Как запустить докер на локальной машине с ssl?

Question

[Алексей Чернышов]

Добрый день!

Столкнулся со следующей задачей которую все никак не могу разрешить, а именно:
Не могу запустить докер на локальной машине с ssl сертификатом.

Пример docker-compose.yaml для proxy-nginx:

version: "2"
services:
  nginx-proxy:
    image: jwilder/nginx-proxy
    container_name: nginx-proxy
    ports:
      - "80:80"
      - "443:443"
    volumes:
      - /var/run/docker.sock:/tmp/docker.sock:ro

networks:
  default:
    external:
      name: nginx-proxy

Пример docker-compose.yaml в приложении:

version: "3"
services:
  nginx:
    image: nginx:latest
    networks:
      - nginx-proxy
      - default
    expose:
      - 80
      - 443
    volumes:
      - /home/username/ssl:/etc/nginx/certs
      - ./docker/data/log:/var/log/nginx
      - ./docker/conf.d/nginx.conf:/etc/nginx/nginx.conf
      - ./:/var/www/html
    depends_on:
      - httpd
    environment:
      - VIRTUAL_HOST=test.loc

networks:
  nginx-proxy:
    external:
      name: nginx-proxy

Генерировал ssl сертификат используя команду из статьи:

openssl req -x509 -out ssl_test.crt -keyout ssl_test.key \
  -newkey rsa:2048 -nodes -sha256 \
  -subj '/CN=test.loc' -extensions EXT -config <( \
   printf "[dn]\nCN=test.loc\n[req]\ndistinguished_name = dn\n[EXT]\nsubjectAltName=DNS:test.loc\nkeyUsage=digitalSignature\nextendedKeyUsage=serverAuth")

Конфиг ./docker/conf.d/nginx.conf:

http {
    ....
    server {
        listen 443 ssl;
        listen 80;
        server_name _;

        ssl_certificate /etc/nginx/certs/ssl_test.crt;
        ssl_certificate_key /etc/nginx/certs/ssl_test.key;

        index index.php index.html;
        .....
   }
}

Comments

[Антон Швец]

а чего не запускается то? и похоже проблема не в докере. У вас тут ключевая роль это nginx.
сертификаты то в папке лежат?

[Алексей Чернышов]

Антон, если бы я знал )
да в находятся в папке /home/username/ssl и монтируются к /etc/nginx/certs

[Антон Швец]

Алексей Чернышов, я бы вам посоветовал сначала настроить nginx как ssl прокси без докера, потом засунуть это в докер, а уж потом пользоваться готовыми преднастроенными контейнерами, чтоб хоть понимать что в них не работает.
ну и команду docker-compose logs никто не отменял.

[Алексей Чернышов]

Антон, без докера nginx + httpd + ssl запускается корректно, а вот с докером сложности возникают. Спасибо за совет.

[Pavel Zamyatin]

У вас nginx зависит от сервиса, которого я не вижу в конфиге. Это так и должно быть или вы просто часть убрали? Хотелось бы видеть конфиги целиком плюс собственно сообщение об ошибке:

depends_on:
      - httpd

[Алексей Чернышов]

Pavel, был убран так он роли не играет. обработку ssl выполняет nginx.

version: "3"

services:
  httpd:
    image: httpd:2.4
    restart: always
    expose:
      - 8080
    networks:
      - default
    volumes:
      - ./docker/conf.d/httpd.conf:/usr/local/apache2/conf/httpd.conf
      - ./docker/data/log:/var/log/httpd
      - ./:/var/www/html
    depends_on:
      - php

  nginx:
    image: nginx:latest
    networks:
      - nginx-proxy
      - default
    expose:
      - 80
      - 443
    volumes:
      - /etc/nginx/ssl/:/etc/nginx/ssl:ro
      - ./docker/data/log:/var/log/nginx:rw
      - ./docker/conf.d/nginx.conf:/etc/nginx/nginx.conf:ro
      - ./:/var/www/html
    depends_on:
      - httpd
    environment:
      - VIRTUAL_HOST=site.ru


  php:
    build:
      context: ./docker/dockerfile
      dockerfile: php
    expose:
      - 9000
    networks:
      - default
    volumes:
      - ./:/var/www/html
    depends_on:
      - db

[Pavel Zamyatin]

Алексей Чернышов, теперь у вас немного иначе выглядит группа монтируемых папок для контейнера nginx:

volumes:
      - /etc/nginx/ssl/:/etc/nginx/ssl:ro

docker запускаете без sudo? нет проблем с правами на эту папку?

[Алексей Чернышов]

Pavel, да без sudo. проблем с доступами нету. ssl файлы монтируются в контейнер.

Answer 1

[fubaro]

Проблема в том, что вы кладете сертификаты не туда.
Если хотите использовать jwilder как front nginx, то именно он и будет принимать ssl коннект, то есть именно в него и нужно монтировать сертификаты. А так же правильно их назвать и прокинуть в проксируемый nginx нужные env vars.
Там же все подробно расписано https://github.com/jwilder/nginx-proxy#ssl-support