Как запустить на одном хосте несколько разных серверов по портам?

Question

[Ross Alex]

Приветствую, коллеги!

Есть домен domain.com, контейнер gate и 3 внутренних контейнера custom, доступных из gate:

• http://custom1:80
  
• http://custom2:80
  
• http://custom3:80
  

Нужна конфигурация nginx для того, чтобы:

• domain.com => https://domain.com/
  
• https://domain.com/ => /
  
• https://domain.com:3000/ => http://custom1:80/
  
• https://domain.com:5000/ => http://custom2:80/
  
• https://domain.com:8000/ => http://custom3:80/
  

Мой конфиг (failed)

# COMPOSER API ADMIN
server {
	listen 80;
	listen [::]:80;
	server_name domain.com admin.domain.com www.domain.com api.domain.com;
	location / {
		return 301 https://$host$request_uri;
	}
}
server {
	listen 443 ssl http2;
	listen [::]:443 ssl http2;
	client_max_body_size 2M;
	server_name domain.com admin.domain.com www.domain.com api.domain.com;
	charset utf-8;
	index index.php;
	root /code;

	ssl_certificate /etc/letsencrypt/live/domain.com/fullchain.pem;
	ssl_certificate_key /etc/letsencrypt/live/domain.com/privkey.pem;
	
	ssl_session_timeout 1d;
	ssl_session_cache shared:MozSSL:10m;
	ssl_session_tickets off;
	ssl_protocols TLSv1.3;
	ssl_prefer_server_ciphers off;
	add_header Strict-Transport-Security "max-age=63072000" always;
	ssl_stapling on;
	ssl_stapling_verify on;
	ssl_trusted_certificate /etc/letsencrypt/lets-encrypt-r3.pem;

	gzip on;
	
	location / {
		dav_methods PUT DELETE;
		try_files $uri $uri/ @phpindex;
	}
	location ~ \.php$ {
		fastcgi_split_path_info ^(.+\.php)(/.+)$;
		fastcgi_pass frontend-php:9000;
		fastcgi_index index.php;
		include fastcgi_params;

		fastcgi_param   QUERY_STRING            $query_string;
		fastcgi_param   REQUEST_METHOD          $request_method;
		fastcgi_param   CONTENT_TYPE            $content_type;
		fastcgi_param   CONTENT_LENGTH          $content_length;
		fastcgi_param   SCRIPT_FILENAME         $realpath_root$fastcgi_script_name;
		fastcgi_param   SCRIPT_NAME             $fastcgi_script_name;
		fastcgi_param   PATH_INFO               $fastcgi_path_info;
		fastcgi_param   PATH_TRANSLATED         $document_root$fastcgi_path_info;
		fastcgi_param   REQUEST_URI             $request_uri;
		fastcgi_param   DOCUMENT_URI            $document_uri;
		fastcgi_param   DOCUMENT_ROOT           $realpath_root;
		fastcgi_param   SERVER_PROTOCOL         $server_protocol;
		fastcgi_param   GATEWAY_INTERFACE       CGI/1.1;
		fastcgi_param   SERVER_SOFTWARE         nginx/$nginx_version;
		fastcgi_param   REMOTE_ADDR             $remote_addr;
		fastcgi_param   REMOTE_PORT             $remote_port;
		fastcgi_param   SERVER_ADDR             $server_addr;
		fastcgi_param   SERVER_PORT             $server_port;
		fastcgi_param   SERVER_NAME             $server_name;
	}
	location @phpindex {
		fastcgi_split_path_info ^(.+\.php)(/.+)$;
		fastcgi_pass frontend-php:9000;
		fastcgi_index index.php;
		include fastcgi_params;

		set $index_name /index.php;

		fastcgi_param   QUERY_STRING            $query_string;
		fastcgi_param   REQUEST_METHOD          $request_method;
		fastcgi_param   CONTENT_TYPE            $content_type;
		fastcgi_param   CONTENT_LENGTH          $content_length;
		fastcgi_param   SCRIPT_FILENAME         $realpath_root$index_name;
		fastcgi_param   SCRIPT_NAME             $index_name;
		fastcgi_param   PATH_INFO               $fastcgi_path_info;
		fastcgi_param   PATH_TRANSLATED         $document_root$fastcgi_path_info;
		fastcgi_param   REQUEST_URI             $request_uri;
		fastcgi_param   DOCUMENT_URI            $document_uri;
		fastcgi_param   DOCUMENT_ROOT           $realpath_root;
		fastcgi_param   SERVER_PROTOCOL         $server_protocol;
		fastcgi_param   GATEWAY_INTERFACE       CGI/1.1;
		fastcgi_param   SERVER_SOFTWARE         nginx/$nginx_version;
		fastcgi_param   REMOTE_ADDR             $remote_addr;
		fastcgi_param   REMOTE_PORT             $remote_port;
		fastcgi_param   SERVER_ADDR             $server_addr;
		fastcgi_param   SERVER_PORT             $server_port;
		fastcgi_param   SERVER_NAME             $server_name;
	}
	location ~ /\.ht {
		deny  all;
	}
}

upstream customstream1 {
	server custom1:80;
}
server {
	listen 3000 ssl http2;
	listen [::]:3000 ssl http2;
	server_name domain.com;

	ssl_certificate /etc/letsencrypt/live/domain.com/fullchain.pem;
	ssl_certificate_key /etc/letsencrypt/live/domain.com/privkey.pem;
	ssl_session_timeout 1d;
	ssl_session_cache shared:MozSSL:10m;
	ssl_session_tickets off;
	ssl_protocols TLSv1.1 TLSv1.2 TLSv1.3;
	ssl_prefer_server_ciphers off;
	ssl_stapling on;
	ssl_stapling_verify on;
	ssl_trusted_certificate /etc/letsencrypt/lets-encrypt-r3.pem;
	add_header Strict-Transport-Security "max-age=63072000" always;
	location / {
		proxy_pass http://customstream1;
		proxy_set_header Host            files.domain.com;
		proxy_set_header X-Forwarded-For $remote_addr;        
	}
}
upstream customstream2 {
	server custom2:80;
}
server {
	listen 3000 ssl http2;
	listen [::]:3000 ssl http2;
	server_name domain.com;

	ssl_certificate /etc/letsencrypt/live/domain.com/fullchain.pem;
	ssl_certificate_key /etc/letsencrypt/live/domain.com/privkey.pem;
	ssl_session_timeout 1d;
	ssl_session_cache shared:MozSSL:10m;
	ssl_session_tickets off;
	ssl_protocols TLSv1.1 TLSv1.2 TLSv1.3;
	ssl_prefer_server_ciphers off;
	ssl_stapling on;
	ssl_stapling_verify on;
	ssl_trusted_certificate /etc/letsencrypt/lets-encrypt-r3.pem;
	add_header Strict-Transport-Security "max-age=63072000" always;
	location / {
		proxy_pass http://customstream2;
		proxy_set_header Host            files.domain.com;
		proxy_set_header X-Forwarded-For $remote_addr;        
	}
}
upstream customstream3 {
	server custom3:80;
}
server {
	listen 5000 ssl http2;
	listen [::]:5000 ssl http2;
	server_name domain.com;

	ssl_certificate /etc/letsencrypt/live/domain.com/fullchain.pem;
	ssl_certificate_key /etc/letsencrypt/live/domain.com/privkey.pem;
	ssl_session_timeout 1d;
	ssl_session_cache shared:MozSSL:10m;
	ssl_session_tickets off;
	ssl_protocols TLSv1.1 TLSv1.2 TLSv1.3;
	ssl_prefer_server_ciphers off;
	ssl_stapling on;
	ssl_stapling_verify on;
	ssl_trusted_certificate /etc/letsencrypt/lets-encrypt-r3.pem;
	add_header Strict-Transport-Security "max-age=63072000" always;
	location / {
		proxy_pass http://customstream3;
		proxy_set_header Host            files.domain.com;
		proxy_set_header X-Forwarded-For $remote_addr;        
	}
}

Всем спасибо!

Comments

[Денис Юрьев]

failed в чем выражен? сейчас это похоже не на вопрос, а кривое техзадание

[Ross Alex]

В чем непонятность? Можно точнее...

Answer 1

[ky0]

У вас какая-то лапша вместо конфига. Разделите по-нормальному серверные блоки - это не тот оверхед, на котором стоит экономить.

Все описанные в вопросе хотелки - это стандартный функционал нгинкса, доступный в каждом первом мануале.

Comments

[Ross Alex]

Можно написать не ответ ради ответа, а помочь?! Если бы я мог написать конфиг получше, написал бы. А примеры из мануалов не работают, не знаю почему. Задача нормально работает, если это субдомены. Но мне нужно, чтобы домен был один, запросы с SSL, но порт не 443 и отдается внутреннему серверу без SSL.

[ky0]

Ross Alex, ваш вопрос сформулирован, как верно заметили в комментариях - скорее в виде задания, а здесь такое не приветствуется.

Хотите, чтобы сделали за вас - милости просим в соседний раздел. Хотите, чтобы помогли - декомпозируйте задачу и начните решать её по частям, а когда что-то одно не получится - задайте вопрос с описанием проблемы.

P.S. HTTPS на нестандартном порту - это крайне странное решение, обдумайте разнести по поддоменам изи разным урлам.

[Ross Alex]

ky0, я не пытался дать задание, это мнение ошибочно. Тогда бы я не показывал свои бестолковые попытки это сделать. Да, по разным URL-ам все работает вот сейчас. Просто не хотелось каждый раз получать сертификат на очередной субдомен (letsencrytp же wildcard не дает?!), так как сервер с одним доменом и тестовый, каждый раз набор сервисов на портах разный.

[Ross Alex]

ky0, а вся затея была потому, что domain.com:3000 открывается только до тех пор, пока не зайдешь на https://domain.com/. После этого при попытке зайти на domain.com:3000 переадресовывает на https://domain.com:3000! Какого хрена - не знаю (Mac OS Firefox и Chrome ведут себя одинаково)

[ky0]

Ross Alex, Let`s Encrypt довольно давно начал поддерживать wildcard-сертификаты.

[Tema Smirnov]

Ross Alex,

переадресовывает на https://domain.com:3000! Какого хрена - не знаю

- это происходит из-за HSTS политики, которую браузеру передает сам веб-сервер - подтверждение этому доводу строка в конфиге: add_header Strict-Transport-Security. Либо у вас в браузерах включена опция (или стоит аналогичное по функции расширение - напр. HTTPS Everywhere) что-то типа "Если сайт доступен по https - всегда автоматически использовать https".

[Ross Alex]

Tema Smirnov, гляну... расширений точно никаких, но вот настройки такие я видел.

[Ross Alex]

ky0, там ограничение вроде, если не ошибаюсь. Нужно указать явно до 5 субдоменов. Нельзя указать *.... я ошибся, через DNS валидацию можно. Спасибо за наводку.

[Tema Smirnov]

Ross Alex, а зачем ограничивать себя, указывая явно 5 субдоменов, если выше вы писали:

Просто не хотелось каждый раз получать сертификат на очередной субдомен

Выпускаете wildcard сертификат для: *.domain.com, domain.com и ваша проблема с SSL решена.

[FAQ] Выпускает ли Let’s Encrypt сертификаты с воз...
ACME v2 Production Environment & Wildcards
Утилиты для автоматизации выпуска сертификатов:
acme.sh
certbot

[Ross Alex]

Tema Smirnov, да, я нашел тоже, спасибо!

[Ross Alex]

SSL на не родном порту, например, 9443 работает только тогда, когда на порту 443 стоит редирект на 9443. Легко получается запустить на одном домене кучу серверов на разных портах без SSL, но с SSL вот такая боль. Может чего-то я не докопал... Поэтому, пришлось развести сервера на субдомены и сделать wildcard на домен. Всем спасибо! Проблема решена, хоть и не тем способом, что ожидалось.