San Airteagal seo, ba mhaith liom modh a roinnt leat chun deimhniú SSL a chruthú le haghaidh d’fheidhmchlár gréasáin a ritheann ar Docker, mar gheall ar ... Ní bhfuair mé a leithéid de réiteach sa chuid Rúisise den Idirlíon.
Tuilleadh sonraí faoin gearrtha.
Bhí docker v.17.05 againn, docker-compose v.1.21, Ubuntu Server 18 agus pionta de Let'sEncrypt íon. Ní hé go bhfuil sé riachtanach táirgeadh a imscaradh ar Docker. Ach nuair a thosaíonn tú ag tógáil Docker, bíonn sé deacair stop a chur leis.
Mar sin, ar dtús, tabharfaidh mé na socruithe caighdeánacha - a bhí againn ag an gcéim dev, i.e. gan port 443 agus SSL i gcoitinne:
docker-compose.yml
version: '2'
services:
php:
build: ./php-fpm
volumes:
- ./StomUp:/var/www/StomUp
- ./php-fpm/php.ini:/usr/local/etc/php/php.ini
depends_on:
- mysql
container_name: "StomPHP"
web:
image: nginx:latest
ports:
- "80:80"
- "443:443"
volumes:
- ./StomUp:/var/www/StomUp
- ./nginx/main.conf:/etc/nginx/conf.d/default.conf
depends_on:
- php
mysql:
image: mysql:5.7
command: mysqld --sql_mode=""
environment:
MYSQL_ROOT_PASSWORD: xxx
ports:
- "3333:3306"
nginx/main.conf
server {
listen 80;
server_name *.stomup.ru stomup.ru;
root /var/www/StomUp/public;
client_max_body_size 5M;
location / {
# try to serve file directly, fallback to index.php
try_files $uri /index.php$is_args$args;
}
location ~ ^/index.php(/|$) {
#fastcgi_pass unix:/var/run/php7.2-fpm.sock;
fastcgi_pass php:9000;
fastcgi_split_path_info ^(.+.php)(/.*)$;
include fastcgi_params;
fastcgi_param SCRIPT_FILENAME $realpath_root$fastcgi_script_name;
fastcgi_param DOCUMENT_ROOT $realpath_root;
fastcgi_buffer_size 128k;
fastcgi_buffers 4 256k;
fastcgi_busy_buffers_size 256k;
internal;
}
location ~ .php$ {
return 404;
}
error_log /var/log/nginx/project_error.log;
access_log /var/log/nginx/project_access.log;
}
Ansin, ní mór dúinn i ndáiríre SSL a chur i bhfeidhm. Le bheith macánta, chaith mé thart ar 2 uair an chloig ag déanamh staidéir ar an gcrios com. Tá na roghanna go léir a thairgtear ann suimiúil. Ach ag an gcéim reatha den tionscadal, bhí orainn (an gnó) scriú tapa agus iontaofa SSL Déanaimis Enctypt к nginx coimeádán agus rud ar bith níos mó.
Ar an gcéad dul síos, rinneamar é a shuiteáil ar an bhfreastalaí certbot
sudo apt-get install certbot
Ansin, ghineamar deimhnithe saoróg dár bhfearann
sudo certbot certonly -d stomup.ru -d *.stomup.ru --manual --preferred-challenges dns
tar éis a fhorghníomhaithe, cuirfidh certbot 2 thaifead TXT ar fáil dúinn a chaithfear a shonrú sna socruithe DNS.
_acme-challenge.stomup.ru TXT {тотКлючКоторыйВамВыдалCertBot}
Agus brúigh isteach.
Tar éis seo, seiceálfaidh certbot láithreacht na dtaifead seo in DNS agus cruthóidh sé deimhnithe duit.
má tá teastas curtha leis agat ach certbot níor aimsigh é - déan iarracht an t-ordú a atosú tar éis 5-10 nóiméad.
Bhuel, anseo táimid úinéirí bródúil as teastas Let'sEncrypt le haghaidh 90 lá, ach anois ní mór dúinn é a uaslódáil chuig Docker.
Chun seo a dhéanamh, ar an mbealach is fánach, i docker-compose.yml, sa rannóg nginx, nascann muid na heolairí.
Sampla docker-compose.yml le SSL
version: '2'
services:
php:
build: ./php-fpm
volumes:
- ./StomUp:/var/www/StomUp
- /etc/letsencrypt/live/stomup.ru/:/etc/letsencrypt/live/stomup.ru/
- ./php-fpm/php.ini:/usr/local/etc/php/php.ini
depends_on:
- mysql
container_name: "StomPHP"
web:
image: nginx:latest
ports:
- "80:80"
- "443:443"
volumes:
- ./StomUp:/var/www/StomUp
- /etc/letsencrypt/:/etc/letsencrypt/
- ./nginx/main.conf:/etc/nginx/conf.d/default.conf
depends_on:
- php
mysql:
image: mysql:5.7
command: mysqld --sql_mode=""
environment:
MYSQL_ROOT_PASSWORD: xxx
ports:
- "3333:3306"
Nasctha? Ar fheabhas - leanaimis ar aghaidh:
Anois ní mór dúinn an config a athrú nginx a bheith ag obair le 443 port agus SSL go ginearálta:
Sampla main.conf config le SSL
#
server {
listen 443 ssl http2;
listen [::]:443 ssl http2;
server_name *.stomup.ru stomup.ru;
set $base /var/www/StomUp;
root $base/public;
# SSL
ssl_certificate /etc/letsencrypt/live/stomup.ru/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/stomup.ru/privkey.pem;
ssl_trusted_certificate /etc/letsencrypt/live/stomup.ru/chain.pem;
client_max_body_size 5M;
location / {
# try to serve file directly, fallback to index.php
try_files $uri /index.php$is_args$args;
}
location ~ ^/index.php(/|$) {
#fastcgi_pass unix:/var/run/php7.2-fpm.sock;
fastcgi_pass php:9000;
fastcgi_split_path_info ^(.+.php)(/.*)$;
include fastcgi_params;
fastcgi_param SCRIPT_FILENAME $realpath_root$fastcgi_script_name;
fastcgi_param DOCUMENT_ROOT $realpath_root;
fastcgi_buffer_size 128k;
fastcgi_buffers 4 256k;
fastcgi_busy_buffers_size 256k;
internal;
}
location ~ .php$ {
return 404;
}
error_log /var/log/nginx/project_error.log;
access_log /var/log/nginx/project_access.log;
}
# HTTP redirect
server {
listen 80;
listen [::]:80;
server_name *.stomup.ru stomup.ru;
location / {
return 301 https://stomup.ru$request_uri;
}
}
I ndáiríre, tar éis na manipulations, théann muid chuig an eolaire le Docker-compose, scríobh docker-compose suas -d. Agus déanaimid seiceáil ar fheidhmiúlacht SSL. Ba chóir gach rud éirí de thalamh.
Is é an rud is mó ná dearmad a dhéanamh go n-eisítear an teastas Let'sEnctypt ar feadh 90 lá agus beidh ort é a athnuachan tríd an ordú sudo certbot renew, agus ansin an tionscadal a atosú leis an ordú docker-compose restart
Rogha eile is ea an seicheamh seo a chur le crontab.
Is é mo thuairim gurb é seo an bealach is éasca chun SSL a nascadh le Docker Web-app.
P.S. Tabhair san áireamh nach bhfuil na scripteanna go léir a chuirtear i láthair sa téacs críochnaitheach, tá an tionscadal anois ag céim dhomhain Dev, mar sin ba mhaith liom iarraidh ort gan na cumraíochtaí a cháineadh - déanfar iad a mhodhnú go leor uaireanta.
Foinse: will.com