Reverse proxy ແລະ Let’s Encrypt ດ້ວຍ docker

ໃນການເຮັດເວັບ ໂດຍສະເພາະເວັບທີ່ຕ້ອງຮັບຂໍ້ມູນທີ່ເປັນຄວາມລັບຈາກຜູ້ໃຊ້ເຮົາຕ້ອງເຮັດໃຫ້ໝັ້ນໃຈໄດ້ວ່າຂໍ້ມູນນັ້ນຈະບໍ່ຖືກປ່ຽນແປງຫຼືມີມືທີສາມໃຊ້ວິທີໃດໜຶ່ງດັກເບິ່ງຂໍ້ມູນທີ່ເປັນຄວາມລັບນັ້ນໄດ້. ຈຶ່ງຕ້ອງມີຄວາມຈຳປັນຕ້ອງມີການ ເຂົ້າລະຫັດຂໍ້ມູນລະຫວ່າງການແລກປ່ຽນຂໍ້ມູນລະຫວ່າງ server ແລະ client ນອກຈາກນີ້ກໍ່ບໍ່ມີຫຍັງຫຼາຍນອກຈາກຢາກມີເວັບທີ່ເປັນ https ເບິ່ງແລ້ວມັນເທ້ຊັນນາ (ຫະຫະຫະຫະ ^O^). ບໍ່ຕ້ອງຄິດໃຫ້ມັນຫຼາຍເອົາເປັນວ່າມື້ນີຈະມາສະແດງໃຫ້ເຫັນການເຮັດເວັບທີ່ມີຄວາມຈຳເປັນຕ້ອງເຮັດ reverse proxy ແລະ encrypt ຂໍ້ມູນ ດ້ວຍວິທີງ່າຍໆ ອອກແຮງມືກົດ keyboard ໜ້ອຍດຽວໂດຍການໃຊ້ docker ເຈົ້າເກົ່າເຮົານິເອງ

Reverse proxy ດ້ວຍ Nginx

ຫຼາຍຄົນທີ່ພັດທະນາເວັບ app ທີ່ໃຊ້ framework ທີ່ຈະມີການ run ຜ່ານ port ໃດໜຶ່ງແລ້ວຖ້າເຮົາຕ້ອງເອົາໄປ run ໃຊ້ຈິງຢູ່ server ຈະຕ້ອງມີການເຮັດ reverse proxy. ເຮົາຄົງບໍ່ຢາກໃຫ້ຜູ້ໃຊ້ເຂົ້າເວັບເຮົາແລ້ວຕ້ອງມາພິມ port ອີກແມ່ນບໍ່ຫລ່ະ. ດັ່ງນັ້ນຈຶ່ງຈຳເປັນຕ້ອງເຮັດ reverse proxy ໂດຍໃນທີ່ນີ້ຈະໃຊ້ Nginx ເປັນໂຕ reverse ແລະເວັບທີ່ໃຊ້ທົດລອງແມ່ນເວັບທີ່ພັດທະນາດ້ວຍ nodejs ແລະ expressjs ໂດຍການ run ຜ່ານ port 3000. ແລະທີ່ຂາດບໍ່ໄດ້ແມ່ນເຮົາຈະ run ມັນດ້ວຍ docker.

ສັ່ງຕິດຕັ້ງແລະ run image jwilder/nginx-proxy

$ docker run -d -p 80:80 -v /var/run/docker.sock:/tmp/docker.sock:ro jwilder/nginx-proxy

ຫຼັງຈາກນັ້ນກໍ່ຖ້າໃຫ້ docker download image ໃຫ້ສຳເລັດ. ເມຶ່ອສຳເລັດແລ້ວເຮົາກໍ່ສາມາດໃຊ້ງານ nginx revers proxy ໄດ້ທັນທີທັນໃດ.
ຕໍ່ມາ ເປັນການ run application ຂອງເຮົາເຊິ່ງ application ເຮົານີ້ສ້າງດ້ວຍ nodejs ສະນັ້ນຕ້ອງໄປ run nodejs image ກ່ອນ. ຫຼືບໍ່ກໍ່
run application ເຮົາດ້ວຍ image ນັ້ນເລີຍເພາະ docker ຈະໄປ download ໃຫ້ເຮົາທີ່ Docker Hub ແບບອັດຕະໂນມັດ. ຕົວຢ່າງເຊັ່ນວ່າ:

$ docker run -d \
--name Testapp \
--restart="always" \
-e VIRTUAL_HOST=example.com,www.example.com \
-v "$PWD":/usr/src/app \
-w=/usr/src/app \
--expose=3000 \
 node:5 node ./bin/www

ສຳລັບຄຳສັ່ງຂ້າງເທິງນັ້ນແມ່ນຢ່າໄດ້ລືມໃສ່ VIRTUAL_HOST Environment ແລະ --expose port ເດັດຂາດບໍ່ດັ່ງນັ້ນ jwilder/nginx-proxy ຈະບໍ່ສາມາດ bind host ຂອງເຮົາເຂົ້າກັບ
nginx ເພຶ່ອທຳການ reverse proxy ໄດ້. ແລະຕ້ອງລະບຸ port ທີ່ application ຂອງເຮົາໃຊ້ run ອີກດ້ວຍບໍ່ດັ່ງນັ້ນມັນຈະບໍ່ຖືກໃຊ້ໃນ docker.sock file ແລ້ວ jwilder/nginx-proxy
ກໍ່ບໍ່ສາມາດອ່ານຄ່າ VIRTUAL_HOST ແລະນຳໄປ bind ເຂົ້າກັບ nginx ໄດ້. ແລ້ວກໍ່ທຳການທົດສອບເຂົ້າໄປທີ່ url example.com ຫຼື www.example.com ຖ້າບໍ່ມີຫຍັງທີ່ຜິດພາດກໍ່ຈະປະກົດເວັບຂອງເຮົາຂຶ້ນມາ (ຜິດພາດແລ້ວຈົ່ງແກ້ເອງ ຫະຫະຫະຫະ ^^ ).

https ດ້ວຍ Let’s Encrypt ໃນ docker

ໃນການເຮັດໃຫ້ web ຂອງເຮົາສື່ສານດ້ວຍ http over SSL/TLS ຫຼື https
ນັ້ນເຮົາຕ້ອງໄດ້ໄປສະຫມັັກ CA ທີ່ສາມາດເຊື່ອຖືໄດ້ເຊັ່ນ: Comodo,Symantec,GoDaddy,GlobalSign ແລະອື່ນໆ. ແຕ່ວ່າ CA ພວກນີ້ຕ້ອງໄດ້ເສຍຄ່າໃຊ້ຈ່າຍສູງພໍສົມຄວນ. ແລະແລ້ວກໍ່ມີກຸ່ມຄົນຜູ້ໃຈດີທີ່ຫວັງຜົນທາງດ້ານການສຶກສາຫຼາຍກວ່າກຳໄລຂຶ້ນ ໂດຍໄດ້ສ້າງ CA ທີ່ໃຫ້ເຮົາໃຊ້ໄດ້ free ບໍ່ມີຄ່າໃຊ້ຈ່າຍໃດໆ ນາມນັ້ນຄື Let's Encrypt.ແລະເຮົາຈະ run web application ທີ່ເຮົາ run ກ່ອນໜ້າໃຫ້ສາມາດໃຊ້ https ໄດ້ແບບງ່າຍໆໂດຍໃຊ້ docker.

ທຳການ stop web application ແລະ nginx-proxy image ທີ່ເຮົາ run ກ່ອນຫນ້ານີ້ເສຍກ່ອນ ດ້ວຍ command

$ docker rm -f  "your docker name"

ຈາກນັ້ນ run ມັນດ້ວຍ command ແບບໃໝ່

• nginx-proxy

$ docker run -d -p 80:80 -p 443:443 \
    --name xang-nginx \
    -v /path/to/certs:/etc/nginx/certs:ro \
    -v /etc/nginx/vhost.d \
    -v /usr/share/nginx/html \
    -v /var/run/docker.sock:/tmp/docker.sock:ro \
    jwilder/nginx-proxy

• Let’s Encrypt

$ docker run -d \
    -v /path/to/certs:/etc/nginx/certs:rw \
    --volumes-from xang-nginx \
    -v /var/run/docker.sock:/var/run/docker.sock:ro \
    jrcs/letsencrypt-nginx-proxy-companion

• web application for test https

$ docker run -d \
--name Testapp \
 --restart="always" \
-e VIRTUAL_HOST=examble.com,www.examble.com \
-e LETSENCRYPT_HOST=examble.com,www.examble.com \
-e LETSENCRYPT_EMAIL=``youremail@gmail.com`` \
-v "$PWD":/usr/src/app \ #ບ່ອນຢູ່ຂອງ web app
-w=/usr/src/app \
--expose=3000 \
 node:5 node ./bin/www

ຈາກຂ້າງເທິງຈະສັງເກດຄວາມປ່ຽນແປງຂອງ command ໂດຍສະເພາະ web application ແລະ nginx-proxy image ນອກນັ້ນກໍ່ມີການ run image jrcs/letsencrypt-nginx-proxy-companion
ທີ່ໃຊ້ສ້າງ https ໃຫ້ກັບ web application ຂອງພວກເຮົາ ເຊິ່ງໃນການ
run web application ນັ້ນຕ້ອງລະບຸ ENV ເພີ່ມເຂົ້າໄປນັ້ນຄື
LETSENCRYPT_HOST ແລະ LETSENCRYPT_EMAIL ເພື່ອທຳການ register CA ຂອງ Let's Encrypt ໃຫ້ກັບ domain name ຂອງເຮົາແບບທີ່ເຮົາບໍ່ຕ້ອງໄປ config nginx ໃຫ້ເມື່ອຍເລີຍ.

ຖ້າຫາກຕ້ອງການ run ອີກເວັບທີ່ຕ້ອງການໃຊ້ https ກໍ່ສາມາດ run ໄດ້ໃນຮູບແບບຄ້າຍໆກັນ. ນັ້ນກໍ່ຄື ຢ່າໄດ້ລືມ ENV ທີ່ໄດ້ກ່າວໄວ້ຂ້າງເທິງແລ້ວ ສຳລັບຂໍ້ມູນເພີ່ມເຕີມສາມາດໄປຫາໄດ້ທີ່ jrcs/letsencrypt-nginx-proxy-companion ແລະ nginx-proxy .
ພໍ run ທັງສາມ image ສຳເລັດແລ້ວ (note: ຕ້ອງ run ໄປຕາມລຳດັບດ້ວຍເດີ!!). ເຮົາກໍ່ໜ້າຈະໄດ້ https ໃຫ້ກັບ web ຂອງເຮົາເປັນທີ່ຮຽບຮ້ອຍແລ້ວ. ງ່າຍບໍ່ຫລ່ະ (ຫະຫະຫະ).

ສະຫຼຸບ

ມັນເປັນການງ່າຍຈົນບໍ່ຮູ້ສິເວົ້າຫຍັງເລີຍໃນການເຮັດ https ໂດຍການ run ພຽງ 3 ຄຳສັ່ງເທົ່ານັ້ນກໍ່ໄດ້ແລ້ວ.ນິລະຄືຄວາມສາມາດຂອງ docker.
ແຕ່ວ່າ ມັນງ່າຍແບບນິກໍ່ຢ່າໄດ້ໄປລືບວິທີ config ໃຊ້ https ໃດຫລ່ະ
ຮູ້ເອົາໄວ້ກໍ່ເປັນການດີ. ຄວາມຮູ້ສູງສຸດ ຄືຄວາມຮູ້ພື້ນຖານ