У дадзеным артыкуле я жадаю падзяліцца з вамі спосабам стварэння SSL сертыфіката для вашага вэб-прыкладанні які працуе на Docker, т.к. у рускамоўнай частцы інтэрнэту - падобнага рашэння я не знайшоў.
Падрабязней пад катом.
У нас быў docker v.17.05, docker-compose v.1.21, Ubuntu Server 18 і Пінта чыстага Let'sEncrypt. Не тое што б абавязкова трэба было разгортваць прадакшэн на Docker. Але калі пачаў збіраць Docker, становіцца цяжка спыніцца.
Такім чынам для пачатку прывяду стандартныя налады - якія ў нас былі на этапе dev, г.зн. без 443 порта і SSL у цэлым:
докер-compose.yml
version: '2'
services:
php:
build: ./php-fpm
volumes:
- ./StomUp:/var/www/StomUp
- ./php-fpm/php.ini:/usr/local/etc/php/php.ini
depends_on:
- mysql
container_name: "StomPHP"
web:
image: nginx:latest
ports:
- "80:80"
- "443:443"
volumes:
- ./StomUp:/var/www/StomUp
- ./nginx/main.conf:/etc/nginx/conf.d/default.conf
depends_on:
- php
mysql:
image: mysql:5.7
command: mysqld --sql_mode=""
environment:
MYSQL_ROOT_PASSWORD: xxx
ports:
- "3333:3306"
nginx/main.conf
server {
listen 80;
server_name *.stomup.ru stomup.ru;
root /var/www/StomUp/public;
client_max_body_size 5M;
location / {
# try to serve file directly, fallback to index.php
try_files $uri /index.php$is_args$args;
}
location ~ ^/index.php(/|$) {
#fastcgi_pass unix:/var/run/php7.2-fpm.sock;
fastcgi_pass php:9000;
fastcgi_split_path_info ^(.+.php)(/.*)$;
include fastcgi_params;
fastcgi_param SCRIPT_FILENAME $realpath_root$fastcgi_script_name;
fastcgi_param DOCUMENT_ROOT $realpath_root;
fastcgi_buffer_size 128k;
fastcgi_buffers 4 256k;
fastcgi_busy_buffers_size 256k;
internal;
}
location ~ .php$ {
return 404;
}
error_log /var/log/nginx/project_error.log;
access_log /var/log/nginx/project_access.log;
}
Далей уласна нам неабходна рэалізаваць SSL. Шчыра сказаць - штудзіраваў com зону я парадку гадзін 2-х. Усе прапанаваныя варыянты там - цікавыя. Але на бягучым этапе праекта, нам (бізнэсу) трэба было хутка і надзейна прыкруціць SSL Let'sEnctypt к Nginx кантэйнеру і не больш за.
У першую чаргу мы ўстанавілі на сервер certbot
sudo apt-get install certbot
Далей мы згенеравалі сертыфікаты wildcard для нашага дамена
sudo certbot certonly -d stomup.ru -d *.stomup.ru --manual --preferred-challenges dns
пасля выканання certbot прадаставіць нам 2 TXT запісы, якія трэба пазначыць у наладах DNS.
_acme-challenge.stomup.ru TXT {тотКлючКоторыйВамВыдалCertBot}
І націскаем enter.
Пасля гэтага certbot праверыць наяўнасць гэтых запісаў у DNS і створыць для вас сертыфікаты.
калі вы дадалі сертыфікат, але certbot яго не знайшоў - спрабуйце перазапусціць каманду праз 5-10 хвілін.
Ну вось мы і ганарлівыя ўладальнікі Let'sEncrypt сертыфіката на 90 дзён, але зараз нам трэба яго пракінуць у Docker.
Для гэтага банальнай выявай у docker-compose.yml, у секцыі nginx прылінкоўваем дырэкторыі.
Прыклад docker-compose.yml з SSL
version: '2'
services:
php:
build: ./php-fpm
volumes:
- ./StomUp:/var/www/StomUp
- /etc/letsencrypt/live/stomup.ru/:/etc/letsencrypt/live/stomup.ru/
- ./php-fpm/php.ini:/usr/local/etc/php/php.ini
depends_on:
- mysql
container_name: "StomPHP"
web:
image: nginx:latest
ports:
- "80:80"
- "443:443"
volumes:
- ./StomUp:/var/www/StomUp
- /etc/letsencrypt/:/etc/letsencrypt/
- ./nginx/main.conf:/etc/nginx/conf.d/default.conf
depends_on:
- php
mysql:
image: mysql:5.7
command: mysqld --sql_mode=""
environment:
MYSQL_ROOT_PASSWORD: xxx
ports:
- "3333:3306"
Прылінкавалі? Супер - працягваем:
Цяпер нам трэба змяніць канфіг Nginx на працу з 443 портам і SSL у цэлым:
Прыклад канфіга main.conf з SSL
#
server {
listen 443 ssl http2;
listen [::]:443 ssl http2;
server_name *.stomup.ru stomup.ru;
set $base /var/www/StomUp;
root $base/public;
# SSL
ssl_certificate /etc/letsencrypt/live/stomup.ru/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/stomup.ru/privkey.pem;
ssl_trusted_certificate /etc/letsencrypt/live/stomup.ru/chain.pem;
client_max_body_size 5M;
location / {
# try to serve file directly, fallback to index.php
try_files $uri /index.php$is_args$args;
}
location ~ ^/index.php(/|$) {
#fastcgi_pass unix:/var/run/php7.2-fpm.sock;
fastcgi_pass php:9000;
fastcgi_split_path_info ^(.+.php)(/.*)$;
include fastcgi_params;
fastcgi_param SCRIPT_FILENAME $realpath_root$fastcgi_script_name;
fastcgi_param DOCUMENT_ROOT $realpath_root;
fastcgi_buffer_size 128k;
fastcgi_buffers 4 256k;
fastcgi_busy_buffers_size 256k;
internal;
}
location ~ .php$ {
return 404;
}
error_log /var/log/nginx/project_error.log;
access_log /var/log/nginx/project_access.log;
}
# HTTP redirect
server {
listen 80;
listen [::]:80;
server_name *.stomup.ru stomup.ru;
location / {
return 301 https://stomup.ru$request_uri;
}
}
Уласна пасля гэтых маніпуляцый ідзем у дырэкторыю з Docker-compose, пішам docker-compose up -d. І правяраем працаздольнасць SSL. Павінна ўсё ўзляцець.
Галоўнае не забывайце што Let'sEnctypt сертыфікат выдаецца на 90 дзён і вам неабходна будзе яго абнавіць праз каманду sudo certbot renew
, а пасля перазапусціць праект камандай docker-compose restart
Як варыянт - дадаць дадзеную паслядоўнасць у crontab.
На мой погляд, гэта самы просты спосаб падлучэння SSL да Docker Web-app.
PS Прашу прыняць да ўвагі што ўсе скрыпты прадстаўленыя ў тэксце – не канчатковыя, зараз праект знаходзіцца на стадыі глыбокага Dev, па гэтым хачу вас папрасіць не крытыкаваць канфігі-яны будуць яшчэ шмат разоў відазмяняцца.
Крыніца: habr.com