自动生成免费 letsencrypt ssl 证书的全自动 nginx 反向代理 docker 镜像

2017-06-05 09:29:34 +08:00
 neilp

本文是介绍一个 docker 镜像的, 可以全自动实现反向代理, 并自动配置 ssl 证书.

这里主要说两个问题:

  1. 对于只有一个公网 ip 的 docker host, 如果想在其中跑多个 web server 就有问题了, 因为 80 端口只能分配给一个 docker container. 怎么办, 一个好办法就是开一个反向代理. 把 80 端口分配给反向代理, 然后反向代理再根据域名分发给不同的内部 docker container. 看起来很简单对吧, 这没什么. 但是你一旦关闭重启内部的 web server container, 它的内部 ip 可能就会发生改变, 此时你不得不修改反向代理的配置, 并重新加载. 这些工作能不能自动完成 ?
  2. 第二个问题, 反向代理上能不能自动配置 ssl 证书. letsencrypt 不是有免费证书吗?

很好, 这两个问题的答案都是肯定的. 分三步来说. 不用担心, 非常简单, 本文不会很长, 你会在几分钟只内完成.

1. 先说第一个问题. 自动配置 docker 反向代理.

用 nginx 镜像做一个反向代理, 并且能根据当前 docker host 的 container 的变化, 自动配置反向代理的 ip 和端口.

这个问题其实早就有人解决了, 比如这两个项目:

使用 docker api 可以自动监控 container 变化, 根据模板生成配置文件.

https://github.com/jwilder/docker-gen

作者另外的一个项目, 专门实现了 nginx 的反向代理.

https://github.com/jwilder/nginx-proxy

如果你只需要反向代理, 并不需要自动配置 ssl 的话, 本文你读到这里就可以了.

2. 第二个问题, 为 nginx 反向代理自动配置 ssl

为了自动配置 ssl, 我 fork 了上面的项目, 并做了少量修改, 加入了 acme.sh 的支持, 可以实现全自动 配置 ssl 证书.

https://github.com/Neilpang/nginx-proxy

并且已经在 docker hub 上发布了 trusted build:

docker  pull  neilpang/nginx-proxy

3. 第三步, 快速上手

1. 首先在运行反向代理:


mkdir proxy

cd proxy


docker run  \
--rm -it  -d \
-p 80:80 \
-p 443:443  \
-v /var/run/docker.sock:/tmp/docker.sock:ro  \
-v $(pwd)/certs:/etc/nginx/certs \
-v $(pwd)/acme:/acmecerts \
neilpang/nginx-proxy

稍微解释一下: 运行一个反向代理 并把 80443 端口都分配给它. 并且把 /var/run/docker.sock 传递给 container , 这是 docker api 操作文件.

2. 现在可以运行你的 web server container 了:

先把你的一个域名解析到 docker host ip, 例如: example.com

然后, 我们随便启动一个 webserver:

docker run --rm -it -d \
-e VIRTUAL_HOST=example.com \
--name test \
httpd

注意到上面的参数了吗: -e VIRTUAL_HOST=example.com.

我们在上一步中运行的 neilpang/nginx-proxy 会自动监控这个 host 上的每一个 container 的变化. 如果发现有 VIRTUAL_HOST 变量, 就会自动配置反向代理.

试试访问你的域名:

http://example.com

现在给这个反向代理配置 ssl:

在此之前,请确保你的域名已经指向了主机 ip, 因为 letsencrypt 证书需要验证域名所有权.

docker kill test

docker run --rm -it -d \
-e VIRTUAL_HOST=example.com \
-e ENABLE_ACME=true \
--name test \
httpd

注意到不同了吗, 仅仅多了一个变量: ENABLE_ACME=true

大概几十秒之后, ssl 证书就会自动配置成功了.

访问试试:

https://example.com

注意, 这个个证书是自动配置的, 今后会自动更新, 让你完全忘了它的存在.

有多个域名绑定: 用逗号分隔.

docker kill test

docker run --rm -it -d \
-e VIRTUAL_HOST=example.com,www.example.com \
-e ENABLE_ACME=true \
--name test \
httpd

另外, 这个镜像还有一个好处就是已经配置了从 http 跳转到 https, 并且自动启用 http 2.0

原文链接: https://github.com/Neilpang/nginx-proxy/wiki

希望能帮到更多人,节约你的时间和精力.

欢迎大家转载 请保留链接.

欢迎 star:

https://github.com/Neilpang/nginx-proxy

7268 次点击
所在节点    SSL
11 条回复
momocraft
2017-06-05 09:42:45 +08:00
不错,有点服务发现的意思了.. 纯支持
gamexg
2017-06-05 10:06:29 +08:00
有个问题,证书过期生成新证书后 nginx 并不会载入新证书。
碰到 2 次了,浏览器打开提示证书错误,重启 nginx 才载入新证书。
gamexg
2017-06-05 10:09:45 +08:00
@gamexg #2 额,看错了,不是一个项目,我说的是另一个 docker-letsencrypt-nginx-proxy-companion。
ziyuan
2017-06-05 10:46:08 +08:00
很不错,收藏了。
kukat
2017-06-05 11:26:30 +08:00
一直在用 https://github.com/JrCs/docker-letsencrypt-nginx-proxy-companion

你这个好像不支持反代非 80 端口的容器?
neilp
2017-06-05 13:10:09 +08:00
@kukat
可以的, 请看我的附加内容.
jonechenug
2017-06-05 13:30:44 +08:00
http://www.jianshu.com/p/2c6fd9e43aa7
已经有人写过类似的教程了,还是图文。
CEBBCAT
2017-06-05 15:26:07 +08:00
看起来很适合我,又给我理由学习 docker,谢谢
slime7
2017-08-12 16:40:44 +08:00
虽然看到是坟,不过用了楼主的魔改反带,子域名在不同容器,主站开了 ssl 的话,不开启 acme 的其他域名也会自动 301 到 https 的链接。( aria2c 没开 ssl,webui-aria2 如果用 ssl 的话,连不上 rpc )
lzs5240
2019-09-12 10:58:18 +08:00
漂亮喔, 很有用, 多谢楼主的工作!
lzs5240
2019-09-12 16:10:56 +08:00
支持泛域名吗?

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/365967

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX