Docker:带有 ssl 后端的 nginx-proxy

Question

我目前正在将 wordpress 应用程序容器化以进行开发。到目前为止，一切进展顺利 :)

目前我为每个应用程序使用一个 docker-compose.yml 文件(和一些配置)。每个应用程序都包含一个 nginx-web 服务器、一个数据库和带有 fpm 的 wordpress。 (例如下面的 docker-compose.yml)。每个应用程序都自行处理它的 SSL，我已经确认它有效。

我总体规划的下一步是使用 nginx 反向代理同时启动所有应用程序容器，而无需在主机上使用不同的端口。

据我了解jwilder/nginx-proxy是完成这项工作的最佳工具。所以我在想 - 如果这不是最佳实践请纠正我 - 我可以为 nginx-proxy 创建一个 compose.yml 文件，它可以一直运行并且会在自动生成时将端口 80 和 443 暴露给主机之后我启动的每个容器的 nginx 配置。

version: '3.6'

services:
  nginx-proxy:
    image: jwilder/nginx-proxy
    container_name: nginx_proxy
    ports:
      - '80:80'
      - '443:443'
    volumes:
      - /var/run/docker.sock:/tmp/docker.sock:ro

networks:
  default:
    external:
      name: nginx-proxy

我尝试使用 nginx-proxy 将端口 80 暴露给主机，并使用 mariadb:latest 和 wordpress:latest 图像在其自己的 docker-compose.yml 文件中设置 wordpress 应用程序。只需添加 expose:\-80 和 VIRTUAL_HOST 环境变量，这确实有效。

但我不太明白如何在上述 wordpress 应用程序前使用反向代理。文档说明了这一点:

SSL Backends

If you would like the reverse proxy to connect to your backend using HTTPS instead of HTTP, set VIRTUAL_PROTO=https on the backend container.

Note: If you use VIRTUAL_PROTO=https and your backend container exposes port 80 and 443, nginx-proxy will use HTTPS on port 80. This is almost certainly not what you want, so you should also include VIRTUAL_PORT=443.

所以我尝试将这些环境变量添加到应用程序的 docker-compose.yml 文件中。具体在nginx服务里面，增加了暴露的80和443端口。

version: '3.6'
services:

  wordpress:
    image: wordpress:4.7.2-php7.1-fpm
    volumes:
      - ../public:/var/www/html
    environment:
      - WORDPRESS_DB_NAME=${WORDPRESS_DB_NAME:-wordpress}
      - WORDPRESS_TABLE_PREFIX=${WORDPRESS_TABLE_PREFIX:-wp_}
      - WORDPRESS_DB_HOST=${WORDPRESS_DB_HOST:-mysql}
      - WORDPRESS_DB_USER=${WORDPRESS_DB_USER:-root}
      - WORDPRESS_DB_PASSWORD=${WORDPRESS_DB_PASSWORD:-password}
    depends_on:
      - db
    restart: always

  db:
    image: mariadb:${MARIADB_VERSION:-latest}
    volumes:
      - tss-data:/var/lib/mysql
      # - ./db:/docker-entrypoint-initdb.d/
    environment:
      - MYSQL_ROOT_PASSWORD=${MYSQL_ROOT_PASSWORD:-password}
      - MYSQL_USER=${MYSQL_USER:-root}
      - MYSQL_PASSWORD=${MYSQL_PASSWORD:-password}
      - MYSQL_DATABASE=${MYSQL_DATABASE:-wordpress}
    restart: always

  nginx:
    image: nginx:${NGINX_VERSION:-latest}
    container_name: nginx
    volumes:
      - ${NGINX_CONF_DIR:-./nginx}:/etc/nginx/conf.d
      - ${NGINX_LOG_DIR:-./logs/nginx}:/var/log/nginx
      - ${WORDPRESS_DATA_DIR:-./wordpress}:/var/www/html
      - ${SSL_CERTS_DIR:-./certs}:/etc/letsencrypt
      - ${SSL_CERTS_DATA_DIR:-./certs-data}:/data/letsencrypt
    environment:
      - VIRTUAL_HOST:local.my-app.com
      - VIRTUAL_PROTO:https
      - VIRTUAL_PORT:443
    expose:
      - 80
      - 443
    depends_on:
      - wordpress
    restart: always

volumes:
  tss-data:

networks:
  default:
    external:
      name: nginx-proxy

唉，如果我尝试在端口 80 上浏览到 local.my-app.com，我会得到503 服务暂时不可用

如果我在端口 443 上尝试，nginx 反向代理根本没有响应。我觉得我错过了一些相当明显的东西，但我似乎找不到它，我真的很感激任何关于此事的想法。

Answer 1

最后，我选择不在每个单独的应用程序中处理 SSL 加密。但是我将反向代理更改为

version: '3.6'

services:
  nginx-proxy:
    image: jwilder/nginx-proxy:alpine
    container_name: nginx_proxy
    ports:
      - '80:80'
      - '443:443'
    volumes:
      - ./certs:/etc/nginx/certs
      - /var/run/docker.sock:/tmp/docker.sock:ro
    restart: unless-stopped

networks:
  default:
    external:
      name: nginx-proxy

现在我可以访问端口 80 上的每个应用程序，直到我为它添加证书，在这种情况下，它可以在端口 443 上访问。