В какой контейнер ставить сертификат Lent`Encrypt в NGINX-front или NGINX-backend?

Question

[toorr2p]

ЗАДАЧА
Развернуть на сервере контейнер с NGINX который будет выступать "фронтом" для запросов на 80 и 443 порты, которые он будет проксировать в контейнеры с NGINX-backend сервисов (сайтов\приложений e.t.c)

конфиг хоста в контейнере NGINX-front выглядит так

server {
    listen       80;
    listen  [::]:80;
    server_name  b24phpsdk.local;

    location / {
        proxy_pass http://b24phpsdk_nginx:8081; 
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
    }
}

Возник вопрос, в каком контейнере нужно устанавливать SSL сертификат, в том который является фронтом и принимает все запросы извне или в контейнере с nginx конкретного приложения?

(хочу использовать cerbot)

Подскажите пожалуйста!

Comments

[AlexVWill]

Развернуть на сервере контейнер с NGINX который будет выступать "фронтом" для запросов на 80 и 443 порты, которые он будет проксировать в контейнеры с NGINX-backend сервисов (сайтов\приложений e.t.c)

Звучит как какой то бред. Поставь один web - сервер, без контейнеров и всей этой мишуры, не надо плодить зловещий зоопарк из w.eb-серверов. На хосте должен быть только один web-сервер, все остальное решается просто добавлением нужных портов и правил в его конфиги.

[Alexey Dmitriev]

AlexVWill, не все так однозначно. Например - отдельный реверс прокси нужен для "сборки" мультисервисных систем в общую, а сервисам в ней свой nginx может быть нужен для отдачи статического контента или других надобностей.
А контейнеры - например потому что сервисы уже собираются в образы докер.

[AlexVWill]

Alexey Dmitriev, Для этого не нужны отдельные сертификаты, если конечно для каждого контейнера не выделен отдельный домен, и даже в этом случае есть wildcard сертификат.

Answer 1

[Alexey Dmitriev]

Во первых для вашего определения того, что вы называете "фронт" есть официальный термин - реверс прокси.
И конечно же сертификаты должны быть на нем.