Í þessari grein vil ég deila með þér aðferð til að búa til SSL vottorð fyrir vefforritið þitt sem keyrir á Docker, vegna þess að... Ég fann ekki slíka lausn á rússneska hluta internetsins.
Nánari upplýsingar undir klippunni.
Við vorum með docker v.17.05, docker-compose v.1.21, Ubuntu Server 18 og hálfan lítra af hreinu Let'sEncrypt. Það er ekki það að það sé nauðsynlegt að dreifa framleiðslu á Docker. En þegar þú byrjar að byggja Docker verður erfitt að hætta.
Svo til að byrja með mun ég gefa staðlaðar stillingar - sem við höfðum á þróunarstigi, þ.e. án tengi 443 og SSL almennt:
Docker-compose.yml
version: '2'
services:
php:
build: ./php-fpm
volumes:
- ./StomUp:/var/www/StomUp
- ./php-fpm/php.ini:/usr/local/etc/php/php.ini
depends_on:
- mysql
container_name: "StomPHP"
web:
image: nginx:latest
ports:
- "80:80"
- "443:443"
volumes:
- ./StomUp:/var/www/StomUp
- ./nginx/main.conf:/etc/nginx/conf.d/default.conf
depends_on:
- php
mysql:
image: mysql:5.7
command: mysqld --sql_mode=""
environment:
MYSQL_ROOT_PASSWORD: xxx
ports:
- "3333:3306"
nginx/main.conf
server {
listen 80;
server_name *.stomup.ru stomup.ru;
root /var/www/StomUp/public;
client_max_body_size 5M;
location / {
# try to serve file directly, fallback to index.php
try_files $uri /index.php$is_args$args;
}
location ~ ^/index.php(/|$) {
#fastcgi_pass unix:/var/run/php7.2-fpm.sock;
fastcgi_pass php:9000;
fastcgi_split_path_info ^(.+.php)(/.*)$;
include fastcgi_params;
fastcgi_param SCRIPT_FILENAME $realpath_root$fastcgi_script_name;
fastcgi_param DOCUMENT_ROOT $realpath_root;
fastcgi_buffer_size 128k;
fastcgi_buffers 4 256k;
fastcgi_busy_buffers_size 256k;
internal;
}
location ~ .php$ {
return 404;
}
error_log /var/log/nginx/project_error.log;
access_log /var/log/nginx/project_access.log;
}
Næst þurfum við í raun að innleiða SSL. Satt að segja eyddi ég um 2 klukkustundum í að læra com zone. Allir möguleikar sem þar eru í boði eru áhugaverðir. En á núverandi stigi verkefnisins þurftum við (fyrirtækið) að skrúfa hratt og örugglega SSL Let'sEnctypt к nginx gámur og ekkert annað.
Fyrst af öllu settum við það upp á þjóninum certbot
sudo apt-get install certbot
Næst bjuggum við til algildisvottorð fyrir lénið okkar
sudo certbot certonly -d stomup.ru -d *.stomup.ru --manual --preferred-challenges dns
eftir framkvæmd mun certbot veita okkur 2 TXT færslur sem þarf að tilgreina í DNS stillingunum.
_acme-challenge.stomup.ru TXT {тотКлючКоторыйВамВыдалCertBot}
Og ýttu á enter.
Eftir þetta mun certbot athuga hvort þessar skrár séu til staðar í DNS og búa til vottorð fyrir þig.
ef þú hefur bætt við vottorði en certbot fann það ekki - reyndu að endurræsa skipunina eftir 5-10 mínútur.
Jæja, hér erum við stoltir eigendur Let'sEncrypt vottorðs í 90 daga, en nú þurfum við að hlaða því upp á Docker.
Til að gera þetta, á sem léttvægasta hátt, í docker-compose.yml, í nginx hlutanum, tengjum við möppurnar.
Dæmi docker-compose.yml með SSL
version: '2'
services:
php:
build: ./php-fpm
volumes:
- ./StomUp:/var/www/StomUp
- /etc/letsencrypt/live/stomup.ru/:/etc/letsencrypt/live/stomup.ru/
- ./php-fpm/php.ini:/usr/local/etc/php/php.ini
depends_on:
- mysql
container_name: "StomPHP"
web:
image: nginx:latest
ports:
- "80:80"
- "443:443"
volumes:
- ./StomUp:/var/www/StomUp
- /etc/letsencrypt/:/etc/letsencrypt/
- ./nginx/main.conf:/etc/nginx/conf.d/default.conf
depends_on:
- php
mysql:
image: mysql:5.7
command: mysqld --sql_mode=""
environment:
MYSQL_ROOT_PASSWORD: xxx
ports:
- "3333:3306"
Tengt? Frábært - höldum áfram:
Nú þurfum við að breyta stillingum nginx að vinna með 443 höfn og SSL almennt:
Dæmi main.conf stillingar með SSL
#
server {
listen 443 ssl http2;
listen [::]:443 ssl http2;
server_name *.stomup.ru stomup.ru;
set $base /var/www/StomUp;
root $base/public;
# SSL
ssl_certificate /etc/letsencrypt/live/stomup.ru/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/stomup.ru/privkey.pem;
ssl_trusted_certificate /etc/letsencrypt/live/stomup.ru/chain.pem;
client_max_body_size 5M;
location / {
# try to serve file directly, fallback to index.php
try_files $uri /index.php$is_args$args;
}
location ~ ^/index.php(/|$) {
#fastcgi_pass unix:/var/run/php7.2-fpm.sock;
fastcgi_pass php:9000;
fastcgi_split_path_info ^(.+.php)(/.*)$;
include fastcgi_params;
fastcgi_param SCRIPT_FILENAME $realpath_root$fastcgi_script_name;
fastcgi_param DOCUMENT_ROOT $realpath_root;
fastcgi_buffer_size 128k;
fastcgi_buffers 4 256k;
fastcgi_busy_buffers_size 256k;
internal;
}
location ~ .php$ {
return 404;
}
error_log /var/log/nginx/project_error.log;
access_log /var/log/nginx/project_access.log;
}
# HTTP redirect
server {
listen 80;
listen [::]:80;
server_name *.stomup.ru stomup.ru;
location / {
return 301 https://stomup.ru$request_uri;
}
}
Reyndar, eftir þessar meðhöndlun, förum við í möppuna með Docker-compose, skrifum docker-compose upp -d. Og við athugum virkni SSL. Allt ætti að taka við.
Aðalatriðið er ekki að gleyma því að Let'sEnctypt vottorðið er gefið út í 90 daga og þú þarft að endurnýja það með skipuninni sudo certbot renew, og endurræstu síðan verkefnið með skipuninni docker-compose restart
Annar valkostur er að bæta þessari röð við crontab.
Að mínu mati er þetta auðveldasta leiðin til að tengja SSL við Docker Web-app.
PS Vinsamlegast hafðu í huga að öll handritin sem eru sett fram í textanum eru ekki endanleg, verkefnið er nú á djúpu Dev stigi, svo ég vil biðja þig um að gagnrýna ekki stillingarnar - þeim verður breytt mörgum sinnum.
Heimild: www.habr.com