Tässä artikkelissa haluan jakaa kanssasi menetelmän SSL-varmenteen luomiseen Dockerissa toimivalle verkkosovelluksellesi, koska... En löytänyt tällaista ratkaisua Internetin venäjänkielisestä osasta.
Tarkemmat tiedot leikkauksen alla.
Meillä oli docker v.17.05, docker-compose v.1.21, Ubuntu Server 18 ja pint puhdasta Let'sEncryptia. Ei ole välttämätöntä ottaa tuotanto käyttöön Dockerissa. Mutta kun aloitat Dockerin rakentamisen, sen lopettaminen on vaikeaa.
Joten aluksi annan vakioasetukset - jotka meillä oli kehitysvaiheessa, ts. ilman porttia 443 ja SSL:ää yleensä:
docker-compose.yml
version: '2'
services:
php:
build: ./php-fpm
volumes:
- ./StomUp:/var/www/StomUp
- ./php-fpm/php.ini:/usr/local/etc/php/php.ini
depends_on:
- mysql
container_name: "StomPHP"
web:
image: nginx:latest
ports:
- "80:80"
- "443:443"
volumes:
- ./StomUp:/var/www/StomUp
- ./nginx/main.conf:/etc/nginx/conf.d/default.conf
depends_on:
- php
mysql:
image: mysql:5.7
command: mysqld --sql_mode=""
environment:
MYSQL_ROOT_PASSWORD: xxx
ports:
- "3333:3306"
nginx/main.conf
server {
listen 80;
server_name *.stomup.ru stomup.ru;
root /var/www/StomUp/public;
client_max_body_size 5M;
location / {
# try to serve file directly, fallback to index.php
try_files $uri /index.php$is_args$args;
}
location ~ ^/index.php(/|$) {
#fastcgi_pass unix:/var/run/php7.2-fpm.sock;
fastcgi_pass php:9000;
fastcgi_split_path_info ^(.+.php)(/.*)$;
include fastcgi_params;
fastcgi_param SCRIPT_FILENAME $realpath_root$fastcgi_script_name;
fastcgi_param DOCUMENT_ROOT $realpath_root;
fastcgi_buffer_size 128k;
fastcgi_buffers 4 256k;
fastcgi_busy_buffers_size 256k;
internal;
}
location ~ .php$ {
return 404;
}
error_log /var/log/nginx/project_error.log;
access_log /var/log/nginx/project_access.log;
}
Seuraavaksi meidän on itse asiassa otettava käyttöön SSL. Ollakseni rehellinen, vietin noin 2 tuntia com-alueen tutkimiseen. Kaikki tarjolla olevat vaihtoehdot ovat mielenkiintoisia. Mutta projektin nykyisessä vaiheessa meidän (yrityksen) täytyi ruveta nopeasti ja luotettavasti SSL Let'sEnctypt к Nginx kontti eikä mitään muuta.
Ensinnäkin asensimme sen palvelimelle certbot
sudo apt-get install certbot
Seuraavaksi loimme jokerimerkkivarmenteita verkkotunnuksellemme
sudo certbot certonly -d stomup.ru -d *.stomup.ru --manual --preferred-challenges dns
suorituksen jälkeen certbot toimittaa meille 2 TXT-tietuetta, jotka on määritettävä DNS-asetuksissa.
_acme-challenge.stomup.ru TXT {тотКлючКоторыйВамВыдалCertBot}
Ja paina enteriä.
Tämän jälkeen certbot tarkistaa näiden tietueiden olemassaolon DNS:ssä ja luo varmenteet sinulle.
jos olet lisännyt varmenteen, mutta certbot ei löytänyt sitä - yritä käynnistää komento uudelleen 5-10 minuutin kuluttua.
No, tässä olemme Let'sEncrypt-sertifikaatin ylpeitä omistajia 90 päivän ajan, mutta nyt meidän on ladattava se Dockeriin.
Voit tehdä tämän mitä triviaalimmalla tavalla docker-compose.yml:n nginx-osiossa linkitämme hakemistot.
Esimerkki docker-compose.yml SSL:llä
version: '2'
services:
php:
build: ./php-fpm
volumes:
- ./StomUp:/var/www/StomUp
- /etc/letsencrypt/live/stomup.ru/:/etc/letsencrypt/live/stomup.ru/
- ./php-fpm/php.ini:/usr/local/etc/php/php.ini
depends_on:
- mysql
container_name: "StomPHP"
web:
image: nginx:latest
ports:
- "80:80"
- "443:443"
volumes:
- ./StomUp:/var/www/StomUp
- /etc/letsencrypt/:/etc/letsencrypt/
- ./nginx/main.conf:/etc/nginx/conf.d/default.conf
depends_on:
- php
mysql:
image: mysql:5.7
command: mysqld --sql_mode=""
environment:
MYSQL_ROOT_PASSWORD: xxx
ports:
- "3333:3306"
Linkitetty? Hienoa - jatketaan:
Nyt meidän on muutettava konfiguraatiota Nginx työskennellä jonkun kanssa 443 portti ja SSL yleisesti:
Esimerkki main.conf-konfiguraatiosta SSL:llä
#
server {
listen 443 ssl http2;
listen [::]:443 ssl http2;
server_name *.stomup.ru stomup.ru;
set $base /var/www/StomUp;
root $base/public;
# SSL
ssl_certificate /etc/letsencrypt/live/stomup.ru/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/stomup.ru/privkey.pem;
ssl_trusted_certificate /etc/letsencrypt/live/stomup.ru/chain.pem;
client_max_body_size 5M;
location / {
# try to serve file directly, fallback to index.php
try_files $uri /index.php$is_args$args;
}
location ~ ^/index.php(/|$) {
#fastcgi_pass unix:/var/run/php7.2-fpm.sock;
fastcgi_pass php:9000;
fastcgi_split_path_info ^(.+.php)(/.*)$;
include fastcgi_params;
fastcgi_param SCRIPT_FILENAME $realpath_root$fastcgi_script_name;
fastcgi_param DOCUMENT_ROOT $realpath_root;
fastcgi_buffer_size 128k;
fastcgi_buffers 4 256k;
fastcgi_busy_buffers_size 256k;
internal;
}
location ~ .php$ {
return 404;
}
error_log /var/log/nginx/project_error.log;
access_log /var/log/nginx/project_access.log;
}
# HTTP redirect
server {
listen 80;
listen [::]:80;
server_name *.stomup.ru stomup.ru;
location / {
return 301 https://stomup.ru$request_uri;
}
}
Itse asiassa näiden manipulaatioiden jälkeen siirrymme hakemistoon Docker-compose, kirjoita docker-compose ylös -d. Ja tarkistamme SSL:n toimivuuden. Kaiken pitäisi nousta.
Tärkeintä ei ole unohtaa, että Let'sEnctypt-sertifikaatti myönnetään 90 päiväksi ja sinun on uusittava se komennolla sudo certbot renew, ja käynnistä sitten projekti uudelleen komennolla docker-compose restart
Toinen vaihtoehto on lisätä tämä sekvenssi crontabiin.
Mielestäni tämä on helpoin tapa yhdistää SSL Docker Web-appiin.
PS Otathan huomioon, että kaikki tekstissä esitetyt skriptit eivät ole lopullisia, projekti on nyt syvällä kehitysvaiheessa, joten pyydän teitä olemaan arvostelematta konfiguraatioita - niitä tullaan muokkaamaan monta kertaa.
Lähde: will.com