Как обновлять сертификаты в Docker Compose для Nginx с автоматическим перезапуском контейнера?

Question

[MishaXXL]

В Docker Compose есть контейнер Nginx

nginx:
  container_name: nginx_container
  image: nginx
  ports:
    - 80:80
    - 443:443
  networks:
    - private
    - public
  restart: always
  volumes:
    - ./nginx/nginx.conf:/etc/nginx/nginx.conf:ro
    - ./nginx/conf.d/:/etc/nginx/conf.d/:ro

    - ./certbot/www:/var/www/certbot/:ro
    - ./certbot/conf/:/etc/nginx/ssl/:ro

certbot:
  image: certbot/certbot
  volumes:
    - ./certbot/www/:/var/www/certbot/:rw
    - ./certbot/conf/:/etc/letsencrypt/:rw

Устанавливаю и обновляю сертификаты путем команды

docker compose run --rm  certbot certonly --webroot --webroot-path /var/www/certbot/ -d my-site.ru

Но есть проблема, сертификат обновляется, но без перезагрузки контейнера nginx, он отдает старый

Как сделать обновление сертификата и перезапуск контейнера после этого на автомате?

Answer 1

[d-stream]

попросить nginx перечитать конфиги
например nginx -t && nginx -s reload

Answer 2

[Александр Карабанов]

Можно попробовать Angie - он собирается с модулем http_acme - сервер сам себе выпустит сертификат и будет следить за его актуальностью.

Answer 3

[Valentin Barbolin]

nginx:
  container_name: nginx_container
  image: nginx
  ports:
    - 80:80
    - 443:443
  networks:
    - private
    - public
  restart: always
  volumes:
    - ./nginx/nginx.conf:/etc/nginx/nginx.conf:ro
    - ./nginx/conf.d/:/etc/nginx/conf.d/:ro
    - ./certbot/www:/var/www/certbot/:ro
    - ./certbot/conf/:/etc/nginx/ssl/:ro
  command: "/bin/sh -c 'while :; do sleep 6h & wait $${!}; nginx -s reload; done & nginx -g \"daemon off;\"'"

certbot:
  image: certbot/certbot
  volumes:
    - ./certbot/www/:/var/www/certbot/:rw
    - ./certbot/conf/:/etc/letsencrypt/:rw
  entrypoint: "/bin/sh -c 'trap exit TERM; while :; do certbot renew; sleep 12h & wait $${!}; done;'"

Comments

[MishaXXL]

Объясни пожалуйста, что делают эти команды?

command: "/bin/sh -c 'while :; do sleep 6h & wait $${!}; nginx -s reload; done & nginx -g \"daemon off;\"'"

entrypoint: "/bin/sh -c 'trap exit TERM; while :; do certbot renew; sleep 12h & wait $${!}; done;'"

Я пытался одно время через баш скрипт настроить автозапуск обновления сертификата путем крона, но не смог проверить выполнение команд

[Valentin Barbolin]

MishaXXL,
1. Запускает цикл, который каждые 6 часов мягко (если в конфиге есть ошибка, то новый конфиг не будет применен, а nginx будет работать далее) перезапускает nginx.
2. Запускает цикл который каждые 12 часов вызывает команду certbot renew которая обновляет уже выпущенные сертификаты.

Но все равно первый раз сертификат надо запросить в ручном режиме.

[chupasaurus]

Valentin Barbolin, Пункт 1 лучше делать с помощью healthcheck.

[MishaXXL]

Valentin Barbolin, спасибо, а 6 часов для nginx и 12 для certbot это для примера или в этом есть логический смысл?
Просто у нас же сертификаты на 3 месяца и наверное раз в месяц или неделю хотя бы предполагалось обновление.

[MishaXXL]

chupasaurus, можно с примером пожалуйста? )

[chupasaurus]

MishaXXL, вместо переобъявления энтрипоинта (всегда плохая идея при существовании других методов) достаточно добавить в сервис композа:

healthcheck:
  test: "nginx -s reload"
  interval: 10m00s
  timeout: 10s
  retries: 3
  start_period: 1m
  start_interval: 10s