码迷,mamicode.com
首页 > Web开发 > 详细

Docker使用nginx-proxy对Nextcloud进行https反向代理

时间:2019-08-31 00:46:19      阅读:738      评论:0      收藏:0      [点我收藏+]

标签:res   免费   vhost   php文件   nec   col   for   tlsv1   请求   


安装完Nextcloud之后,下一步就是启用https了。在不使用Docker的时候,一般都是去服务器(如apache)里面启用https功能并添加证书,但是我在 https://hub.docker.com/_/nextcloud 下面的介绍里面并没有发现相关的说明,相反那儿却给出了使用 ?nginx-proxy?和docker-letsencrypt-nginx-proxy-companion 进行反向代理的方式。这种方式使用nginx-proxy建立一个代理服务器,自动查询docker内部的容器并转发请求,而且配合letsencrypt自动申请和续期证书。

这种方式看起来挺牛逼的,可以对多个容器进行代理,省去了一个一个配置https的麻烦,这么好的东西,开干啊!

当然事情不可能那么顺利,前面有坑在等着呢。

https://github.com/nextcloud/docker/tree/master/.examples 上面说要用docker-compose来安装,那么就安装吧。安装方法有很多种,有到github上面下载的,有用python安装pip后在安装的。其实,用ubuntu的话,直接通过下面一条命令就可以了。

sudo apt install docker-compose

顺便查了下docker-compose,其实是用来管理多个镜像的,把原来需要一个个需要手动启动配置的容器操作简化了。然后看了下 jwilder/nginx-proxy?和jrcs/docker-letsencrypt-nginx-proxy-companion。前面的一大堆说明都还好,操作起来应该没问题,但是后面的一看就有问题了,

Requirements:

  • Your host must be publicly reachable on both port 80 and 443.

需要公网80和443端口,这就坑爹了,看来免费的ssl证书没法用了。(有公网IP的可以按照文档继续试试,反正到这步我就停了)

之前在阿里云买了个域名,可以申请一个免费证书,但是只是二级域名的,那就使用这个证书看看能不能在nginx-proxy中使用。

如果可以申请多个二级证书或者*.domain.com类型的证书,可以实现https://a.domain.com,https://a.domain.com这样的访问,域名和容器一一对应;如果只有一个二级证书,那么只能实现https://a.domain.com,但是可以在后面添加路径,然后借助nginx-proxy代理到不同的容器上面,即https://a.domain.com/nextcloud,https://a.domain.com/wordpress。

nginx-proxy

既然无法使用let‘s encrypt申请证书,那么就只能直接使用nginx-proxy来进行代理了。拉取镜像启动容器,直接用portainer或者命令行就行了,没必要用docker-compose了。

jwilder/nginx-proxy
docker run -d -p 80:80 -v /var/run/docker.sock:/tmp/docker.sock:ro jwilder/nginx-proxy

这样仅仅是启动了http代理,并没有启动https,启动https需要另外进行以下操作,

  • 映射443端口
  • 添加证书路径到/etc/nginx/certs,这个可以直接映射主机证书路径
  • 证书按照foo.bar.com.crt 和foo.bar.com.key的格式命名,阿里云下载的证书需要手动把pem后缀改为crt后缀。

接下来进行代理配置,修改nginx的配置文件,映射自定义的proxy.conf到/etc/nginx/proxy.conf,配置里面主要是添加https支持,以及主机映射。

# HTTP 1.1 support
proxy_http_version 1.1;
proxy_buffering off;
proxy_set_header Host $http_host;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection $proxy_connection;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $proxy_x_forwarded_proto;
proxy_set_header X-Forwarded-Ssl $proxy_x_forwarded_ssl;
proxy_set_header X-Forwarded-Port $proxy_x_forwarded_port;

# Mitigate httpoxy attack (see README for details)
proxy_set_header Proxy "";

server {
	server_name foo.bar.com;
	listen 443 ssl http2 ;
	access_log /var/log/nginx/access.log vhost;
	ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3;
	ssl_ciphers ‘ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:!DSS‘;
	ssl_prefer_server_ciphers on;
	ssl_session_timeout 5m;
	ssl_session_cache shared:SSL:50m;
	ssl_session_tickets off;
	ssl_certificate /etc/nginx/certs/foo.bar.com.crt;
	ssl_certificate_key /etc/nginx/certs/foo.bar.com.key;
	add_header Strict-Transport-Security "max-age=31536000" always;
	location /nextcloud/ {
		proxy_pass http://nextcloud.bar.com/;
	}
}

所以,最终nginx-proxy的配置应该是这样的

技术图片
端口映射
技术图片
卷映射

容器配置

为了让nginx-proxy找到代理对象,需要在创建容器的时候添加环境变量,如VIRTUAL_HOST=nextcloud.bar.com,下面是nextcloud的配置。

技术图片

Nextcloud配置

经过上述配置,nginx-proxy应该已经可以正常进行https代理了,但是对于nextcloud还需要进行额外的设置。

编辑/nextcloud/config/config.php文件,

‘trusted_domains‘ 中添加域名foo.bar.com

trusted_proxies 中添加代理地址

‘overwriteprotocol‘ => ‘https‘

‘overwritewebroot‘ => ‘/nextcloud‘

最后,看看效果图

技术图片

Docker使用nginx-proxy对Nextcloud进行https反向代理

标签:res   免费   vhost   php文件   nec   col   for   tlsv1   请求   

原文地址:https://www.cnblogs.com/haisong1991/p/11437681.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!