春節前,我看到 Nginx 加入了 HTTP/2 的 server push 功能,就很想試一下。
正好這些天,我在學習 Docker,就想到可以用 Nginx 容器。萬一哪裡改亂了,直接刪掉,再重啟一個容器就可以了。
下面就是我搭建 Nginx 容器的過程,以及如何加入 SSL 證書。你會看到 Docker 用來測試軟體的新功能,真的很方便,很值得學習。如果你還不會 Docker,可以先看《Docker 入門教程》,非常簡單,半小時以內就能學會。
一、HTTP 服務
Nginx 的最大作用,就是搭建一個 Web Server。有了容器,只要一行命令,伺服器就架設好了,完全不用配置。
$ docker container run \ -d \ -p 127.0.0.2:8080:80 \ --rm \ --name mynginx \ nginx
上面命令下載並執行官方的 Nginx image,預設是最新版本(latest),當前是 1.13.9。如果本機安裝過以前的版本,請刪掉重新安裝,因為只有 1.13.9 才開始支援 server push。
上面命令的各個引數含義如下。
-d:在後臺執行-p:容器的80埠對映到127.0.0.2:8080--rm:容器停止執行後,自動刪除容器檔案--name:容器的名字為mynginx
如果沒有報錯,就可以開啟瀏覽器訪問 127.0.0.2:8080 了。正常情況下,顯示 Nginx 的歡迎頁。
然後,把這個容器終止,由於--rm引數的作用,容器檔案會自動刪除。
$ docker container stop mynginx
二、對映網頁目錄
網頁檔案都在容器裡,沒法直接修改,顯然很不方便。下一步就是讓網頁檔案所在的目錄/usr/share/nginx/html對映到本地。
首先,新建一個目錄,並進入該目錄。
$ mkdir nginx-docker-demo $ cd nginx-docker-demo
然後,新建一個html子目錄。
$ mkdir html
在這個子目錄裡面,放置一個index.html檔案,內容如下。
<h1>Hello World</h1>
接著,就可以把這個子目錄html,對映到容器的網頁檔案目錄/usr/share/nginx/html。
$ docker container run \ -d \ -p 127.0.0.2:8080:80 \ --rm \ --name mynginx \ --volume "$PWD/html":/usr/share/nginx/html \ nginx
開啟瀏覽器,訪問 127.0.0.2:8080,應該就能看到 Hello World 了。
三、拷貝配置
修改網頁檔案還不夠,還要修改 Nginx 的配置檔案,否則後面沒法加 SSL 支援。
首先,把容器裡面的 Nginx 配置檔案拷貝到本地。
$ docker container cp mynginx:/etc/nginx .
上面命令的含義是,把mynginx容器的/etc/nginx拷貝到當前目錄。不要漏掉最後那個點。
執行完成後,當前目錄應該多出一個nginx子目錄。然後,把這個子目錄改名為conf。
$ mv nginx conf
現在可以把容器終止了。
$ docker container stop mynginx
四、對映配置目錄
重新啟動一個新的容器,這次不僅對映網頁目錄,還要對映配置目錄。
$ docker container run \ --rm \ --name mynginx \ --volume "$PWD/html":/usr/share/nginx/html \ --volume "$PWD/conf":/etc/nginx \ -p 127.0.0.2:8080:80 \ -d \ nginx
上面程式碼中,--volume "$PWD/conf":/etc/nginx表示把容器的配置目錄/etc/nginx,對映到本地的conf子目錄。
瀏覽器訪問 127.0.0.2:8080,如果能夠看到網頁,就說明本地的配置生效了。這時,可以把這個容器終止。
$ docker container stop mynginx
五、自簽名證書
現在要為容器加入 HTTPS 支援,第一件事就是生成私鑰和證書。正式的證書需要證書當局(CA)的簽名,這裡是為了測試,搞一張自簽名(self-signed)證書就可以了。
下面,我參考的是 DigitalOcean 的教程。首先,確定你的機器安裝了 OpenSSL,然後執行下面的命令。
$ sudo openssl req \ -x509 \ -nodes \ -days 365 \ -newkey rsa:2048 \ -keyout example.key \ -out example.crt
上面命令的各個引數含義如下。
req:處理證書籤署請求。-x509:生成自簽名證書。-nodes:跳過為證書設定密碼的階段,這樣 Nginx 才可以直接開啟證書。-days 365:證書有效期為一年。-newkey rsa:2048:生成一個新的私鑰,採用的演算法是2048位的 RSA。-keyout:新生成的私鑰檔案為當前目錄下的example.key。-out:新生成的證書檔案為當前目錄下的example.crt。
執行後,命令列會跳出一堆問題要你回答,比如你在哪個國家、你的 Email 等等。
其中最重要的一個問題是 Common Name,正常情況下應該填入一個域名,這裡可以填 127.0.0.2。
Common Name (e.g. server FQDN or YOUR name) []:127.0.0.2
回答完問題,當前目錄應該會多出兩個檔案:example.key和example.crt。
conf目錄下新建一個子目錄certs,把這兩個檔案放入這個子目錄。
$ mkdir conf/certs $ mv example.crt example.key conf/certs
六、HTTPS 配置
有了私鑰和證書,就可以開啟 Nginx 的 HTTPS 了。
首先,開啟conf/conf.d/default.conf檔案,在結尾新增下面的配置。
server { listen 443 ssl http2; server_name localhost; ssl on; ssl_certificate /etc/nginx/certs/example.crt; ssl_certificate_key /etc/nginx/certs/example.key; ssl_session_timeout 5m; ssl_ciphers HIGH:!aNULL:!MD5; ssl_protocols SSLv3 TLSv1 TLSv1.1 TLSv1.2; ssl_prefer_server_ciphers on; location / { root /usr/share/nginx/html; index index.html index.htm; } }
然後,啟動一個新的 Nginx 容器。
$ docker container run \ --rm \ --name mynginx \ --volume "$PWD/html":/usr/share/nginx/html \ --volume "$PWD/conf":/etc/nginx \ -p 127.0.0.2:8080:80 \ -p 127.0.0.2:8081:443 \ -d \ nginx
上面命令中,不僅對映了容器的80埠,還對映了443埠,這是 HTTPS 的專用埠。
開啟瀏覽器,訪問 https://127.0.0.2:8081/ 。因為使用了自簽名證書,瀏覽器會提示不安全。不要去管它,選擇繼續訪問,應該就可以看到 Hello World 了。
至此,Nginx 容器的 HTTPS 支援就做好了。有了這個容器,下一篇文章,我就來試驗 HTTP/2 的 server push 功能。
七、參考連結
- Tips for deploying nginx(official image) with docker, by Mario Ponticello
- How To Run Nginx in a Docker Container on Ubuntu 14.04, by Thomas Taege
- Official Docker Library docs, by Docker
- How To Create a Self-Signed SSL Certificate for Nginx in Ubuntu 16.04, by Justin Ellingwood
(完)