Jenkins:如何在Nginx反向代理后面配置Jenkins,以便JNLP从机连接
我正在尝试设置一个Jenkins主节点和一个Jenkins从节点,其中Jenkins主节点位于另一台具有SSL终端的服务器上的Nginx反向代理之后。nginx的配置如下:Jenkins:如何在Nginx反向代理后面配置Jenkins,以便JNLP从机连接,nginx,jenkins,proxy,Nginx,Jenkins,Proxy,我正在尝试设置一个Jenkins主节点和一个Jenkins从节点,其中Jenkins主节点位于另一台具有SSL终端的服务器上的Nginx反向代理之后。nginx的配置如下: upstream jenkins { server <server ip>:8080 fail_timeout=0; } server { listen 443 ssl; server_name jenkins.mydomain.com; ssl_certificate /etc/nginx/c
upstream jenkins {
server <server ip>:8080 fail_timeout=0;
}
server {
listen 443 ssl;
server_name jenkins.mydomain.com;
ssl_certificate /etc/nginx/certs/mydomain.crt;
ssl_certificate_key /etc/nginx/certs/mydomain.key;
location / {
proxy_set_header Host $host:$server_port;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_redirect http:// https://;
proxy_pass http://jenkins;
}
}
server {
listen 80;
server_name jenkins.mydomain.com;
return 301 https://$server_name$request_uri;
}
JNLP从机连接到Jenkins主机需要什么配置?JNLP端口似乎使用二进制协议,而不是基于文本的HTTP协议,因此不幸的是,它不能像正常的Jenkins页面那样通过NGINX进行反向代理 相反,你应该:
hudson.TcpSlaveAgentListener.hostName
设置为
后端Jenkins服务器的主机名或IP地址。这
将导致所有页面发出额外的HTTP标头
(X-Jenkins-CLI-Host)包含此指定主机名。这说明
CLI客户端连接到何处,但应该不是JNLP代理jenkins.mydomain.com/computer/
使用启动方法“通过Java Web Start启动从属代理”,单击计算机,单击配置,单击高级。。。按钮,并适当设置“隧道连接通过”字段。阅读问号帮助。您可能只需要“HOST:”语法,其中HOST是后端Jenkins服务器的主机名或IP地址- OP提出这个问题已经快4年了,不过,如果你来到这一页并寻找合适的解决方案,那么
我使用Traefik作为Jenkins的反向代理。TCP入站端口现在已完全禁用。
您需要确保的唯一一件事是您的代理/从属服务器信任Jenkins服务器证书(因为webSocket不能与
-disableHttpsCertValidation
或-noCertificateCheck
一起使用)
如果这是Windows代理,请使用:
C:\Program Files (x86)\Java\jre1.8.0_251\bin\keytool.exe -import -storepass "changeit" -keystore "C:\Program Files (x86)\Java\jre1.8.0_251\lib\security\cacerts" -alias <cert_alias> -file "<path_to_cert>"
C:\Program Files(x86)\Java\jre1.8.0\u 251\bin\keytool.exe-import-storepass“changeit”-keystore“C:\Program Files(x86)\Java\jre1.8.0\u 251\lib\security\cacerts”-别名-文件”
(根据您的java版本相应地更改路径)我正在使用Docked Jenkins,与Docked Slave一起运行。Jenkins位于反向代理之后(使用registrator&Consor模板).目前,它可以对从端口进行硬编码,但我们希望使其成为动态的。当我们在Jenkins运行之前不知道从端口时,您对配置Jenkins有什么建议吗?@Brandon我不熟悉registrator&Consor模板。我想您需要先确定一个固定的从端口,这样您就可以在你的防火墙上打开针孔。如果你必须动态地这样做,可能要找到存储它的jenkins设置xml文件(包括全局设置和每从设置),并想出一些方法来编辑这些文件,然后重新加载jenkins配置(或重新启动jenkins),使其生效。如果你像我一样不知道在哪里设置步骤3“设置系统属性hudson.TcpSlaveAgentListener.hostName”,这是它的位置和方式:当您需要在Docker中运行Jenkins master时,额外的标题不包括此服务器值上的端口(仅包括服务器lan ip或可解析的主机名).这是准确的答案!我在ALB后面的AWS上运行jenkins master,因此第四步是通过二进制JNLP协议绕过流量的唯一方法(ALB和NLB仅支持TCP/TLS协议).值得一提的是,我另外使用了nGinx代理。它禁止了一些危险的路由。它还将流量传递给内部(127.0.0.1)中强制实施的jenkins进程因此,在这种情况下,nGinx config还应该有一个适当的服务器,用于在配置的JNLP端口上将流量路由到jenkins master,该端口应固定在/configureSecurity/page上。即使使用Kubernetes插件,该选项也可以工作
INFO: Connecting to jenkins.mydomain.com:50000 (retrying:4)
java.net.ConnectException: Connection timed out
at java.net.PlainSocketImpl.socketConnect(Native Method)
at java.net.AbstractPlainSocketImpl.doConnect(AbstractPlainSocketImpl.java:350)
at java.net.AbstractPlainSocketImpl.connectToAddress(AbstractPlainSocketImpl.java:206)
at java.net.AbstractPlainSocketImpl.connect(AbstractPlainSocketImpl.java:188)
at java.net.SocksSocketImpl.connect(SocksSocketImpl.java:392)
at java.net.Socket.connect(Socket.java:589)
at java.net.Socket.connect(Socket.java:538)
at hudson.remoting.Engine.connect(Engine.java:400)
at hudson.remoting.Engine.run(Engine.java:298)
C:\Program Files (x86)\Java\jre1.8.0_251\bin\keytool.exe -import -storepass "changeit" -keystore "C:\Program Files (x86)\Java\jre1.8.0_251\lib\security\cacerts" -alias <cert_alias> -file "<path_to_cert>"