Un proxy reverso (nginx, Caddy, Traefik) maneja TLS, enrutamiento y a menudo caché. Reduce carga en servidores de app y centraliza SSL. Use health checks para backends; defina timeouts y tamaños de buffer adecuadamente.
Qué hace un proxy reverso
- Terminación TLS: Los clientes se conectan al proxy por HTTPS; el proxy habla con backends por HTTP o HTTPS. Centraliza certificados y descarga TLS de las apps.
- Enrutamiento: Reenvíe peticiones por host, path u otras reglas a backends distintos.
- Caché: Cachee respuestas estáticas o cacheables en el proxy. Reduce carga en el origen.
- Balanceo: Distribuya peticiones entre varios backends; elimine los no sanos vía health checks.
Opciones
- nginx: Maduro, rápido y flexible. Config rica; use para tráfico alto y enrutamiento/caché complejos.
- Caddy: HTTPS automático (Let's Encrypt), config simple. Bueno para setups pequeños.
- Traefik: Config dinámica; integra con Docker/Kubernetes. Bueno para entornos containerizados.
Buenas prácticas
- Health checks: Haga probe a backends (HTTP o TCP); deje de enviar tráfico a los no sanos. Defina timeouts y retries.
- Buffers: Ajuste buffers de cliente y proxy para que peticiones/respuestas grandes no den timeout o archivo temp.
- Cabeceras de seguridad: Añada HSTS, X-Frame-Options, CSP etc. en el proxy.
Resumen
Use proxy reverso para TLS, enrutamiento, caché y balanceo. Elija nginx, Caddy o Traefik por escala y preferencia de ops. Configure health checks, timeouts y buffers; añada cabeceras de seguridad.
