Бұл мақалада мен сізбен Docker жүйесінде жұмыс істейтін веб-қосымшаңыз үшін SSL сертификатын жасау әдісімен бөліскім келеді, себебі... Интернеттің орыс тілді бөлігінде мұндай шешімді таппадым.
Кесу астында толығырақ.
Бізде docker v.17.05, docker-compose v.1.21, Ubuntu Server 18 және бір пинт таза Let'sEncrypt болды. Docker-де өндірісті орналастыру қажет емес. Бірақ сіз Docker құрастыра бастағаннан кейін оны тоқтату қиынға соғады.
Сонымен, бастау үшін мен стандартты параметрлерді беремін - бізде әзірлеу кезеңінде болған, яғни. 443 порты және жалпы SSL жоқ:
docker-compose.yml
version: '2'
services:
php:
build: ./php-fpm
volumes:
- ./StomUp:/var/www/StomUp
- ./php-fpm/php.ini:/usr/local/etc/php/php.ini
depends_on:
- mysql
container_name: "StomPHP"
web:
image: nginx:latest
ports:
- "80:80"
- "443:443"
volumes:
- ./StomUp:/var/www/StomUp
- ./nginx/main.conf:/etc/nginx/conf.d/default.conf
depends_on:
- php
mysql:
image: mysql:5.7
command: mysqld --sql_mode=""
environment:
MYSQL_ROOT_PASSWORD: xxx
ports:
- "3333:3306"
nginx/main.conf
server {
listen 80;
server_name *.stomup.ru stomup.ru;
root /var/www/StomUp/public;
client_max_body_size 5M;
location / {
# try to serve file directly, fallback to index.php
try_files $uri /index.php$is_args$args;
}
location ~ ^/index.php(/|$) {
#fastcgi_pass unix:/var/run/php7.2-fpm.sock;
fastcgi_pass php:9000;
fastcgi_split_path_info ^(.+.php)(/.*)$;
include fastcgi_params;
fastcgi_param SCRIPT_FILENAME $realpath_root$fastcgi_script_name;
fastcgi_param DOCUMENT_ROOT $realpath_root;
fastcgi_buffer_size 128k;
fastcgi_buffers 4 256k;
fastcgi_busy_buffers_size 256k;
internal;
}
location ~ .php$ {
return 404;
}
error_log /var/log/nginx/project_error.log;
access_log /var/log/nginx/project_access.log;
}
Әрі қарай, біз шынымен SSL енгізуіміз керек. Шынымды айтсам, ком-зонаны зерттеуге 2 сағаттай уақыт жұмсадым. Онда ұсынылған нұсқалардың барлығы қызықты. Бірақ жобаның қазіргі кезеңінде бізге (бизнеске) тез және сенімді бұрау қажет болды SSL Let'sEnctypt к nginx контейнер және басқа ештеңе жоқ.
Ең алдымен, біз оны серверге орнаттық сертификат
sudo apt-get install certbot
Содан кейін біз домен үшін қойылмалы таңба сертификаттарын жасадық
sudo certbot certonly -d stomup.ru -d *.stomup.ru --manual --preferred-challenges dns
орындағаннан кейін certbot бізге DNS параметрлерінде көрсетілуі қажет 2 TXT жазбасын береді.
_acme-challenge.stomup.ru TXT {тотКлючКоторыйВамВыдалCertBot}
Және enter пернесін басыңыз.
Осыдан кейін certbot осы жазбалардың DNS жүйесінде бар-жоғын тексереді және сізге сертификаттар жасайды.
егер сіз сертификат қосқан болсаңыз, бірақ сертификат оны таппадым - пәрменді 5-10 минуттан кейін қайта іске қосып көріңіз.
Міне, біз 90 күн бойы Let'sEncrypt сертификатының мақтан тұтатын иелеріміз, бірақ енді оны Docker-ге жүктеп салуымыз керек.
Мұны істеу үшін, ең тривиальды жолмен, docker-compose.yml ішінде, nginx бөлімінде біз каталогтарды байланыстырамыз.
SSL бар docker-compose.yml мысалы
version: '2'
services:
php:
build: ./php-fpm
volumes:
- ./StomUp:/var/www/StomUp
- /etc/letsencrypt/live/stomup.ru/:/etc/letsencrypt/live/stomup.ru/
- ./php-fpm/php.ini:/usr/local/etc/php/php.ini
depends_on:
- mysql
container_name: "StomPHP"
web:
image: nginx:latest
ports:
- "80:80"
- "443:443"
volumes:
- ./StomUp:/var/www/StomUp
- /etc/letsencrypt/:/etc/letsencrypt/
- ./nginx/main.conf:/etc/nginx/conf.d/default.conf
depends_on:
- php
mysql:
image: mysql:5.7
command: mysqld --sql_mode=""
environment:
MYSQL_ROOT_PASSWORD: xxx
ports:
- "3333:3306"
Байланысты ма? Керемет - әрі қарай жалғастырайық:
Енді біз конфигурацияны өзгертуіміз керек nginx жұмыс істеу 443 порт және SSL жалпы:
SSL көмегімен main.conf конфигурациясының мысалы
#
server {
listen 443 ssl http2;
listen [::]:443 ssl http2;
server_name *.stomup.ru stomup.ru;
set $base /var/www/StomUp;
root $base/public;
# SSL
ssl_certificate /etc/letsencrypt/live/stomup.ru/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/stomup.ru/privkey.pem;
ssl_trusted_certificate /etc/letsencrypt/live/stomup.ru/chain.pem;
client_max_body_size 5M;
location / {
# try to serve file directly, fallback to index.php
try_files $uri /index.php$is_args$args;
}
location ~ ^/index.php(/|$) {
#fastcgi_pass unix:/var/run/php7.2-fpm.sock;
fastcgi_pass php:9000;
fastcgi_split_path_info ^(.+.php)(/.*)$;
include fastcgi_params;
fastcgi_param SCRIPT_FILENAME $realpath_root$fastcgi_script_name;
fastcgi_param DOCUMENT_ROOT $realpath_root;
fastcgi_buffer_size 128k;
fastcgi_buffers 4 256k;
fastcgi_busy_buffers_size 256k;
internal;
}
location ~ .php$ {
return 404;
}
error_log /var/log/nginx/project_error.log;
access_log /var/log/nginx/project_access.log;
}
# HTTP redirect
server {
listen 80;
listen [::]:80;
server_name *.stomup.ru stomup.ru;
location / {
return 301 https://stomup.ru$request_uri;
}
}
Шындығында, осы манипуляциялардан кейін біз Docker-compose көмегімен каталогқа барамыз, docker-compose up -d деп жазамыз. Біз SSL функционалдығын тексереміз. Барлығы көтерілуі керек.
Ең бастысы, Let'sEnctypt сертификаты 90 күнге берілетінін ұмытпау керек және оны пәрмен арқылы жаңарту қажет болады. sudo certbot renew
, содан кейін жобаны пәрменмен қайта іске қосыңыз docker-compose restart
Басқа опция - бұл тізбекті crontab-қа қосу.
Менің ойымша, бұл SSL протоколын Docker Web-бағдарламасына қосудың ең оңай жолы.
PS Мәтінде ұсынылған барлық сценарийлер түпкілікті емес екенін ескеріңіз, жоба қазір терең өңдеу сатысында, сондықтан конфигурацияларды сынға алмауыңызды өтінемін - олар бірнеше рет өзгертіледі.
Ақпарат көзі: www.habr.com