Ebben a cikkben egy módszert szeretnék megosztani Önnel, amellyel SSL-tanúsítványt hozhat létre a Dockeren futó webalkalmazásához, mert... Az internet orosz nyelvű részén nem találtam ilyen megoldást.
További részletek a vágás alatt.
Volt docker v.17.05, docker-compose v.1.21, Ubuntu Server 18 és egy pint tiszta Let'sEncrypt. Nem arról van szó, hogy a termelést a Dockeren kell üzembe helyezni. De ha egyszer elkezdi építeni a Dockert, nehéz lesz megállítani.
Tehát kezdésként megadom a standard beállításokat - amelyek a fejlesztői szakaszban voltak, pl. 443-as port és általában SSL nélkül:
dokkoló-compose.yml
version: '2'
services:
php:
build: ./php-fpm
volumes:
- ./StomUp:/var/www/StomUp
- ./php-fpm/php.ini:/usr/local/etc/php/php.ini
depends_on:
- mysql
container_name: "StomPHP"
web:
image: nginx:latest
ports:
- "80:80"
- "443:443"
volumes:
- ./StomUp:/var/www/StomUp
- ./nginx/main.conf:/etc/nginx/conf.d/default.conf
depends_on:
- php
mysql:
image: mysql:5.7
command: mysqld --sql_mode=""
environment:
MYSQL_ROOT_PASSWORD: xxx
ports:
- "3333:3306"
nginx/main.conf
server {
listen 80;
server_name *.stomup.ru stomup.ru;
root /var/www/StomUp/public;
client_max_body_size 5M;
location / {
# try to serve file directly, fallback to index.php
try_files $uri /index.php$is_args$args;
}
location ~ ^/index.php(/|$) {
#fastcgi_pass unix:/var/run/php7.2-fpm.sock;
fastcgi_pass php:9000;
fastcgi_split_path_info ^(.+.php)(/.*)$;
include fastcgi_params;
fastcgi_param SCRIPT_FILENAME $realpath_root$fastcgi_script_name;
fastcgi_param DOCUMENT_ROOT $realpath_root;
fastcgi_buffer_size 128k;
fastcgi_buffers 4 256k;
fastcgi_busy_buffers_size 256k;
internal;
}
location ~ .php$ {
return 404;
}
error_log /var/log/nginx/project_error.log;
access_log /var/log/nginx/project_access.log;
}
Ezután valóban be kell vezetnünk az SSL-t. Őszintén szólva körülbelül 2 órát töltöttem a com zóna tanulmányozásával. Az ott felkínált összes lehetőség érdekes. De a projekt jelenlegi szakaszában nekünk (a vállalkozásnak) gyorsan és megbízhatóan kellett csavarozni SSL Let'sEnctypt к nginx konténer és semmi több.
Először is telepítettük a szerverre certbot
sudo apt-get install certbot
Ezt követően helyettesítő karakter tanúsítványokat generáltunk a domainhez
sudo certbot certonly -d stomup.ru -d *.stomup.ru --manual --preferred-challenges dns
végrehajtás után a certbot 2 db TXT rekordot ad nekünk, amelyeket meg kell adni a DNS beállításokban.
_acme-challenge.stomup.ru TXT {тотКлючКоторыйВамВыдалCertBot}
És nyomja meg az entert.
Ezt követően a certbot ellenőrzi ezeknek a rekordoknak a DNS-ben való jelenlétét, és tanúsítványokat hoz létre az Ön számára.
ha tanúsítványt adott hozzá, de certbot nem találta - próbálja meg újraindítani a parancsot 5-10 perc múlva.
Nos, itt vagyunk egy Let'sEncrypt tanúsítvány büszke tulajdonosai 90 napig, de most fel kell töltenünk a Dockerbe.
Ehhez a legtriviálisabb módon a docker-compose.yml nginx részében összekapcsoljuk a könyvtárakat.
Példa docker-compose.yml SSL-lel
version: '2'
services:
php:
build: ./php-fpm
volumes:
- ./StomUp:/var/www/StomUp
- /etc/letsencrypt/live/stomup.ru/:/etc/letsencrypt/live/stomup.ru/
- ./php-fpm/php.ini:/usr/local/etc/php/php.ini
depends_on:
- mysql
container_name: "StomPHP"
web:
image: nginx:latest
ports:
- "80:80"
- "443:443"
volumes:
- ./StomUp:/var/www/StomUp
- /etc/letsencrypt/:/etc/letsencrypt/
- ./nginx/main.conf:/etc/nginx/conf.d/default.conf
depends_on:
- php
mysql:
image: mysql:5.7
command: mysqld --sql_mode=""
environment:
MYSQL_ROOT_PASSWORD: xxx
ports:
- "3333:3306"
Linkelve? Remek - folytassuk:
Most meg kell változtatnunk a konfigurációt nginx valakivel együtt dolgozni 443 port és SSL általában:
Példa a main.conf konfigurációra SSL-lel
#
server {
listen 443 ssl http2;
listen [::]:443 ssl http2;
server_name *.stomup.ru stomup.ru;
set $base /var/www/StomUp;
root $base/public;
# SSL
ssl_certificate /etc/letsencrypt/live/stomup.ru/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/stomup.ru/privkey.pem;
ssl_trusted_certificate /etc/letsencrypt/live/stomup.ru/chain.pem;
client_max_body_size 5M;
location / {
# try to serve file directly, fallback to index.php
try_files $uri /index.php$is_args$args;
}
location ~ ^/index.php(/|$) {
#fastcgi_pass unix:/var/run/php7.2-fpm.sock;
fastcgi_pass php:9000;
fastcgi_split_path_info ^(.+.php)(/.*)$;
include fastcgi_params;
fastcgi_param SCRIPT_FILENAME $realpath_root$fastcgi_script_name;
fastcgi_param DOCUMENT_ROOT $realpath_root;
fastcgi_buffer_size 128k;
fastcgi_buffers 4 256k;
fastcgi_busy_buffers_size 256k;
internal;
}
location ~ .php$ {
return 404;
}
error_log /var/log/nginx/project_error.log;
access_log /var/log/nginx/project_access.log;
}
# HTTP redirect
server {
listen 80;
listen [::]:80;
server_name *.stomup.ru stomup.ru;
location / {
return 301 https://stomup.ru$request_uri;
}
}
Valójában ezek után a manipulációk után a Docker-compose könyvtárba lépünk, és a docker-compose fel -d parancsot írjuk. És ellenőrizzük az SSL működését. Mindennek fel kell szállnia.
A legfontosabb dolog az, hogy ne felejtsük el, hogy a Let'sEnctypt tanúsítványt 90 napra adják ki, és meg kell újítania a paranccsal sudo certbot renew, majd indítsa újra a projektet a paranccsal docker-compose restart
Egy másik lehetőség, hogy hozzáadja ezt a sorozatot a crontabhoz.
Véleményem szerint ez a legegyszerűbb módja az SSL-nek a Docker webalkalmazáshoz való csatlakoztatásának.
PS Kérem, vegye figyelembe, hogy a szövegben bemutatott szkriptek mindegyike nem végleges, a projekt most a Dev Dev stádiumában van, ezért szeretném megkérni Önöket, hogy ne kritizálják a konfigurációkat - sokszor módosítani fognak.
Forrás: will.com