В какой контейнер ставить сертификат Lent`Encrypt в NGINX-front или NGINX-backend?

Question

[toorr2p]

ЗАДАЧА
Развернуть на сервере контейнер с NGINX который будет выступать "фронтом" для запросов на 80 и 443 порты, которые он будет проксировать в контейнеры с NGINX-backend сервисов (сайтов\приложений e.t.c)

конфиг хоста в контейнере NGINX-front выглядит так

server {
    listen       80;
    listen  [::]:80;
    server_name  b24phpsdk.local;

    location / {
        proxy_pass http://b24phpsdk_nginx:8081; 
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
    }
}

Возник вопрос, в каком контейнере нужно устанавливать SSL сертификат, в том который является фронтом и принимает все запросы извне или в контейнере с nginx конкретного приложения?

(хочу использовать cerbot)

Подскажите пожалуйста!

Comments

[AlexVWill]

Развернуть на сервере контейнер с NGINX который будет выступать "фронтом" для запросов на 80 и 443 порты, которые он будет проксировать в контейнеры с NGINX-backend сервисов (сайтов\приложений e.t.c)

Звучит как какой то бред. Поставь один web - сервер, без контейнеров и всей этой мишуры, не надо плодить зловещий зоопарк из w.eb-серверов. На хосте должен быть только один web-сервер, все остальное решается просто добавлением нужных портов и правил в его конфиги.

[Alexey Dmitriev]

AlexVWill, не все так однозначно. Например - отдельный реверс прокси нужен для "сборки" мультисервисных систем в общую, а сервисам в ней свой nginx может быть нужен для отдачи статического контента или других надобностей.
А контейнеры - например потому что сервисы уже собираются в образы докер.

[AlexVWill]

Alexey Dmitriev, Для этого не нужны отдельные сертификаты, если конечно для каждого контейнера не выделен отдельный домен, и даже в этом случае есть wildcard сертификат.

Answer 1

[Alexey Dmitriev]

Во первых для вашего определения того, что вы называете "фронт" есть официальный термин - реверс прокси.
И конечно же сертификаты должны быть на нем.

Answer 2

[ky0]

Можно делать по-разному, но задумайтесь сразу, как эти сертификаты будут обновляться (очевидно, нужен отдельный контейнер с certbot'ом) и как nginx будет узнавать, что ему нужно сделать релоад после обновления.

Comments

[Петр Лесоповалов]

Кстати, пользуясь случаем, давно было интересно какие используются чаще всего инструменты и утилиты для менеджмента сертификатов?

[ky0]

Петр Лесоповалов, зависит от того, какая у вас инфраструктура. Если это обычный Докер на одном хосте - достаточно добавить systemd-юнит, периодически дёргающий контейнер с certbot'ом, а затем делающий релоад веб-сервера.

[toorr2p]

Петр Лесоповалов, Вот такую статью на хабре нашел https://habr.com/ru/articles/792430/ буду что то на базе нее городить, только там пример под один сайт, а мне нужно сделать систему что бы можно было добавлять новые сайты\сервисы

[Петр Лесоповалов]

toorr2p, со скриптами то дело понятное, я думал есть какое то иное решение, либо нативное для серт бота, либо возможно достаточно мультитульное, что бы завязать на нем менеджмент домашней инфрой.

[Петр Лесоповалов]

ky0, спасибо за предложение, ожидал какого нибудь более интересного решения >_<
Ну если нету, то будем делать по старинке)

[ky0]

Петр Лесоповалов, более интересное - Kubernetes, в котором всё вами перечисленное может происходть автоматически. Понимаю, что это оверкилл - но зато интересно.

[Пума Тайланд]

Петр Лесоповалов, траефик или кади просто на входе

[Петр Лесоповалов]

ky0, факт, но на небольшой инфре его не запустить, а большой у меня нет.

Пума Тайланд, уже все работает и запущенно на базе Nginx.

Подумываю в сторону какого нибудь небольшого мониторинг Тула и библиотеке скриптов

[CrazyHackGUT]

Петр Лесоповалов, почему не запустить?
Установку K8s можно поднять и на одном хосте, и оно будет нормально работать.
Гуглите тот же minikube/k3s.

[Пума Тайланд]

ky0, d кубере оно так же автоматически как и в докер композе , что мешает впереди поставить траефик или кади ? ну поднято все на нгинксе, просто пропишите в композе или напрямую в докере аннотации и все само будет обновлять и выдаваться, дел на пять минут.
кто советует кубер тот дурак , тем более на одном компе, поддерижвать это самому крайне сложно

Answer 3

[sanchapans]

Зависит от архитектуры и целей. Напрмер: Если за вашим "фронтом" безопасная сеть, шифрование не требуется. При обратной ситуации, когда среда потенциально опасная, может перехватывается злоумышленником, то расшифровать трафик конечно нужно на "бекенде"

Answer 4

[Viktor]

Nginx Rroxy Manager, Traefik