣습니다. 예를 들어, 사용자가 페이지를 로드하면서 한 번에 30개 요청이 발생해도, 10개는 즉시 처리하고 20개는 대기시켜 모두 성공하도록 합니다. nodelay는 대기 중인 요청도 즉시 처리하여 지연 없이 응답합니다. 로그인 엔드포인트의 rate=5r/m은 분당 5개만 허용하여 무차별 대입 공격을 효과적으로 차단합니다. 공격자가 수천 개의 비밀번호를 시도해도 분당 5번밖에 시도할 수 없어 실질적으로 불가능해집니다. limit_req_status 429는 제한 시 반환할 HTTP 상태 코드를 지정합니다. API 엔드포인트의 delay=25는 burst 범위 내에서 처음 25개는 즉시 처리하고, 나머지는 속도 제한에 맞춰 지연시킵니다. 이는 갑작스러운 트래픽에 유연하게 대응하면서도 장기적으로는 속도 제한을 유지합니다. limit_conn conn_limit 10은 동시 연결 수를 제한하여 Slowloris 같은 연결 고갈 공격을 방어합니다. X-RateLimit-Limit 헤더는 클라이언트에게 제한 정보를 알려주어 API 소비자가 자신의 요청을 조절할 수 있게 합니다. error_page 429는 제한 초과 시 사용자 정의 JSON 응답을 반환하여 더 나은 사용자 경험을 제공합니다. 여러분이 이 설정을 사용하면 DDoS 공격 방어, Brute Force 공격 차단, 공정한 리소스 분배, 그리고 서버 안정성 향상을 얻을 수 있습니다. 특히 공개 API를 제공하는 서비스에서는 필수적인 보안 레이어입니다. ### 실전 팁 💡 $binary_remote_addr 대신 $http_x_api_key를 사용하면 API 키별로 rate limit을 적용할 수 있습니다. 무료 사용자는 제한하고, 유료 사용자는 더 많은 요청을 허용하는 차등 정책이 가능합니다. 💡 geo 모듈과 결합하여 국가별 제한을 다르게 설정할 수 있습니다. geo $limit { default 1; 10.0.0.0/8 0; } limit_req_zone $binary_remote_addr zone=limit:10m rate=$limit; 이렇게 하면 내부 IP는 제한에서 제외됩니다. 💡 burst 값은 신중히 설정하세요. 너무 크면 공격자가 burst 범위 내에서 피해를 줄 수 있고, 너무 작으면 정상 사용자가 불편을 겪습니다. 일반적으로 rate의 2배 정도가 적절합니다. 💡 Redis 기반 rate limiting이 필요하면 lua-resty-limit-traffic 모듈을 사용하세요. 여러 Nginx 인스턴스 간에 rate limit 상태를 공유하여 분산 환경에서도 정확한 제한이 가능합니다. 💡 Rate limit 로그를 모니터링하여 공격 패턴을 파악하세요. 특정 IP에서 지속적으로 429 오류가 발생하면 방화벽에서 완전히 차단하는 것도 고려할 수 있습니다. ---

카테고리: Nginx,설정

언어: JavaScript

태그: Nginx, 설정파일, nginx.conf, 디렉티브, 서버블록, Nginx,설정

작성자: AI Generated

프리미엄 콘텐츠 - 3개월 무료 체험 가능

Nginx 기본 설정 파일 구조 완벽 가이드

목차

1. nginx.conf 메인 설정 파일 - 모든 설정의 시작점

시작하며

개요

코드 예제

설명

실전 팁

2. Server 블록 - 가상 호스트 설정의 핵심

시작하며

개요

코드 예제

설명

실전 팁

3. Location 블록 - URL 경로별 처리 규칙

시작하며

개요

코드 예제

설명

실전 팁

4. Upstream 블록 - 로드 밸런싱과 프록시 설정

시작하며

개요

코드 예제

설명

실전 팁

5. SSL/TLS 설정 - HTTPS 보안 통신 구성

시작하며

개요

코드 예제

설명

실전 팁

6. Gzip 압축 설정 - 대역폭 절약과 속도 향상

시작하며

개요

코드 예제

설명

실전 팁

7. 로그 설정 - 접근 기록과 오류 추적

시작하며

개요

코드 예제

설명

실전 팁

8. 리버스 프록시 설정 - 백엔드 애플리케이션 연동

시작하며

개요

코드 예제

설명

실전 팁

9. 캐싱 설정 - 성능 최적화의 핵심

시작하며

개요

코드 예제

설명

실전 팁

10. Rate Limiting - DDoS 공격 방어와 트래픽 제어

시작하며

개요

코드 예제

설명

실전 팁

이 카드뉴스가 포함된 코스

Nginx 완전 정복

댓글 (0)

함께 보면 좋은 카드 뉴스

GitHub와 Vercel로 시작하는 배포 완벽 가이드

3D 포트폴리오 웹사이트 개발 완벽 가이드

Three.js 고급 코드 분석 완벽 가이드

Three.js 충돌 감지 완벽 가이드

Three.js Raycaster 상호작용 구현 완벽 가이드