# nginx.conf — reverse-proxy для bj-artifactory с TLS.
# Раздаёт релизы и обновления bj-server по HTTPS.
#
# Установка: положить в /etc/nginx/sites-available/, заменить server_name
# и пути сертификатов, выпустить TLS через certbot, symlink в sites-enabled.
#
#   updates.example.com  →  bj-artifactory на 127.0.0.1:8090
#
# bj-artifactory запускается как systemd-сервис (см. artifactory.service).

server {
    listen 80;
    server_name updates.example.com;
    # Редирект на HTTPS (кроме ACME-челленджа certbot).
    location /.well-known/acme-challenge/ { root /var/www/certbot; }
    location / { return 301 https://$host$request_uri; }
}

server {
    listen 443 ssl http2;
    server_name updates.example.com;

    ssl_certificate     /etc/letsencrypt/live/updates.example.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/updates.example.com/privkey.pem;
    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_prefer_server_ciphers on;

    # Манифесты маленькие — не кэшируем агрессивно (быстрое распространение релизов).
    location /v1/ {
        proxy_pass http://127.0.0.1:8090;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        # Артефакты могут быть крупными (jar ~20МБ) — без буферизации тела.
        proxy_buffering off;
        client_max_body_size 0;
    }

    location /healthz {
        proxy_pass http://127.0.0.1:8090;
    }

    # Всё остальное — 404.
    location / { return 404; }
}