Как в Docker Swarm развернуть Nginx с cerbot?

Question

kondratev-ad @kondratev-ad

Docker

Как в Docker Swarm развернуть Nginx с cerbot?

Есть 3 сервера. В Docker Swarm запускаю Nginx с 1 репликой на node1, но на случай падения он поднимется на node2.
Возник вопрос с cerbot. Сейчас есть два контейнера nginx и cerbot, cerbot автоматом следить за сроком сертификатов и обновляет их. Как можно расшарить сертификаты между нодами? Если вдруг node1 упадет, чтобы nginx поднялся на node3 и заработал.
Облачное хранение не подходит

Вопрос задан более двух лет назад
75 просмотров

12 комментариев

Подписаться 1 Средний 12 комментариев

Valentin Barbolin @dronmaxman

Общий volum в RO режиме для node где будет лежать сертификат.

Написано более двух лет назад
kondratev-ad @kondratev-ad Автор вопроса

Valentin Barbolin, где хранить этот volume? Получается он будет единой точкой отказа?

Написано более двух лет назад

Valentin Barbolin @dronmaxman

kondratev-ad,

services:  
  nginx:
      - 80:80
      - 443:443
    volumes:
      - ./ssl:/etc/nginx/ssl:ro

  certbot:
    volumes:
      - ./ssl:/etc/letsencrypt/live/mydomainname:rw

  node1:
    volumes:
      - ./ssl:/opt/ssl:ro
      
  node2:
    volumes:
      - ./ssl:/opt/ssl:ro

Написано более двух лет назад

kondratev-ad @kondratev-ad Автор вопроса
Valentin Barbolin, не очень понятно.

node1: volumes: - ./ssl:/opt/ssl:ro node2: volumes: - ./ssl:/opt/ssl:ro

Если здесь подразумевается создание двух volumes на разных нодах, то каждый будет смотреть в папку ssl на конкретной ноде, а cerbot будет обновлять ее только на своей ноде
Написано более двух лет назад
Valentin Barbolin @dronmaxman

kondratev-ad,
создание двух volumes
Я бы сказал монтирование.

Я не видел твой docker-compose, соответственно предложил такой шаблон, путь выбрал с потолка (./ssl:/opt/ssl:ro). В данном варианте все контейнеры умеют доступ к общей папке SSL в которой certbot имеет права на запись и занимается обновление сертификатов, остальные контейнеры могут только читать.

Написано более двух лет назад

kondratev-ad @kondratev-ad Автор вопроса

Valentin Barbolin, да извиняюсь, вот мой compose

version: '3.8'

services:
  nginx:
    image: nginx:1.25.0
    deploy:
      placement:
        constraints:
          - "node.labels.TAG==prod"
      replicas: 1
    ports:
      - '80:80'
      - '443:443'
    volumes:
      - ./data/certbot/conf:/etc/letsencrypt
      - ./data/certbot/www:/var/www/certbot
    networks:
      - network
#     Перезапустит nginx контейнер каждые 6 часов и подгрузит новые сертификаты, если есть
    command: '/bin/sh -c ''while :; do sleep 6h & wait $${!}; nginx -s reload; done & nginx -g "daemon off;"'''

  certbot:
    image: certbot/certbot:v1.28.0
    deploy:
      placement:
        constraints:
          - "node.labels.TAG==prod"
      replicas: 1
    container_name: certbot
    # Проверяет каждые 12 часов, нужны ли новые сертификаты
    entrypoint: "/bin/sh -c 'trap exit TERM; while :; do certbot renew; sleep 12h & wait $${!}; done;'"
    networks:
      - network
    volumes:
      - ./data/certbot/conf:/etc/letsencrypt
      - ./data/certbot/www:/var/www/certbot

networks:
  network:
    name: network
    external: true

Допустим есть 3 ноды: node1, node2 и node3. На двух из них label TAG=prod, допустим на node1 и node2. Допустим, nginx и cerbot запустились на node1, у них есть общая папка ./data и все прекрасно работает.
Теперь nginx глюканул и рестартует на node2. Там этой папки нет и ему не откуда взять серты.
Если поместить эту папку в volume, то это будет локальный volume на конкретной ноде.

Написано более двух лет назад

Valentin Barbolin @dronmaxman

kondratev-ad, Почему он (node2) не может запросить сертификат повторно при запуске?

Написано более двух лет назад
kondratev-ad @kondratev-ad Автор вопроса

Valentin Barbolin, может быть такой случай как я описал, все работает на node1, вдруг nginx "ловит ошибку" и swarm поднимает его на node2, а cerbot остался работать на node1

Написано более двух лет назад
Valentin Barbolin @dronmaxman

kondratev-ad, Сорян, я не силен в swarm. Но видится три подхода.
1. Использовать общее хранилище, типа NFS на котором будут лежать сертификаты.
2. Запускать certbot на всех нодах.
3. Использовать общий прокси перед nginx.

Написано более двух лет назад
kondratev-ad @kondratev-ad Автор вопроса

Valentin Barbolin, 1 - это хранилище тогда будет точкой отказа. Склоняюсь ко 2, но вот интересный вопрос, можно ли одно hostname получить два действующих серта?

Написано более двух лет назад
Valentin Barbolin @dronmaxman

kondratev-ad, По умолчанию certbot использует DNA A запись для получения сертификата, соответственно появляется два варианта.
1. Придумать механизм синхронизации, копирования сертификата на все ноды.
2. Использовать DNS TXT запись для получения сертификата. В таком случае нет необходимости заворачивать 80 порт на ноду которая получает сертификат, но требуется взаимодействие с DNS сервером через API.

Написано более двух лет назад
Valentin Barbolin @dronmaxman
kondratev-ad,
можно ли одно hostname получить два действующих серта

да можно, так же можно использовать разные порты для запроса сертификата (--http-01-port), в таком случае каждый certbot будет использовать свой порт и не будет конфликтовать с другими.
Написано более двух лет назад

Помогут разобраться в теме Все курсы

Stepik

Docker + Ansible - с нуля, деплой и управление Swarm

1 неделя

Далее
Skillbox

Python-разработчик

10 месяцев

Далее
Учебный центр IBS

SQA-I-007 Сопровождение автотестов и написание отчетов

1 неделя

Далее

Пригласить эксперта

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы

Docker

+1 ещё

Простой
Откуда скачивать bitnami/kafka?
- 1 подписчик
- 29 окт.
- 499 просмотров
1

ответ
Nginx

+2 ещё

Простой
Контейнер rabbitmq docker стартует раньше чем сервис nginx. Как указать согласованность запуска?
- 6 подписчиков
- 26 окт.
- 955 просмотров
4

ответа
Docker

Средний
Как использование переменные в Entrypoint Dockerfile?
- 1 подписчик
- 17 окт.
- 146 просмотров
2

ответа
Nginx

+1 ещё

Простой
Как оптимизировать скорость загрузки шаблонов с изображениями docker nginx laravel?
- 3 подписчика
- 09 окт.
- 270 просмотров
1

ответ
Laravel

+1 ещё

Простой
Если один контейнер создает файл laravel-2025-01-01.log топ почему другой контейнер не может получить доступ?
- 1 подписчик
- 08 окт.
- 215 просмотров
0

ответов
Nginx

+2 ещё

Средний
Какие порты пробрасывать в настройках php5.6-fpm в контейнере Docker-а?
- 1 подписчик
- 28 сент.
- 157 просмотров
1

ответ
Laravel

+3 ещё

Простой
Почему php-fpm на все запросы выдает 404?
- 1 подписчик
- 26 сент.
- 327 просмотров
0

ответов
Docker

Простой
Почему docker не видит .env?
- 1 подписчик
- 11 сент.
- 243 просмотра
2

ответа
Docker

+1 ещё

Простой
Docker ssl frontend backend?
- 1 подписчик
- 02 сент.
- 219 просмотров
2

ответа
PHP

+2 ещё

Простой
Как настроить phpStan в vscode чтобы он работал через докер?
- 2 подписчика
- 30 авг.
- 182 просмотра
0

ответов
Показать ещё Загружается…

Python Developer/ DevOps (trading)

Рестадвайзер • Москва

от 250 000 ₽

Системный Архитектор

Лайв Тайпинг

от 250 000 до 300 000 ₽

Fullstack разработчик (TypeScript+React). Свободный график. Фулл тайм.

Круглый Квадрат

от 300 000 до 450 000 ₽

Общий volum в RO режиме для node где будет лежать сертификат.
Valentin Barbolin, где хранить этот volume? Получается он будет единой точкой отказа?
kondratev-ad,

services: nginx: - 80:80 - 443:443 volumes: - ./ssl:/etc/nginx/ssl:ro certbot: volumes: - ./ssl:/etc/letsencrypt/live/mydomainname:rw node1: volumes: - ./ssl:/opt/ssl:ro node2: volumes: - ./ssl:/opt/ssl:ro
Valentin Barbolin, не очень понятно.

node1: volumes: - ./ssl:/opt/ssl:ro node2: volumes: - ./ssl:/opt/ssl:ro

Если здесь подразумевается создание двух volumes на разных нодах, то каждый будет смотреть в папку ssl на конкретной ноде, а cerbot будет обновлять ее только на своей ноде
kondratev-ad,
создание двух volumes
Я бы сказал монтирование.

Я не видел твой docker-compose, соответственно предложил такой шаблон, путь выбрал с потолка (./ssl:/opt/ssl:ro). В данном варианте все контейнеры умеют доступ к общей папке SSL в которой certbot имеет права на запись и занимается обновление сертификатов, остальные контейнеры могут только читать.
Valentin Barbolin, да извиняюсь, вот мой compose

version: '3.8' services: nginx: image: nginx:1.25.0 deploy: placement: constraints: - "node.labels.TAG==prod" replicas: 1 ports: - '80:80' - '443:443' volumes: - ./data/certbot/conf:/etc/letsencrypt - ./data/certbot/www:/var/www/certbot networks: - network # Перезапустит nginx контейнер каждые 6 часов и подгрузит новые сертификаты, если есть command: '/bin/sh -c ''while :; do sleep 6h & wait $${!}; nginx -s reload; done & nginx -g "daemon off;"''' certbot: image: certbot/certbot:v1.28.0 deploy: placement: constraints: - "node.labels.TAG==prod" replicas: 1 container_name: certbot # Проверяет каждые 12 часов, нужны ли новые сертификаты entrypoint: "/bin/sh -c 'trap exit TERM; while :; do certbot renew; sleep 12h & wait $${!}; done;'" networks: - network volumes: - ./data/certbot/conf:/etc/letsencrypt - ./data/certbot/www:/var/www/certbot networks: network: name: network external: true

Допустим есть 3 ноды: node1, node2 и node3. На двух из них label TAG=prod, допустим на node1 и node2. Допустим, nginx и cerbot запустились на node1, у них есть общая папка ./data и все прекрасно работает.
Теперь nginx глюканул и рестартует на node2. Там этой папки нет и ему не откуда взять серты.
Если поместить эту папку в volume, то это будет локальный volume на конкретной ноде.
kondratev-ad, Почему он (node2) не может запросить сертификат повторно при запуске?
Valentin Barbolin, может быть такой случай как я описал, все работает на node1, вдруг nginx "ловит ошибку" и swarm поднимает его на node2, а cerbot остался работать на node1
kondratev-ad, Сорян, я не силен в swarm. Но видится три подхода.
1. Использовать общее хранилище, типа NFS на котором будут лежать сертификаты.
2. Запускать certbot на всех нодах.
3. Использовать общий прокси перед nginx.
Valentin Barbolin, 1 - это хранилище тогда будет точкой отказа. Склоняюсь ко 2, но вот интересный вопрос, можно ли одно hostname получить два действующих серта?
kondratev-ad, По умолчанию certbot использует DNA A запись для получения сертификата, соответственно появляется два варианта.
1. Придумать механизм синхронизации, копирования сертификата на все ноды.
2. Использовать DNS TXT запись для получения сертификата. В таком случае нет необходимости заворачивать 80 порт на ноду которая получает сертификат, но требуется взаимодействие с DNS сервером через API.
kondratev-ad,
можно ли одно hostname получить два действующих серта

да можно, так же можно использовать разные порты для запроса сертификата (--http-01-port), в таком случае каждый certbot будет использовать свой порт и не будет конфликтовать с другими.

Как в Docker Swarm развернуть Nginx с cerbot?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт