Docker 中的 Nginx 服务为什么要启用 HTTPS

一安装容器

1 安装docker-20.10.17

2 安装所需的依赖

sudo yum install -y yum-utils device-mapper-persistent-data lvm2

3 添加Docker官方仓库

sudo yum-config-manager --add-repo https://download.docker.com/linux/centos/docker-ce.repo

4 安装Docker CE 20.10.17

sudo yum install docker-ce-20.10.17 docker-ce-cli-20.10.17 containerd.io

5 启动并开机自启Docker服务

6 验证安装

systemctl enable --now docker
#
docker --version
#

如何获取证书

在阿里云、华为云、腾讯云等云服务商那里申请一年有效期的免费证书或者购买证书
在本地使用 openssl、mkcert、cfssl、certbot(Let's Encrypt)的工具生成本地私钥证书

通过阿里云获取证书

www.aliyun.com

二生成ca证书：

（1）创建ca私钥 [root@localhost ~]# mkdir -p /lnmp/nginx/cert
[root@localhost ~]# cd /lnmp/nginx/cert
[root@localhost cert]# openssl genrsa -aes256 -out ca-key.pem 4096
Generating RSA private key, 4096 bit long modulus
...............................++
.......................................................................................................................................++
e is 65537 (0x10001)
Enter pass phrase for ca-key.pem:                #12345
Verifying - Enter pass phrase for ca-key.pem:    #12345# openssl: OpenSSL 是一个开放源代码的加密工具包，提供了一系列加密算法和工具，用于安全通信、数据加密等操作。
# genrsa: 这个命令告诉 OpenSSL 生成一个 RSA 密钥对，包括公钥和私钥。
# -aes256: 这个选项指定生成的私钥要使用 AES 256 位加密算法进行加密。这样生成的私钥文件会被加密存储，需要输入密码才能解密使用。
# -out ca-key.pem: 这个选项指定生成的私钥保存到名为 ca-key.pem 的文件中。
# 4096: 这个参数指定生成的 RSA 密钥长度为 4096 位，这是一个比较安全的密钥长度。
使用 OpenSSL 生成一个带有 AES 256 位加密的 4096 位 RSA 私钥，并将其保存到名为 ca-key.pem 的文件中。生成的私钥文件将会被加密存储，需要输入密码才能解密和使用。2）创建ca证书
[root@localhost cert]# openssl req -new -x509 -days 1000 -key ca-key.pem -sha256 -subj "/CN=*" -out ca.pem
Enter pass phrase for ca-key.pem:   # 输入12345# openssl req: 这个命令告诉 OpenSSL 工具执行证书请求操作。
# -new: 这个选项表示生成一个新的证书请求。
# -x509: 这个选项指示生成自签名的 X.509 格式证书，而不是生成证书请求。
# -days 1000: 这个选项指定证书的有效期为 1000 天，即证书在签发后的有效期限。
# -key ca-key.pem: 这个选项指定使用之前生成的 ca-key.pem 文件中的私钥来签署证书。
# -sha256: 这个选项指定使用 SHA-256 算法来生成证书的摘要。
# -subj "/CN=*": 这个选项指定了证书的主题字段，其中 /CN=* 表示通用名称（Common Name）为通配符 *，表示这是一个通用的证书，而不是针对特定域名的。
# -out ca.pem: 这个选项指定生成的证书将保存到名为 ca.pem 的文件中。
使用 OpenSSL 工具生成一个自签名的 X.509 格式的数字证书，该证书的有效期为 1000 天，使用之前生成的私钥文件 ca-key.pem 进行签名，主题字段为通配符 *，并将生成的证书保存到名为 ca.pem 的文件中。

三用 ca 证书签发 server 端证书

[root@localhost cert]# openssl genrsa -out server-key.pem 4096
Generating RSA private key, 4096 bit long modulus
.....................................................................................++
............................++
e is 65537 (0x10001)
[root@localhost cert]# e is 65537 (0x10001)
# openssl genrsa: 这个命令告诉 OpenSSL 工具生成一个 RSA 私钥。
# -out server-key.pem: 这个选项指定生成的私钥将保存到名为 server-key.pem 的文件中。
# 4096: 这个参数指定生成的 RSA 私钥的位数为 4096 位，这是一种常见的安全密钥长度，提供了较高的安全性。
使用 OpenSSL 工具生成一个 4096 位的 RSA 私钥，并将生成的私钥保存到名为 server-key.pem 的文件中。生成的私钥文件通常用于安全通信中，例如用于 HTTPS 连接中的服务器端认证。（4）生成证书签名请求文件（csr文件）[root@localhost cert]# openssl req -new -key server-key.pem -sha256 -subj "/CN=*" -out server.csr
[root@localhost cert]# # openssl req: 这个命令告诉 OpenSSL 工具执行证书请求操作。
# -new: 这个选项指示 OpenSSL 创建一个新的 CSR。
# -key server-key.pem: 这个选项指定要用于生成 CSR 的私钥文件，这里是 server-key.pem。
# -sha256: 这个选项指定要使用 SHA-256 算法进行摘要计算。
# -subj "/CN=*": 这个选项指定了 CSR 的主题信息，其中 /CN=* 表示 Common Name （通用名称）字段为通配符 *，通常用于生成通配符证书。
# -out server.csr: 这个选项指定生成的 CSR 将保存到名为 server.csr 的文件中。
使用 OpenSSL 工具基于指定的私钥文件 server-key.pem 创建一个新的 CSR，其中的 Common Name 字段为通配符 *，并使用 SHA-256 算法进行摘要计算，最后将生成的 CSR 保存到名为 server.csr 的文件中。CSR 通常用于向证书颁发机构（CA）申请数字证书。（5）使用ca 证书与私钥证书签发服务端签名证书，输入 12345，（需要签名请求文件，ca 证书，ca 密钥）[root@localhost cert]# 
[root@localhost cert]# openssl x509 -req -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -days 1000 -out server-cert.pem
Signature ok
subject=/CN=*
Getting CA Private Key
Enter pass phrase for ca-key.pem:Enter pass phrase for ca-key.pem:
unable to load CA Private Key
140017779292064:error:06065064:digital envelope routines:EVP_DecryptFinal_ex:bad decrypt:evp_enc.c:592:
140017779292064:error:0906A065:PEM routines:PEM_do_header:bad decrypt:pem_lib.c:488:
[root@localhost cert]# ls
ca-key.pem  ca.pem  server-cert.pem  server.csr  server-key.pem
[root@localhost cert]# 
# openssl x509: 这个命令告诉 OpenSSL 工具执行证书相关的操作。
# -req: 这个选项表示输入的文件是一个证书请求 (CSR)。
# -sha256: 这个选项指定使用 SHA-256 算法进行摘要计算。
# -in server.csr: 这个选项指定要签署的证书请求文件为 server.csr。
# -CA ca.pem: 这个选项指定要用来签署证书的 CA (Certificate Authority) 的证书文件为 ca.pem。
# -CAkey ca-key.pem: 这个选项指定用于签署证书的 CA 的私钥文件为 ca-key.pem。
# -CAcreateserial: 这个选项告诉 OpenSSL 生成一个序列号文件，用于跟踪已签署证书的序列号。
# -days 1000: 这个选项指定生成的证书有效期为 1000 天。
# -out server-cert.pem: 这个选项指定生成的证书将保存到名为 server-cert.pem 的文件中。在执行过程中的输出含义如下：
# Signature ok: 表示签名验证成功，证书签名操作正常。
# subject=/CN=*: 表示证书的主题信息为 Common Name (CN) 字段为通配符 *。
# Getting CA Private Key: 表示正在获取 CA 的私钥用于签署证书。
# Enter pass phrase for ca-key.pem: 提示输入 ca-key.pem 文件的密码短语，以便获取 CA 的私钥进行签署操作。
使用指定的 CA 证书和私钥对给定的证书请求进行签署，生成一个新的证书，并将该证书保存到名为 server-cert.pem 的文件中。

三 nginx 镜像构建

1进入 nginx 工作目录

[root@localhost cert]# cd ..
[root@localhost nginx]# ls
cert
[root@localhost nginx]# docker pull nginx
[root@localhost nginx]# docker pull centos:7
[root@localhost nginx]# docker images

2 修改配置文件

[root@localhost nginx]# vim nginx.conf

user nginx;
worker_processes auto;
error_log /var/log/nginx/error.log;
pid /run/nginx.pid;events {worker_connections 1024;
}http {log_format  main  '$remote_addr - $remote_user [$time_local] "$request" ''$status $body_bytes_sent "$http_referer" ''"$http_user_agent" "$http_x_forwarded_for"';access_log  /var/log/nginx/access.log  main;sendfile            on;tcp_nopush          on;tcp_nodelay         on;keepalive_timeout   65;types_hash_max_size 4096;include             /etc/nginx/mime.types;default_type        application/octet-stream;server {listen       80;listen 443 ssl;   ssl_certificate /mnt/www.kgc.com.crt;ssl_certificate_key /mnt/www.kgc.com.key;ssl_session_cache shared:sslcache:20m;ssl_session_timeout 10m;server_name www.kgc.com;root     /usr/share/nginx/html;error_page 404 /404.html;location = /404.html {}error_page 500 502 503 504 /50x.html;location = /50x.html {}}
}

3 修改页面

生成容器

浏览器验证结果

五使用docker-compose编排Lnmp(dockerfile) 完成Wordpress

前言：Docker-Compose介绍

Docker-Compose项目是Docker官方的开源项目，负责实现对Docker容器集群的快速编排

Docker-Compose将所管理的容器分为三层，分别是工程（project），服务（service）以及容器（container）

Docker-Compose运行目录下的所有文件（docker-compose.yml，extends文件或环境变量文件

等）组成一个工程，若无特殊指定工程名即为当前目录名。一个工程当中可包含多个服务，每个服

务中定义了容器运行的镜像、参数、依赖。一个服务当中可包括多个容器实例，Docker-Compose

并没有解决负载均衡的问题，因此需要借助其它工具实现服务发现及负载均衡，比如 Consul。

Docker-Compose的工程配置文件默认为docker-compose.yml，可通过环境变量COMPOSE_FILE

或-f参数自定义配置文件，其定义了多个有依赖关系的服务及每个服务运行的容器。

Compose允许用户通过一个单独的docker-compose.yml模板文件（YAML 格式）来定义一组相关

联的应用容器为一个项目（project）

Docker-Compose项目由Python编写，调用Docker服务提供的API来对容器进行管理。因此，只要

所操作的平台支持Docker API，就可以在其上利用Compose来进行编排管理。

1 环境准备

容器名	容器ip地址	docker版本	镜像	所需软件
nginx	192.168.11.7	20.10.17	centos:7	Docker-nginx DockerWordpress
mysql	192.168.11.7	20.10.17		Docker-php
php	192.168.11.7	20.10.17		Docker-php

2 准备容器目录及相关文件；关闭防火墙关闭防护；下载centos:7镜像

[root@mcb-11-7 ~]# systemctl stop firewalld
[root@mcb-11-7 ~]# setenforce 0
[root@mcb-11-7 ~]# mkdir -p /opt/compose_lnmp/nginx
[root@mcb-11-7 ~]# mkdir -p /opt/compose_lnmp/mysql
[root@mcb-11-7 ~]# mkdir -p /opt/compose_lnmp/php
[root@mcb-11-7 ~]# cd /opt/compose_lnmp/
[root@mcb-11-7 compose_lnmp]# ls
mysql  nginx  php
[root@mcb-11-7 ~]# docker load -i  centos
174f56854903: Loading layer  211.7MB/211.7MB
Loaded image: centos:7
[root@mcb-11-7 ~]# docker images
REPOSITORY   TAG       IMAGE ID       CREATED       SIZE
centos       7         eeb6ee3f44bd   2 years ago   204MB

3 Docker-Compose 编排nginx

①编写 Dockerfile 文件

FROM centos:7
MAINTAINER this is nginx image <mcb>
RUN yum -y install pcre-devel zlib-devel gcc gcc-c++ make && useradd -M -s /sbin/nologin nginx
ADD nginx-1.12.0.tar.gz /usr/local/src/
WORKDIR /usr/local/src/nginx-1.12.0
RUN ./configure \
--prefix=/usr/local/nginx \
--user=nginx \
--group=nginx \
--with-http_stub_status_module && make -j2 && make install
ENV PATH /usr/local/nginx/sbin:$PATH
ADD nginx.conf /usr/local/nginx/conf/
#ADD wordpress-4.9.4-zh_CN.tar.gz /usr/local/nginx/html/
RUN chmod 777 -R /usr/local/nginx/html/
EXPOSE 80
EXPOSE 443
ENTRYPOINT [ "/usr/local/nginx/sbin/nginx", "-g", "daemon off;" ]

② 修改nginx.conf配置文件

[root@mcb-11-7 nginx]# vim nginx.conf

③ 创建html文件夹，并解压wordpress

[root@mcb-11-7 nginx]# rz -E
rz waiting to receive.
[root@mcb-11-7 nginx]# rz -E
rz waiting to receive.
[root@mcb-11-7 nginx]# ls
Dockerfile  nginx-1.12.0.tar.gz  nginx.conf  wordpress-4.9.4-zh_CN.tar.gz
[root@mcb-11-7 nginx]# mkdir html
[root@mcb-11-7 nginx]# ls
Dockerfile  html  nginx-1.12.0.tar.gz  nginx.conf  wordpress-4.9.4-zh_CN.tar.gz
[root@mcb-11-7 nginx]# 
[root@mcb-11-7 nginx]# mv wordpress-4.9.4-zh_CN.tar.gz html
[root@mcb-11-7 nginx]# cd html/
[root@mcb-11-7 html]# ls
wordpress-4.9.4-zh_CN.tar.gz
[root@mcb-11-7 html]# tar xf wordpress-4.9.4-zh_CN.tar.gz 
[root@mcb-11-7 html]# cd wordpress/
[root@mcb-11-7 wordpress]# ls
index.php        wp-admin              wp-content         wp-load.php      wp-signup.php
license.txt      wp-blog-header.php    wp-cron.php        wp-login.php     wp-trackback.php
readme.html      wp-comments-post.php  wp-includes        wp-mail.php      xmlrpc.php
wp-activate.php  wp-config-sample.php  wp-links-opml.php  wp-settings.php
[root@mcb-11-7 wordpress]# cd ..
[root@mcb-11-7 html]# ls
wordpress  wordpress-4.9.4-zh_CN.tar.gz
[root@mcb-11-7 html]#

4 Docker-Compose 编排mysql

① 切换工作目录

② 编写 Dockerfile 文件

[root@mcb-11-7 mysql]# vim Dockerfile

FROM centos:7
MAINTAINER this is mysql image <lyh1>
RUN yum -y install gcc gcc-c++ ncurses ncurses-devel bison cmake make
ADD mysql-boost-5.7.20.tar.gz /usr/local/src/
WORKDIR /usr/local/src/mysql-5.7.20/
RUN cmake \
-DCMAKE_INSTALL_PREFIX=/usr/local/mysql \
-DMYSQL_UNIX_ADDR=/usr/local/mysql/mysql.sock \
-DSYSCONFDIR=/etc \
-DSYSTEMD_PID_DIR=/usr/local/mysql \
-DDEFAULT_CHARSET=utf8  \
-DDEFAULT_COLLATION=utf8_general_ci \
-DWITH_INNOBASE_STORAGE_ENGINE=1 \
-DWITH_ARCHIVE_STORAGE_ENGINE=1 \
-DWITH_BLACKHOLE_STORAGE_ENGINE=1 \
-DWITH_PERFSCHEMA_STORAGE_ENGINE=1 \
-DMYSQL_DATADIR=/usr/local/mysql/data \
-DWITH_BOOST=boost \
-DWITH_SYSTEMD=1 && make -j4 && make install
ADD my.cnf /etc/
ENV PATH=/usr/local/mysql/bin:/usr/local/mysql/lib:$PATH
RUN useradd -M -s /sbin/nologin  mysql
RUN chown mysql:mysql /etc/my.cnf
RUN chown -R mysql:mysql /usr/local/mysql/
RUN /usr/local/mysql/bin/mysqld \
--initialize-insecure \
--user=mysql \
--basedir=/usr/local/mysql \
--datadir=/usr/local/mysql/data && cp/usr/local/mysql/usr/lib/systemd/system/sqld.service /usr/lib/systemd/system/
EXPOSE 3306
CMD ["/usr/local/mysql/bin/mysqld"]

注意：空格 datadir=/usr/local/mysql/data&&cp /usr/local/mysql/usr/lib/systemd/system/sqld.service /usr/lib/systemd/system/

③ 准备my.cnf文件

root@mcb-11-7 mysql]# vim my.cnf

[client]
port = 3306
socket=/usr/local/mysql/mysql.sock[mysql]
port = 3306
socket = /usr/local/mysql/mysql.sock
auto-rehash[mysqld]
user = mysql
basedir=/usr/local/mysql
datadir=/usr/local/mysql/data
port = 3306
character-set-server=utf8
pid-file = /usr/local/mysql/mysqld.pid
socket=/usr/local/mysql/mysql.sock
bind-address = 0.0.0.0
skip-name-resolve
max_connections=2048
default-storage-engine=INNODB
max_allowed_packet=16M
server-id = 1sql_mode=NO_ENGINE_SUBSTITUTION,STRICT_TRANS_TABLES,NO_AUTO_CREATE_USER,NO_AUTO_VALUE_ON_ZERO,NO_ZERO_
IN_DATE,NO_ZERO_DATE,ERROR_FOR_DIVISION_BY_ZERO,PIPES_AS_CONCAT,ANSI_QUOTES

5 Docker-Compose 编排php

① 切换工作目录

② 编写 Dockerfile 文件

[root@mcb-11-7 php]# vim Dockerfile

FROM centos:7
MAINTAINER this is php image <mcb3>
RUN yum -y install gd \
libjpeg libjpeg-devel \
libpng libpng-devel \
freetype freetype-devel \
libxml2 libxml2-devel \
zlib zlib-devel \
curl curl-devel \
openssl openssl-devel \
gcc gcc-c++ make pcre-devel && useradd -M -s /sbin/nologin nginx
ADD php-7.1.10.tar.bz2 /usr/local/src/
WORKDIR /usr/local/src/php-7.1.10
RUN ./configure \
--prefix=/usr/local/php \
--with-mysql-sock=/usr/local/mysql/mysql.sock \
--with-mysqli \
--with-zlib \
--with-curl \
--with-gd \
--with-jpeg-dir \
--with-png-dir \
--with-freetype-dir \
--with-openssl \
--enable-fpm \
--enable-mbstring \
--enable-xml \
--enable-session \
--enable-ftp \
--enable-pdo \
--enable-tokenizer \
--enable-zip && make -j2 && make install
ENV PATH /usr/local/php/bin:/usr/local/php/sbin:$PATH
ADD php.ini /usr/local/php/lib/
ADD php-fpm.conf /usr/local/php/etc/
ADD www.conf /usr/local/php/etc/php-fpm.d/
EXPOSE 9000
ENTRYPOINT [ "/usr/local/php/sbin/php-fpm", "-F" ]

③准备 php.ini、php-fpm.conf、www.conf 配置文件

修改php.ini

[root@mcb-11-7 php]# vim php.ini

[root@mcb-11-7 php]# vim php.ini939 date.timezone = Asia/Shanghai  # 取消注释，修改
1170 mysqli.default_socket = /usr/local/mysql/mysql.sock
# MySQL数据库的默认socket文件路径，用于PHP连接MySQL数据库时寻找MySQL服务器的通信端口
[root@localhost php]# egrep -v "^;" php.ini | egrep -v "^$"
# 显示php.ini文件中的非注释和非空行内容，即显示出配置文件中的有效配置项

修改php-fmp.conf

[root@mcb-11-7 php]# vim php-fpm.conf

修改www.conf

6 下载 Docker Compose 并安装

curl -L https://github.com/docker/compose/releases/download/1.21.1/docker-compose-`uname -s`-`uname -m` -o /usr/local/bin/docker-compose# `uname -s`-`uname -m`也可以写成$(uname -s) 和 $(uname -m)：分别会自动替换为你的系统类型（如：Linux）和机器架构（如：x86_64），确保你下载的是适合你系统的版本。
# curl -L:这部分表示使用curl命令进行下载，并且使用-L参数来跟随重定向
# -o /usr/local/bin/docker-compose: 表示将下载的文件保存为/usr/local/bin目录下的docker-compose文件#安装
chmod +x /usr/local/bin/docker-compose#查看版本
curl -L https://github.com/docker/compose/releases/download/1.21.1/docker-compose-`uname -s`-`uname -m` -o /usr/local/bin/docker-compose# `uname -s`-`uname -m`也可以写成$(uname -s) 和 $(uname -m)：分别会自动替换为你的系统类型（如：Linux）和机器架构（如：x86_64），确保你下载的是适合你系统的版本。
# curl -L:这部分表示使用curl命令进行下载，并且使用-L参数来跟随重定向
# -o /usr/local/bin/docker-compose: 表示将下载的文件保存为/usr/local/bin目录下的docker-compose文件#安装
chmod +x /usr/local/bin/docker-compose#查看版本
docker-compose --version

7 编写docker-compose.yml文件

[root@mcb-11-7 bin]# vim docker-compose.yml

若粘不进去：set paste

#定义docker-compose版本，可以是2 或 3
version: '3'
services:nginx:container_name: nginxhostname: nginxbuild:context: /opt/compose_lnmp/nginx/dockerfile: Dockerfileports:- 80:80- 443:443#设置数据卷挂载volumes:- /opt/compose_lnmp/nginx/html:/usr/local/nginx/htmlnetworks:lnmp:ipv4_address: 172.18.0.10mysql:container_name: mysqlbuild:context: /opt/compose_lnmp/mysqldockerfile: Dockerfileports:- 3306:3306networks:lnmp:ipv4_address: 172.18.0.20
volumes:- db-data:/usr/local/mysqlprivileged: truephp:container_name: phpbuild:context: /opt/compose_lnmp/phpdockerfile: Dockerfileports:- 9000:9000networks:lnmp:ipv4_address: 172.18.0.30volumes:- db-data:/usr/local/mysql- ./nginx/html:/usr/local/nginx/htmldepends_on:- nginx- mysqlnetworks:lnmp:driver: bridgeipam:config:- subnet: 172.18.0.0/16volumes:db-data: