F5 NGINX Plus 릴리스 36(R36)의 출시를 알리게 되어 매우 기쁩니다.
NGINX Plus R36은 HTTP CONNECT 포워드 프록시, 더 풍부한 OpenID Connect(OIDC) 기능, 확장된 ACME 옵션, 인기 모듈과 함께 패키지된 새로운 컨테이너 이미지 등 고급 기능을 추가합니다. 또한 NGINX Plus는 NGINX 오픈 소스에서 유일하게 올인원 소프트웨어 웹 서버, 로드 밸런서, 리버스 프록시, 콘텐츠 캐시, API 게이트웨이의 최신 기능을 모두 계승합니다.
다음은 R36에서 가장 중요한 업데이트들의 요약입니다:
HTTP CONNECT 포워드 프록시
NGINX Plus는 이제 HTTP CONNECT 메서드를 통해 HTTP 트래픽을 터널링할 수 있어, 신뢰할 수 있는 NGINX Plus 서버를 통해 이그레스 정책을 쉽게 중앙집중화할 수 있습니다. 고급 기능을 통해 프록시 트래픽을 특정 출발지 클라이언트, 포트 또는 목적지 호스트 및 네트워크로 제한할 수 있습니다.
PKCE, 프론트 채널 로그아웃, POST 클라이언트 인증에 대한 네이티브 OSIDC 지원
우리는 인기 있는 OpenID Connect 모듈에 PKCE 강제 지원, 클라이언트가 로그인한 모든 애플리케이션에서 로그아웃 기능, client_secret_post 방식을 이용한 OIDC 클라이언트 인증 지원을 추가하는 등 추가적인 개선을 가했습니다.
인증서 자동화를 위한 ACME 개선
ACME(자동 인증서 관리 환경) 모듈을 지속적으로 개선함에 따라 인증서 자동화 기능은 그 어느 때보다 강력해졌습니다. 새로운 기능으로는 TLS-ALPN-01 챌린지 방법 지원, 특정 인증서 체인 선택 기능, IP 기반 인증서, ACME 프로필, 외부 계정 바인딩 등이 있습니다.
TLS 인증서 압축
대용량 또는 고지연 연결은 이제 인증서와 관련 CA 체인을 압축하여 TLS 핸드셰이크를 최적화하는 새로운 기능의 혜택을 누릴 수 있습니다.
인기 모듈이 포함된 컨테이너 이미지
컨테이너 이미지에는 이제 가장 인기 있는 모듈들이 포함되어 있어 컨테이너 환경에서 NGINX Plus를 더욱 쉽게 배포할 수 있습니다. 이전에 포함되던 NJS 모듈과 함께, 이미지는 이제 ACME, OpenTelemetry Tracing, Prometheus Exporter 모듈과 함께 제공됩니다.
NGINX 오픈 소스에서 물려받은 주요 기능은 다음과 같습니다:
QUIC에서 0-RTT 지원
헤더와 트레일러에 대한 상속 제어
OpenSSL 3.5 지원
새로운 특징 상세 정보
HTTP CONNECT 포워드 프록시
NGINX Plus R36은 새로운 ngx_http_tunnel_module을 통해 네이티브 HTTP CONNECT 지원을 추가 하여 NGINX Plus가 아웃바운드 HTTP/HTTPS 트래픽의 순방향 프록시로 동작할 수 있게 합니다. 클라이언트, 포트, 호스트뿐만 아니라 중앙 집중식 이그레스 정책을 통해 접근 가능한 네트워크를 제한할 수 있습니다. 이 새로운 기능은 별도의 프록시 제품이나 DIY 오픈 소스 프로젝트에 의존하지 않고도 하나 이상의 NGINX Plus 인스턴스를 통해 아웃바운드 연결을 모니터링할 수 있게 해줍니다.
왜 중요한가
스택에 다른 프록시를 도입하지 않고도 일관된 이그레스 정책을 강제합니다.
아웃바운드 연결에 대한 프록시 규칙과 위협 모니터링을 중앙 집중화합니다.
아웃바운드 TLS를 터널링하기 위한 맞춤형 모듈이나 사이드카 프록시의 필요성을 줄입니다.
NGINX Forward Proxy 가 필요한 고객
모든 아웃바운드 트래픽을 통제된 프록시를 통해 라우팅해야 하는 플랫폼 및 네트워크 팀.
Egress 규칙을 집행하고 감사할 수 있는 단일 장소를 원하는 보안 팀들.
NGINX Plus에서 L7 기능(인바운드 및 아웃바운드)을 통합하는 운영자들.
다음은 포트, 목적지 호스트 및 네트워크를 필터링하는 샘플 포워드 프록시 구성입니다.
DNS 리졸버를 지정해야 한다는 요구사항을 주목하세요.
간단히 하기 위해, 우리는 대중적으로 공개된 인기 있는 DNS를 설정했습니다.
하지만 접근 제한과 예측 불가능한 가용성 때문에 특정 생산 환경에서는 권장되지 않습니다.
num_map $request_port $allowed_ports {
443 1;
8440-8445 1;
}
geo $upstream_last_addr $allowed_nets {
52.58.199.0/24 1;
3.125.197.172/24 1;
}
map $host $allowed_hosts {
hostnames;
nginx.org 1;
*.nginx.org 1;
}
server {
listen 3128;
resolver 1.1.1.1; # unsafe
tunnel_allow_upstream $allowed_nets $allowed_ports $allowed_hosts;
tunnel_pass;
}
PKCE, 프론트 채널 로그아웃, POST 클라이언트 인증을 위한 네이티브 OpenID Connect 지원
R36은 PKCE 강제, 프론트 채널 로그아웃, client_secret_post 방식을 통한 클라이언트 인증 지원을 통해 R34에서 도입된 네이티브 OIDC 기능을 확장합니다 .
인증코드 흐름에 대한 PKCE는 이제 S256이 연합 메타데이터에서 "code_challenge_methods_supported" 로 광고될 때 설정된 신원 제공자에 대해 자동으로 활성화될 수 있습니다.또는 간단한 명령으로 명시적으로 토글할 수도 있습니다:
pkce on; # force PKCE even if the OP does not advertise it
pkce off; # disable PKCE even if the OP advertises S256
새로운 프론트 채널 로그아웃 엔드포인트는 아이덴티티 프로바이저가 클라이언트가 로그인한 모든 애플리케이션의 브라우저 기반 로그아웃을 트리거할 수 있게 합니다.
oidc_provider okta_app {
issuer https://dev.okta.com/oauth2/default;
client_id <client_id>;
client_secret <client_secret>;
logout_uri /logout;
logout_token_hint on;
frontchannel_logout_uri /front_logout;
userinfo on;
}
client_secret_post 지원 은 OpenID Connect Core 1.0에서 POST 기반 클라이언트 인증이 필요한 신원 제공자와의 호환성을 향상시킵니다.
왜 중요한가
NGINX Plus를 PKCE를 모든 권한 부여 코드 흐름에 대한 모범 사례로 다루는 현대 신원 제공자 기대에 부합하도록 합니다.
단일 아이덴티티 제공자 트리거로 여러 애플리케이션 간 신뢰할 수 있는 로그아웃을 가능하게 합니다.
POST 기반 클라이언트 인증을 요구하는 제공업체와 NGINX Plus를 더 쉽게 통합할 수 있게 합니다.
NGINX Plus 가 필요한 고객
OIDC와 PKCE를 표준화하는 신원 접근 관리 및 보안 팀.
여러 서비스에서 일관된 로그인과 로그아웃 동작이 필요한 애플리케이션 및 API 소유자들.
특정 OIDC 패턴이 필요한 클라우드 아이덴티티 제공자(Entra ID, Okta 등)와 통합하는 아키텍트들.
인증서 자동화를 위한 ACME 개선
이전 릴리스에서 제공된 ACME 지원을 기반으로 NGINX Plus R36은 nginx acme 프로젝트의 새로운 기능들을 통합했습니다. 여기에는 다음이 포함됩니다:
TLS-ALPN-01 챌린지 지원
특정 인증서 체인의 선택
IP 기반 인증서
ACME 프로필
외부 계정 제본(External Account bindings)
이러한 기능들은 NGINX Plus를 ngx_http_acme_module을 통해 NGINX 오픈 소스에서 제공하는 기능과 일치 시킵니다.
왜 중요한가
외부 도구에 의존하지 않고 인증서 수명 주기를 NGINX 내에서 더 많이 관리할 수 있습니다.
CA 정책과 조직 PKI 표준을 더 쉽게 준수할 수 있습니다.
IP 전용 엔드포인트와 특정 체인 요구사항 등 더 복잡한 환경을 지원합니다.
NGINX Plus 가 필요한 고객
자동 인증서 갱신에 의존하는 대규모 차량 대회를 운영하는 SRE 및 플랫폼 팀.
인증서 체인, 프로필, CA 바인딩에 대한 더 엄격한 통제가 필요한 보안 및 PKI 팀.
NGINX Plus와 NGINX 오픈 소스 전반에 걸쳐 단일 ACME 구현을 표준화하고자 하는 운영자들입니다.
TLS 인증서 압축
NGINX 오픈 소스 1.29.1에서 도입된 TLS 인증서 압축은 이제 NGINX Plus R36에서 이용 가능합니다. ssl_certificate_compression 지시는 TLS 핸드셰이크 중 인증서 압축을 제어하며, 기본적으로 꺼져 있고 명시적으로 활성화되어야 합니다.
왜 중요한가
인증서 체인이 클 때 TLS 핸드셰이크 크기를 줄입니다.
높은 연결 용량이나 고지연 환경에서 성능을 최적화할 수 있습니다.
애플리케이션 동작을 변경하지 않고 점진적인 성능 최적화를 제공합니다.
NGINX Plus 가 필요한 고객
단기 TLS 연결이 많은 서비스를 수행하는 성능 중심 운영자.
모바일 또는 고지연 클라이언트를 지원하는 팀에서는 핸드셰이크의 모든 바이트가 중요합니다.
명 시적 구성을 통해 제어권을 유지하면서 악수 최적화를 실험하고자 하는 운영자들.
인기 있는 모듈이 포함된 컨테이너 이미지
마지막으로, NGINX Plus R36은 OpenTelemetry(OTel) 추적, ACME, Prometheus Exporter, NGINX JavaScript(njs)와 같은 일반적으로 요청되는 1자 모듈과 함께 NGINX Plus를 번들로 제공하는 컨테이너 이미지를 도입합니다. 옵션으로는 F5 NGINX 에이전트가 있거나 없는 이미지, 그리고 특권 또는 비비권 모드로 NGINX를 실행하는 이미지가 포함됩니다. 또한, 맞춤형 맞춤형 컨테이너를 구축하고자 하는 팀을 위해 얇은 NGINX Plus 전용 이미지도 제공됩니다.
NGINX 플러스 R36에서 제공되는 추가 향상 기능
업스트림 특화 요청 헤더
동적으로 할당된 proxy_bind 풀
NGINX 오픈 소스에서 물려받은 변경 사항
NGINX Plus R36은 NGINX 1.29.3 메인라인 릴리스를 기반으로 하며, NGINX Plus R35(1.29.0 메인라인 릴리스 기반) 출시된 이후 이루어진 모든 기능 변경, 기능 및 버그 수정을 계승합니다.
플랫폼 지원 변경 사항
추가 지원 OS
다음 플랫폼에 대한 지원이 추가되었습니다:
데비안 13
록키 리눅스 10
SUSE 리눅스 엔터프라이즈 서버 16
미지원 OS
Alpine Linux 3.19 – 2025년 11월 지원 종료
미지원 예정 OS
알파인 리눅스 3.20
Notice
NGINX Plus는 지원하는 각 운영체제 플랫폼의 최신 마이너 릴리스를 기반으로 구축되었습니다. 많은 경우, 최신 운영체제 버전들은 OpenSSL 3.5(예: RHEL 9.7, 10.1)를 지원하도록 플랫폼을 조정하고 있습니다. 이러한 상황에서 NGINX Plus는 제대로 작동하려면 OpenSSL 3.5.0 이상의 버전을 설치해야 합니다.
F5 NGINX Plus 릴리스 36(R36)의 출시를 알리게 되어 매우 기쁩니다.
NGINX Plus R36은 HTTP CONNECT 포워드 프록시, 더 풍부한 OpenID Connect(OIDC) 기능, 확장된 ACME 옵션, 인기 모듈과 함께 패키지된 새로운 컨테이너 이미지 등 고급 기능을 추가합니다. 또한 NGINX Plus는 NGINX 오픈 소스에서 유일하게 올인원 소프트웨어 웹 서버, 로드 밸런서, 리버스 프록시, 콘텐츠 캐시, API 게이트웨이의 최신 기능을 모두 계승합니다.
다음은 R36에서 가장 중요한 업데이트들의 요약입니다:
HTTP CONNECT 포워드 프록시
NGINX Plus는 이제 HTTP CONNECT 메서드를 통해 HTTP 트래픽을 터널링할 수 있어, 신뢰할 수 있는 NGINX Plus 서버를 통해 이그레스 정책을 쉽게 중앙집중화할 수 있습니다. 고급 기능을 통해 프록시 트래픽을 특정 출발지 클라이언트, 포트 또는 목적지 호스트 및 네트워크로 제한할 수 있습니다.
PKCE, 프론트 채널 로그아웃, POST 클라이언트 인증에 대한 네이티브 OSIDC 지원
우리는 인기 있는 OpenID Connect 모듈에 PKCE 강제 지원, 클라이언트가 로그인한 모든 애플리케이션에서 로그아웃 기능, client_secret_post 방식을 이용한 OIDC 클라이언트 인증 지원을 추가하는 등 추가적인 개선을 가했습니다.
인증서 자동화를 위한 ACME 개선
ACME(자동 인증서 관리 환경) 모듈을 지속적으로 개선함에 따라 인증서 자동화 기능은 그 어느 때보다 강력해졌습니다. 새로운 기능으로는 TLS-ALPN-01 챌린지 방법 지원, 특정 인증서 체인 선택 기능, IP 기반 인증서, ACME 프로필, 외부 계정 바인딩 등이 있습니다.
TLS 인증서 압축
대용량 또는 고지연 연결은 이제 인증서와 관련 CA 체인을 압축하여 TLS 핸드셰이크를 최적화하는 새로운 기능의 혜택을 누릴 수 있습니다.
인기 모듈이 포함된 컨테이너 이미지
컨테이너 이미지에는 이제 가장 인기 있는 모듈들이 포함되어 있어 컨테이너 환경에서 NGINX Plus를 더욱 쉽게 배포할 수 있습니다. 이전에 포함되던 NJS 모듈과 함께, 이미지는 이제 ACME, OpenTelemetry Tracing, Prometheus Exporter 모듈과 함께 제공됩니다.
NGINX 오픈 소스에서 물려받은 주요 기능은 다음과 같습니다:
QUIC에서 0-RTT 지원
헤더와 트레일러에 대한 상속 제어
OpenSSL 3.5 지원
새로운 특징 상세 정보
HTTP CONNECT 포워드 프록시
NGINX Plus R36은 새로운 ngx_http_tunnel_module을 통해 네이티브 HTTP CONNECT 지원을 추가 하여 NGINX Plus가 아웃바운드 HTTP/HTTPS 트래픽의 순방향 프록시로 동작할 수 있게 합니다. 클라이언트, 포트, 호스트뿐만 아니라 중앙 집중식 이그레스 정책을 통해 접근 가능한 네트워크를 제한할 수 있습니다. 이 새로운 기능은 별도의 프록시 제품이나 DIY 오픈 소스 프로젝트에 의존하지 않고도 하나 이상의 NGINX Plus 인스턴스를 통해 아웃바운드 연결을 모니터링할 수 있게 해줍니다.
왜 중요한가
스택에 다른 프록시를 도입하지 않고도 일관된 이그레스 정책을 강제합니다.
아웃바운드 연결에 대한 프록시 규칙과 위협 모니터링을 중앙 집중화합니다.
아웃바운드 TLS를 터널링하기 위한 맞춤형 모듈이나 사이드카 프록시의 필요성을 줄입니다.
NGINX Forward Proxy 가 필요한 고객
모든 아웃바운드 트래픽을 통제된 프록시를 통해 라우팅해야 하는 플랫폼 및 네트워크 팀.
Egress 규칙을 집행하고 감사할 수 있는 단일 장소를 원하는 보안 팀들.
NGINX Plus에서 L7 기능(인바운드 및 아웃바운드)을 통합하는 운영자들.
다음은 포트, 목적지 호스트 및 네트워크를 필터링하는 샘플 포워드 프록시 구성입니다.
DNS 리졸버를 지정해야 한다는 요구사항을 주목하세요.
간단히 하기 위해, 우리는 대중적으로 공개된 인기 있는 DNS를 설정했습니다.
하지만 접근 제한과 예측 불가능한 가용성 때문에 특정 생산 환경에서는 권장되지 않습니다.
num_map $request_port $allowed_ports {
443 1;
8440-8445 1;
}
geo $upstream_last_addr $allowed_nets {
52.58.199.0/24 1;
3.125.197.172/24 1;
}
map $host $allowed_hosts {
hostnames;
nginx.org 1;
*.nginx.org 1;
}
server {
listen 3128;
resolver 1.1.1.1; # unsafe
tunnel_allow_upstream $allowed_nets $allowed_ports $allowed_hosts;
tunnel_pass;
}
PKCE, 프론트 채널 로그아웃, POST 클라이언트 인증을 위한 네이티브 OpenID Connect 지원
R36은 PKCE 강제, 프론트 채널 로그아웃, client_secret_post 방식을 통한 클라이언트 인증 지원을 통해 R34에서 도입된 네이티브 OIDC 기능을 확장합니다 .
인증코드 흐름에 대한 PKCE는 이제 S256이 연합 메타데이터에서 "code_challenge_methods_supported" 로 광고될 때 설정된 신원 제공자에 대해 자동으로 활성화될 수 있습니다.또는 간단한 명령으로 명시적으로 토글할 수도 있습니다:
pkce on; # force PKCE even if the OP does not advertise it
pkce off; # disable PKCE even if the OP advertises S256
새로운 프론트 채널 로그아웃 엔드포인트는 아이덴티티 프로바이저가 클라이언트가 로그인한 모든 애플리케이션의 브라우저 기반 로그아웃을 트리거할 수 있게 합니다.
oidc_provider okta_app {
issuer https://dev.okta.com/oauth2/default;
client_id <client_id>;
client_secret <client_secret>;
logout_uri /logout;
logout_token_hint on;
frontchannel_logout_uri /front_logout;
userinfo on;
}
client_secret_post 지원 은 OpenID Connect Core 1.0에서 POST 기반 클라이언트 인증이 필요한 신원 제공자와의 호환성을 향상시킵니다.
왜 중요한가
NGINX Plus를 PKCE를 모든 권한 부여 코드 흐름에 대한 모범 사례로 다루는 현대 신원 제공자 기대에 부합하도록 합니다.
단일 아이덴티티 제공자 트리거로 여러 애플리케이션 간 신뢰할 수 있는 로그아웃을 가능하게 합니다.
POST 기반 클라이언트 인증을 요구하는 제공업체와 NGINX Plus를 더 쉽게 통합할 수 있게 합니다.
NGINX Plus 가 필요한 고객
OIDC와 PKCE를 표준화하는 신원 접근 관리 및 보안 팀.
여러 서비스에서 일관된 로그인과 로그아웃 동작이 필요한 애플리케이션 및 API 소유자들.
특정 OIDC 패턴이 필요한 클라우드 아이덴티티 제공자(Entra ID, Okta 등)와 통합하는 아키텍트들.
인증서 자동화를 위한 ACME 개선
이전 릴리스에서 제공된 ACME 지원을 기반으로 NGINX Plus R36은 nginx acme 프로젝트의 새로운 기능들을 통합했습니다. 여기에는 다음이 포함됩니다:
TLS-ALPN-01 챌린지 지원
특정 인증서 체인의 선택
IP 기반 인증서
ACME 프로필
외부 계정 제본(External Account bindings)
이러한 기능들은 NGINX Plus를 ngx_http_acme_module을 통해 NGINX 오픈 소스에서 제공하는 기능과 일치 시킵니다.
왜 중요한가
외부 도구에 의존하지 않고 인증서 수명 주기를 NGINX 내에서 더 많이 관리할 수 있습니다.
CA 정책과 조직 PKI 표준을 더 쉽게 준수할 수 있습니다.
IP 전용 엔드포인트와 특정 체인 요구사항 등 더 복잡한 환경을 지원합니다.
NGINX Plus 가 필요한 고객
자동 인증서 갱신에 의존하는 대규모 차량 대회를 운영하는 SRE 및 플랫폼 팀.
인증서 체인, 프로필, CA 바인딩에 대한 더 엄격한 통제가 필요한 보안 및 PKI 팀.
NGINX Plus와 NGINX 오픈 소스 전반에 걸쳐 단일 ACME 구현을 표준화하고자 하는 운영자들입니다.
TLS 인증서 압축
NGINX 오픈 소스 1.29.1에서 도입된 TLS 인증서 압축은 이제 NGINX Plus R36에서 이용 가능합니다. ssl_certificate_compression 지시는 TLS 핸드셰이크 중 인증서 압축을 제어하며, 기본적으로 꺼져 있고 명시적으로 활성화되어야 합니다.
왜 중요한가
인증서 체인이 클 때 TLS 핸드셰이크 크기를 줄입니다.
높은 연결 용량이나 고지연 환경에서 성능을 최적화할 수 있습니다.
애플리케이션 동작을 변경하지 않고 점진적인 성능 최적화를 제공합니다.
NGINX Plus 가 필요한 고객
단기 TLS 연결이 많은 서비스를 수행하는 성능 중심 운영자.
모바일 또는 고지연 클라이언트를 지원하는 팀에서는 핸드셰이크의 모든 바이트가 중요합니다.
명 시적 구성을 통해 제어권을 유지하면서 악수 최적화를 실험하고자 하는 운영자들.
인기 있는 모듈이 포함된 컨테이너 이미지
마지막으로, NGINX Plus R36은 OpenTelemetry(OTel) 추적, ACME, Prometheus Exporter, NGINX JavaScript(njs)와 같은 일반적으로 요청되는 1자 모듈과 함께 NGINX Plus를 번들로 제공하는 컨테이너 이미지를 도입합니다. 옵션으로는 F5 NGINX 에이전트가 있거나 없는 이미지, 그리고 특권 또는 비비권 모드로 NGINX를 실행하는 이미지가 포함됩니다. 또한, 맞춤형 맞춤형 컨테이너를 구축하고자 하는 팀을 위해 얇은 NGINX Plus 전용 이미지도 제공됩니다.
NGINX 플러스 R36에서 제공되는 추가 향상 기능
업스트림 특화 요청 헤더
동적으로 할당된 proxy_bind 풀
NGINX 오픈 소스에서 물려받은 변경 사항
NGINX Plus R36은 NGINX 1.29.3 메인라인 릴리스를 기반으로 하며, NGINX Plus R35(1.29.0 메인라인 릴리스 기반) 출시된 이후 이루어진 모든 기능 변경, 기능 및 버그 수정을 계승합니다.
플랫폼 지원 변경 사항
추가 지원 OS
다음 플랫폼에 대한 지원이 추가되었습니다:
데비안 13
록키 리눅스 10
SUSE 리눅스 엔터프라이즈 서버 16
미지원 OS
Alpine Linux 3.19 – 2025년 11월 지원 종료
미지원 예정 OS
알파인 리눅스 3.20
Notice
NGINX Plus는 지원하는 각 운영체제 플랫폼의 최신 마이너 릴리스를 기반으로 구축되었습니다. 많은 경우, 최신 운영체제 버전들은 OpenSSL 3.5(예: RHEL 9.7, 10.1)를 지원하도록 플랫폼을 조정하고 있습니다. 이러한 상황에서 NGINX Plus는 제대로 작동하려면 OpenSSL 3.5.0 이상의 버전을 설치해야 합니다.