Šiame straipsnyje noriu pasidalinti su jumis SSL sertifikato kūrimo būdu jūsų žiniatinklio programai, veikiančiai Docker, nes... Rusiškoje interneto dalyje tokio sprendimo neradau.
Daugiau informacijos po pjūviu.
Turėjome docker v.17.05, docker-compose v.1.21, Ubuntu Server 18 ir puslitrį gryno Let'sEncrypt. Tai nereiškia, kad būtina įdiegti gamybą „Docker“. Tačiau pradėjus kurti „Docker“ tampa sunku sustoti.
Taigi, pradžiai pateiksiu standartinius nustatymus – kuriuos turėjome kūrimo stadijoje, t.y. be 443 prievado ir apskritai SSL:
docker-compose.yml
version: '2'
services:
php:
build: ./php-fpm
volumes:
- ./StomUp:/var/www/StomUp
- ./php-fpm/php.ini:/usr/local/etc/php/php.ini
depends_on:
- mysql
container_name: "StomPHP"
web:
image: nginx:latest
ports:
- "80:80"
- "443:443"
volumes:
- ./StomUp:/var/www/StomUp
- ./nginx/main.conf:/etc/nginx/conf.d/default.conf
depends_on:
- php
mysql:
image: mysql:5.7
command: mysqld --sql_mode=""
environment:
MYSQL_ROOT_PASSWORD: xxx
ports:
- "3333:3306"
nginx/main.conf
server {
listen 80;
server_name *.stomup.ru stomup.ru;
root /var/www/StomUp/public;
client_max_body_size 5M;
location / {
# try to serve file directly, fallback to index.php
try_files $uri /index.php$is_args$args;
}
location ~ ^/index.php(/|$) {
#fastcgi_pass unix:/var/run/php7.2-fpm.sock;
fastcgi_pass php:9000;
fastcgi_split_path_info ^(.+.php)(/.*)$;
include fastcgi_params;
fastcgi_param SCRIPT_FILENAME $realpath_root$fastcgi_script_name;
fastcgi_param DOCUMENT_ROOT $realpath_root;
fastcgi_buffer_size 128k;
fastcgi_buffers 4 256k;
fastcgi_busy_buffers_size 256k;
internal;
}
location ~ .php$ {
return 404;
}
error_log /var/log/nginx/project_error.log;
access_log /var/log/nginx/project_access.log;
}
Tada iš tikrųjų turime įdiegti SSL. Jei atvirai, aš praleidau apie 2 valandas studijuodamas kom zoną. Visi ten siūlomi variantai yra įdomūs. Tačiau dabartiniame projekto etape mums (verslui) reikėjo greitai ir patikimai suktis SSL Let'sEnctypet к nginx konteineris ir nieko daugiau.
Pirmiausia jį įdiegėme serveryje certbotas
sudo apt-get install certbot
Tada sugeneravome pakaitos simbolių sertifikatus savo domenui
sudo certbot certonly -d stomup.ru -d *.stomup.ru --manual --preferred-challenges dns
po vykdymo certbot pateiks mums 2 TXT įrašus, kuriuos reikia nurodyti DNS nustatymuose.
_acme-challenge.stomup.ru TXT {тотКлючКоторыйВамВыдалCertBot}
Ir paspauskite enter.
Po to „certbot“ patikrins, ar šie įrašai yra DNS, ir sukurs jums sertifikatus.
jei pridėjote sertifikatą, bet certbotas nerado - pabandykite iš naujo paleisti komandą po 5–10 minučių.
Na, štai mes didžiuojamės „Let'sEncrypt“ sertifikato savininkais 90 dienų, bet dabar turime jį įkelti į „Docker“.
Norėdami tai padaryti, pačiu trivialiausiu būdu docker-compose.yml nginx skyriuje susiejame katalogus.
Docker-compose.yml pavyzdys su SSL
version: '2'
services:
php:
build: ./php-fpm
volumes:
- ./StomUp:/var/www/StomUp
- /etc/letsencrypt/live/stomup.ru/:/etc/letsencrypt/live/stomup.ru/
- ./php-fpm/php.ini:/usr/local/etc/php/php.ini
depends_on:
- mysql
container_name: "StomPHP"
web:
image: nginx:latest
ports:
- "80:80"
- "443:443"
volumes:
- ./StomUp:/var/www/StomUp
- /etc/letsencrypt/:/etc/letsencrypt/
- ./nginx/main.conf:/etc/nginx/conf.d/default.conf
depends_on:
- php
mysql:
image: mysql:5.7
command: mysqld --sql_mode=""
environment:
MYSQL_ROOT_PASSWORD: xxx
ports:
- "3333:3306"
Susieta? Puiku – tęskime:
Dabar turime pakeisti konfigūraciją nginx dirbti su 443 uostas ir SSL apskritai:
Main.conf konfigūracijos su SSL pavyzdys
#
server {
listen 443 ssl http2;
listen [::]:443 ssl http2;
server_name *.stomup.ru stomup.ru;
set $base /var/www/StomUp;
root $base/public;
# SSL
ssl_certificate /etc/letsencrypt/live/stomup.ru/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/stomup.ru/privkey.pem;
ssl_trusted_certificate /etc/letsencrypt/live/stomup.ru/chain.pem;
client_max_body_size 5M;
location / {
# try to serve file directly, fallback to index.php
try_files $uri /index.php$is_args$args;
}
location ~ ^/index.php(/|$) {
#fastcgi_pass unix:/var/run/php7.2-fpm.sock;
fastcgi_pass php:9000;
fastcgi_split_path_info ^(.+.php)(/.*)$;
include fastcgi_params;
fastcgi_param SCRIPT_FILENAME $realpath_root$fastcgi_script_name;
fastcgi_param DOCUMENT_ROOT $realpath_root;
fastcgi_buffer_size 128k;
fastcgi_buffers 4 256k;
fastcgi_busy_buffers_size 256k;
internal;
}
location ~ .php$ {
return 404;
}
error_log /var/log/nginx/project_error.log;
access_log /var/log/nginx/project_access.log;
}
# HTTP redirect
server {
listen 80;
listen [::]:80;
server_name *.stomup.ru stomup.ru;
location / {
return 301 https://stomup.ru$request_uri;
}
}
Tiesą sakant, po šių manipuliacijų einame į katalogą su Docker-compose, rašome docker-compose up -d. Ir mes patikriname SSL funkcionalumą. Viskas turėtų pakilti.
Svarbiausia nepamiršti, kad Let'sEnctypt sertifikatas išduodamas 90 dienų ir jį reikės atnaujinti per komandą sudo certbot renew, tada iš naujo paleiskite projektą naudodami komandą docker-compose restart
Kita galimybė yra pridėti šią seką prie crontab.
Mano nuomone, tai yra lengviausias būdas prijungti SSL prie „Docker“ žiniatinklio programos.
PS Atsižvelkite į tai, kad visi tekste pateikti scenarijai nėra galutiniai, projektas šiuo metu yra gilioje kūrimo stadijoje, todėl norėčiau paprašyti nekritikuoti konfigūracijų – jos bus daug kartų keičiamos.
Šaltinis: www.habr.com