🥇Настройка автоматического получения сертификатов letsencrypt с помощью docker в linux

Менял недавно виртуальный сервер, и пришлось настраивать все заново. Я предпочитаю, чтобы сайт был доступен по https и сертификаты letsencrypt получались и продлевались автоматически. Этого можно добиться, если использовать два образа docker nginx-proxy и nginx-proxy-companion.

Это руководство как настроить сайт на docker, с прокси, которое автоматически получает SSL сертификаты. Используется виртуальный сервер CentOS 7.

Я предполагаю, что сервер уже куплен, настроен, вход на него осуществляется по ключу, установлен fail2ban и т.д.

Для начала нужно установить docker.

Сначала нужно установить зависимости
```
$ sudo yum install -y yum-utils  device-mapper-persistent-data lvm2
```

Подключить репозиторий

$ sudo yum-config-manager  --add-repo  https://download.docker.com/linux/centos/docker-ce.repo

Потом установить докер community edition
```
$ sudo yum install docker-ce docker-ce-cli containerd.io
```
Добавить docker в автозагрузку и запустить
```
$ sudo systemctl enable docker
$ sudo systemctl start docker
```
Добавить пользователя в группу docker, для того, чтобы получить возможность запускать docker без sudo
```
$ usermod -aG docker user
```

Следующий шаг — установить docker-compose. Утилиту можно установить несколькими путями, но я предпочитаю устанавливать через pip менеджер и virtualenv, чтобы не засорять систему лишними пакетами.

Установить pip
```
$ sudo yum install python-pip
```
Установить virtualenv
```
$ pip install virtualenv
```
Дальше нужно создать папку с проектом и инициализировать ее. Папка со всем нужным для управления пакетами будет называться ve.
```
$ mkdir docker
$ cd docker
$ virtualenv ve
```
Чтобы начать пользоваться виртуальным окружением нужно выполнить следующую команду в папке с проектом.
```
$ source ve/bin/activate
```
Можно устанавливать docker-compose.
```
pip install docker-compose
```
Для того, чтобы контейнеры видели друг друга, создадим сеть. По умолчанию используется драйвер bridge.
```
$ docker network create network
```
Дальше нужно настроить docker-compose, proxy будет лежать в папке proxy, тестовый сайт в папке test. Для примера я использую доменное имя example.com
```
$ mkdir proxy
$ mkdir test
$ touch proxy/docker-compose.yml
$ touch test/docker-compose.yml
```
Содержимое proxy/docker-compose.yml
```
version: '3'

networks:
  default:
    external:
      name: network

services:
  nginx-proxy:
    container_name: nginx-proxy
    image: jwilder/nginx-proxy
    ports:
      - 80:80
      - 443:443
    volumes:
      - certs:/etc/nginx/certs
      - vhost.d:/etc/nginx/vhost.d
      - html:/usr/share/nginx/html
      - /var/run/docker.sock:/tmp/docker.sock:ro

  nginx-proxy-letsencrypt:
    container_name: nginx-proxy-letsencrypt
    image: jrcs/letsencrypt-nginx-proxy-companion
    volumes: 
      - certs:/etc/nginx/certs
      - vhost.d:/etc/nginx/vhost.d
      - html:/usr/share/nginx/html
      - /var/run/docker.sock:/var/run/docker.sock:ro
    environment:
      - NGINX_PROXY_CONTAINER=nginx-proxy

volumes:
  certs:
  vhost.d:
  html:
```
Переменная окружения NGINX_PROXY_CONTAINER нужна, чтобы letsencrypt контейнер увидел proxy контейнер. Папки /etc/nginx/certs /etc/nginx/vhost.d и /usr/share/nginx/html должны совместно использоваться и тем и другим контейнером. Для корректной работы letsencrypt контейнера приложение должно быть доступно и по 80 и по 443 порту.

Содержимое test/docker-compose.yml
```
version: '3'

networks:
  default:
    external:
      name: network

services:

  nginx:
    container_name: nginx
    image: nginx:latest
    environment:
      - VIRTUAL_HOST=example.com
      - LETSENCRYPT_HOST=example.com
      - [email protected]
```
Здесь переменные окружения нужны, чтобы прокси корректно обрабатывал запрос к серверу, и запросил сертификат на правильное доменное имя.

Осталось только запустить docker-compose
```
$ cd proxy
$ docker-compose up -d
$ cd ../test
$ docker-compose up -d
```

Источник: habr.com