Apache Docker容器虚拟主机SSL配置
我有以下设置并且工作正常(我在Docker 1.6上): 一个Docker容器充当在各个Docker容器中运行的其他web应用程序的虚拟主机代理。(我应该补充一点,我不是配置服务器或网络的高手。) 我一直在尝试将SSL添加到设置中,但几乎没有成功。每个容器在主机上装载证书的文件目录。例如,要运行容器,请使用以下命令:Apache Docker容器虚拟主机SSL配置,apache,ssl,docker,virtualhost,http-proxy,Apache,Ssl,Docker,Virtualhost,Http Proxy,我有以下设置并且工作正常(我在Docker 1.6上): 一个Docker容器充当在各个Docker容器中运行的其他web应用程序的虚拟主机代理。(我应该补充一点,我不是配置服务器或网络的高手。) 我一直在尝试将SSL添加到设置中,但几乎没有成功。每个容器在主机上装载证书的文件目录。例如,要运行容器,请使用以下命令: docker run -d -P --name build \ -v /home/applications/src/ssl-cert:/etc/ssl/certs \
docker run -d -P --name build \
-v /home/applications/src/ssl-cert:/etc/ssl/certs \
-e "DBL=mysql:dbname=build;host=192.168.0.1;port=3306" \
-e "DB_USER=foo" -e "DB_PASS=bar" \
--link mysql56:mysql \
--add-host dockerhost:`/sbin/ip addr | grep 'eth0' | grep 'inet' | cut -d'/' -f1 | awk '{print $2}'` \
-p 8001:80 -p 4431:443 \
repos/build:latest
https://build.example.com- 仅在Apache代理容器中运行SSL配置
- 仅在生成应用程序容器中运行SSL配置
- 在两个容器中运行SSL配置
如果我觉得我错过了一些明显的东西,但却无法确定它会是什么。在这样的配置中运行SSL时,我缺少什么吗?通常,如果您的服务器在apache服务器后面运行,您只需要配置apache以使用SSL证书即可。 如果Apache是唯一“外部”公开的服务器,而其他服务器无法从外部世界直接访问,则会出现这种情况 您需要apache通过url或端口(例如:
<VirtualHost *:443>
ServerName SERVERNAME_HERE
SSLProtocol all -SSLv2 -SSLv3
SSLHonorCipherOrder On
SSLCipherSuite ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS
SSLCertificateFile /etc/ssl/certs/build.crt
SSLCertificateKeyFile /etc/ssl/certs/build.key
SSLCACertificateFile /etc/ssl/certs/digicert/digicertca.crt
# Proxy pass to other server
ProxyRequests Off
ProxyPreserveHost On
ProxyPass / http://OTHER_SERVER_IP_WITHIN_DOCKER_NETWORK:8081/
ProxyPassReverse / http://OTHER_SERVER_IP_WITHIN_DOCKER_NETWORK:8081/
<!--Other config-->
</VirtualHost>
服务器名服务器名\u在这里
SSLProtocol all-SSLv2-SSLv3
SSLHonorCipherOrder开启
SSLCipherSuite ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!阿努尔:!MD5:!决策支持系统
SSLCertificateFile/etc/ssl/certs/build.crt
SSLCertificateKeyFile/etc/ssl/certs/build.key
SSLCACertificateFile/etc/ssl/certs/digicert/digicertca.crt
#代理传递到其他服务器
代理请求关闭
代理主机
ProxyPass/http://OTHER_SERVER_IP_WITHIN_DOCKER_NETWORK:8081/
ProxyPassReverse/http://OTHER_SERVER_IP_WITHIN_DOCKER_NETWORK:8081/
希望这对您有所帮助…当我们想向反向代理后面的主机添加SSL时,我们可以通过三种方式配置主机:
- 边缘:反向代理解密传入的HTTPS流量,并通过纯文本HTTP与后端服务器通信
- 传递:后端服务器解密所有流量,反向代理只将HTTPS请求转发给它们
- 混合:反向代理解密HTTPS流量,然后重新加密绑定到后端服务器的流量
- 在代理上配置的基于名称的虚拟主机,用于转发每个后端服务的请求
- 保护所有后端域名的单个证书(作为多个主题或作为通配符,如*.example.com)
ServerName build.example.com
代理请求关闭
代理主机
ProxyPass/http://build:8001/
ProxyPassReverse/http://build:8001/
ServerName cicd.example.com
代理请求关闭
代理主机
ProxyPass/http://cicd:8002/
ProxyPassReverse/http://cicd:8002/
说到网络,这个问题似乎表明我们需要更仔细地研究一下,因为我没有看到任何提示表明容器被配置为相互通信(503响应状态支持这个假设)。反向代理容器必须将请求转发到每个后端容器,但除非我们(已弃用)或在容器之间创建内部代理,否则它无法转发请求:
$ docker network create build_network
$ docker run --network build_network --name apache_proxy ...
$ docker run --network build_network --name build ...
$ docker run --network build_network --name cicd ...
--hostnameDocker run+────────────────── Docker主机─────────────────+
│ +────────────── 建立网络─────────────+ │
│ │
<VirtualHost *:443>
ServerName SERVERNAME_HERE
SSLProtocol all -SSLv2 -SSLv3
SSLHonorCipherOrder On
SSLCipherSuite ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS
SSLCertificateFile /etc/ssl/certs/build.crt
SSLCertificateKeyFile /etc/ssl/certs/build.key
SSLCACertificateFile /etc/ssl/certs/digicert/digicertca.crt
# Proxy pass to other server
ProxyRequests Off
ProxyPreserveHost On
ProxyPass / http://OTHER_SERVER_IP_WITHIN_DOCKER_NETWORK:8081/
ProxyPassReverse / http://OTHER_SERVER_IP_WITHIN_DOCKER_NETWORK:8081/
<!--Other config-->
</VirtualHost>
$ docker network create build_network
$ docker run --network build_network --name apache_proxy ...
$ docker run --network build_network --name build ...
$ docker run --network build_network --name cicd ...