使用Nginx+Docker配置HTTPS负载均衡

2022-07-14 09:14:15 浏览数 (1)

了解Docker

Docker是一个golang编写的开源轻量级的、可移植的、自给自足的容器,Docker主要应用在以下场景:

  • web应用的自动化打包和发布;
  • 自动化测试和持续集成、发布;
  • 在服务型环境中部署和调整数据库或其他的后台应用;
  • 从头编译或者扩展现有的OpenShift或Cloud Foundry平台来搭建自己的PaaS环境。

Docker系统有两个程序:docker服务端和docker客户端。其中docker服务端是一个服务进程,管理着所有的容器。docker客户端则扮演着docker服务端的远程控制器,可以用来控制docker的服务端进程。大部分情况下,docker服务端和客户端运行在一台机器上。

  • 镜像:一个镜像相当于一个root文件系统,包含运行需要的文件、库、资源、配置
  • 容器:容器是镜像的实例化操作,容器有自己独立的文件系统、网络配置、进程空间,每个容器是独立的运行机制,容器是无状态的,数据应保存在数据卷中。
  • 仓库:管理docker镜像的发布
docker安装及配置

在CentOS系列系统中可直接使用yum命令进行搜索安装,安装完毕后可运行docker version查看安装的版本,docker包含了很有公用的镜像,可使用docker search进行搜索安装。

yum install docker -y docker pull nginx # 运行4个docker镜像,网站目录在./ningx/html/下,日志文件在 ./nginx/logs/下 docker run -it -p 8081:80 --name nginx1 -v `pwd`/nginx/html1/:/usr/share/nginx/html/ -v `pwd`/nginx/logs1/:/var/log/nginx/  -d nginx docker run -it -p 8082:80 --name nginx2 -v `pwd`/nginx/html2/:/usr/share/nginx/html/ -v `pwd`/nginx/logs2/:/var/log/nginx/ -d nginx docker run -it -p 8083:80 --name nginx3 -v `pwd`/nginx/html3/:/usr/share/nginx/html/ -v `pwd`/nginx/logs3/:/var/log/nginx/ -d nginx docker run -it -p 8084:80 --name nginx4 -v `pwd`/nginx/html4/:/usr/share/nginx/html/ -v `pwd`/nginx/logs4/:/var/log/nginx/ -d nginx

安装docker php-fpm

docker pull php:7.1-fpm docker run -p 9000:9000 --name php-fpm1 -d -v /opt/app/docker/nginx/app1/:/var/www/html:ro php:7.1-fpm docker run --name nginx1 -p 8081:80 -d -v /opt/app/docker/nginx/html1:/usr/share/nginx/html:ro -v /opt/app/docker/nginx/conf1:/etc/nginx/conf.d:ro -v /opt/app/docker/nginx/logs1:/var/log/nginx --link php-fpm1:php nginx echo "<?php phpinfo();" > /opt/app/docker/nginx/app1/index.php

推荐《Docker从入门到实践》,具体可打开 https://www.linuxidc.com/Linux/2016-02/128290.htm

nginx配置

nginx的安装就不再描述了,最简单快捷的可使用yum进行安装,可可以自行去官网进行下载编译安装,以下是我的nginx负载均衡https到docker的配置文件:

注:我的运行环境在aws上,你可以将docker和nginx安装在一台机器上,也可以将docker部署在1台或4台机器,nginx部署在一台机器,再结合keepalived做高可用就可实现高可用双机热备的https负载均衡啦~

user nginx; worker_processes auto; error_log /var/log/nginx/error.log; pid /var/run/nginx.pid;

events {     worker_connections 1024; }

http {    log_format  main  'remote_addr - remote_user [time_local] "status body_bytes_sent "http_referer" '                      '"

创建ssl自建的证书

线上证书一般去ca申请的,测试的话可以使用openssl自己创建两个证书,创建命令如下:

# 生成一个2048位密钥文件 openssl genrsa -out privkey.pem 2048 # 使用密钥文件生成一个证书 openssl req -new -x509 -key privkey.pem -out cacert.pem -days 1095

SSL常见错误
问题:此网站出具的安全证书不是由受信任的证书颁发机构颁发的。

服务器正在使用的SSL证书不是通过正式的全球信任的CA颁发。推荐购买GlobalSign SSL,GeoTrust SSL ,Symante SSL证书, SSL通常是因为没有正确安装证书,请再检查一下是否删除了原来的测试证书,如果网站使用的证书是正确的,请重新启动webserver。

问题:此网站出具的安全证书是为其他网站地址颁发的。

一个SSL证书所对应的域名是一个全域名FQDN( Fully Qualified Domain Name ),如果证书中的域名是www.domain.com,则通过其他相近的域名:web.domain.com,app.domain.com,domain.com,系统都会报告和证书中的域名不匹配。如果有多相同主域名的站点需要申请证书,推荐通配型SSL证书;如果不是相同主域名则需要购买多域名型SSL证书。

问题:本页面包含有不安全的内容。

如果一个页面需要通过HTTPS访问被访问,则其中所有的元素都必须是HTTPS方式,如果有:图片、JS脚本,FLASH插件是通过HTTP方式去调用的,就会出现这个错误,最常见的,就是调用flash播放插件:codebase='http://download.macromedia.com/pub/shockwave/ cabs/flash/swflash.cab',将http改成HTTPS即可,刷新后测试SSL问题有没有解决。

问题:此网站出具的安全证书已过期或还未生效。

这个标识网站使用的SSL证书已经过期,请先检查网站证书的有效期,如果网站证书有效期在本日以后,则请检查本地电脑的日期设置,是否正确。如果证书过期了,请尽快联系易维信客服,续费!就能处理好SSL错误了。 问题:为什么使用匿名Diffie-Hellman(ADH)算法时会收到"no shared cipher"错误?

默认情况下,出于安全原因,OpenSSL并不启用ADH算法。仅在你确实明白了这个算法的副作用时,你才可以启用此算法。 为了使用匿名Diffie-Hellman(ADH)算法,你必须在编译OpenSSL时使用"-DSSL_ALLOW_ADH"配置选项,并在SSLCipherSuite指令中添加"ADH"。

0 人点赞