V tomto článku sa s vami chcem podeliť o spôsob vytvorenia certifikátu SSL pre vašu webovú aplikáciu spustenú na Dockeri, pretože... V ruskojazyčnej časti internetu som takéto riešenie nenašiel.
Viac detailov pod strihom.
Mali sme docker v.17.05, docker-compose v.1.21, Ubuntu Server 18 a pintu čistého Let'sEncrypt. Nie je to tak, že je potrebné nasadiť produkciu na Docker. Ale akonáhle začnete stavať Docker, je ťažké zastaviť.
Na začiatok teda dám štandardné nastavenia - ktoré sme mali vo fáze dev, t.j. bez portu 443 a SSL vo všeobecnosti:
prístavný robotník-compose.yml
version: '2'
services:
php:
build: ./php-fpm
volumes:
- ./StomUp:/var/www/StomUp
- ./php-fpm/php.ini:/usr/local/etc/php/php.ini
depends_on:
- mysql
container_name: "StomPHP"
web:
image: nginx:latest
ports:
- "80:80"
- "443:443"
volumes:
- ./StomUp:/var/www/StomUp
- ./nginx/main.conf:/etc/nginx/conf.d/default.conf
depends_on:
- php
mysql:
image: mysql:5.7
command: mysqld --sql_mode=""
environment:
MYSQL_ROOT_PASSWORD: xxx
ports:
- "3333:3306"
nginx/main.conf
server {
listen 80;
server_name *.stomup.ru stomup.ru;
root /var/www/StomUp/public;
client_max_body_size 5M;
location / {
# try to serve file directly, fallback to index.php
try_files $uri /index.php$is_args$args;
}
location ~ ^/index.php(/|$) {
#fastcgi_pass unix:/var/run/php7.2-fpm.sock;
fastcgi_pass php:9000;
fastcgi_split_path_info ^(.+.php)(/.*)$;
include fastcgi_params;
fastcgi_param SCRIPT_FILENAME $realpath_root$fastcgi_script_name;
fastcgi_param DOCUMENT_ROOT $realpath_root;
fastcgi_buffer_size 128k;
fastcgi_buffers 4 256k;
fastcgi_busy_buffers_size 256k;
internal;
}
location ~ .php$ {
return 404;
}
error_log /var/log/nginx/project_error.log;
access_log /var/log/nginx/project_access.log;
}
Ďalej musíme implementovať SSL. Aby som bol úprimný, strávil som asi 2 hodiny štúdiom com zóny. Všetky ponúkané možnosti sú zaujímavé. Ale v súčasnej fáze projektu sme my (podnik) potrebovali rýchlo a spoľahlivo skrutkovať SSL Let'sEnctype к nginx kontajner a nič viac.
Najprv sme ho nainštalovali na server certbot
sudo apt-get install certbot
Ďalej sme vygenerovali zástupné certifikáty pre našu doménu
sudo certbot certonly -d stomup.ru -d *.stomup.ru --manual --preferred-challenges dns
po spustení nám certbot poskytne 2 záznamy TXT, ktoré je potrebné špecifikovať v nastaveniach DNS.
_acme-challenge.stomup.ru TXT {тотКлючКоторыйВамВыдалCertBot}
A stlačte enter.
Potom certbot skontroluje prítomnosť týchto záznamov v DNS a vytvorí pre vás certifikáty.
ak ste pridali certifikát, ale certbot nenašiel - skúste príkaz reštartovať po 5-10 minútach.
Tu sme hrdými vlastníkmi certifikátu Let'sEncrypt na 90 dní, ale teraz ho musíme nahrať na Docker.
Aby sme to dosiahli najtriviálnejším spôsobom, v docker-compose.yml v sekcii nginx prepojíme adresáre.
Príklad docker-compose.yml s SSL
version: '2'
services:
php:
build: ./php-fpm
volumes:
- ./StomUp:/var/www/StomUp
- /etc/letsencrypt/live/stomup.ru/:/etc/letsencrypt/live/stomup.ru/
- ./php-fpm/php.ini:/usr/local/etc/php/php.ini
depends_on:
- mysql
container_name: "StomPHP"
web:
image: nginx:latest
ports:
- "80:80"
- "443:443"
volumes:
- ./StomUp:/var/www/StomUp
- /etc/letsencrypt/:/etc/letsencrypt/
- ./nginx/main.conf:/etc/nginx/conf.d/default.conf
depends_on:
- php
mysql:
image: mysql:5.7
command: mysqld --sql_mode=""
environment:
MYSQL_ROOT_PASSWORD: xxx
ports:
- "3333:3306"
Spojený? Skvelé - pokračujeme:
Teraz musíme zmeniť konfiguráciu nginx pracovať s 443 prístav a SSL všeobecne:
Príklad konfigurácie main.conf s SSL
#
server {
listen 443 ssl http2;
listen [::]:443 ssl http2;
server_name *.stomup.ru stomup.ru;
set $base /var/www/StomUp;
root $base/public;
# SSL
ssl_certificate /etc/letsencrypt/live/stomup.ru/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/stomup.ru/privkey.pem;
ssl_trusted_certificate /etc/letsencrypt/live/stomup.ru/chain.pem;
client_max_body_size 5M;
location / {
# try to serve file directly, fallback to index.php
try_files $uri /index.php$is_args$args;
}
location ~ ^/index.php(/|$) {
#fastcgi_pass unix:/var/run/php7.2-fpm.sock;
fastcgi_pass php:9000;
fastcgi_split_path_info ^(.+.php)(/.*)$;
include fastcgi_params;
fastcgi_param SCRIPT_FILENAME $realpath_root$fastcgi_script_name;
fastcgi_param DOCUMENT_ROOT $realpath_root;
fastcgi_buffer_size 128k;
fastcgi_buffers 4 256k;
fastcgi_busy_buffers_size 256k;
internal;
}
location ~ .php$ {
return 404;
}
error_log /var/log/nginx/project_error.log;
access_log /var/log/nginx/project_access.log;
}
# HTTP redirect
server {
listen 80;
listen [::]:80;
server_name *.stomup.ru stomup.ru;
location / {
return 301 https://stomup.ru$request_uri;
}
}
V skutočnosti po týchto manipuláciách prejdeme do adresára s Docker-compose, napíšeme docker-compose up -d. A kontrolujeme funkčnosť SSL. Všetko by sa malo rozbehnúť.
Hlavná vec je nezabudnúť, že certifikát Let'sEnctypt sa vydáva na 90 dní a budete si ho musieť obnoviť príkazom sudo certbot renewa potom reštartujte projekt pomocou príkazu docker-compose restart
Ďalšou možnosťou je pridať túto sekvenciu do crontab.
Podľa môjho názoru je to najjednoduchší spôsob pripojenia SSL k webovej aplikácii Docker.
PS Prosím, berte do úvahy, že všetky skripty prezentované v texte nie sú konečné, projekt je teraz vo fáze hlbokého vývoja, takže by som vás chcel poprosiť, aby ste nekritizovali konfigurácie - budú mnohokrát upravované.
Zdroj: hab.com