웹사이트 검색

Nginx, Let's Encrypt 및 Docker Compose로 컨테이너화된 Node.js 애플리케이션을 보호하는 방법


소개

Nginx의 유연성과 보안을 강화하는 방법에는 여러 가지가 있습니다. 요청 로드 밸런싱, 정적 콘텐츠 캐시, 전송 계층 보안(TLS) 구현 기능을 제공합니다. 서버에서 암호화된 HTTPS를 활성화하면 애플리케이션과의 통신이 안전하게 유지됩니다.

컨테이너에서 TLS/SSL을 사용하여 리버스 프록시를 구현하려면 호스트 운영 체제에서 직접 작업하는 것과는 다른 일련의 절차가 필요합니다. 예를 들어 인증서를 얻을 수 있게 해주는 Certbot 클라이언트에서 인증서를 얻은 경우입니다. 다음 단계를 따르면 컨테이너화된 워크플로의 모듈성과 이식성을 활용할 수 있습니다.

이 자습서에서는 Docker Compose를 사용하여 Nginx 리버스 프록시와 함께 Node.js 애플리케이션을 배포합니다. 애플리케이션과 연결된 도메인에 대한 TLS/SSL 인증서를 얻고 cron 작업에서 높은 보안 등급을 받아 인증서를 갱신하여 도메인이 안전하게 유지되도록 합니다.

전제 조건

이 자습서를 따르려면 다음이 필요합니다.

  • Ubuntu 18.04 서버, sudo 권한이 있는 루트가 아닌 사용자 및 활성 방화벽. 이를 설정하는 방법에 대한 지침은 이 초기 서버 설정 가이드를 참조하십시오.\n
  • 서버에 설치된 Docker 및 Docker Compose. Docker 설치에 대한 지침은 Ubuntu 18.04에 Docker Compose를 설치하는 방법의 1단계와 2단계를 따르십시오.\n
  • 등록된 도메인 이름입니다. 이 자습서에서는 전체적으로 your_domain을 사용합니다. Freenom에서 무료로 받거나 선택한 도메인 등록 기관을 사용할 수 있습니다.\n
  • 다음 DNS 레코드는 모두 서버에 대해 설정됩니다. DigitalOcean DNS를 사용 중인 경우 DigitalOcean 계정에 추가하는 방법에 대한 자세한 내용은 이 DigitalOcean DNS 소개를 참조하세요.\n
    • 서버의 공용 IP 주소를 가리키는 your_domain이 있는 A 레코드
    • 서버의 공용 IP 주소를 가리키는 www.your_domain이 있는 A 레코드

    모든 것이 설정되면 첫 번째 단계를 시작할 준비가 된 것입니다.

    1단계 — 노드 애플리케이션 복제 및 테스트

    첫 번째 단계로 Compose로 애플리케이션 이미지를 빌드하기 위한 Dockerfile이 포함된 노드 애플리케이션 코드로 리포지토리를 복제합니다. 그런 다음 리버스 프록시나 SSL 없이 docker run 명령으로 애플리케이션을 빌드하고 실행하여 애플리케이션을 테스트합니다.

    루트가 아닌 사용자의 홈 디렉터리에서 How To Build a Node.js Application with Docker를 복제합니다.

    리포지토리를 디렉터리에 복제합니다. 이 예에서는 node_project를 디렉토리 이름으로 사용합니다. 원하는 대로 이 디렉토리의 이름을 지정하십시오.

    1. git clone https://github.com/do-community/nodejs-image-demo.git node_project

    node_project 디렉터리로 변경합니다.

    1. cd node_project

    이 디렉터리에는 Docker node:10 이미지와 현재 프로젝트 디렉터리의 콘텐츠를 사용하여 노드 애플리케이션을 빌드하기 위한 지침이 포함된 Dockerfile이 있습니다. 다음을 사용하여 Dockerfile의 내용을 미리 볼 수 있습니다.

    1. cat Dockerfile
    Output
    FROM node:10-alpine RUN mkdir -p /home/node/app/node_modules && chown -R node:node /home/node/app WORKDIR /home/node/app COPY package*.json ./ USER node RUN npm install COPY --chown=node:node . . EXPOSE 8080 CMD [ "node", "app.js" ]

    이 지침은 현재 디렉터리에서 컨테이너로 프로젝트 코드를 복사하고 npm install을 사용하여 종속성을 설치하여 노드 이미지를 빌드합니다. 또한 프로젝트의 나열된 종속성을 포함하는 package.jsonpackage-lock.json의 복사본을 나머지 애플리케이션 코드. 마지막으로 지침은 애플리케이션 코드 및 node_modules 디렉터리에 적절한 권한이 설정된 루트가 아닌 노드 사용자로 컨테이너가 실행되도록 지정합니다.

    이 Dockerfile 및 노드 이미지 모범 사례에 대한 자세한 내용은 Docker를 사용하여 Node.js 애플리케이션을 구축하는 방법의 3단계에서 전체 논의를 살펴보십시오.

    SSL 없이 애플리케이션을 테스트하려면 docker build-t 플래그를 사용하여 이미지를 빌드하고 태그를 지정할 수 있습니다. 이 예제는 이미지 node-demo의 이름을 지정하지만 다른 이름을 자유롭게 지정할 수 있습니다.

    1. docker build -t node-demo .

    빌드 프로세스가 완료되면 도커 이미지로 이미지를 나열할 수 있습니다.

    1. docker images

    다음 출력은 애플리케이션 이미지 빌드를 확인합니다.

    Output
    REPOSITORY TAG IMAGE ID CREATED SIZE node-demo latest 23961524051d 7 seconds ago 73MB node 10-alpine 8a752d5af4ce 3 weeks ago 70.7MB

    다음으로 docker run을 사용하여 컨테이너를 만듭니다. 이 명령에는 세 가지 플래그가 포함되어 있습니다.

    • -p: 컨테이너의 포트를 게시하고 호스트의 포트에 매핑합니다. 이 예에서는 호스트에서 포트 80을 사용하지만 해당 포트에서 실행 중인 다른 프로세스가 있는 경우 필요에 따라 자유롭게 수정할 수 있습니다. 작동 방식에 대한 자세한 내용은 포트 바인딩에 대한 Docker 문서에서 이 논의를 검토하세요.
    • -d: 백그라운드에서 컨테이너를 실행합니다.
    • --name: 이를 통해 컨테이너에 기억하기 쉬운 이름을 지정할 수 있습니다.

    다음 명령어를 실행하여 컨테이너를 빌드합니다.

    1. docker run --name node-demo -p 80:8080 -d node-demo

    docker ps로 실행 중인 컨테이너를 검사합니다.

    1. docker ps

    다음 출력은 애플리케이션 컨테이너가 실행 중임을 확인합니다.

    Output
    CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES 4133b72391da node-demo "node app.js" 17 seconds ago Up 16 seconds 0.0.0.0:80->8080/tcp node-demo

    이제 도메인을 방문하여 http://your_domain 설정을 테스트할 수 있습니다. your_domain을 자신의 도메인 이름으로 바꿔야 합니다. 애플리케이션에 다음 랜딩 페이지가 표시됩니다.

    이제 애플리케이션을 테스트했으므로 컨테이너를 중지하고 이미지를 제거할 수 있습니다. docker ps를 사용하여 CONTAINER ID를 얻습니다.

    1. docker ps
    Output
    CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES 4133b72391da node-demo "node app.js" 17 seconds ago Up 16 seconds 0.0.0.0:80->8080/tcp node-demo

    docker stop을 사용하여 컨테이너를 중지합니다. 여기에 나열된 CONTAINER ID를 자신의 애플리케이션 CONTAINER ID로 교체해야 합니다.

    1. docker stop 4133b72391da

    이제 docker system prune-a 플래그를 사용하여 중지된 컨테이너와 사용되지 않고 매달린 이미지를 포함한 모든 이미지를 제거할 수 있습니다.

    1. docker system prune -a

    중지된 컨테이너와 이미지를 제거할 것인지 확인하는 메시지가 표시되면 y를 누르십시오. 이렇게 하면 빌드 캐시도 제거됩니다.

    애플리케이션 이미지가 테스트되면 Docker Compose를 사용하여 나머지 설정을 구축할 수 있습니다.

    2단계 - 웹 서버 구성 정의

    애플리케이션 Dockerfile이 있으면 Nginx 컨테이너를 실행하기 위한 구성 파일을 생성합니다. 도메인 이름, 문서 루트, 프록시 정보 및 Certbot의 요청을 .well-known 디렉토리로 보내는 위치 블록을 포함하는 최소 구성으로 시작할 수 있습니다. 여기서 임시 파일을 배치합니다. 도메인의 DNS가 서버로 확인되는지 확인합니다.

    먼저 현재 프로젝트 디렉토리인 node_project에 구성 파일용 디렉토리를 만듭니다.

    1. mkdir nginx-conf

    nano 또는 좋아하는 편집기로 파일을 만들고 엽니다.

    1. nano nginx-conf/nginx.conf

    다음 서버 블록을 추가하여 노드 애플리케이션 컨테이너에 대한 사용자 요청을 프록시하고 Certbot의 요청을 .well-known 디렉토리로 보냅니다. your_domain 을 자신의 도메인 이름으로 바꿔야 합니다.

    server {
            listen 80;
            listen [::]:80;
    
            root /var/www/html;
            index index.html index.htm index.nginx-debian.html;
    
            server_name your_domain www.your_domain;
    
            location / {
                    proxy_pass http://nodejs:8080;
            }
    
            location ~ /.well-known/acme-challenge {
                    allow all;
                    root /var/www/html;
            }
    }
    

    이 서버 블록을 사용하면 Nginx 컨테이너를 역방향 프록시로 시작할 수 있으며 노드 애플리케이션 컨테이너에 요청을 전달할 수 있습니다. 또한 HTTP 요청을 사용하여 Certbot이 주어진 도메인 이름에 응답하는 서버에서 리소스에 액세스할 수 있음을 증명하는 Certbot의 HTTP-01 유효성 검사 방법을 사용할 수 있습니다.

    편집이 완료되면 파일을 저장하고 닫습니다. nano를 사용한 경우 CTRL + X를 누른 다음 Y, ENTER를 눌러 이 작업을 수행할 수 있습니다. Nginx 서버 및 위치 블록 알고리즘에 대한 자세한 내용은 Nginx 서버 및 위치 블록 선택 알고리즘 이해 문서를 참조하십시오.

    웹 서버 구성 세부 정보가 있으면 docker-compose.yml 파일 생성으로 이동할 수 있습니다. 이 파일을 통해 인증서를 얻는 데 사용할 애플리케이션 서비스 및 Certbot 컨테이너를 생성할 수 있습니다. .

    3단계 — Docker Compose 파일 생성

    docker-compose.yml 파일은 노드 애플리케이션 및 웹 서버를 포함하여 서비스를 정의합니다. 컨테이너 간에 SSL 자격 증명을 공유하는 데 중요한 명명된 볼륨과 네트워크 및 포트 정보와 같은 세부 정보를 지정합니다. 또한 컨테이너가 생성될 때 실행할 명령을 지정할 수 있습니다. 이 파일은 서비스가 함께 작동하는 방식을 정의하는 중앙 리소스입니다.

    현재 디렉터리에서 파일을 만들고 엽니다.

    1. nano docker-compose.yml

    먼저 애플리케이션 서비스를 정의합니다.

    version: '3'
    
    services:
      nodejs:
        build:
          context: .
          dockerfile: Dockerfile
        image: nodejs
        container_name: nodejs
        restart: unless-stopped
    

    nodejs 서비스 정의에는 다음이 포함됩니다.

    • build: 이는 Compose가 애플리케이션 이미지를 빌드할 때 적용될 구성 옵션(contextdockerfile 포함)을 정의합니다. 사용자 이름, 리포지토리 및 이미지 태그에 대한 정보와 함께 이미지 명령어와 같은 레지스트리의 기존 이미지를 대신 사용하려는 경우.
    • context: 애플리케이션 이미지 빌드에 대한 빌드 컨텍스트를 정의합니다. 이 경우 .로 표시되는 현재 프로젝트 디렉토리입니다.
    • dockerfile: Compose가 빌드에 사용할 Dockerfile(1단계에서 검토한 Dockerfile)을 지정합니다.
    • image, container_name: 이미지와 컨테이너에 이름을 적용합니다.
    • restart: 재시작 정책을 정의합니다. 기본값은 no이지만 이 예에서는 컨테이너가 중지되지 않는 한 다시 시작하도록 설정됩니다.

    설정이 개발이 아닌 배포에 중점을 두기 때문에 이 서비스에 바인드 마운트를 포함하지 않는다는 점에 유의하십시오. 자세한 내용은 볼륨에 대한 Docker 설명서를 참조하십시오.

    애플리케이션과 웹 서버 컨테이너 간의 통신을 활성화하려면 재시작 정의 뒤에 app-network라는 브리지 네트워크를 추가합니다.

    services:
      nodejs:
    ...
        networks:
          - app-network
    

    이와 같은 사용자 정의 브리지 네트워크는 동일한 Docker 데몬 호스트의 컨테이너 간 통신을 가능하게 합니다. 이는 동일한 브리지 네트워크에 있는 컨테이너 사이의 모든 포트를 열면서 외부 세계에 포트를 노출하지 않기 때문에 애플리케이션 내 트래픽 및 통신을 간소화합니다. 따라서 프런트엔드 서비스를 노출하는 데 필요한 포트만 열도록 선택할 수 있습니다.

    다음으로 webserver 서비스를 정의합니다.

    ...
     webserver:
        image: nginx:mainline-alpine
        container_name: webserver
        restart: unless-stopped
        ports:
          - "80:80"
        volumes:
          - web-root:/var/www/html
          - ./nginx-conf:/etc/nginx/conf.d
          - certbot-etc:/etc/letsencrypt
          - certbot-var:/var/lib/letsencrypt
        depends_on:
          - nodejs
        networks:
          - app-network
    

    여기서 nodejs 서비스에 대해 정의된 일부 설정은 동일하게 유지되지만 다음 중 일부가 변경되었습니다.

    • image: 이것은 Compose에게 최신 How To Build a Node.js 애플리케이션 with Docker를 가져오도록 지시합니다.
    • ports: 포트 80을 노출하여 Nginx 구성에서 정의한 구성 옵션을 활성화합니다.

    다음 명명된 볼륨 및 바인드 마운트도 지정됩니다.

    • web-root:/var/www/html: web-root라는 볼륨에 복사된 사이트의 정적 자산을 >/var/www/html 컨테이너의 디렉터리입니다.
    • ./nginx-conf:/etc/nginx/conf.d: 이렇게 하면 호스트의 Nginx 구성 디렉터리를 컨테이너의 관련 디렉터리에 바인딩하여 변경 사항이 있는지 확인합니다. 호스트의 파일에 대한 데이터가 컨테이너에 반영됩니다.
    • certbot-etc:/etc/letsencrypt: 도메인에 대한 관련 Let’s Encrypt 인증서 및 키를 컨테이너의 적절한 디렉토리에 마운트합니다.
    • certbot-var:/var/lib/letsencrypt: Let’s Encrypt의 기본 작업 디렉토리를 컨테이너의 적절한 디렉토리에 마운트합니다.

    다음으로 certbot 컨테이너에 대한 구성 옵션을 추가합니다. 도메인 및 이메일 정보를 자신의 도메인 이름 및 연락처 이메일로 바꾸십시오.

    ...
      certbot:
        image: certbot/certbot
        container_name: certbot
        volumes:
          - certbot-etc:/etc/letsencrypt
          - certbot-var:/var/lib/letsencrypt
          - web-root:/var/www/html
        depends_on:
          - webserver
        command: certonly --webroot --webroot-path=/var/www/html --email sammy@your_domain --agree-tos --no-eff-email --staging -d your_domain  -d www.your_domain 
    

    이 정의는 Compose에게 Docker 허브에서 certbot/certbot 이미지를 가져오도록 지시합니다. 또한 명명된 볼륨을 사용하여 certbot-etc의 도메인 인증서 및 키, certbot-var의 Let's Encrypt 작업 디렉터리 및 web-root의 애플리케이션 코드.

    다시, webserver 서비스가 실행되면 certbot 컨테이너가 시작되도록 지정하기 위해 depends_on을 사용했습니다.

    command 옵션은 컨테이너가 시작될 때 실행할 명령을 지정합니다. 여기에는 다음 옵션과 함께 certonly 하위 명령이 포함됩니다.

    • --webroot: 인증을 위해 webroot 폴더에 파일을 배치하기 위해 webroot 플러그인을 사용하도록 Certbot에 지시합니다.
    • --webroot-path: 웹루트 디렉토리의 경로를 지정합니다.
    • --email: 등록 및 복구를 위해 선호하는 이메일입니다.
    • --agree-tos: 이것은 귀하가 ACME의 가입자 계약에 동의함을 지정합니다.
    • --no-eff-email: 전자 프론티어 재단(EFF)과 이메일을 공유하고 싶지 않다고 Certbot에 알립니다. 원하는 경우 생략해도 됩니다.
    • --staging: 테스트 인증서를 얻기 위해 Let's Encrypt의 스테이징 환경을 사용하고 싶다고 Certbot에 알립니다. 이 옵션을 사용하면 구성 옵션을 테스트하고 가능한 도메인 요청 제한을 피할 수 있습니다. 이러한 제한에 대한 자세한 내용은 Let's Encrypt의 속도 제한 문서를 참조하세요.
    • -d: 요청에 적용할 도메인 이름을 지정할 수 있습니다. 이 경우 your_domainwww.your_domain을 포함했습니다. 이를 자신의 도메인으로 교체해야 합니다.

    마지막 단계로 볼륨 및 네트워크 정의를 추가합니다. 여기서 사용자 이름을 루트가 아닌 사용자로 바꾸십시오.

    ...
    volumes:
      certbot-etc:
      certbot-var:
      web-root:
        driver: local
        driver_opts:
          type: none
          device: /home/sammy/node_project/views/
          o: bind
    
    networks:
      app-network:
        driver: bridge
    

    명명된 볼륨에는 Certbot 인증서 및 작업 디렉토리 볼륨과 사이트의 정적 자산인 web-root 볼륨이 포함됩니다. 대부분의 경우 Docker 볼륨의 기본 드라이버는 local 드라이버이며 Linux에서는 Docker로 Node.js 애플리케이션을 빌드하는 방법과 유사한 옵션을 허용합니다.

    다음은 완전한 docker-compose.yml 파일입니다.

    version: '3'
    
    services:
      nodejs:
        build:
          context: .
          dockerfile: Dockerfile
        image: nodejs
        container_name: nodejs
        restart: unless-stopped
        networks:
          - app-network
    
      webserver:
        image: nginx:mainline-alpine
        container_name: webserver
        restart: unless-stopped
        ports:
          - "80:80"
        volumes:
          - web-root:/var/www/html
          - ./nginx-conf:/etc/nginx/conf.d
          - certbot-etc:/etc/letsencrypt
          - certbot-var:/var/lib/letsencrypt
        depends_on:
          - nodejs
        networks:
          - app-network
    
      certbot:
        image: certbot/certbot
        container_name: certbot
        volumes:
          - certbot-etc:/etc/letsencrypt
          - certbot-var:/var/lib/letsencrypt
          - web-root:/var/www/html
        depends_on:
          - webserver
        command: certonly --webroot --webroot-path=/var/www/html --email sammy@your_domain --agree-tos --no-eff-email --staging -d your_domain  -d www.your_domain 
    
    volumes:
      certbot-etc:
      certbot-var:
      web-root:
        driver: local
        driver_opts:
          type: none
          device: /home/sammy/node_project/views/
          o: bind
    
    networks:
      app-network:
        driver: bridge  
    

    서비스 정의가 준비되면 컨테이너를 시작하고 인증서 요청을 테스트할 준비가 된 것입니다.

    4단계 - SSL 인증서 및 자격 증명 얻기

    docker-compose up으로 컨테이너를 시작할 수 있습니다. 이렇게 하면 지정한 순서대로 컨테이너와 서비스가 생성되고 실행됩니다. 도메인 요청이 성공하면 인증서가 webserver 컨테이너의 /etc/letsencrypt/live 폴더에 마운트됩니다.

    nodejswebserver 컨테이너를 실행하는 -d 플래그와 함께 docker-compose up으로 서비스를 생성합니다. 백그라운드에서:

    1. docker-compose up -d

    출력에서 서비스가 생성되었음을 확인할 수 있습니다.

    Output
    Creating nodejs ... done Creating webserver ... done Creating certbot ... done

    docker-compose ps를 사용하여 서비스 상태를 확인하십시오.

    1. docker-compose ps

    모든 것이 성공적이면 nodejswebserver 서비스가 Up 상태가 되고 certbot 컨테이너가 0 상태 메시지:

    Output
    Name Command State Ports ------------------------------------------------------------------------ certbot certbot certonly --webroot ... Exit 0 nodejs node app.js Up 8080/tcp webserver nginx -g daemon off; Up 0.0.0.0:80->80/tcp

    nodejswebserver 서비스의 State 열에서 Up 이외의 항목이나 종료 상태를 발견한 경우 certbot 컨테이너의 0 이외의 경우 docker-compose logs 명령으로 서비스 로그를 확인하십시오. 예를 들어 Certbot 로그를 확인하려면 다음을 실행합니다.

    1. docker-compose logs certbot

    이제 docker-compose exec를 사용하여 자격 증명이 webserver 컨테이너에 마운트되었는지 확인할 수 있습니다.

    1. docker-compose exec webserver ls -la /etc/letsencrypt/live

    요청이 성공하면 출력에 다음이 표시됩니다.

    Output
    total 16 drwx------ 3 root root 4096 Dec 23 16:48 . drwxr-xr-x 9 root root 4096 Dec 23 16:48 .. -rw-r--r-- 1 root root 740 Dec 23 16:48 README drwxr-xr-x 2 root root 4096 Dec 23 16:48 your_domain

    이제 요청이 성공할 것임을 알았으므로 certbot 서비스 정의를 편집하여 --staging 플래그를 제거할 수 있습니다.

    docker-compose.yml 파일을 엽니다.

    1. nano docker-compose.yml

    certbot 서비스 정의가 있는 파일 섹션을 찾고 command 옵션의 --staging 플래그를 - -강제 갱신 플래그. 이렇게 하면 기존 인증서와 동일한 도메인을 사용하여 새 인증서를 요청하고 싶다고 Certbot에 알립니다. certbot 서비스 정의에는 다음 정의가 있어야 합니다.

    ...
      certbot:
        image: certbot/certbot
        container_name: certbot
        volumes:
          - certbot-etc:/etc/letsencrypt
          - certbot-var:/var/lib/letsencrypt
          - web-root:/var/www/html
        depends_on:
          - webserver
        command: certonly --webroot --webroot-path=/var/www/html --email sammy@your_domain --agree-tos --no-eff-email --force-renewal -d your_domain -d www.your_domain
    ...
    

    편집이 완료되면 파일을 저장하고 종료합니다. 이제 docker-compose up을 실행하여 certbot 컨테이너와 관련 볼륨을 다시 생성할 수 있습니다. --no-deps 옵션을 포함하면 webserver 서비스가 이미 실행 중이므로 시작을 건너뛸 수 있음을 Compose에 알리는 것입니다.

    1. docker-compose up --force-recreate --no-deps certbot

    다음 출력은 인증서 요청이 성공했음을 나타냅니다.

    Output
    Recreating certbot ... done Attaching to certbot certbot | Account registered. certbot | Renewing an existing certificate for your_domain and www.your_domain certbot | certbot | Successfully received certificate. certbot | Certificate is saved at: /etc/letsencrypt/live/your_domain/fullchain.pem certbot | Key is saved at: /etc/letsencrypt/live/your_domain phd.com/privkey.pem certbot | This certificate expires on 2022-11-03. certbot | These files will be updated when the certificate renews. certbot | NEXT STEPS: certbot | - The certificate will need to be renewed before it expires. Cert bot can automatically renew the certificate in the background, but you may need to take steps to enable that functionality. See https://certbot.org/renewal-setu p for instructions. certbot | Saving debug log to /var/log/letsencrypt/letsencrypt.log certbot | certbot | - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - certbot | If you like Certbot, please consider supporting our work by: certbot | * Donating to ISRG / Let's Encrypt: https://letsencrypt.org/do nate certbot | * Donating to EFF: https://eff.org/donate-le certbot | - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - certbot exited with code 0

    인증서가 있으면 SSL을 포함하도록 Nginx 구성을 수정할 수 있습니다.

    5단계 - 웹 서버 구성 및 서비스 정의 수정

    Nginx 구성에서 SSL을 활성화하려면 HTTPS에 HTTP 리디렉션을 추가하고 SSL 인증서 및 키 위치를 지정해야 합니다. 또한 Perfect Forward Secrecy에 사용할 Diffie-Hellman 그룹을 지정해야 합니다.

    이러한 추가 사항을 포함하도록 webserver 서비스를 다시 생성할 예정이므로 지금 중지할 수 있습니다.

    1. docker-compose stop webserver

    다음으로 Diffie-Hellman 키에 대한 현재 프로젝트 디렉터리에 디렉터리를 만듭니다.

    1. mkdir dhparam

    openssl 명령으로 키를 생성합니다.

    1. sudo openssl dhparam -out /home/sammy/node_project/dhparam/dhparam-2048.pem 2048

    키를 생성하는 데 몇 분 정도 걸립니다.

    관련 Diffie-Hellman 및 SSL 정보를 Nginx 구성에 추가하려면 먼저 이전에 생성한 Nginx 구성 파일을 제거합니다.

    1. rm nginx-conf/nginx.conf

    파일의 다른 버전 열기:

    1. nano nginx-conf/nginx.conf

    다음 코드를 파일에 추가하여 HTTP를 HTTPS로 리디렉션하고 SSL 자격 증명, 프로토콜 및 보안 헤더를 추가합니다. your_domain을 자신의 도메인으로 교체해야 합니다.

    
    server {
            listen 80;
            listen [::]:80;
            server_name your_domain www.your_domain;
    
            location ~ /.well-known/acme-challenge {
              allow all;
              root /var/www/html;
            }
    
            location / {
                    rewrite ^ https://$host$request_uri? permanent;
            }
    }
    
    server {
            listen 443 ssl http2;
            listen [::]:443 ssl http2;
            server_name your_domain www.your_domain;
    
            server_tokens off;
    
            ssl_certificate /etc/letsencrypt/live/your_domain/fullchain.pem;
            ssl_certificate_key /etc/letsencrypt/live/your_domain/privkey.pem;
    
            ssl_buffer_size 8k;
    
            ssl_dhparam /etc/ssl/certs/dhparam-2048.pem;
    
            ssl_protocols TLSv1.2;
            ssl_prefer_server_ciphers on;
    
            ssl_ciphers ECDH+AESGCM:ECDH+AES256:ECDH+AES128:DH+3DES:!ADH:!AECDH:!MD5;
    
            ssl_ecdh_curve secp384r1;
            ssl_session_tickets off;
    
            ssl_stapling on;
            ssl_stapling_verify on;
            resolver 8.8.8.8;
    
            location / {
                    try_files $uri @nodejs;
            }
    
            location @nodejs {
                    proxy_pass http://nodejs:8080;
                    add_header X-Frame-Options "SAMEORIGIN" always;
                    add_header X-XSS-Protection "1; mode=block" always;
                    add_header X-Content-Type-Options "nosniff" always;
                    add_header Referrer-Policy "no-referrer-when-downgrade" always;
                    add_header Content-Security-Policy "default-src * data: 'unsafe-eval' 'unsafe-inline'" always;
                    #add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;
                    # enable strict transport security only if you understand the implications
            }
    
            root /var/www/html;
            index index.html index.htm index.nginx-debian.html;
    }
    

    HTTP 서버 블록은 .well-known/acme-challenge 디렉토리에 대한 Certbot 갱신 요청의 웹루트를 지정합니다. 또한 루트 디렉터리에 대한 HTTP 요청을 HTTPS로 보내는 재작성 지시문도 포함합니다.

    HTTPS 서버 블록은 sslhttp2를 활성화합니다. HTTP/2가 HTTP 프로토콜에서 반복되는 방식과 웹 사이트 성능에 대해 얻을 수 있는 이점에 대해 자세히 알아보려면 인증 프로세스 속도를 높일 수 있는 TLS 핸드셰이크 소개를 읽어보십시오.

    이 블록은 SSL 및 Diffie-Hellman 자격 증명과 키 위치도 지정합니다.

    마지막으로 \사전 로드\ 기능이 있는 위치 블록을 포함하여 프록시 패스 정보를 이 블록으로 옮겼습니다.

    편집이 완료되면 파일을 저장하고 닫습니다.

    webserver 서비스를 다시 생성하기 전에 docker-compose.yml 파일의 서비스 정의에 HTTPS 및 Diffie- Hellman 볼륨 정의.

    파일 열기:

    1. nano docker-compose.yml

    webserver 서비스 정의에서 다음 포트 매핑과 dhparam 명명된 볼륨을 추가합니다.

    ...
     webserver:
        image: nginx:latest
        container_name: webserver
        restart: unless-stopped
        ports:
          - "80:80"
          - "443:443"
        volumes:
          - web-root:/var/www/html
          - ./nginx-conf:/etc/nginx/conf.d
          - certbot-etc:/etc/letsencrypt
          - certbot-var:/var/lib/letsencrypt
          - dhparam:/etc/ssl/certs
        depends_on:
          - nodejs
        networks:
          - app-network
    

    다음으로 dhparam 볼륨을 volumes 정의에 추가합니다. sammynode_project 디렉토리를 사용자와 일치하도록 교체해야 합니다.

    ...
    volumes:
      ...
      webroot:
      ...
      dhparam:
        driver: local
        driver_opts:
          type: none
          device: /home/sammy/node_project/dhparam/
          o: bind
    

    web-root 볼륨과 마찬가지로 dhparam 볼륨은 호스트에 저장된 Diffie-Hellman 키를 webserver 컨테이너에 마운트합니다.

    편집을 마치면 파일을 저장하고 닫습니다.

    webserver 서비스를 다시 만듭니다.

    1. docker-compose up -d --force-recreate --no-deps webserver

    docker-compose ps로 서비스를 확인하십시오.

    1. docker-compose ps

    다음 출력은 nodejswebserver 서비스가 실행 중임을 나타냅니다.

    Output
    Name Command State Ports ---------------------------------------------------------------------------------------------- certbot certbot certonly --webroot ... Exit 0 nodejs node app.js Up 8080/tcp webserver nginx -g daemon off; Up 0.0.0.0:443->443/tcp, 0.0.0.0:80->80/tcp

    마지막으로 도메인을 방문하여 모든 것이 예상대로 작동하는지 확인할 수 있습니다. 브라우저에서 https://your_domain으로 이동하여 your_domain을 자신의 도메인 이름으로 대체해야 합니다.

    브라우저의 보안 표시기에 자물쇠 아이콘이 나타나야 합니다. 원하는 경우 Security Headers 서버 테스트 랜딩 페이지로 이동할 수 있습니다. 포함된 구성 옵션은 SSL Labs 서버 테스트에서 귀하의 사이트가 A 등급을 받아야 합니다. 보안 헤더 서버 테스트에서 A 등급을 받으려면 nginx-conf/nginx.conf 파일에서 HSTS(Strict Transport Security) 헤더의 주석을 제거해야 합니다.

    …
    location @nodejs {
                    proxy_pass http://nodejs:8080;
                    add_header X-Frame-Options "SAMEORIGIN" always;
                    add_header X-XSS-Protection "1; mode=block" always;
                    add_header X-Content-Type-Options "nosniff" always;
                    add_header Referrer-Policy "no-referrer-when-downgrade" always;
                    add_header Content-Security-Policy "default-src * data: 'unsafe-eval' 'unsafe-inline'" always;
                    add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;
                    # enable strict transport security only if you understand the implications
            }
    …
    

    다시 말하지만, 의미를 이해하고 "사전 로드\ 기능을 평가한 경우에만 이 옵션을 활성화하십시오.

    6단계 - 인증서 갱신

    Let’s Encrypt 인증서는 90일 동안 유효합니다. 만료되지 않도록 자동 갱신 프로세스를 설정할 수 있습니다. 이를 수행하는 한 가지 방법은 cron 스케줄링 유틸리티로 작업을 생성하는 것입니다. 인증서를 갱신하고 Nginx 구성을 다시 로드하는 스크립트를 사용하여 cron 작업을 예약할 수 있습니다.

    프로젝트 디렉터리에서 ssl_renew.sh라는 스크립트를 엽니다.

    1. nano ssl_renew.sh

    다음 코드를 스크립트에 추가하여 인증서를 갱신하고 웹 서버 구성을 다시 로드합니다.

    #!/bin/bash
    
    COMPOSE="/usr/local/bin/docker-compose --ansi never"
    DOCKER="/usr/bin/docker"
    
    cd /home/sammy/node_project/
    $COMPOSE run certbot renew --dry-run && $COMPOSE kill -s SIGHUP webserver
    $DOCKER system prune -af
    

    이 스크립트는 먼저 COMPOSE라는 변수에 docker-compose 바이너리를 할당하고 --no-ansi 옵션을 지정합니다. ANSI 제어 문자가 없는docker-compose 명령. 그런 다음 docker 바이너리로 동일한 작업을 수행합니다. 마지막으로 ~/node_project 디렉토리로 변경하고 다음 docker-compose 명령을 실행합니다.

    • docker-compose run: certbot 컨테이너를 시작하고 certbot에 제공된 명령을 재정의합니다. 서비스 정의. certonly 하위 명령을 사용하는 대신 만료가 임박한 인증서를 갱신하는 renew 하위 명령을 사용하십시오. 또한 스크립트를 테스트하기 위한 --dry-run 옵션도 포함되어 있습니다.
    • SIGHUPwebserver 컨테이너에 신호를 보내 Nginx 구성을 다시 로드합니다.

    그런 다음 docker system prune을 실행하여 사용하지 않는 모든 컨테이너와 이미지를 제거합니다.

    편집이 끝나면 파일을 닫은 다음 실행 가능하게 만드십시오.

    1. chmod +x ssl_renew.sh

    다음으로 루트 crontab 파일을 열어 지정된 간격으로 갱신 스크립트를 실행합니다.

    sudo crontab -e 
    

    이 파일을 처음 편집하는 경우 편집기를 선택하라는 메시지가 표시됩니다.

    no crontab for root - using an empty one
    Select an editor.  To change later, run 'select-editor'.
      1. /bin/ed
      2. /bin/nano        <---- easiest
      3. /usr/bin/vim.basic
      4. /usr/bin/vim.tiny
    Choose 1-4 [2]: 
    ...
    

    파일 끝에 다음 줄을 추가합니다.

    ...
    */5 * * * * /home/sammy/node_project/ssl_renew.sh >> /var/log/cron.log 2>&1
    

    이렇게 하면 작업 간격이 5분마다 설정되므로 갱신 요청이 의도한 대로 작동하는지 테스트할 수 있습니다. 작업의 관련 출력을 기록하기 위해 로그 파일 cron.log도 생성했습니다.

    5분 후 cron.log를 확인하여 갱신 요청이 성공했는지 확인합니다.

    1. tail -f /var/log/cron.log

    잠시 후 다음 출력이 성공적으로 갱신되었다는 신호를 보냅니다.

    Output
    - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - ** DRY RUN: simulating 'certbot renew' close to cert expiry ** (The test certificates below have not been saved.) Congratulations, all renewals succeeded. The following certs have been renewed: /etc/letsencrypt/live/your_domain/fullchain.pem (success) ** DRY RUN: simulating 'certbot renew' close to cert expiry ** (The test certificates above have not been saved.) - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Killing webserver ... done
    Output
    … Congratulations, all simulated renewals succeeded: /etc/letsencrypt/live/your_domain/fullchain.pem (success) - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Saving debug log to /var/log/letsencrypt/letsencrypt.log Killing webserver ... Killing webserver ... done Deleted Containers: 00cad94050985261e5b377de43e314b30ad0a6a724189753a9a23ec76488fd78 Total reclaimed space: 824.5kB

    터미널에 CTRL + C를 입력하여 종료합니다.

    이제 crontab 파일을 수정하여 일일 간격을 설정할 수 있습니다. 예를 들어 매일 정오에 스크립트를 실행하려면 다음과 같이 파일의 마지막 줄을 수정할 수 있습니다.

    ...
    0 12 * * * /home/sammy/node_project/ssl_renew.sh >> /var/log/cron.log 2>&1
    

    ssl_renew.sh 스크립트에서 --dry-run 옵션을 제거할 수도 있습니다.

    #!/bin/bash
    
    COMPOSE="/usr/local/bin/docker-compose --no-ansi"
    DOCKER="/usr/bin/docker"
    
    cd /home/sammy/node_project/
    $COMPOSE run certbot renew && $COMPOSE kill -s SIGHUP webserver
    $DOCKER system prune -af
    

    귀하의 cron 작업은 자격이 있을 때 인증서를 갱신하여 Let’s Encrypt 인증서가 만료되지 않도록 합니다. Logrotate 유틸리티로 로그 회전을 설정하여 로그 파일을 회전 및 압축할 수도 있습니다.

    결론

    컨테이너를 사용하여 Nginx 리버스 프록시로 Node 애플리케이션을 설정하고 실행했습니다. 또한 애플리케이션 도메인에 대한 SSL 인증서를 보호하고 필요할 때 이러한 인증서를 갱신하도록 cron 작업을 설정했습니다.

    Let’s Encrypt 플러그인에 대해 자세히 알아보려면 독립 실행형 플러그인 사용에 대한 기사를 검토하십시오.

    다음 리소스를 사용하여 Docker Compose에 대해 자세히 알아볼 수도 있습니다.

    • Ubuntu 18.04에 Docker Compose를 설치하는 방법
    • Ubuntu 16.04에서 Docker 및 Docker Compose를 사용하여 지속적 통합 테스트 환경을 구성하는 방법
    • Docker Compose로 Laravel, Nginx 및 MySQL을 설정하는 방법

    Compose 설명서는 다중 컨테이너 애플리케이션에 대해 자세히 알아볼 수 있는 훌륭한 리소스이기도 합니다.