Как настроить https nginx docker контейнера?

Question

[EVOSandru6]

Добрый день,

Купил хостинг, прописал ns записи, добавил A запись. Для проверки корректной привязки домена установил nginx, проверил работу на 80 порту для условно domen.ru, Hello Nginx открылся.

Путаюсь запуститься с докером.

1) Рабочий вариант конфига: когда работает обращение только с 80 порта (http://domen.ru):

server
{
    listen 80;
    server_name www.domen.ru domen.ru;

    index index.php index.html;
    root /var/www/public;

    location / {
        try_files $uri /index.php?$args;
    }

    location /docs {
        try_files $uri $uri/;
    }

    location ~ \.php$ {
        fastcgi_split_path_info ^(.+\.php)(/.+)$;
        fastcgi_pass php-fpm:9000; # так называется контейнер с php-fpm
        fastcgi_index index.php;
        include fastcgi_params;
        fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
        fastcgi_param PATH_INFO $fastcgi_path_info;
    }
}

2) Вариант с проблемой с https:

server {
    listen 80;
    server_name www.domen.ru domen.ru;
    return 301 https://$host$request_uri;
}

server {
    listen 443;
    server_name www.domen.ru domen.ru;
    charset utf-8;

    index index.php index.html;
    root /var/www/public;
    location / {
        try_files $uri /index.php?$args;
    }
    location /docs {
        try_files $uri $uri/;
    }

    location ~ \.php$ {
        fastcgi_split_path_info ^(.+\.php)(/.+)$;
        fastcgi_pass php-fpm:9000;
        fastcgi_index index.php;
        include fastcgi_params;
        fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
        fastcgi_param PATH_INFO $fastcgi_path_info;
    }

    ssl on;
    ssl_certificate /etc/nginx/ssl/fullchain.pem; # определено в volume
    ssl_certificate_key /etc/nginx/ssl/privkey.pem; # определено в volume
}

При обращении на https://domen.ru:

Выводится сообщение:

Не удается получить доступ к сайту Сайт domen.ru не позволяет установить соединение.
Попробуйте сделать следующее:

Проверьте подключение к Интернету.
Проверьте настройки прокси-сервера и брандмауэра.
ERR_CONNECTION_REFUSED

Серты сгенерированы посредством certbot и на хостинге прокинуты в volume

На что чтоит обратить внимание, чтобы решить проблему?

docker-compose.yml

version: '3.7'
services:
  nginx:
    container_name: nginx
    build:
      context: ./
      dockerfile: docker/containers/nginx/${ENV}/Dockerfile
    volumes:
      - ${APP_PATH_HOST}:/var/www
      - ./volumes/ssl:/etc/nginx/ssl
      - ./volumes/log/nginx/:/var/log/nginx/
    ports:
      - 443:443
      - 80:80
    extra_hosts:
      - domen.ru:{ip_address}
  php-fpm:
    container_name: php-fpm
    build: ${CONTAINERS_PATH}/php-fpm
    volumes:
      - ${APP_PATH_HOST}:/var/www
    environment:
      - REDIS_PORT=6379
      - REDIS_HOST=redis
      - DB_CONNECTION=pgsql
      - DB_PORT=5432
      - DB_HOST=pgsql
  php-cli:
    container_name: php-cli
    build: ${CONTAINERS_PATH}/php-cli
    volumes:
      - ${APP_PATH_HOST}:/var/www
    environment:
      - REDIS_PORT=6379
      - REDIS_HOST=redis
      - DB_CONNECTION=pgsql
      - DB_PORT=5432
      - DB_HOST=pgsql
    tty: true
  pgsql:
    container_name: pgsql
    image: postgres:${POSTGRES_VERSION}
    environment:
      - POSTGRES_USER=${DB_USER}
      - POSTGRES_PASSWORD=${DB_PASSWORD}
      - POSTGRES_DATABASE=${DB_NAME}
    ports:
      - 54321:5432
    volumes:
      - ${STORAGE_PATH}/postgres:/var/lib/postgresql/data
  node:
    container_name: node
    image: node:${NODE_VERSION}
    volumes:
        - ${APP_PATH_HOST}:/var/www
    working_dir: /var/www
    tty: true

./docker/containers/nginx/prod/Dockerfile

FROM nginx:1.10

ADD ./docker/nginx/prod.conf /etc/nginx/conf.d/default.conf
WORKDIR /var/www

В папке ./volumes/ssl сертификаты точно есть.

На хостинге выполнил следующие комманды:

$ nmap -sT -p80,443 185.228.233.68

Starting Nmap 7.60 ( https://nmap.org ) at 2019-11-10 14:37 MSK
Nmap scan report for www.domen.ru (185.228.233.68)
Host is up (0.00052s latency).

PORT STATE SERVICE
80/tcp closed http
443/tcp closed https

Nmap done: 1 IP address (1 host up) scanned in 0.08 seconds

$ lsof -Pni | grep ":80|:443"

Пустой вывод

$ sudo lsof -i -P -n | grep LISTEN

systemd-r 643 systemd-resolve 13u IPv4 15063 0t0 TCP 127.0.0.53:53 (LISTEN)
sshd 871 root 3u IPv4 17768 0t0 TCP *:22 (LISTEN)
sshd 871 root 4u IPv6 17770 0t0 TCP *:22 (LISTEN)
docker-pr 22065 root 4u IPv6 275479 0t0 TCP *:54321 (LISTEN)

Comments

[Lynn «Кофеман»]

ERR_CONNECTION_REFUSED это сетевая проблема. Настраивайте файрвол

[EVOSandru6]

Алексей Тен, Спасибо. Под фаерволом подразумеваются iptables на хостинге или что-то другое?

[EVOSandru6]

Заметил, что на обычном nginx без докера - 443 нормально фурычит. Такое ощущение что порты не транслируются. Соответственно я стопаю системный сервис nginx прежде чем выполнить пересборку докера. Но это не помогает.

[EVOSandru6]

Хостер утверждает, что все открыто

Answer 1

[Дмитрий]

Покажите вывод команды после запуска
docker-compose ps

Так же проверьте, что в логах контейнера nginx , если они штатно для докера выведены в stderr, то
docker-compose logs

Comments

[EVOSandru6]

Здравствуйте:

docker-compose ps

Name Command State Ports
------------------------------------------------------------------------------------------
nginx nginx -g daemon off; Up 0.0.0.0:443->443/tcp, 0.0.0.0:80->80/tcp
node node Up
pgsql docker-entrypoint.sh postgres Up 0.0.0.0:54321->5432/tcp
php-cli docker-php-entrypoint php -a Up
php-fpm docker-php-entrypoint php-fpm Up 9000/tcp

docker-compose logs

Attaching to php-fpm, pgsql, nginx, php-cli, node
php-cli | Interactive shell
php-cli |
pgsql | The files belonging to this database system will be owned by user "postgres".
pgsql | This user must also own the server process.
pgsql |
pgsql | The database cluster will be initialized with locale "en_US.utf8".
pgsql | The default database encoding has accordingly been set to "UTF8".
pgsql | The default text search configuration will be set to "english".
pgsql |
pgsql | Data page checksums are disabled.
pgsql |
pgsql | fixing permissions on existing directory /var/lib/postgresql/data ... ok
pgsql | creating subdirectories ... ok
pgsql | selecting default max_connections ... 100
pgsql | selecting default shared_buffers ... 128MB
pgsql | selecting default timezone ... UTC
pgsql | selecting dynamic shared memory implementation ... posix
pgsql | creating configuration files ... ok
pgsql | running bootstrap script ... ok
pgsql | sh: locale: not found
pgsql | performing post-bootstrap initialization ... No usable system locales were found.
pgsql | Use the option "--debug" to see details.
pgsql | ok
pgsql | syncing data to disk ... ok
pgsql |
pgsql | Success. You can now start the database server using:
pgsql |
pgsql | pg_ctl -D /var/lib/postgresql/data -l logfile start
pgsql |
pgsql |
pgsql | WARNING: enabling "trust" authentication for local connections
pgsql | You can change this by editing pg_hba.conf or using the option -A, or
pgsql | --auth-local and --auth-host, the next time you run initdb.
pgsql | waiting for server to start....LOG: database system was shut down at 2019-11-08 19:14:08 UTC
pgsql | LOG: MultiXact member wraparound protections are now enabled
pgsql | LOG: database system is ready to accept connections
pgsql | LOG: autovacuum launcher started
pgsql | done
pgsql | server started
pgsql | CREATE DATABASE
pgsql |
pgsql |
pgsql | /usr/local/bin/docker-entrypoint.sh: ignoring /docker-entrypoint-initdb.d/*
pgsql |
pgsql | waiting for server to shut down....LOG: received fast shutdown request
pgsql | LOG: aborting any active transactions
pgsql | LOG: autovacuum launcher shutting down
pgsql | LOG: shutting down
pgsql | LOG: database system is shut down
pgsql | done
pgsql | server stopped
pgsql |
pgsql | PostgreSQL init process complete; ready for start up.
pgsql |
pgsql | LOG: database system was shut down at 2019-11-08 19:14:11 UTC
pgsql | LOG: MultiXact member wraparound protections are now enabled
pgsql | LOG: database system is ready to accept connections
pgsql | LOG: autovacuum launcher started
php-fpm | [08-Nov-2019 19:14:01] NOTICE: fpm is running, pid 1
php-fpm | [08-Nov-2019 19:14:01] NOTICE: ready to handle connections

В volumes/log/nginx/error.log почему-то пусто
В volumes/log/nginx/access.log:


35.234.174.86 - - [08/Nov/2019:19:15:51 +0000] "GET / HTTP/1.1" 301 185 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWe$
35.234.174.86 - - [08/Nov/2019:19:15:51 +0000] "" 400 0 "-" "-" "-"
46.72.219.183 - - [08/Nov/2019:19:16:01 +0000] "GET / HTTP/1.1" 301 185 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.3$
46.72.219.183 - - [08/Nov/2019:19:21:27 +0000] "GET / HTTP/1.1" 301 185 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.3$

[Дмитрий]

хм, конфиг Ваш проверил, правда не в докере, в реальном nginx - все вроде норм. Единственное ругается на директиву listen 443; , но это не критично, просто варнинг.
Может в самом деле, где то есть firewall до докера?
На самом докер=хосте пробовали сделать
curl -v https://www.domen.ru (предварительно добавить в /etc/hosts запись "127.0.0.1 www.domen.ru domen.ru")

[EVOSandru6]

Дмитрий, Спасибо,

/etc/hosts:

127.0.0.1 localhost www.domen.ru domen.ru
{ip_address}  domen.ru

Также на вяский случай пробовал таким образом расшарить iptables:

iptables -A INPUT -p tcp -m tcp --dport 443 -j ACCEPT;

На обычном nginx без докера - 443 норм слушается. Хостер утверждает, что по умолчанию все открыто. Такое ощущение, что не происходит трансляция портов

services:
  nginx:
    ports:
      - ${HTTPS_PORT}:443 # в .env - 443 . Пробовал и хардкодом 443 вписать без .env переменной, эффект тот же самый
      - ${HTTP_PORT}:80
....

curl -v https://www.domen.ru

* Rebuilt URL to: https://www.domen.ru/
* Trying 185.228.233.68...
* TCP_NODELAY set
* connect to 185.228.233.68 port 443 failed: Connection refused
* Failed to connect to www.domen.ru port 443: Connection refused
* Closing connection 0
curl: (7) Failed to connect to www.domen.ru port 443: Connection refused

[Дмитрий]

зря Вы в hosts оставили {ip_address} domen.ru
это была именно проверка открывается или нет этот сайт с локалхоста (с докер-хоста).

[EVOSandru6]

Дмитрий,

Изменил

/etc/hosts:

127.0.0.1 www.domen.ru domen.ru

curl -v https://www.domen.ru

* Rebuilt URL to: https://www.domen.ru/
* Trying 127.0.0.1...
* TCP_NODELAY set
* connect to 127.0.0.1 port 443 failed: Connection refused
* Failed to connect to www.domen.ru port 443: Connection refused
* Closing connection 0
curl: (7) Failed to connect to www.domen.ru port 443: Connection refused

curl -v https://domen.ru

* Rebuilt URL to: https://domen.ru/
* Trying 127.0.0.1...
* TCP_NODELAY set
* connect to 127.0.0.1 port 443 failed: Connection refused
* Failed to connect to domen.ru port 443: Connection refused
* Closing connection 0
curl: (7) Failed to connect to domen.ru port 443: Connection refused

[Дмитрий]

Идей особо больше нет, прошу попробуйте еще один вариант.
В docker-compose.yml укажите, плз, порты следующим образом:

ports:
  - 0.0.0.0:80:80
  - 0.0.0.0:443:443

P.S. еще прошу, для теста, уберите директиву

extra_hosts:
      - ${SITE_HOST}

[EVOSandru6]

Дмитрий, Порты выставил как Вы сказали, пробовал с активной секцией extra_hosts и с вариантом, где она закомменчена. Без изменений(

[Дмитрий]

загадка. я сдаюсь (( в понедельник буду в офисе, попробую в докере реальный проект проэмулировать на ваших конфигах

[EVOSandru6]

Дмитрий, Спасибо за подсказки, если проэмулируете - буду премного благодарен =)

[Дмитрий]

Добрый день. Как и обещал - попробовал развернуть этот конфиг nginx в своем докере.
У меня тут не очень новая убунта, поэтому docker-compose только версии 3.3 (у вас 3.7), не думаю, что это может сильно влиять.
Поднимал только nginx , конфиги идиентичные Вашим.
Вкратце - все работает, без каких то особых косяков (у меня самоподписный сертификат, но если бы с сертификатами были проблемы - nginx бы ругался на этапе старта). В логах, тоже все нормально.
После старта вот такая картина:

➜  ~    docker ps
CONTAINER ID        IMAGE                            COMMAND                  CREATED             STATUS              PORTS                                         NAMES
ce06b0831d2f        docker-nginx-test-toster_nginx   "nginx -g 'daemon of…"   5 minutes ago       Up 5 minutes        0.0.0.0:8000->80/tcp, 0.0.0.0:4043->443/tcp   nginx

А это порты открытые на системе

➜  ~ sudo lsof -i -P -n  | grep docker
<skip>
docker-pr 13228            root    4u  IPv6 140384      0t0  TCP *:8000 (LISTEN)
docker-pr 13242            root    4u  IPv6 140391      0t0  TCP *:4043 (LISTEN)

Я убрал из выводы другие мои сервисы, нижние две - наш nginx (пришлось использовать эти порты, так как 80 и 443 у меня заняты)

Вот подключение:

zsh$ curl -k -v https://jira.local.net:4043
*   Trying 192.168.109.13...
* TCP_NODELAY set
* Connected to jira.local.net (192.168.109.13) port 4043 (#0)
* ALPN, offering h2
* ALPN, offering http/1.1
* successfully set certificate verify locations:
*   CAfile: /etc/ssl/cert.pem
  CApath: none
* TLSv1.2 (OUT), TLS handshake, Client hello (1):
* TLSv1.2 (IN), TLS handshake, Server hello (2):
* TLSv1.2 (IN), TLS handshake, Certificate (11):
* TLSv1.2 (IN), TLS handshake, Server key exchange (12):
* TLSv1.2 (IN), TLS handshake, Server finished (14):
* TLSv1.2 (OUT), TLS handshake, Client key exchange (16):
* TLSv1.2 (OUT), TLS change cipher, Change cipher spec (1):
* TLSv1.2 (OUT), TLS handshake, Finished (20):
* TLSv1.2 (IN), TLS change cipher, Change cipher spec (1):
* TLSv1.2 (IN), TLS handshake, Finished (20):
* SSL connection using TLSv1.2 / ECDHE-RSA-AES256-GCM-SHA384
* ALPN, server did not agree to a protocol
* Server certificate:
*  subject: C=GB; ST=London; L=London; O=Global Security; OU=IT Department; CN=jira.local.net
*  start date: Nov 11 07:31:34 2019 GMT
*  expire date: Nov 10 07:31:34 2020 GMT
*  issuer: C=GB; ST=London; L=London; O=Global Security; OU=IT Department; CN=jira.local.net
*  SSL certificate verify result: self signed certificate (18), continuing anyway.
> GET / HTTP/1.1
> Host: jira.local.net:4043
> User-Agent: curl/7.64.1
> Accept: */*
>
< HTTP/1.1 502 Bad Gateway
< Server: nginx/1.10.3
< Date: Mon, 11 Nov 2019 08:14:32 GMT
< Content-Type: text/html; charset=utf-8
< Content-Length: 173
< Connection: keep-alive

Ваш конфиг изменял минимально, только перенес монтирование конфига nginx в docker-compose , но это тоже не влияет.
Так что, конфиг у Вас точно рабочий , но вот что в системе не так - вопрос открытый.

[EVOSandru6]

Дмитрий, Спасибо большое! Попробую на хосте переустановить систему (благо это одна кнопка) , Docker и Docker-compose и так же с единым контейнером nginx запуститься. Вы не рассматриваете варианты услуги за кэш? Если да, черканите в Скайп evosduple.