投稿
  1. 首页
  2. 语言综合

在Docker上部署自动更新ssl证书的nginx + .NET Core

比价网 2022-6-5 语言综合 阅读 15

在Docker上部署自动更新ssl证书的nginx + .NET Core,第1张

概述突发奇想要搞一个ssl的服务器,然后我就打起了docker的主意,想着能不能搞一个基于Docker的服务器,这样维护起来也方便一点。 设想 想法是满足这么几点: .NET Core on Docker

突发奇想要搞一个ssl的服务器,然后我就打起了docker的主意,想着能不能搞一个基于Docker的服务器,这样维护起来也方便一点。

设想

想法是满足这么几点:

.NET Core on DockerLet’s Encypt on DockerNginx on Docker用于反向代理Let’s Encypt证书有效期很短,需要能够自动更新

Nginx与dotnet都提供了docker部署的方案,但是Let’s Encypt的certbot提供的文档强调了这个方法不是很推荐,主要原因是从其他位置不太方便访问certbot的证书。当然可以通过volumes映射文件访问,但是端口80和443的独立占用也不好解决,或许DNS验证的方法可行?

这方面我也不是很懂啊,就换一种思路,将Nginx和certbot放在一个container,.NET Core单独放在一个地方。由Nginx加载证书并提供反向代理,.NET Core程序提供一个http访问即可,不需要证书。如果后续续期了,还可以顺带一并处理Nginx刷新的事情。

方法准备

确定你有一个能够正确解析到主机的域名,假设是yourdomain.com。我这里 *** 作的主机是CentOS 8的,其他发行版,包括windows也应该 *** 作方式类似。

接下来我们先看看两个单独都应该怎么配置。

Nginx+certbot

首先是制作docker image,选择一个比较简单的linux发行版,比如alpine进行。先建立一个Dockerfile

FROM Nginx:alpineRUN sed -i 's/dl-cdn.alpinelinux.org/mirrors.ustc.edu.cn/g' /etc/apk/repositorIEsRUN sed -i 's/http/https/g' /etc/apk/repositorIEsRUN apk updateRUN apk add certbot certbot-NginxRUN mkdir /etc/letsencryptcopY Nginx.conf /etc/Nginx/Nginx.conf

然后在当前目录创建一个Nginx配置文件

为什么不使用conf.d的网站配置,而是直接修改Nginx.conf?由于我想直接使用certbot的--Nginx指令直接配置Nginx,如果使用了子配置的形式,certbot认不出来。

user  Nginx;worker_processes  auto;error_log  /var/log/Nginx/error.log warn;pID        /var/run/Nginx.pID;events {    worker_connections  1024;}http {    include       /etc/Nginx/mime.types;    default_type  application/octet-stream;    log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '                      '$status $body_bytes_sent "$http_referer" '                      '"$http_user_agent" "$http_x_forwarded_for"';    access_log  /var/log/Nginx/access.log  main;    sendfile        on;    #tcp_nopush     on;    keepalive_timeout  65;    #gzip  on;         #include /etc/Nginx/conf.d/*.conf;	server {	    Listen       80;	    server_name  yourdomain.com;# 注意名称一定要是你需要验证的域名		    location / {	        root   /usr/share/Nginx/HTML;	        index  index.HTML index.htm;	    }		    error_page   500 502 503 504  /50x.HTML;	    location = /50x.HTML {	        root   /usr/share/Nginx/HTML;	    }	}}

然后在当前目录执行

docker build . -t Nginx-certbot --network=host

编译完成之后,就是运行了,需要打开80端口用于验证。

docker run -v $(pwd)/letsencrypt:/etc/letsencrypt -d -p 80:80 -p 443:443 Nginx-certbot

第一次运行需要手动申请一下新的证书,运行

docker exec -it [你的container_name] sh

进入了交互式界面,继续执行

certbot --Nginx -d yourdomain.com

按照提示一步一步即可完成域名验证。

然后需要增加一个自动运行的服务,可以使用crond,先增加一条运行任务。

echo "0 0 1 * * /usr/bin/certbot renew --quIEt" >> /etc/crontabs/root

具体的crond设置的方法,可以参考其他文章,上面设置每个月1号执行。不能设置太勤,会被block
运行ps,如果crond不在运行,手动运行一下crond即可。
全部完成之后,运行exit退出container的shell。

.NET Core app

首先dotnet new webapp,然后直接build,即可生成一个默认发布在5000端口的app,反向代理需要有一个设置,添加一个请求头:

app.UseForwardedheaders(new ForwardedheadersOptions{        Forwardedheaders = Forwardedheaders.XForwardedFor | Forwardedheaders.XForwardedProto});

然后执行dotnet publish命令,就可以生成可以发布执行的文件了。(这里可以参考官方的文档,不是本文重点我就不写了。)

下一步是制作Dockerfile。

FROM mcr.microsoft.com/dotnet/core/aspnet:3.0 AS runtimeworkdir /appcopY published/* ./ENTRYPOINT ["dotnet","dot.dll"]

注:现在dotnet版本不同,可能生成所在的监听端口也有不同。

整合

掌握了上面的基础之后,我们需要整合了,
修改Nginx.conf

# For more information on configuration,see:#   * Official English documentation: http://Nginx.org/en/docs/#   * Official Russian documentation: http://Nginx.org/ru/docs/user Nginx;worker_processes auto;error_log /var/log/Nginx/error.log;pID /run/Nginx.pID;# Load dynamic modules. See /usr/share/doc/Nginx/README.dynamic.include /usr/share/Nginx/modules/*.conf;events {    worker_connections 1024;}http {    log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '                      '$status $body_bytes_sent "$http_referer" '                      '"$http_user_agent" "$http_x_forwarded_for"';    access_log  /var/log/Nginx/access.log  main;    sendfile            on;    tcp_nopush          on;    tcp_nodelay         on;    keepalive_timeout   65;    types_hash_max_size 2048;    include             /etc/Nginx/mime.types;    default_type        application/octet-stream;    # Load modular configuration files from the /etc/Nginx/conf.d directory.    # See http://Nginx.org/en/docs/ngx_core_module.HTML#include    # for more information.    # include /etc/Nginx/conf.d/*.conf;    server {    Listen        80;    server_name   yourdomain.com;     location / {        proxy_pass         http://192.168.48.2:5000;        proxy_http_version 1.1;        proxy_set_header   Upgrade $http_upgrade;        proxy_set_header   Connection keep-alive;        proxy_set_header   Host $host;        proxy_cache_bypass $http_upgrade;        proxy_set_header   X-Forwarded-For $proxy_add_x_forwarded_for;        proxy_set_header   X-Forwarded-Proto $scheme;    }}}

设置好了之后,还是前面分部的步骤来,就先启动ASP.NET Core然后再启动Nginx就好了。注意需要提前创建brIDge网络,并将两个container加入进来,并且将上面的IP设置成对应的IP,要不会导致无法正常转发。

优化与改进

有的老铁已经发现了,这种方法比较麻烦,第一次启动的时候,需要做的事情很多,第二次启动很多配置也会丢失,而且还要手动创建网络,有没有什么好办法呢?
有两个地方可以进行优化:

crond部分有一个增加自动化任务的工作,我这里使用了echo方法向crond增加记录,其实完全可以自动化这个步骤并确保这个服务启动。其实可以将这个内容在build中打包进去,或者也可以使用docker-compose设置启动的命令。

Nginx.conf提取出来,以更好服务.NET Core,可以使用volume进行映射,通过本机映射文件的形式进行管理。

按照上面的思路,使用docker-compose优化一下,首先编写一个docker-compose.yml

version: '3.7'services:     aspnetcoreapp:        image: aspdot          container_name: "aspnetcoreapp"          networks:          - mynetwork      proxy:          depends_on:        - aspnetcoreapp          image: Nginx-cerbot         container_name: "Nginxcore"          ports:           - 80:80        - 443:443         command: sh -c "echo '0 0 1 * * /usr/bin/certbot renew  --quIEt' >> /etc/crontabs/root & crond & Nginx -g 'daemon off;'"         volumes:        - ./Nginx.conf:/etc/Nginx/Nginx.conf        - ./letsencrypt:/etc/letsencrypt        # - ./default.conf:/etc/Nginx/conf.d/default.conf        # - ./HTML/:/usr/share/Nginx/HTML/        - ./logs/:/var/log/Nginx/        restart: always        networks:          - mynetwork  networks:    mynetwork:         driver: brIDge

注:alpine版本的Nginx启动的cmd默认是Nginx -g daemon off;,docker-compose的command段只能覆盖默认CMD,不能追加,所以需要在命令中最后执行这个才行。另外,这个crond默认在后台不能正常运行,需要在Command命令中指定才能正常触发执行(在container中只有执行crond -f才能正常工作)。

之后,运行

docker-compose up -d

程序正常运行,然后再按照上面Nginx+certbot的 *** 作进行即可,certbot会自动处理Nginx的ssl转换问题,可以看到我的Nginx.conf变成了这样:

# For more information on configuration,see:#   * Official English documentation: http://Nginx.org/en/docs/#   * Official Russian documentation: http://Nginx.org/ru/docs/user Nginx;worker_processes auto;error_log /var/log/Nginx/error.log;pID /run/Nginx.pID;# Load dynamic modules. See /usr/share/doc/Nginx/README.dynamic.include /usr/share/Nginx/modules/*.conf;events {    worker_connections 1024;}http {    log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '                      '$status $body_bytes_sent "$http_referer" '                      '"$http_user_agent" "$http_x_forwarded_for"';    access_log  /var/log/Nginx/access.log  main;    sendfile            on;    tcp_nopush          on;    tcp_nodelay         on;    keepalive_timeout   65;    types_hash_max_size 2048;    include             /etc/Nginx/mime.types;    default_type        application/octet-stream;    # Load modular configuration files from the /etc/Nginx/conf.d directory.    # See http://Nginx.org/en/docs/ngx_core_module.HTML#include    # for more information.    # include /etc/Nginx/conf.d/*.conf;    server {    server_name   yourdomain.com;    location / {        proxy_pass         http://192.168.48.2:5000;        proxy_http_version 1.1;        proxy_set_header   Upgrade $http_upgrade;        proxy_set_header   Connection keep-alive;        proxy_set_header   Host $host;        proxy_cache_bypass $http_upgrade;        proxy_set_header   X-Forwarded-For $proxy_add_x_forwarded_for;        proxy_set_header   X-Forwarded-Proto $scheme;    }    Listen 443 ssl; # managed by Certbot    ssl_certificate /etc/letsencrypt/live/yourdomain.com/fullchain.pem; # managed by Certbot    ssl_certificate_key /etc/letsencrypt/live/yourdomain.com/privkey.pem; # managed by Certbot    include /etc/letsencrypt/options-ssl-Nginx.conf; # managed by Certbot    ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem; # managed by Certbot}    server {    if ($host = yourdomain.com) {        return 301 https://$host$request_uri;    } # managed by Certbot    Listen        80;    server_name   yourdomain.com;    return 404; # managed by Certbot}}

至此,整个系统已经正常运行了。

FAQ1. 自动更新证书成功,访问服务的时候,依然提示证书过期错误。

Nginx证书如果是手动加载的话,自动更新证书之后,Nginx不会自动加载新的证书,只有重新Nginx -s reload之后才能正确加载。如果是certbot --Nginx的话,后续的renew会自动重新加载Nginx配置的。

2. docker build中下载资源出现temporary error错误

由于docker的brIDge模式导致的,有两种方案可以处理,可以在build命令中指定--network=host或者直接指定docker全局的DNS。参考这篇文章。

3. 删除镜像的时候,提示还有container在引用,无法删除。

docker ps显示并没有活动的容器,但是容器其实还在的,有几条命令可以派上用场。

docker ps -a # 显示所有容器docker stop $(docker ps -a -q) # 停止所有容器docker rm $(docker ps -a -q) # 删除所有容器
通过这几个命令就可以把残留的container删除干净了。4. Nginx提示502 bad gateway

这里需要提醒一下,由于docker网络brIDge的机制,不同contianer之间是不能使用localhost或者127.0.0.1进行相互访问的,需要使用到该container的IP(实际上是docker分配的虚拟IP)。可以使用docker inspect [containerID]查看容器分配的ip地址。

参考https://serversncode.com/netcore-docker-ssl-reverse-proxy/https://blog.tonysneed.com/2019/10/13/enable-ssl-with-asp-net-core-using-nginx-and-docker/https://blog.darkthread.net/blog/aspnetcore-with-nginx/https://geko.cloud/nginx-and-ssl-with-certbot-in-docker-alpine/https://www.thegeekdiary.com/docker-troubleshooting-conflict-unable-to-delete-image-is-being-used-by-running-container/https://www.c-sharpcorner.com/article/fun-with-docker-compose-using-net-core-and-nginx/ 总结

以上是内存溢出为你收集整理的在Docker上部署自动更新ssl证书的nginx + .NET Core全部内容,希望文章能够帮你解决在Docker上部署自动更新ssl证书的nginx + .NET Core所遇到的程序开发问题。

如果觉得内存溢出网站内容还不错,欢迎将内存溢出网站推荐给程序员好友。

欢迎分享,转载请注明来源:内存溢出

原文地址: http://outofmemory.cn/langs/1214748.html

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
比价网 比价网 一级用户组
0 0
上一篇 2022-06-05
下一篇 2022-06-05

发表评论

登录后才能评论

评论列表(0条)

保存