この記事では、Docker 上で実行される Web アプリケーション用の SSL 証明書を作成する方法を共有したいと思います。 インターネットのロシア語部分ではそのような解決策は見つかりませんでした。
詳細はカットの下で。
docker v.17.05、docker-compose v.1.21、Ubuntu Server 18、そして純粋な Let'sEncrypt が XNUMX パイントありました。 本番環境を Docker 上にデプロイする必要があるというわけではありません。 しかし、Docker の構築を開始すると、やめるのが難しくなります。
そこで、まず、開発段階での標準設定を示します。 一般にポート 443 と SSL を使用しない場合:
docker-compose.yml
version: '2'
services:
php:
build: ./php-fpm
volumes:
- ./StomUp:/var/www/StomUp
- ./php-fpm/php.ini:/usr/local/etc/php/php.ini
depends_on:
- mysql
container_name: "StomPHP"
web:
image: nginx:latest
ports:
- "80:80"
- "443:443"
volumes:
- ./StomUp:/var/www/StomUp
- ./nginx/main.conf:/etc/nginx/conf.d/default.conf
depends_on:
- php
mysql:
image: mysql:5.7
command: mysqld --sql_mode=""
environment:
MYSQL_ROOT_PASSWORD: xxx
ports:
- "3333:3306"
nginx/main.conf
server {
listen 80;
server_name *.stomup.ru stomup.ru;
root /var/www/StomUp/public;
client_max_body_size 5M;
location / {
# try to serve file directly, fallback to index.php
try_files $uri /index.php$is_args$args;
}
location ~ ^/index.php(/|$) {
#fastcgi_pass unix:/var/run/php7.2-fpm.sock;
fastcgi_pass php:9000;
fastcgi_split_path_info ^(.+.php)(/.*)$;
include fastcgi_params;
fastcgi_param SCRIPT_FILENAME $realpath_root$fastcgi_script_name;
fastcgi_param DOCUMENT_ROOT $realpath_root;
fastcgi_buffer_size 128k;
fastcgi_buffers 4 256k;
fastcgi_busy_buffers_size 256k;
internal;
}
location ~ .php$ {
return 404;
}
error_log /var/log/nginx/project_error.log;
access_log /var/log/nginx/project_access.log;
}
次に、実際に SSL を実装する必要があります。 正直に言うと、コムゾーンの勉強に2時間ほど費やしました。 そこで提供されるオプションはすべて興味深いものです。 しかし、プロジェクトの現段階では、私たち (企業) は迅速かつ確実に問題を解決する必要がありました。 SSL Let'sEnctypt к nginx コンテナだけです。
まず、サーバーにインストールしました 証明書
sudo apt-get install certbot
次に、ドメインのワイルドカード証明書を生成しました。
sudo certbot certonly -d stomup.ru -d *.stomup.ru --manual --preferred-challenges dns
実行後、certbot は DNS 設定で指定する必要がある 2 つの TXT レコードを提供します。
_acme-challenge.stomup.ru TXT {тотКлючКоторыйВамВыдалCertBot}
そして Enter を押します。
この後、certbot は DNS 内にこれらのレコードが存在するかどうかを確認し、証明書を作成します。
証明書を追加した場合でも、 証明書 見つかりませんでした - 5 ~ 10 分後にコマンドを再起動してください.
さて、私たちは Let'sEncrypt 証明書の 90 日間の誇り高い所有者ですが、今度はそれを Docker にアップロードする必要があります。
これを行うには、最も簡単な方法で、docker-compose.yml の nginx セクションでディレクトリをリンクします。
SSL を使用した docker-compose.yml の例
version: '2'
services:
php:
build: ./php-fpm
volumes:
- ./StomUp:/var/www/StomUp
- /etc/letsencrypt/live/stomup.ru/:/etc/letsencrypt/live/stomup.ru/
- ./php-fpm/php.ini:/usr/local/etc/php/php.ini
depends_on:
- mysql
container_name: "StomPHP"
web:
image: nginx:latest
ports:
- "80:80"
- "443:443"
volumes:
- ./StomUp:/var/www/StomUp
- /etc/letsencrypt/:/etc/letsencrypt/
- ./nginx/main.conf:/etc/nginx/conf.d/default.conf
depends_on:
- php
mysql:
image: mysql:5.7
command: mysqld --sql_mode=""
environment:
MYSQL_ROOT_PASSWORD: xxx
ports:
- "3333:3306"
リンクされていますか? 素晴らしいです - 続けましょう:
次に、構成を変更する必要があります nginx 一緒に働く 443 ポートと SSL 一般的に:
SSL を使用した main.conf 構成の例
#
server {
listen 443 ssl http2;
listen [::]:443 ssl http2;
server_name *.stomup.ru stomup.ru;
set $base /var/www/StomUp;
root $base/public;
# SSL
ssl_certificate /etc/letsencrypt/live/stomup.ru/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/stomup.ru/privkey.pem;
ssl_trusted_certificate /etc/letsencrypt/live/stomup.ru/chain.pem;
client_max_body_size 5M;
location / {
# try to serve file directly, fallback to index.php
try_files $uri /index.php$is_args$args;
}
location ~ ^/index.php(/|$) {
#fastcgi_pass unix:/var/run/php7.2-fpm.sock;
fastcgi_pass php:9000;
fastcgi_split_path_info ^(.+.php)(/.*)$;
include fastcgi_params;
fastcgi_param SCRIPT_FILENAME $realpath_root$fastcgi_script_name;
fastcgi_param DOCUMENT_ROOT $realpath_root;
fastcgi_buffer_size 128k;
fastcgi_buffers 4 256k;
fastcgi_busy_buffers_size 256k;
internal;
}
location ~ .php$ {
return 404;
}
error_log /var/log/nginx/project_error.log;
access_log /var/log/nginx/project_access.log;
}
# HTTP redirect
server {
listen 80;
listen [::]:80;
server_name *.stomup.ru stomup.ru;
location / {
return 301 https://stomup.ru$request_uri;
}
}
実際には、これらの操作の後、Docker-compose のあるディレクトリに移動し、 docker-compose up -d と書き込みます。 そしてSSLの機能をチェックします。 すべてが離陸するはずです。
重要なことは、Let'sEnctypt 証明書の発行有効期限は 90 日間であり、次のコマンドで更新する必要があることを忘れないでください。 sudo certbot renew、そして次のコマンドでプロジェクトを再起動します docker-compose restart
別のオプションは、このシーケンスを crontab に追加することです。
私の意見では、これが SSL を Docker Web アプリに接続する最も簡単な方法です。
PS 本文中に示されているすべてのスクリプトが最終的なものではないことを考慮してください。プロジェクトは現在開発の深い段階にあります。そのため、構成を批判しないでください。構成は何度も変更されます。
出所: habr.com