Recentemente troquei o servidor virtual e tive que configurar tudo novamente. Prefiro que o site seja acessível via https e permita que os certificados criptografados sejam obtidos e renovados automaticamente. Isso pode ser conseguido usando duas imagens docker nginx-proxy e nginx-proxy-companion.
Este é um guia de como configurar um site no Docker, com um proxy que recebe certificados SSL automaticamente. O servidor virtual CentOS 7 é usado.
Presumo que o servidor já tenha sido adquirido, configurado, logado usando uma chave, fail2ban instalado, etc.
Primeiro você precisa instalar o docker.
- Primeiro você precisa instalar dependências
$ sudo yum install -y yum-utils device-mapper-persistent-data lvm2
- Conectar repositório
$ sudo yum-config-manager --add-repo https://download.docker.com/linux/centos/docker-ce.repo
- Em seguida, instale a edição da comunidade do Docker
$ sudo yum install docker-ce docker-ce-cli containerd.io
- Adicione o docker à inicialização e execute
$ sudo systemctl enable docker $ sudo systemctl start docker
- Adicione um usuário ao grupo docker para poder executar o docker sem sudo
$ usermod -aG docker user
A próxima etapa é instalar o docker-compose. O utilitário pode ser instalado de várias maneiras, mas prefiro instalar através do pip manager e virtualenv, para não sobrecarregar o sistema com pacotes desnecessários.
- Instale o pip
$ sudo yum install python-pip
- Instale virtualenv
$ pip install virtualenv
- Em seguida você precisa criar uma pasta com o projeto e inicializá-lo. A pasta com tudo que você precisa para gerenciar pacotes se chamará ve.
$ mkdir docker $ cd docker $ virtualenv ve
- Para começar a usar o ambiente virtual, você precisa executar o seguinte comando na pasta do projeto.
$ source ve/bin/activate
- Você pode instalar o docker-compose.
pip install docker-compose
Para que os containers se vejam, criaremos uma rede. Por padrão, o driver bridge é usado.
$ docker network create network
Em seguida você precisa configurar o docker-compose, o proxy estará na pasta proxy, o site de teste estará na pasta de teste. Por exemplo, estou usando o nome de domínio example.com
$ mkdir proxy $ mkdir test $ touch proxy/docker-compose.yml $ touch test/docker-compose.yml
Conteúdo proxy/docker-compose.yml
version: '3' networks: default: external: name: network services: nginx-proxy: container_name: nginx-proxy image: jwilder/nginx-proxy ports: - 80:80 - 443:443 volumes: - certs:/etc/nginx/certs - vhost.d:/etc/nginx/vhost.d - html:/usr/share/nginx/html - /var/run/docker.sock:/tmp/docker.sock:ro nginx-proxy-letsencrypt: container_name: nginx-proxy-letsencrypt image: jrcs/letsencrypt-nginx-proxy-companion volumes: - certs:/etc/nginx/certs - vhost.d:/etc/nginx/vhost.d - html:/usr/share/nginx/html - /var/run/docker.sock:/var/run/docker.sock:ro environment: - NGINX_PROXY_CONTAINER=nginx-proxy volumes: certs: vhost.d: html:
Variável de ambiente NGINX_PROXY_CONTAINER é necessário que o contêiner letsencrypt veja o contêiner proxy. As pastas /etc/nginx/certs /etc/nginx/vhost.d e /usr/share/nginx/html devem ser compartilhadas por ambos os contêineres. Para que o contêiner letsencrypt funcione corretamente, o aplicativo deve estar acessível nas portas 80 e 443.
Conteúdo teste/docker-compose.yml
version: '3' networks: default: external: name: network services: nginx: container_name: nginx image: nginx:latest environment: - VIRTUAL_HOST=example.com - LETSENCRYPT_HOST=example.com - [email protected]
Aqui, as variáveis de ambiente são necessárias para que o proxy processe corretamente a solicitação ao servidor e solicite um certificado para o nome de domínio correto.
Tudo o que resta é executar o docker-compose
$ cd proxy $ docker-compose up -d $ cd ../test $ docker-compose up -d
Fonte: habr.com