Docker 웹앱용 SSL 인증서

이 기사에서는 Docker에서 실행되는 웹 애플리케이션에 대한 SSL 인증서를 생성하는 방법을 공유하고 싶습니다. 인터넷의 러시아어 부분에서는 그러한 해결책을 찾지 못했습니다.

자세한 내용은 컷 아래에 있습니다.

우리는 docker v.17.05, docker-compose v.1.21, Ubuntu Server 18 및 순수 Let'sEncrypt 파인트를 사용했습니다. Docker에 프로덕션을 배포할 필요는 없습니다. 하지만 Docker 구축을 시작하면 중단하기가 어려워집니다.

따라서 먼저 개발 단계에서 사용했던 표준 설정을 제공하겠습니다. 일반적으로 포트 443 및 SSL이 없는 경우:

docker-compose.yml

version: '2'
services:
    php:
        build: ./php-fpm
        volumes:
            - ./StomUp:/var/www/StomUp
            - ./php-fpm/php.ini:/usr/local/etc/php/php.ini
        depends_on:
            - mysql
        container_name: "StomPHP"
    web:
        image: nginx:latest
        ports:
            - "80:80"
            - "443:443"
        volumes:
            - ./StomUp:/var/www/StomUp
            - ./nginx/main.conf:/etc/nginx/conf.d/default.conf
        depends_on:
            - php
    mysql:
        image: mysql:5.7
        command: mysqld --sql_mode=""
        environment:
            MYSQL_ROOT_PASSWORD: xxx
        ports:
            - "3333:3306"

nginx/main.conf

 server {
    listen 80;
    server_name *.stomup.ru stomup.ru;
   root /var/www/StomUp/public;
     client_max_body_size 5M;

    location / {
        # try to serve file directly, fallback to index.php
        try_files $uri /index.php$is_args$args;
  }

    location ~ ^/index.php(/|$) {
      #fastcgi_pass unix:/var/run/php7.2-fpm.sock;
       fastcgi_pass php:9000;
       fastcgi_split_path_info ^(.+.php)(/.*)$;
      include fastcgi_params;
        fastcgi_param SCRIPT_FILENAME $realpath_root$fastcgi_script_name;
       fastcgi_param DOCUMENT_ROOT $realpath_root;
        fastcgi_buffer_size 128k;
       fastcgi_buffers 4 256k;
        fastcgi_busy_buffers_size 256k;
       internal;
    }

    location ~ .php$ {
        return 404;
    }

     error_log /var/log/nginx/project_error.log;
    access_log /var/log/nginx/project_access.log;
}

다음으로 실제로 SSL을 구현해야 합니다. 솔직히 말해서 컴존 공부하는데 2시간 정도 걸렸어요. 거기에 제공되는 모든 옵션은 흥미 롭습니다. 하지만 현재 프로젝트 단계에서는 우리(기업)가 신속하고 안정적으로 나사를 조여야 했습니다. SSL Let'sEnctypt к Nginx에 컨테이너 그 이상은 아닙니다.

우선 서버에 설치해봤습니다. certbot
sudo apt-get install certbot

다음으로 도메인에 대한 와일드카드 인증서를 생성했습니다.

sudo certbot certonly -d stomup.ru -d *.stomup.ru --manual --preferred-challenges dns

실행 후 certbot은 DNS 설정에 지정해야 하는 2개의 TXT 레코드를 제공합니다.

_acme-challenge.stomup.ru TXT {тотКлючКоторыйВамВыдалCertBot}

그리고 엔터를 누르세요.

그 후, certbot은 DNS에 이러한 레코드가 있는지 확인하고 인증서를 생성합니다.
인증서를 추가했지만 certbot 찾지 못했습니다. 5~10분 후에 명령을 다시 시작해 보세요..

자, 여기 우리는 90일 동안 Let'sEncrypt 인증서의 자랑스러운 소유자이지만 이제 이를 Docker에 업로드해야 합니다.

이를 위해 가장 간단한 방법으로 docker-compose.yml의 nginx 섹션에서 디렉터리를 연결합니다.

SSL을 사용한 docker-compose.yml 예

version: '2'
services:
    php:
        build: ./php-fpm
        volumes:
            - ./StomUp:/var/www/StomUp
            - /etc/letsencrypt/live/stomup.ru/:/etc/letsencrypt/live/stomup.ru/
            - ./php-fpm/php.ini:/usr/local/etc/php/php.ini
        depends_on:
            - mysql
        container_name: "StomPHP"
    web:
        image: nginx:latest
        ports:
            - "80:80"
            - "443:443"
        volumes:
            - ./StomUp:/var/www/StomUp
            - /etc/letsencrypt/:/etc/letsencrypt/
            - ./nginx/main.conf:/etc/nginx/conf.d/default.conf
        depends_on:
            - php
    mysql:
        image: mysql:5.7
        command: mysqld --sql_mode=""
        environment:
            MYSQL_ROOT_PASSWORD: xxx
        ports:
            - "3333:3306"

연결되었나요? 좋습니다. 계속하겠습니다.

이제 구성을 변경해야 합니다. Nginx에 함께 일하다 443 항구와 SSL 일반적으로:

SSL을 사용한 main.conf 구성 예

#
server {
	listen 443 ssl http2;
	listen [::]:443 ssl http2;

	server_name *.stomup.ru stomup.ru;
	set $base /var/www/StomUp;
	root $base/public;

	# SSL
	ssl_certificate /etc/letsencrypt/live/stomup.ru/fullchain.pem;
	ssl_certificate_key /etc/letsencrypt/live/stomup.ru/privkey.pem;
	ssl_trusted_certificate /etc/letsencrypt/live/stomup.ru/chain.pem;

      client_max_body_size 5M;

      location / {
          # try to serve file directly, fallback to index.php
          try_files $uri /index.php$is_args$args;
      }

      location ~ ^/index.php(/|$) {
          #fastcgi_pass unix:/var/run/php7.2-fpm.sock;
          fastcgi_pass php:9000;
          fastcgi_split_path_info ^(.+.php)(/.*)$;
          include fastcgi_params;
          fastcgi_param SCRIPT_FILENAME $realpath_root$fastcgi_script_name;
          fastcgi_param DOCUMENT_ROOT $realpath_root;
          fastcgi_buffer_size 128k;
          fastcgi_buffers 4 256k;
          fastcgi_busy_buffers_size 256k;
          internal;
      }

      location ~ .php$ {
          return 404;
      }

      error_log /var/log/nginx/project_error.log;
      access_log /var/log/nginx/project_access.log;
}


# HTTP redirect
server {
	listen 80;
	listen [::]:80;

	server_name *.stomup.ru stomup.ru;

	location / {
		return 301 https://stomup.ru$request_uri;
	}
}

실제로 이러한 조작 후에는 Docker-compose가 있는 디렉터리로 이동하여 docker-compose up -d를 작성합니다. 그리고 SSL의 기능을 확인합니다. 모든 것이 이륙해야합니다.

가장 중요한 것은 Let'sEnctypt 인증서가 90일 동안 발급되며 다음 명령을 통해 인증서를 갱신해야 한다는 점을 잊지 않는 것입니다. sudo certbot renew, 다음 명령을 사용하여 프로젝트를 다시 시작합니다. docker-compose restart

또 다른 옵션은 이 시퀀스를 crontab에 추가하는 것입니다.

제 생각에는 이것이 SSL을 Docker 웹앱에 연결하는 가장 쉬운 방법입니다.

PS 텍스트에 제시된 모든 스크립트가 최종이 아니라는 점을 고려하십시오. 프로젝트는 현재 심층 개발 단계에 있으므로 구성을 비판하지 마시기 바랍니다. 구성은 여러 번 수정될 것입니다.

출처 : habr.com