Конфигуриране на автоматично получаване на letsencrypt сертификати с докер на linux

Наскоро смених виртуален сървър и трябваше да настроя всичко отново. Предпочитам сайтът да е достъпен през https и сертификатите за letsencrypt да се получават и подновяват автоматично. Това може да се постигне чрез използване на две докер изображения nginx-proxy и nginx-proxy-companion.

Това е ръководство за това как да настроите сайт на docker с прокси, което автоматично получава SSL сертификати. Използва се виртуален сървър CentOS 7.

Предполагам, че сървърът вече е закупен, конфигуриран, достъпът е с ключ, инсталиран fail2ban и т.н.

Първо трябва да инсталирате docker.

1. Първо трябва да инсталирате зависимостите

   $ sudo yum install -y yum-utils  device-mapper-persistent-data lvm2

2. Свържете хранилището

   $ sudo yum-config-manager  --add-repo  https://download.docker.com/linux/centos/docker-ce.repo

3. След това инсталирайте изданието на общността на докерите

   $ sudo yum install docker-ce docker-ce-cli containerd.io

4. Добавяне на докер към стартиране и стартиране

   $ sudo systemctl enable docker
   $ sudo systemctl start docker

5. Добавете потребител към докер групата, за да можете да стартирате докер без sudo

   $ usermod -aG docker user

Следващата стъпка е да инсталирате docker-compose. Помощната програма може да се инсталира по няколко начина, но предпочитам да инсталирам чрез pip manager и virtualenv, за да не задръствам системата с ненужни пакети.

1. Инсталирайте pip

   $ sudo yum install python-pip

2. Инсталирайте virtualenv

   $ pip install virtualenv

3. След това трябва да създадете папка с проекта и да го инициализирате. Папката с всичко необходимо за управление на пакети ще се нарича ve.

   $ mkdir docker
   $ cd docker
   $ virtualenv ve

4. За да започнете да използвате виртуалната среда, трябва да изпълните следната команда в папката на проекта.

   $ source ve/bin/activate

5. Можете да инсталирате docker-compose.

   pip install docker-compose

   За да могат контейнерите да се виждат, нека създадем мрежа. Драйверът за мост се използва по подразбиране.

   $ docker network create network

   След това трябва да конфигурирате docker-compose, проксито ще бъде в прокси папката, тестовият сайт в тестовата папка. Например използвам името на домейна example.com

   $ mkdir proxy
   $ mkdir test
   $ touch proxy/docker-compose.yml
   $ touch test/docker-compose.yml

   съдържание прокси/docker-compose.yml

   version: '3'
   
   networks:
     default:
       external:
         name: network
   
   services:
     nginx-proxy:
       container_name: nginx-proxy
       image: jwilder/nginx-proxy
       ports:
         - 80:80
         - 443:443
       volumes:
         - certs:/etc/nginx/certs
         - vhost.d:/etc/nginx/vhost.d
         - html:/usr/share/nginx/html
         - /var/run/docker.sock:/tmp/docker.sock:ro
   
     nginx-proxy-letsencrypt:
       container_name: nginx-proxy-letsencrypt
       image: jrcs/letsencrypt-nginx-proxy-companion
       volumes: 
         - certs:/etc/nginx/certs
         - vhost.d:/etc/nginx/vhost.d
         - html:/usr/share/nginx/html
         - /var/run/docker.sock:/var/run/docker.sock:ro
       environment:
         - NGINX_PROXY_CONTAINER=nginx-proxy
   
   volumes:
     certs:
     vhost.d:
     html:

   променлива на средата NGINX_PROXY_CONTAINER необходими за контейнера letsencrypt, за да види прокси контейнера. Папките /etc/nginx/certs /etc/nginx/vhost.d и /usr/share/nginx/html трябва да се споделят и от двата контейнера. За да работи правилно контейнерът letsencrypt, приложението трябва да е достъпно както на 80, така и на 443 порта.

   съдържание test/docker-compose.yml

   version: '3'
   
   networks:
     default:
       external:
         name: network
   
   services:
   
     nginx:
       container_name: nginx
       image: nginx:latest
       environment:
         - VIRTUAL_HOST=example.com
         - LETSENCRYPT_HOST=example.com
         - [email protected]

   Тук са необходими променливи на средата, така че проксито да обработва правилно заявката към сървъра и да изисква сертификат за правилното име на домейн.

   Остава само да стартирате docker-compose

   $ cd proxy
   $ docker-compose up -d
   $ cd ../test
   $ docker-compose up -d

Източник: www.habr.com