Docker：带有 ssl 后端的 nginx-proxy

Question

我目前正在容器化 wordpress 应用程序以进行开发。 到目前为止，情况还算不错:)

目前，我正在为每个应用程序使用一个 docker-compose.yml 文件（和一些配置）。 每个应用程序由一个 nginx-web 服务器、一个数据库和带有 fpm 的 wordpress 组成。 （下面的示例 docker-compose.yml）。 每个应用程序都自行处理它的 ssl，我已经确认，它可以工作。

我总体规划的下一步是使用 nginx 反向代理同时启动所有应用程序容器，而无需使用主机上的不同端口。

据我了解， jwilder/nginx-proxy是完成这项工作的最佳工具。 所以我在想 - 如果这不是最佳实践，请纠正我 - 我可以为 nginx-proxy 创建一个 compose.yml 文件，该文件可以一直运行，并且会在自动生成的同时将端口 80 和 443 暴露给主机之后我启动的每个容器的 nginx-configs。

version: '3.6'

services:
  nginx-proxy:
    image: jwilder/nginx-proxy
    container_name: nginx_proxy
    ports:
      - '80:80'
      - '443:443'
    volumes:
      - /var/run/docker.sock:/tmp/docker.sock:ro

networks:
  default:
    external:
      name: nginx-proxy

我尝试使用 nginx-proxy 将端口 80 暴露给主机，并使用 mariadb:latest 和 wordpress:latest 图像在其自己的 docker-compose.yml 文件中设置 wordpress 应用程序。 这确实只是通过添加暴露：\\ -80 和 VIRTUAL_HOST 环境变量而起作用。

但我不太明白如何在我前面提到的 wordpress 应用程序前使用反向代理。 文档说明了这一点：

SSL后端

如果您希望反向代理使用 HTTPS 而不是 HTTP 连接到您的后端，请在后端容器上设置 VIRTUAL_PROTO=https。

注意：如果您使用 VIRTUAL_PROTO=https 并且您的后端容器公开端口 80 和 443，则 nginx-proxy 将在端口 80 上使用 HTTPS。这几乎肯定不是您想要的，因此您还应该包括 VIRTUAL_PORT=443。

所以我尝试将这些环境变量添加到应用程序的 docker-compose.yml 文件中。 具体在nginx服务里面，并添加了暴露的80和443端口。

version: '3.6'
services:

  wordpress:
    image: wordpress:4.7.2-php7.1-fpm
    volumes:
      - ../public:/var/www/html
    environment:
      - WORDPRESS_DB_NAME=${WORDPRESS_DB_NAME:-wordpress}
      - WORDPRESS_TABLE_PREFIX=${WORDPRESS_TABLE_PREFIX:-wp_}
      - WORDPRESS_DB_HOST=${WORDPRESS_DB_HOST:-mysql}
      - WORDPRESS_DB_USER=${WORDPRESS_DB_USER:-root}
      - WORDPRESS_DB_PASSWORD=${WORDPRESS_DB_PASSWORD:-password}
    depends_on:
      - db
    restart: always

  db:
    image: mariadb:${MARIADB_VERSION:-latest}
    volumes:
      - tss-data:/var/lib/mysql
      # - ./db:/docker-entrypoint-initdb.d/
    environment:
      - MYSQL_ROOT_PASSWORD=${MYSQL_ROOT_PASSWORD:-password}
      - MYSQL_USER=${MYSQL_USER:-root}
      - MYSQL_PASSWORD=${MYSQL_PASSWORD:-password}
      - MYSQL_DATABASE=${MYSQL_DATABASE:-wordpress}
    restart: always

  nginx:
    image: nginx:${NGINX_VERSION:-latest}
    container_name: nginx
    volumes:
      - ${NGINX_CONF_DIR:-./nginx}:/etc/nginx/conf.d
      - ${NGINX_LOG_DIR:-./logs/nginx}:/var/log/nginx
      - ${WORDPRESS_DATA_DIR:-./wordpress}:/var/www/html
      - ${SSL_CERTS_DIR:-./certs}:/etc/letsencrypt
      - ${SSL_CERTS_DATA_DIR:-./certs-data}:/data/letsencrypt
    environment:
      - VIRTUAL_HOST:local.my-app.com
      - VIRTUAL_PROTO:https
      - VIRTUAL_PORT:443
    expose:
      - 80
      - 443
    depends_on:
      - wordpress
    restart: always

volumes:
  tss-data:

networks:
  default:
    external:
      name: nginx-proxy

唉，如果我尝试在端口 80 上浏览 local.my-app.com，我会收到 503 服务暂时不可用

如果我在端口 443 上尝试，nginx 反向代理根本不响应。 我觉得我遗漏了一些相当明显的东西，但我似乎找不到它，我真的很感激对此事的任何想法。

Answer 1

最后，我选择不在每个单独的应用程序中处理 SSL 加密。 但相反，我将反向代理更改为

version: '3.6'

services:
  nginx-proxy:
    image: jwilder/nginx-proxy:alpine
    container_name: nginx_proxy
    ports:
      - '80:80'
      - '443:443'
    volumes:
      - ./certs:/etc/nginx/certs
      - /var/run/docker.sock:/tmp/docker.sock:ro
    restart: unless-stopped

networks:
  default:
    external:
      name: nginx-proxy

所以现在我可以在端口 80 上访问每个应用程序，直到我为它添加证书，在这种情况下，它可以在端口 443 上访问。