Microsoft IIS z modułem Application Request Routing i Nginx to dwa najczęściej wybierane rozwiązania reverse proxy w środowiskach produkcyjnych. Wybór między nimi determinuje architekturę infrastruktury, koszty licencyjne, łatwość zarządzania i wydajność na lata. W tym artykule rozkładamy oba rozwiązania na czynniki pierwsze — od mechanizmów równoważenia obciążenia, przez funkcje buforowania i SSL termination, aż po scenariusze hybrydowe, w których oba narzędzia współpracują zamiast konkurować.
Czym jest reverse proxy i dlaczego to pierwszy krok w architekturze nowoczesnych aplikacji
Reverse proxy to serwer pośredniczący, który przyjmuje żądania od klientów i przekazuje je do serwerów backendowych, ukrywając ich rzeczywistą topologię przed światem zewnętrznym. W 2026 roku trudno znaleźć wdrożenie produkcyjne, które nie korzysta z tej warstwy — niezależnie czy mówimy o monolitycznej aplikacji .NET na IIS, mikrousługach w kontenerach, czy hostingu współdzielonym.
Kluczowe zadania reverse proxy obejmują terminację SSL (odszyfrowanie ruchu HTTPS na brzegu sieci i przekazanie go do backendu już w plain HTTP), równoważenie obciążenia między wieloma instancjami aplikacji, buforowanie często żądanych zasobów statycznych, kompresję odpowiedzi, a także routing warunkowy — przekierowywanie żądań do różnych pul serwerów na podstawie ścieżki URL, nagłówka Host czy kraju pochodzenia użytkownika.
W ekosystemie Microsoftu naturalnym wyborem jest IIS z rozszerzeniem ARR, dostępny jako rola systemu Windows Server. W świecie otwartego oprogramowania dominuje Nginx, który według najnowszego badania Netcraft z maja 2026 roku obsługuje ponad 34% wszystkich aktywnych stron internetowych. Oba narzędzia dojrzały na tyle, że różnice nie sprowadzają się do prostego "lepszy-gorszy", lecz do dopasowania do konkretnego stosu technologicznego i wymagań operacyjnych.
IIS ARR — architektura i filozofia działania
Application Request Routing to bezpłatne rozszerzenie IIS instalowane poprzez Web Platform Installer lub PowerShell. ARR działa jako filtr ISAPI na poziomie potoku HTTP IIS, co ma fundamentalne znaczenie dla jego architektury — każda decyzja o routingu przechodzi przez zintegrowany potok ASP.NET, dając dostęp do wszystkich modułów IIS, w tym uwierzytelniania Windows, autoryzacji URL i kompresji dynamicznej.
Model procesowy ARR opiera się na puli aplikacji IIS. Oznacza to, że reverse proxy dziedziczy cały model zarządzania procesami Windows — izolację przez tożsamości pul aplikacji, limity pamięci roboczej, recykling czasowy i możliwość przypisania dedykowanego konta usługi domenowej. Dla administratorów Windows jest to środowisko znajome: te same narzędzia co przy zarządzaniu aplikacjami ASP.NET, te same dzienniki zdarzeń, ta sama integracja z Active Directory.
ARR implementuje równoważenie obciążenia poprzez algorytmy ważone — round robin, least connection i weighted traffic distribution. Każda pula serwerów może mieć skonfigurowane sondy zdrowia (health probes), które okresowo sprawdzają dostępność backendów przez zapytania HTTP GET do wskazanego endpointu. W przypadku wykrycia awarii ARR automatycznie wyłącza niedostępny serwer z rotacji do czasu jego odzyskania.
Cechą wyróżniającą ARR jest buforowanie dyskowe na poziomie reverse proxy. W przeciwieństwie do Nginx, który buforuje w pamięci lub na dysku w zależności od dyrektywy, ARR przechowuje odpowiedzi backendu bezpośrednio na dysku w strukturze katalogowej, co umożliwia buforowanie setek gigabajtów treści bez zużycia RAM-u. To architektoniczne podejście sprawdza się szczególnie w scenariuszach serwowania dużych plików statycznych i mediów strumieniowych.
Nginx jako reverse proxy — filozofia i architektura
Nginx został zaprojektowany od podstaw jako serwer zdarzeniowy oparty na mechanizmie epoll (Linux) i kqueue (FreeBSD), zdolny do obsługi dziesiątek tysięcy jednoczesnych połączeń przy minimalnym zużyciu zasobów. W przeciwieństwie do modelu procesowo-wątkowego IIS, Nginx używa architektury jednowątkowej z pulą worker processes — każdy worker jest jednowątkowy i nieblokujący, co eliminuje narzut przełączania kontekstu.
Konfiguracja Nginx jest deklaratywna, oparta na plikach tekstowych z dyrektywami takimi jak proxy_pass, proxy_set_header, upstream i proxy_cache_path. Brak interfejsu graficznego to świadomy wybór projektowy — pliki konfiguracyjne Nginx są czytelne, poddają się kontroli wersji (Git) i mogą być generowane programowo przez narzędzia automatyzacji, takie jak Ansible czy Terraform.
Moduł ngx_http_proxy_module zapewnia pełną funkcjonalność reverse proxy: przekazywanie nagłówków, modyfikację odpowiedzi, buforowanie w pamięci RAM lub na dysku, limity przepustowości i timeouty. Moduł ngx_http_upstream_module dodaje zaawansowane równoważenie obciążenia — oprócz klasycznego round robin i least connections, Nginx oferuje algorytmy hashujące (IP klienta, nagłówek, zmienna), ważenie serwerów i mechanizm serwerów zapasowych (backup).
Nowością w Nginx 1.27 (wydanym w lutym 2026) jest natywna obsługa HTTP/3 i QUIC w reverse proxy, wcześniej dostępna tylko w Nginx Plus. Pozwala to na wielokrotne przyspieszenie pierwszego bajta odpowiedzi, szczególnie na łączach o wysokiej latencji i stratności pakietów. Dla porównania, IIS ARR wspiera HTTP/2 od Windows Server 2019, ale HTTP/3 pozostaje domeną Nginx i wyspecjalizowanych rozwiązań CDN-owych.
SSL Termination i zarządzanie certyfikatami
SSL termination to jedno z najważniejszych zadań reverse proxy — odszyfrowanie ruchu HTTPS na brzegu infrastruktury odciąża serwery backendowe i upraszcza zarządzanie certyfikatami (jeden certyfikat na proxy zamiast na każdym backendzie).
IIS ARR integruje się z magazynem certyfikatów Windows — certyfikaty są importowane do zasobnika Local Machine\Personal, a powiązanie z konkretnym adresem IP i portem odbywa się przez standardowe wiązania IIS (Site Bindings). W domenie Active Directory pozwala to na automatyczne wystawianie i odnawianie certyfikatów przez wewnętrzne PKI i Group Policy, a dla certyfikatów publicznych integruje się z Azure Key Vault i rozszerzeniem IIS do automatycznego odnawiania ACME (win-acme). Windows Server 2025 wprowadził natywne wsparcie dla protokołu ACME, co jeszcze uprościło cykl życia certyfikatów.
Nginx zarządza certyfikatami na poziomie plików PEM — ścieżki do klucza prywatnego i łańcucha certyfikatów definiuje się w dyrektywach ssl_certificate i ssl_certificate_key. Automatyzację zapewnia Certbot (Let's Encrypt) lub narzędzia komercyjne, które po odnowieniu certyfikatu przeładowują konfigurację Nginx sygnałem SIGHUP, co pozwala na wymianę certyfikatu bez zrywania istniejących połączeń. W 2026 roku standardem w automatyzacji DevOps jest cert-manager dla Kubernetes i dedykowane kontenery sidecar wykonujące ACME challenge.
Wydajnościowo oba rozwiązania są zbliżone — zarówno IIS ARR jak i Nginx potrafią terminować SSL z prędkością ograniczaną głównie przez możliwości CPU (dla TLS 1.3 z szyfrowaniem AES-GCM) lub przez przepustowość interfejsu sieciowego. Nginx ma lekką przewagę w liczbie połączeń na sekundę dzięki architekturze zdarzeniowej, ale w praktyce różnica staje się zauważalna dopiero powyżej 10 000 nowych połączeń TLS na sekundę.
Równoważenie obciążenia i routing warunkowy
Oba rozwiązania oferują zaawansowane algorytmy równoważenia obciążenia, ale różnią się filozofią konfiguracji i rozszerzalnością.
IIS ARR definiuje farmy serwerów (Server Farms) z poziomu interfejsu graficznego IIS Manager lub przez PowerShell cmdlet WebFarmObject. Każda farma to zestaw backendów z przypisanymi wagami i konfiguracją health probe. Routing warunkowy osiąga się przez reguły URL Rewrite — można przekierowywać żądania na podstawie wzorca URL, nagłówka HTTP, adresu IP klienta, zmiennej serwerowej czy nawet zawartości ciasteczka. Reguły te oceniane są sekwencyjnie, z możliwością zagnieżdżania warunków logicznych.
Nginx definiuje upstream block z listą serwerów i przypisanymi parametrami (waga, max_fails, fail_timeout, backup, down). Routing warunkowy odbywa się przez kombinację dyrektyw location, instrukcji if i mapowania zmiennych:
upstream backend_app {
server 192.168.1.10:8080 weight=3;
server 192.168.1.11:8080 weight=1;
server 192.168.1.12:8080 backup;
}
server {
location /api/ {
proxy_pass http://backend_app;
}
location /static/ {
proxy_pass http://cdn_backend;
}
}
Przewaga Nginx ujawnia się w złożonych scenariuszach routingu — wyrażenie map pozwala na definicję tablic decyzyjnych, a moduł split_clients umożliwia routing oparty na wartościach procentowych (A/B testing). IIS osiąga podobną funkcjonalność przez zagnieżdżanie reguł URL Rewrite, ale konfiguracja staje się mniej czytelna przy skomplikowanych drzewach decyzyjnych.
Buforowanie treści i wydajność
Buforowanie odpowiedzi backendu to funkcja, która może obniżyć czas odpowiedzi z setek milisekund do mikrosekund i jednocześnie odciążyć serwery aplikacyjne o 60-80% ruchu dla zasobów podatnych na cache.
IIS ARR przechowuje cache na dysku, z konfigurowalnym limitem rozmiaru partycji i ścieżką przechowywania. Każda odpowiedź jest zapisywana jako plik, a nagłówki HTTP sterują polityką cache: Cache-Control: max-age, Expires i własny nagłówek X-ARR-Cache. ARR obsługuje wygaszanie cache przez nagłówek Cache-Control: no-cache i pozwala na ręczne czyszczenie cache z poziomu IIS Manager. Ograniczeniem jest brak natywnego cache w pamięci RAM — wszystkie odpowiedzi przechodzą przez system plików, co przy bardzo małych obiektach i wysokiej częstotliwości odpytywania generuje zbędny narzut dyskowy.
Nginx oferuje dwuwarstwowe buforowanie: proxy_cache na dysku oraz proxy_cache_lock i open_file_cache dla optymalizacji dostępu. Kluczową przewagą Nginx jest możliwość przechowywania gorących danych cache w pamięci RAM przez mechanizm page cache systemu operacyjnego — pliki cache są otwierane raz i trzymane w buforze systemu plików, eliminując opóźnienia dyskowe. Dyrektywa proxy_cache_key pozwala na precyzyjne definiowanie kluczy cache (np. ignorowanie parametrów zapytania, wykluczanie ciasteczek), a proxy_cache_bypass umożliwia omijanie cache dla wybranych żądań.
W testach z 2025 roku przeprowadzonych przez zespół Web Performance Working Group, Nginx osiągał do 40% wyższą przepustowość buforowania małych obiektów (< 10 KB) w porównaniu do IIS ARR, głównie dzięki architekturze zdarzeniowej i unikaniu narzutu systemu plików per żądanie. Dla dużych plików (> 1 MB) wydajność obu rozwiązań była porównywalna, ograniczana głównie przez przepustowość sieci.
Zarządzanie, monitoring i diagnostyka
IIS ARR integruje się z ekosystemem monitoringu Windows: Performance Monitor (dziesiątki liczników specyficznych dla ARR — requests/sec, cache hit ratio, farm availability), Event Tracing for Windows (ETW) i Windows Admin Center. Dzienniki IIS rejestrują każde żądanie ze szczegółowym czasem na każdym etapie przetwarzania — od odebrania żądania, przez czas routingu, do czasu odpowiedzi backendu. Integracja z SCOM i Azure Monitor pozwala na scentralizowane zbieranie tych metryk w organizacjach opartych na technologiach Microsoft.
Nginx udostępnia metryki przez moduł ngx_http_stub_status_module (podstawowe — aktywne połączenia, liczba żądań), a bardziej szczegółowe dane przez moduł komercyjny ngx_http_status_module w Nginx Plus. Standardem w 2026 roku jest eksport metryk Nginx do Prometheusa przez zewnętrzny exporter (nginx-prometheus-exporter), skąd trafiają na dashboardy Grafana. Logi Nginx są konfigurowalne do poziomu pojedynczego pola — od standardowego formatu combined, przez JSON dla narzędzi ELK, po formaty binarne dla wysokoprzepustowych systemów logowania.
Administracja IIS ARR jest naturalnie łatwiejsza dla zespołów przyzwyczajonych do ekosystemu Windows — znajomy interfejs IIS Manager, delegowanie uprawnień przez IIS Manager Permissions, wszystko zintegrowane z Active Directory. Zespoły DevOps preferują Nginx za możliwość pełnej konfiguracji przez pliki tekstowe w repozytorium Git, łatwą automatyzację i konteneryzację — obraz Nginx Alpine waży mniej niż 25 MB, podczas gdy Windows Server Core z IIS przekracza 5 GB.
Scenariusze wdrożeniowe — kiedy wybrać które rozwiązanie
Wybierz IIS ARR, gdy Twoja infrastruktura jest oparta na Windows Server, aplikacje backendowe działają na IIS (ASP.NET, ASP.NET Core), korzystasz z uwierzytelniania Windows (Kerberos/NTLM) i potrzebujesz buforowania dyskowego dużych wolumenów treści. IIS ARR to również naturalny wybór dla organizacji z istniejącym zespołem administratorów Windows i licencjami Windows Server Datacenter — ARR nie wymaga dodatkowych kosztów licencyjnych.
Wybierz Nginx, gdy priorytetem jest wydajność przy wysokiej liczbie jednoczesnych połączeń, potrzebujesz wsparcia dla HTTP/3 i QUIC, wdrażasz mikrousługi w kontenerach (Docker, Kubernetes), automatyzujesz konfigurację przez Infrastructure as Code, lub Twój stos technologiczny jest heterogeniczny (Linux + Windows). Nginx jest też lepszym wyborem dla architektur serverless i edge computing.
Rozważ hybrydę, gdy masz aplikacje legacy na IIS, które stopniowo migrujesz do kontenerów Linux. W tym scenariuszu Nginx na brzegu sieci terminuje SSL i routuje ruch — do IIS ARR dla aplikacji Windows, bezpośrednio do kontenerów dla nowych mikrousług. Taki model jest szczególnie popularny w 2026 roku wśród organizacji przechodzących transformację cyfrową.
Tabela porównawcza IIS ARR vs Nginx
| Kryterium | IIS ARR | Nginx |
|---|---|---|
| Platforma | Windows Server | Linux, BSD, macOS, Windows (limitowana) |
| Architektura | Procesy + wątki (IIS worker process) | Zdarzeniowa, jednowątkowe workery |
| Konfiguracja | GUI (IIS Manager) + PowerShell + XML | Pliki tekstowe, deklaratywna |
| SSL/TLS | Magazyn certyfikatów Windows, ACME od WS2025 | Pliki PEM, Certbot, cert-manager |
| HTTP/2 | Tak (od Windows Server 2019) | Tak |
| HTTP/3 (QUIC) | Nie | Tak (Nginx 1.27+) |
| Równoważenie obciążenia | Round robin, least conn., ważone | Round robin, least conn., hash, ważone, backup |
| Cache | Dyskowe, limit partycji | RAM + dysk, page cache OS |
| Health checks | HTTP GET probe | Paswne (max_fails) + aktywne (Plus) |
| WebSockets | Tak (od ARR 3.0) | Tak (natywnie) |
| Autoryzacja AD | Tak (zintegrowana, Kerberos) | Nie (wymaga zewn. modułów) |
| Monitoring | PerfMon, ETW, SCOM, Azure Monitor | stub_status, Prometheus, ELK |
| Rozmiar instalacji | ~6 GB (Windows Server Core + IIS + ARR) | ~25 MB (Alpine + Nginx) |
| Licencja | Bezpłatny (wymaga Windows Server) | BSD-like, Nginx Plus komercyjny |
Częste pytania
Czy IIS ARR i Nginx mogą działać na tym samym serwerze? Tak, choć nie jest to typowa konfiguracja. Można uruchomić Nginx na tym samym Windows Server na porcie innym niż 80/443 i przekazywać do niego ruch z ARR lub odwrotnie. W praktyce częściej spotyka się Nginx na Linuksie jako brzeg sieci, a ARR jako wewnętrzny load balancer dla farmy IIS.
Które rozwiązanie lepiej radzi sobie z WebSocketami?
Oba wspierają WebSockety natywnie. IIS ARR wymaga włączenia protokołu WebSocket w roli IIS i konfiguracji reguły przekazywania z wyłączonym buforowaniem odpowiedzi. Nginx wymaga ustawienia nagłówków Upgrade i Connection w bloku location. Wydajnościowo Nginx obsługuje więcej jednoczesnych połączeń WebSocket dzięki architekturze zdarzeniowej.
Czy można używać ARR bez licencji Windows Server? Nie. ARR jest bezpłatnym rozszerzeniem IIS, ale IIS działa wyłącznie na Windows Server (lub Windows 10/11 Pro dla celów deweloperskich). Całkowity koszt obejmuje licencję Windows Server i ewentualne CAL-e.
Jak wygląda wsparcie dla protokołu gRPC?
Nginx wspiera gRPC natywnie od wersji 1.13.10 poprzez dyrektywę grpc_pass. IIS ARR nie ma dedykowanego wsparcia dla gRPC, co oznacza, że reverse proxy gRPC przez ARR nie jest możliwe dla strumieniowania dwukierunkowego. Dla aplikacji .NET korzystających z gRPC lepszym wyborem jest YARP (Yet Another Reverse Proxy) — natywny dla .NET.
Czy Nginx na Windows oferuje tę samą wydajność co na Linuksie? Nie. Nginx na Windows jest zgodny z API Winsock, ale nie może korzystać z mechanizmów epoll ani sendfile tak efektywnie jak na Linuksie. Na Windows Nginx działa w trybie jednowątkowym z wyłączonymi optymalizacjami I/O. W testach wydajnościowych Nginx na Linuksie obsługuje 3-5 razy więcej jednoczesnych połączeń niż na Windows.
Jakie są ograniczenia licencyjne Nginx? Nginx Open Source (nginx.org) jest dostępny na licencji 2-klauzulowej BSD — można go używać, modyfikować i redystrybuować bezpłatnie. Nginx Plus (komercyjny) dodaje zaawansowane funkcje (aktywne health checks, DNS service discovery, dashboard monitoringu, wsparcie techniczne) i kosztuje od 2500 USD rocznie za instancję.
**Czy ARR wsp