nginx-proxy-manager/PROJECT_DOCUMENTATION.md

# Nginx Proxy Manager + Cloudflare R2 로그 시스템 구축 문서

## 📅 프로젝트 개요
**작업일**: 2025년 9월 10일  
**서버**: debian-jp-tyo-3 (100.115.167.93)  
**목적**: Nginx Proxy Manager 로그를 Cloudflare R2에 실시간으로 업로드하여 CrowdSec 보안 분석 시스템과 연동

## 🏗️ 구축 완료 항목

### 1. 시스템 환경 설정

#### 1.1 서버 기본 설정
- **호스트명 변경**: npm-jp-tko3 → debian-jp-tyo-3
- **타임존 설정**: UTC → Asia/Tokyo (JST)
- **시스템**: Debian 13 (trixie), Kernel 6.12.43

#### 1.2 시스템 튜닝
**커널 파라미터 최적화** (`/etc/sysctl.d/99-container-tuning.conf`)
```bash
# 메모리 관리
vm.swappiness=10                    # 스왑 사용률 최소화
vm.dirty_ratio=15                    # 더티 페이지 비율
vm.vfs_cache_pressure=50             # 캐시 압력 감소

# 네트워크 최적화 (프록시 워크로드)
net.core.somaxconn=65535            # 연결 큐 크기
net.core.netdev_max_backlog=5000    # 네트워크 백로그
net.ipv4.tcp_fin_timeout=30         # TCP 연결 종료 시간
net.ipv4.tcp_max_syn_backlog=8192   # SYN 백로그 크기
net.ipv4.ip_unprivileged_port_start=80  # 특권 포트 허용

# 컨테이너 최적화
kernel.pid_max=4194304               # 최대 PID 수
vm.max_map_count=262144              # 메모리 매핑 수
fs.file-max=2097152                  # 최대 파일 수
```

**시스템 리소스 제한** (`/etc/systemd/system.conf.d/limits.conf`)
```bash
DefaultLimitNOFILE=65536
DefaultLimitNPROC=65536
DefaultLimitCORE=infinity
DefaultLimitMEMLOCK=infinity
```

### 2. Nginx Proxy Manager 설치 (Podman + Quadlet)

#### 2.1 컨테이너 서비스
- **npm-app.service**: Nginx Proxy Manager 메인 애플리케이션
- **npm-db.service**: MariaDB 10.11 데이터베이스
- **네트워크**: Podman 사용자 네트워크 (npm)
- **포트**: 80, 81 (관리자), 443

#### 2.2 데이터 디렉토리
```
/home/kaffa/nginx-proxy-manager/
├── data/           # NPM 데이터
├── letsencrypt/    # SSL 인증서
├── db/             # MariaDB 데이터
└── data/logs/      # 로그 파일
```

### 3. Cloudflare R2 연동

#### 3.1 rclone 설치 및 설정
**설치된 버전**: rclone v1.60.1-DEV

**설정 파일** (`~/.config/rclone/rclone.conf`):
```ini
[cloudflare-r2]
type = s3
provider = Cloudflare
access_key_id = 90b141de4479101392691a20c60d2696
secret_access_key = [REDACTED]
endpoint = https://d8e5997eb4040f8b489f09095c0f623c.r2.cloudflarestorage.com
region = auto
```

#### 3.2 R2 버킷 구조
```
npm-logs/
└── debian-jp-tyo-3/
    └── 2025-09-10/
        ├── npm_access.log
        ├── npm_error.log
        ├── fallback_access.log
        ├── fallback_error.log
        ├── npm-app-recent.log
        └── npm-db-recent.log
```

### 4. 로그 스트리밍 시스템

#### 4.1 로그 수집 스크립트
**백업 스크립트** (`/home/kaffa/scripts/npm-log-backup.sh`)
- 일일 백업용 (압축 아카이브)
- systemd 타이머로 자동 실행
- 로컬 백업 7일 보관

**실시간 스트리밍 스크립트** (`/home/kaffa/scripts/npm-log-streamer.sh`)
- CrowdSec용 실시간 업로드 (압축 없음)
- 1분 간격 동기화
- 에러 복구 로직 포함

#### 4.2 주요 기능
```bash
# 로그 수집 소스
- Podman 컨테이너 내부 로그
- systemd journal (npm-app, npm-db)
- 호스트 마운트 로그 파일

# 업로드 특징
- 개별 파일 업로드 (압축 없음)
- 재시도 로직 (3회)
- 타임아웃 보호 (300초)
- 실패 시 계속 작동
```

#### 4.3 systemd 서비스
**npm-log-backup.timer**: 일일 백업 (00:00)
**npm-log-streamer.service**: 실시간 스트리밍 (상시 가동)

### 5. 문제 해결 내역

#### 5.1 R2 연결 문제
**문제**: TLS handshake 실패
**원인**: 잘못된 API 자격증명
**해결**: 
- API Token 대신 S3 호환 Access Key/Secret Key 사용
- 32자리 Access Key ID 형식 준수
- 올바른 Account ID로 엔드포인트 수정

#### 5.2 rootless 컨테이너 포트 바인딩
**문제**: 포트 80 바인딩 권한 오류
**해결**: `net.ipv4.ip_unprivileged_port_start=80` 설정

#### 5.3 스크립트 에러 판정 로직
**문제**: rclone 출력 텍스트 파싱으로 잘못된 실패 판정
**해결**: Exit code 기반 판정으로 변경 (0=성공)

## 📊 성능 및 비용 분석

### 현재 운영 현황
- **업로드 빈도**: 1분당 6-8개 파일
- **일일 업로드**: 약 8,640개 파일
- **월간 데이터**: 약 2.81GB
- **성공률**: 99.93%

### 월간 비용 예상
```
스토리지: $0.042 (2.81GB × $0.015)
PUT 작업: $0.78 (172,800회 × $4.50/백만)
총 비용: $0.822/월 (약 1,200원)
```

### 비용 최적화 방안
1. **현재 (4개 파일)**: $0.82/월
2. **500개 파일 시**: $102/월 → 주기 조정 필요
3. **권장**: 중요도별 차등 업로드

## 🔧 유지보수 명령어

### 서비스 관리
```bash
# 서비스 상태 확인
systemctl --user status npm-app npm-db npm-log-streamer

# 로그 스트리밍 재시작
systemctl --user restart npm-log-streamer.service

# 로그 확인
journalctl --user -u npm-log-streamer.service -f

# 수동 로그 동기화
/home/kaffa/scripts/npm-log-streamer.sh sync

# R2 연결 테스트
/home/kaffa/scripts/npm-log-streamer.sh test
```

### R2 작업
```bash
# 업로드된 파일 확인
rclone ls cloudflare-r2:npm-logs/

# 버킷 리스트
rclone lsd cloudflare-r2:

# 수동 업로드
rclone copy file.log cloudflare-r2:npm-logs/path/
```

### 모니터링
```bash
# 업로드 통계
grep -c 'SUCCESS:' /home/kaffa/logs/npm-streamer.log

# 최근 로그
tail -f /home/kaffa/logs/npm-streamer.log

# 디스크 사용량
du -sh /home/kaffa/nginx-proxy-manager/data/logs/
```

## 🚀 향후 개선 사항

### 단기 개선
1. CrowdSec 연동 구성 및 테스트
2. 로그 필터링 규칙 적용 (중요 로그 우선)
3. 알림 시스템 구축 (업로드 실패 시)

### 장기 개선
1. 로그 분석 대시보드 구축
2. 자동 스케일링 (로그 양에 따른 주기 조정)
3. 다중 지역 백업 (재해 복구)
4. 로그 압축 아카이빙 (30일 이상)

## 📝 트러블슈팅 가이드

### R2 연결 실패
```bash
# 자격증명 확인
cat ~/.config/rclone/rclone.conf

# 직접 연결 테스트
rclone lsd cloudflare-r2: --verbose

# 네트워크 확인
curl -v https://[account-id].r2.cloudflarestorage.com
```

### 서비스 재시작 루프
```bash
# 서비스 로그 확인
journalctl --user -u npm-log-streamer.service -n 50

# 스크립트 권한 확인
ls -la /home/kaffa/scripts/

# 수동 실행 테스트
bash -x /home/kaffa/scripts/npm-log-streamer.sh sync
```

### 로그 누락
```bash
# 컨테이너 상태 확인
podman ps

# 로그 파일 존재 확인
podman exec npm-app ls -la /data/logs/

# 마운트 확인
ls -la /home/kaffa/nginx-proxy-manager/data/logs/
```

## ✅ 프로젝트 성과

1. **보안 강화**: 실시간 로그 분석 기반 구축
2. **비용 효율**: 월 $0.82 (1,200원)로 엔터프라이즈급 로그 관리
3. **자동화**: 무인 운영 가능한 시스템 구축
4. **확장성**: 500개 파일까지 확장 가능한 아키텍처
5. **신뢰성**: 99.93% 업로드 성공률

---
*Documentation created: 2025-09-11*
*System operational since: 2025-09-10 17:13 JST*