在本文中,我想與您分享一種為運行在 Docker 上的 Web 應用程式建立 SSL 憑證的方法,因為... 我在網路的俄語部分沒有找到這樣的解決方案。
剪切下的更多細節。
我們有 docker v.17.05、docker-compose v.1.21、Ubuntu Server 18 和一品脫純 Let'sEncrypt。 這並不是說必須在 Docker 上部署生產。 但是一旦你開始建置 Docker,就很難停下來。
因此,首先,我將給出我們在開發階段的標準設置,即通常沒有連接埠 443 和 SSL:
泊塢窗,compose.yml
version: '2'
services:
php:
build: ./php-fpm
volumes:
- ./StomUp:/var/www/StomUp
- ./php-fpm/php.ini:/usr/local/etc/php/php.ini
depends_on:
- mysql
container_name: "StomPHP"
web:
image: nginx:latest
ports:
- "80:80"
- "443:443"
volumes:
- ./StomUp:/var/www/StomUp
- ./nginx/main.conf:/etc/nginx/conf.d/default.conf
depends_on:
- php
mysql:
image: mysql:5.7
command: mysqld --sql_mode=""
environment:
MYSQL_ROOT_PASSWORD: xxx
ports:
- "3333:3306"
nginx/main.conf
server {
listen 80;
server_name *.stomup.ru stomup.ru;
root /var/www/StomUp/public;
client_max_body_size 5M;
location / {
# try to serve file directly, fallback to index.php
try_files $uri /index.php$is_args$args;
}
location ~ ^/index.php(/|$) {
#fastcgi_pass unix:/var/run/php7.2-fpm.sock;
fastcgi_pass php:9000;
fastcgi_split_path_info ^(.+.php)(/.*)$;
include fastcgi_params;
fastcgi_param SCRIPT_FILENAME $realpath_root$fastcgi_script_name;
fastcgi_param DOCUMENT_ROOT $realpath_root;
fastcgi_buffer_size 128k;
fastcgi_buffers 4 256k;
fastcgi_busy_buffers_size 256k;
internal;
}
location ~ .php$ {
return 404;
}
error_log /var/log/nginx/project_error.log;
access_log /var/log/nginx/project_access.log;
}
接下來,我們實際上需要實作 SSL。 說實話,我花了大約2個小時研究com zone。 那裡提供的所有選項都很有趣。 但在專案的現階段,我們(企業)需要快速可靠地擰緊 SSL Let'sEnctypt к nginx的 容器僅此而已。
首先我們在伺服器上安裝 certbot
sudo apt-get install certbot
接下來,我們為網域產生通配符憑證
sudo certbot certonly -d stomup.ru -d *.stomup.ru --manual --preferred-challenges dns
執行後,certbot將為我們提供2筆需要在DNS設定中指定的TXT記錄。
_acme-challenge.stomup.ru TXT {тотКлючКоторыйВамВыдалCertBot}
然後按回車鍵。
此後,certbot 將檢查 DNS 中是否存在這些記錄並為您建立憑證。
如果您已新增憑證但是 certbot 沒有找到它 - 嘗試在 5-10 分鐘後重新啟動該命令.
好吧,我們很自豪地擁有 Let'sEncrypt 憑證 90 天,但現在我們需要將其上傳到 Docker。
為此,我們以最簡單的方式在 docker-compose.yml 的 nginx 部分中連結目錄。
使用 SSL 的 docker-compose.yml 範例
version: '2'
services:
php:
build: ./php-fpm
volumes:
- ./StomUp:/var/www/StomUp
- /etc/letsencrypt/live/stomup.ru/:/etc/letsencrypt/live/stomup.ru/
- ./php-fpm/php.ini:/usr/local/etc/php/php.ini
depends_on:
- mysql
container_name: "StomPHP"
web:
image: nginx:latest
ports:
- "80:80"
- "443:443"
volumes:
- ./StomUp:/var/www/StomUp
- /etc/letsencrypt/:/etc/letsencrypt/
- ./nginx/main.conf:/etc/nginx/conf.d/default.conf
depends_on:
- php
mysql:
image: mysql:5.7
command: mysqld --sql_mode=""
environment:
MYSQL_ROOT_PASSWORD: xxx
ports:
- "3333:3306"
連結? 太棒了 - 讓我們繼續:
現在我們需要更改配置 nginx的 跟...共事 443 港口和 SSL 一般來說:
使用 SSL 的 main.conf 設定範例
#
server {
listen 443 ssl http2;
listen [::]:443 ssl http2;
server_name *.stomup.ru stomup.ru;
set $base /var/www/StomUp;
root $base/public;
# SSL
ssl_certificate /etc/letsencrypt/live/stomup.ru/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/stomup.ru/privkey.pem;
ssl_trusted_certificate /etc/letsencrypt/live/stomup.ru/chain.pem;
client_max_body_size 5M;
location / {
# try to serve file directly, fallback to index.php
try_files $uri /index.php$is_args$args;
}
location ~ ^/index.php(/|$) {
#fastcgi_pass unix:/var/run/php7.2-fpm.sock;
fastcgi_pass php:9000;
fastcgi_split_path_info ^(.+.php)(/.*)$;
include fastcgi_params;
fastcgi_param SCRIPT_FILENAME $realpath_root$fastcgi_script_name;
fastcgi_param DOCUMENT_ROOT $realpath_root;
fastcgi_buffer_size 128k;
fastcgi_buffers 4 256k;
fastcgi_busy_buffers_size 256k;
internal;
}
location ~ .php$ {
return 404;
}
error_log /var/log/nginx/project_error.log;
access_log /var/log/nginx/project_access.log;
}
# HTTP redirect
server {
listen 80;
listen [::]:80;
server_name *.stomup.ru stomup.ru;
location / {
return 301 https://stomup.ru$request_uri;
}
}
實際上,經過這些操作,我們進入Docker-compose所在的目錄,寫入docker-compose up -d。 我們檢查 SSL 的功能。 一切都應該起飛。
最重要的是不要忘記 Let'sEnctypt 憑證的有效期為 90 天,您需要透過命令更新它 sudo certbot renew,然後使用指令重新啟動項目 docker-compose restart
另一種選擇是將此序列新增至 crontab。
在我看來,這是將 SSL 連接到 Docker Web 應用程式的最簡單方法。
PS請注意,文字中呈現的所有腳本都不是最終的,該專案現在處於深度開發階段,所以我想請您不要批評配置 - 它們會被修改很多次。
來源: www.habr.com