U ovom članku želim podijeliti s vama metodu za kreiranje SSL certifikata za vašu web aplikaciju koja radi na Dockeru, jer... Nisam našao takvo rješenje u dijelu interneta na ruskom jeziku.
Više detalja ispod reza.
Imali smo docker v.17.05, docker-compose v.1.21, Ubuntu Server 18 i kriglu čistog Let'sEncrypt. Nije da je potrebno implementirati proizvodnju na Docker. Ali kada počnete da pravite Docker, postaje teško zaustaviti se.
Dakle, za početak ću dati standardne postavke - koje smo imali u dev fazi, tj. bez porta 443 i SSL-a općenito:
docker-compose.yml
version: '2'
services:
php:
build: ./php-fpm
volumes:
- ./StomUp:/var/www/StomUp
- ./php-fpm/php.ini:/usr/local/etc/php/php.ini
depends_on:
- mysql
container_name: "StomPHP"
web:
image: nginx:latest
ports:
- "80:80"
- "443:443"
volumes:
- ./StomUp:/var/www/StomUp
- ./nginx/main.conf:/etc/nginx/conf.d/default.conf
depends_on:
- php
mysql:
image: mysql:5.7
command: mysqld --sql_mode=""
environment:
MYSQL_ROOT_PASSWORD: xxx
ports:
- "3333:3306"
nginx/main.conf
server {
listen 80;
server_name *.stomup.ru stomup.ru;
root /var/www/StomUp/public;
client_max_body_size 5M;
location / {
# try to serve file directly, fallback to index.php
try_files $uri /index.php$is_args$args;
}
location ~ ^/index.php(/|$) {
#fastcgi_pass unix:/var/run/php7.2-fpm.sock;
fastcgi_pass php:9000;
fastcgi_split_path_info ^(.+.php)(/.*)$;
include fastcgi_params;
fastcgi_param SCRIPT_FILENAME $realpath_root$fastcgi_script_name;
fastcgi_param DOCUMENT_ROOT $realpath_root;
fastcgi_buffer_size 128k;
fastcgi_buffers 4 256k;
fastcgi_busy_buffers_size 256k;
internal;
}
location ~ .php$ {
return 404;
}
error_log /var/log/nginx/project_error.log;
access_log /var/log/nginx/project_access.log;
}
Zatim, zapravo moramo implementirati SSL. Da budem iskren, proveo sam oko 2 sata proučavajući com zonu. Sve opcije koje se tamo nude su zanimljive. Ali u trenutnoj fazi projekta, mi (poslovni) morali smo brzo i pouzdano da zajebamo SSL Let'sEnctypt к nginx kontejner i ništa više.
Prije svega, instalirali smo ga na server certbot
sudo apt-get install certbot
Zatim smo generirali džoker certifikate za našu domenu
sudo certbot certonly -d stomup.ru -d *.stomup.ru --manual --preferred-challenges dns
nakon izvršenja, certbot će nam dati 2 TXT zapisa koje je potrebno specificirati u DNS postavkama.
_acme-challenge.stomup.ru TXT {тотКлючКоторыйВамВыдалCertBot}
I pritisnite enter.
Nakon toga, certbot će provjeriti prisutnost ovih zapisa u DNS-u i kreirati certifikate za vas.
ako ste dodali sertifikat ali certbot nisam ga našao - pokušajte ponovo pokrenuti naredbu nakon 5-10 minuta.
Pa, evo nas ponosnih vlasnika Let'sEncrypt certifikata za 90 dana, ali sada ga moramo prenijeti na Docker.
Da bismo to učinili, na najtrivijalniji način, u docker-compose.yml, u odjeljku nginx, povezujemo direktorije.
Primjer docker-compose.yml sa SSL-om
version: '2'
services:
php:
build: ./php-fpm
volumes:
- ./StomUp:/var/www/StomUp
- /etc/letsencrypt/live/stomup.ru/:/etc/letsencrypt/live/stomup.ru/
- ./php-fpm/php.ini:/usr/local/etc/php/php.ini
depends_on:
- mysql
container_name: "StomPHP"
web:
image: nginx:latest
ports:
- "80:80"
- "443:443"
volumes:
- ./StomUp:/var/www/StomUp
- /etc/letsencrypt/:/etc/letsencrypt/
- ./nginx/main.conf:/etc/nginx/conf.d/default.conf
depends_on:
- php
mysql:
image: mysql:5.7
command: mysqld --sql_mode=""
environment:
MYSQL_ROOT_PASSWORD: xxx
ports:
- "3333:3306"
Povezano? Odlično - nastavimo:
Sada moramo promijeniti konfiguraciju nginx raditi sa 443 luka i SSL općenito:
Primjer main.conf konfiguracije sa SSL-om
#
server {
listen 443 ssl http2;
listen [::]:443 ssl http2;
server_name *.stomup.ru stomup.ru;
set $base /var/www/StomUp;
root $base/public;
# SSL
ssl_certificate /etc/letsencrypt/live/stomup.ru/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/stomup.ru/privkey.pem;
ssl_trusted_certificate /etc/letsencrypt/live/stomup.ru/chain.pem;
client_max_body_size 5M;
location / {
# try to serve file directly, fallback to index.php
try_files $uri /index.php$is_args$args;
}
location ~ ^/index.php(/|$) {
#fastcgi_pass unix:/var/run/php7.2-fpm.sock;
fastcgi_pass php:9000;
fastcgi_split_path_info ^(.+.php)(/.*)$;
include fastcgi_params;
fastcgi_param SCRIPT_FILENAME $realpath_root$fastcgi_script_name;
fastcgi_param DOCUMENT_ROOT $realpath_root;
fastcgi_buffer_size 128k;
fastcgi_buffers 4 256k;
fastcgi_busy_buffers_size 256k;
internal;
}
location ~ .php$ {
return 404;
}
error_log /var/log/nginx/project_error.log;
access_log /var/log/nginx/project_access.log;
}
# HTTP redirect
server {
listen 80;
listen [::]:80;
server_name *.stomup.ru stomup.ru;
location / {
return 301 https://stomup.ru$request_uri;
}
}
Zapravo, nakon ovih manipulacija, idemo u direktorij sa Docker-compose, pišemo docker-compose up -d. I provjeravamo funkcionalnost SSL-a. Sve bi trebalo da poleti.
Glavna stvar je da ne zaboravite da se certifikat Let'sEnctypt izdaje na 90 dana i morat ćete ga obnoviti putem naredbe sudo certbot renew, a zatim ponovo pokrenite projekat pomoću naredbe docker-compose restart
Druga opcija je da dodate ovu sekvencu u crontab.
Po mom mišljenju ovo je najlakši način za povezivanje SSL-a na Docker Web-aplikaciju.
PS Molimo vas da uzmete u obzir da sve skripte predstavljene u tekstu nisu konačne, projekat je sada u dubokoj Dev fazi, pa bih vas zamolio da ne kritikujete konfiguracije - oni će biti mnogo puta modifikovani.
izvor: www.habr.com