Neste artigo, quero compartir contigo un método para crear un certificado SSL para a túa aplicación web que se executa en Docker, porque... Non atopei tal solución na parte en lingua rusa de Internet.
Máis detalles baixo o corte.
Tivemos docker v.17.05, docker-compose v.1.21, Ubuntu Server 18 e unha pinta de Let'sEncrypt puro. Non é que sexa necesario implementar produción en Docker. Pero unha vez que comezas a construír Docker, faise difícil deter.
Entón, para comezar, darei a configuración estándar, que tiñamos na fase de desenvolvemento, é dicir. sen porto 443 e SSL en xeral:
docker-compose.yml
version: '2'
services:
php:
build: ./php-fpm
volumes:
- ./StomUp:/var/www/StomUp
- ./php-fpm/php.ini:/usr/local/etc/php/php.ini
depends_on:
- mysql
container_name: "StomPHP"
web:
image: nginx:latest
ports:
- "80:80"
- "443:443"
volumes:
- ./StomUp:/var/www/StomUp
- ./nginx/main.conf:/etc/nginx/conf.d/default.conf
depends_on:
- php
mysql:
image: mysql:5.7
command: mysqld --sql_mode=""
environment:
MYSQL_ROOT_PASSWORD: xxx
ports:
- "3333:3306"
nginx/main.conf
server {
listen 80;
server_name *.stomup.ru stomup.ru;
root /var/www/StomUp/public;
client_max_body_size 5M;
location / {
# try to serve file directly, fallback to index.php
try_files $uri /index.php$is_args$args;
}
location ~ ^/index.php(/|$) {
#fastcgi_pass unix:/var/run/php7.2-fpm.sock;
fastcgi_pass php:9000;
fastcgi_split_path_info ^(.+.php)(/.*)$;
include fastcgi_params;
fastcgi_param SCRIPT_FILENAME $realpath_root$fastcgi_script_name;
fastcgi_param DOCUMENT_ROOT $realpath_root;
fastcgi_buffer_size 128k;
fastcgi_buffers 4 256k;
fastcgi_busy_buffers_size 256k;
internal;
}
location ~ .php$ {
return 404;
}
error_log /var/log/nginx/project_error.log;
access_log /var/log/nginx/project_access.log;
}
A continuación, necesitamos implementar SSL. Para ser honesto, pasei unhas 2 horas estudando a zona de comunicación. Todas as opcións que alí se ofrecen son interesantes. Pero na fase actual do proxecto, nós (a empresa) necesitabamos parafusar de forma rápida e fiable SSL Let's Enctypt к Nginx recipiente e nada máis.
En primeiro lugar, instalámolo no servidor certbot
sudo apt-get install certbot
A continuación, xeramos certificados comodín para o noso dominio
sudo certbot certonly -d stomup.ru -d *.stomup.ru --manual --preferred-challenges dns
despois da execución, certbot proporcionaranos 2 rexistros TXT que deben especificarse na configuración de DNS.
_acme-challenge.stomup.ru TXT {тотКлючКоторыйВамВыдалCertBot}
E preme Intro.
Despois diso, certbot comprobará a presenza destes rexistros no DNS e creará certificados para ti.
se engadiu un certificado pero certbot non o atopei: tenta reiniciar o comando despois de 5-10 minutos.
Ben, aquí somos os orgullosos propietarios dun certificado Let'sEncrypt durante 90 días, pero agora temos que cargalo a Docker.
Para iso, do xeito máis trivial, en docker-compose.yml, na sección nginx, enlazamos os directorios.
Exemplo docker-compose.yml con SSL
version: '2'
services:
php:
build: ./php-fpm
volumes:
- ./StomUp:/var/www/StomUp
- /etc/letsencrypt/live/stomup.ru/:/etc/letsencrypt/live/stomup.ru/
- ./php-fpm/php.ini:/usr/local/etc/php/php.ini
depends_on:
- mysql
container_name: "StomPHP"
web:
image: nginx:latest
ports:
- "80:80"
- "443:443"
volumes:
- ./StomUp:/var/www/StomUp
- /etc/letsencrypt/:/etc/letsencrypt/
- ./nginx/main.conf:/etc/nginx/conf.d/default.conf
depends_on:
- php
mysql:
image: mysql:5.7
command: mysqld --sql_mode=""
environment:
MYSQL_ROOT_PASSWORD: xxx
ports:
- "3333:3306"
Vinculado? Xenial, sigamos:
Agora necesitamos cambiar a configuración Nginx para traballar 443 porto e SSL xeralmente:
Exemplo de configuración main.conf con SSL
#
server {
listen 443 ssl http2;
listen [::]:443 ssl http2;
server_name *.stomup.ru stomup.ru;
set $base /var/www/StomUp;
root $base/public;
# SSL
ssl_certificate /etc/letsencrypt/live/stomup.ru/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/stomup.ru/privkey.pem;
ssl_trusted_certificate /etc/letsencrypt/live/stomup.ru/chain.pem;
client_max_body_size 5M;
location / {
# try to serve file directly, fallback to index.php
try_files $uri /index.php$is_args$args;
}
location ~ ^/index.php(/|$) {
#fastcgi_pass unix:/var/run/php7.2-fpm.sock;
fastcgi_pass php:9000;
fastcgi_split_path_info ^(.+.php)(/.*)$;
include fastcgi_params;
fastcgi_param SCRIPT_FILENAME $realpath_root$fastcgi_script_name;
fastcgi_param DOCUMENT_ROOT $realpath_root;
fastcgi_buffer_size 128k;
fastcgi_buffers 4 256k;
fastcgi_busy_buffers_size 256k;
internal;
}
location ~ .php$ {
return 404;
}
error_log /var/log/nginx/project_error.log;
access_log /var/log/nginx/project_access.log;
}
# HTTP redirect
server {
listen 80;
listen [::]:80;
server_name *.stomup.ru stomup.ru;
location / {
return 301 https://stomup.ru$request_uri;
}
}
En realidade, despois destas manipulacións, imos ao directorio con Docker-compose, escribimos docker-compose up -d. E comprobamos a funcionalidade de SSL. Todo debería despegar.
O principal é non esquecer que o certificado Let'sEnctypt emítese durante 90 días e terás que renovalo mediante o comando sudo certbot renew, e despois reinicie o proxecto co comando docker-compose restart
Outra opción é engadir esta secuencia a crontab.
Na miña opinión, esta é a forma máis sinxela de conectar SSL á aplicación web Docker.
PD Teña en conta que todos os guións presentados no texto non son definitivos, o proxecto está agora na fase de desenvolvemento profundo, polo que gustaríame pedirvos que non critiquedes as configuracións: modificaranse moitas veces.
Fonte: www.habr.com