摘要:云幫所有的對外服務(wù)都配置在負(fù)載均衡上��,都是通過負(fù)載均衡轉(zhuǎn)發(fā)到對應(yīng)的應(yīng)用與服務(wù)�����。大概的操作流程如下那么接下來就說說如何具體去配置����。測試即可,如果多節(jié)點(diǎn)配置直接配置就了����。配置到這里,云幫已經(jīng)配置完成了����。
序 相關(guān)組件介紹
本次分享主要涉及到兩個(gè)模塊console模塊和openresty模塊。
console模塊
即云幫(ACP)控制臺(tái)模塊,為用戶提供可視化Web操作界面��,監(jiān)聽443端口即可�,對證書需求:域名證書即可。
openresty模塊
即云幫負(fù)載均衡模塊����。云幫所有的對外服務(wù)都配置在負(fù)載均衡上,都是通過負(fù)載均衡轉(zhuǎn)發(fā)到對應(yīng)的應(yīng)用與服務(wù)��。大部分情況下監(jiān)聽443端口即可�����,如果單節(jié)點(diǎn)監(jiān)聽非占用端口即可�����。對證書需求:因?yàn)樯婕暗挠蛎^多�,這里我們選擇泛域名證書���。
大概的操作流程如下:
那么接下來就說說如何具體去配置https�。
0x00 利用openssl自簽證書
準(zhǔn)備工作:
cd /etc/goodrain/nginx/ssl #用于存放證書
mkdir console.goodrain.me #域名對應(yīng)的目錄
cd console.goodrain.me
生成證書操作:
openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout /etc/goodrain/nginx/ssl/console.goodrain.me/console.key -out /etc/goodrain/nginx/ssl/console.goodrain.me/console.crt
特別說明:回車之后會(huì)讓填寫一些信息����,這些適當(dāng)根據(jù)提示填寫��。但是最重要的就是要求Common Name填寫慎重�����,您需要輸入與您的服務(wù)器關(guān)聯(lián)的域名或您的服務(wù)器的公共IP地址��。
demo如下:
Country Name (2 letter code) [XX]:CN
State or Province Name (full name) []:BeiJing
Locality Name (eg, city) [Default City]:BeiJing
Organization Name (eg, company) [Default Company Ltd]:Goodrain, Inc.
Organizational Unit Name (eg, section) []:Cloud
Common Name (eg, your name or your server"s hostname) []:console.goodrain.me
Email Address []:[email protected]
域名一定要寫自己所需https的域名��。
0x01 云幫控制臺(tái)支持https
備份console配置文件
cp console ~/ #備份路徑自選����,但不要備份到當(dāng)前目錄下
編輯console文件
#在原有的配置下添加如下配置
#ip同原配置里的監(jiān)聽8688的ip相同
server {
listen ip:443;
server_name console.goodrain.me;
ssl on;
ssl_certificate /etc/nginx/ssl/console.goodrain.me/console.crt;
ssl_certificate_key /etc/nginx/ssl/console.goodrain.me/console.key;
location / {
proxy_pass http://console;
proxy_set_header Host $host;
proxy_redirect off;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_connect_timeout 60;
proxy_read_timeout 600;
proxy_send_timeout 600;
}
}
這樣配置的話���,http和https都是支持的���。如果想強(qiáng)制跳轉(zhuǎn)修改監(jiān)控8688的server
server {
listen ip:8688;
server_name console.goodrain.me;
rewrite ^(.*)$ https://$server_name$1 permanent;
}
修改完。重啟nginx服務(wù)����。
dc-compose stop nginx
cclear
dc-compose up -d
配置到這里,控制臺(tái)的https配置已經(jīng)完成��。
測試:
[root@iZm5e7u02k402beob2081gZ ~]# curl -I console.goodrain.me/login
HTTP/1.1 301 Moved Permanently
Server: openresty
Date: Thu, 30 Mar 2017 03:46:37 GMT
Content-Type: text/html
Content-Length: 185
Connection: keep-alive
Location: https://console.goodrain.me/login
如果是瀏覽器訪問,由于證書是自簽的��,需要添加信任����。
0x02 平臺(tái)應(yīng)用支持https
泛域名證書配置:
openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout server.key -out server.crt
證書上傳到openresty服務(wù)里:
docker cp server.crt openresty:/usr/local/openresty/nginx/conf/
docker cp server.key openresty:/usr/local/openresty/nginx/conf/
配置計(jì)算節(jié)點(diǎn)的openresty:
cd /etc/goodrain/openresty/servers/http
cp default.conf default443.conf
# 編輯default443.conf
修改如下:
listen 7443;
ssl on;
ssl_certificate /usr/local/openresty/nginx/conf/server.crt;
ssl_certificate_key /usr/local/openresty/nginx/conf/server.key;
#其他保持不變。
這里監(jiān)聽的是7443���,因?yàn)槲业氖菃喂?jié)點(diǎn)部署的����,443端口已經(jīng)被其他服務(wù)監(jiān)聽���,故使用7443端口。
配置完以上的���,重啟openresty即可��。
dc-compose stop openresty
cclear
dc-compose up -d
配置到這里����,應(yīng)用的https已經(jīng)配置完成了�。
測試:curl https://domain:7443 即可�����,如果多節(jié)點(diǎn)配置直接配置443就ok了��。
說明:當(dāng)僅一臺(tái)服務(wù)器時(shí)無法監(jiān)聽443端口�,需使用非被占用的端口如7443����,訪問域名就是https://domain:7443
如果計(jì)算節(jié)點(diǎn)和管理節(jié)點(diǎn)不在同一臺(tái)服務(wù)器上,即可監(jiān)聽443端口��。
https://domain
0x03 END
配置到這里�����,云幫https已經(jīng)配置完成了�。如果后期有什么問題,可以回帖或相關(guān)群組里反饋���。
文章版權(quán)歸作者所有���,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除�����。
轉(zhuǎn)載請注明本文地址:http://systransis.cn/yun/25184.html
