docker容器域名绑定

你如果说站在一个黑客的角度来看，域名要不要问题不大，因为ping一下基本就出来了。确实，但是我们写的网站都是面向用户的，如果你这儿直接是个ip用户多少会觉得怪异。于是本着强迫症的心里，我花了大概一天的时间反复对着服务器鞭尸，终于找了解决问题的关键—— nginx 。

2.为什么问题的关键变成了nginx?

你如果有时间可以看看我这个探索的过程，时间紧迫可以直接跳过。 看了好多文章发现问题的根本还是这个nginx的配置不太明白，于是想了个方法，在宝塔面板里面有nginx的配置方法，用的是GUI，点两下就行，只要找到对应的nginx的conf配置文件文件就行：

首先用GUI配置一下https域名访问：

开启访问如下：

好的现在域名https解析配置好了：

接下来就是分析：

????接下来可能你想说，懂了，那我就在docker里面搞一个nginx，然后将这个nginx的配置文件给复制进去，建立相关的文件夹，然后把需要用到的ssl的公钥和私钥以及必要的日志打印文件给建好，毕竟在没有宝塔面板的情况下配个域名和https访问也不至于不能实现。虽然过程可能有些痛苦，但理论上可行。很遗憾地告诉你，这其实是一个错误的思路， 除了过于复杂外，还违背了docker的初衷 。

docker本来就是想 轻量化 ，我其实按照这个思路尝试过，由于自己Linux指令不熟以及对nginx不是很了解，因此还是比较痛苦的，并且我发现进入nginx容器的内部环境，前面也说过这里面其实就是一个小的Linux环境，为了节省内存开销和提供资源重用性，docker去掉了很多传统Linux镜像具有的功能，例如 vim 等基础工具包，还需要自己下载，为了编辑文件下载这个然后删除（且不说删除方法的问题），属实太麻烦了。

????其实，是有更好的解决方法的，虽然容器与服务器主机之间貌似没有多余的交互，除了一个端口映射外，其实是可以使用文件映射的。因为这篇主要是针对应用的，所以很多理论知识就先不谈。其实是可以将我们下载的nginx的配置文件直接映射到使用服务器主机上的nginx的配置文件。之所以使用docker，主要还是防止版本等的冲突造成项目部署出现“奇奇怪怪”的问题。但是即使软件（nginx）更新了，软件也不至于会影响前一个版本的配置（使用方式）。一般情况下，都是提高软件本身的性能和稳定性。

????按照上面的这个方法，就需要首先找到nginx在服务上的配置文件的具体位置了。找的话比较好找，进入nginx软件下面找nginx.conf文件就行：

????咱也不多说了，这里存在最大的问题是，直接将nginx文件映射之后，由于我服务器使用的centos镜像，docker里面由于考虑到轻量化，只保留了核心，很多辅助功能被抛弃了，也就导致了存在服务器文件和docker容器的Linux文件不匹配，简单来说就是一个容器其实运行在一个轻量化的Linux环境中，你把服务器中的配置文件复制进去之后，配置文件可能还有相互引入，这样换了环境直接寄，根本找不到引入的文件。你可能想说我都引入，十分复杂。所以，还是得搞明白nginx在网站运行时到底干了些什么。

3.简单聊聊nginx

????如果你的时间充裕，推荐去看一下 B站狂神说 给的40分钟左右的教程，开个倍速了解一下比较快，通俗易懂。简单来说 nginx 基于C语言开发，速度快，支持5万并发（Tomcat不到1000）,可以用来配置负载均衡、反向代理、动静结合。我的理解如下：

（1）负载均衡：由于网络用户逐渐庞大，因此很多厂商实际使用多台服务器，nginx充当服务器的代理，将流量按照需要“平均分配”（有时候需要结合不同服务器的性能给不同权重）给这些服务器。对于session不同服务器的共享，虽然这个代理能插一手，但是由于性能等原因一般还是选择使用redis；

（2）反向代理：首先要明白正向代理，正向代理指代理在客户端出现，“健康上网”就是一种（前端的代理也算），反向代理指的是在服务器上面代理，服务器为了提高性能让别人帮着处理；也正是代理的强大，所以高并发通常会有他的影子，可以不断地延伸，利用多个子级nginx将流量压力给抵消掉，也就是构建一个服务器集群。

（3）动静结合：其实就是静态资源缓存在nginx这样就不用再去服务器请求了，因为这个很经打，这样能够减少站在它后面瑟瑟发抖的服务器的压力。

????这里贴一篇讲得比较完整的文章吧：超级详细的nginx讲解

4.首先给主站点配置域名

????为了方便更好地说明问题，我这里重新做人，把服务器上面的nginx先给卸载了：

????首先，为了安全起见，先随便开一个容器，将容器里面的nginx相关文件从容器复制到服务器中：

docker run --name=nginx -d -p 80:80 nginx

????在服务器中创建用来映射的文件目录，文件映射最好是使用文件夹，因为后面我们可能需要在原映射的基础上新增其他配置，使用文件能够提高扩展性，官方也是这么推荐的：

mkdir -p /data/nginx

????将阿里云中的文件导出用于备份（防止文件缺损）（ cp 容器名:容器中的路径 备份出来的服务器路径 ）：

docker cp nginx:/etc/nginx/nginx.conf /data/nginx/nginx.conf
docker cp nginx:/etc/nginx/conf.d/ /data/nginx/
docker cp nginx:/usr/share/nginx/html/ /data/nginx/
docker cp nginx:/var/log/nginx/ /data/nginx/

????为了由于缓存产生不必要的误会，我这里直接换浏览器访问，确保nginx能够正常使用（也就是我们拷贝出来的文件有效）：

????接下来就是比较关键的一步了，删除容器，利用服务器上面的文件重新构建文件映射关系：

docker run --name=nginx -d -p 80:80 -p 443:443 -v /data/nginx/html:/usr/share/nginx/html -v /data/nginx/nginx.conf:/etc/nginx/nginx.conf -v /data/nginx/conf.d/:/etc/nginx/conf.d/ -v /data/nginx/nginx/:/var/log/nginx/ nginx

????对上面的指令做出如下几点解释：

（1） -p 80:80 -p 443:443 ，由于需要使用https和域名访问，所以需要额外增加443端口的映射；

（2） -d ，nginx是后台代理，需要长期运行；

（3） -v /data/nginx/html:/usr/share/nginx/html 映射nginx的 html 页面（主要是默认页和报错页）；

（4） -v /data/nginx/conf/nginx.conf:/etc/nginx/nginx.conf ，映射niginx的配置页；

（5） -v /data/nginx/conf.d/:/etc/nginx/conf.d/ ，映射nginx的扩展配置页；

（6） -v /data/nginx/logs:/var/log/nginx ，映射nginx的日志文件。

????最终得到的效果如下：

接下来，简单说一下nginx的配置文件的意思：

user  nginx; #指定系统用户，这里使用的是nginx创建的用户组
worker_processes  auto;#定义nginx对外提供web服务时的进程数

error_log  /var/log/nginx/error.log notice;#错误日志信息存储位置
pid        /var/run/nginx.pid;#进程控制块


events {
 
    worker_connections  1024;#进程同时打开的最大连接数
}


http {
 
    include       /etc/nginx/mime.types;#支持的类型，这个可以联想一下nodeJS里面的那个第三方依赖
    default_type  application/octet-stream;#默认类型

    log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '
                      '$status $body_bytes_sent "$http_referer" '
                      '"$http_user_agent" "$http_x_forwarded_for"';#日志格式

    access_log  /var/log/nginx/access.log  main;#访问日志

    sendfile        on;#开启文件发送功能
    #tcp_nopush     on;

    keepalive_timeout  65;#长连接过期时间

    #gzip  on;

    include /etc/nginx/conf.d/*.conf;#这个非常重要，引入conf.d下面的全部.conf后缀的配置文件
}

????官方给了一个默认的配置文件（ default.conf ）：

server {
 
    listen       80;
    listen  [::]:80;
    server_name  localhost;
    location / {
   #这里其实是一个拦截器
        root   /usr/share/nginx/html;
        #站点位置，这里需要使用容器里面的路径而不是服务器，因为最终容器环境对因为Linux环境
        index  index.html index.htm;
        #知道php应该的都懂，这里是默认展示的页面配置
    }
    #报错页面处理
    error_page   500 502 503 504  /50x.html;
    location = /50x.html {
 
        root   /usr/share/nginx/html;
    }
}

????好嘞，咱接下来直接配置域名访问。如果你之前也是使用的宝塔面板，那么恭喜你，你只需要把阿里云证书文件夹（ cert ）找到复制到 /data/nginx/conf.d 目录下（为什么放在这儿？因为这个映射的时候使用的是目录，而且挨着配置文件最近，方便修改），如果不是的话你得去阿里云重新下载，然后新建文件夹，把证书放进去，也不难的：

????如果你不信，可以进入容器查看，举例如下：

????这里把修改之后的文件放在下面供大家参考（基本上你只需要 修改域名和域名对应的证书 ，因为我这里其实没有部署任何站点，特别强调证书的路径是 /etc/nginx/conf.d ，不是 /data/nginx/conf.d ，容器最终跑的位置是在docker提供的Linux环境中）：

server {
 
    listen 80;
    listen 443 ssl http2;
    server_name nightowl.top;
    location / {
 
        root /usr/share/nginx/html;
        index index.html index.htm;
    }
    if ($server_port !~ 443){
 
        rewrite ^(/.*)$ https://$host$1 permanent;
    }
    ssl_certificate    /etc/nginx/conf.d/cert/nightowl.top/fullchain.pem;
    ssl_certificate_key   /etc/nginx/conf.d/cert/nightowl.top/privkey.pem;
    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_ciphers EECDH+CHACHA20:EECDH+CHACHA20-draft:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;
    ssl_prefer_server_ciphers off;
    ssl_session_cache shared:SSL:10m;
    ssl_session_timeout 10m;
    add_header Strict-Transport-Security "max-age=31536000";
}

????诶，跑不了，不保熟是吧？

????这里还需要一步调整，将docker对应的nginx容器的配置修改一下（这里是参考了大佬的文章），修改方法如下：

（1）定制运行docker服务， systemctl stop docker ；

（2）在服务器中找到容器的配置文件， /var/lib/docker/容器ID/hostconfig.json ；

（3）编辑，找到 "PortBindings":{"80/tcp":[{"HostIp":"","HostPort":"80"}]]}, 替换成如下json配置项：

"PortBindings":{
 "80/tcp":[{
 "HostIp":"","HostPort":"80"}],"443/tcp":[{
 "HostIp":"","HostPort":"443"}]},

（4）重启docker服务， systemctl start docker ，然后重新运行容器。

成功效果如下：

最后直接快速还账：

直接给出路由转发思路的nginx配置如下：

server
{
 
	listen 443 ssl http2; # listen 80;
    server_name visualization.admin.nightowl.top;
    if ($server_port !~ 443){
 
        rewrite ^(/.*)$ https://$host$1 permanent;
    }
    ssl_certificate    /etc/nginx/conf.d/cert/visualization.admin.nightowl.top/fullchain.pem;
    ssl_certificate_key   /etc/nginx/conf.d/cert/visualization.admin.nightowl.top/privkey.pem;
    ssl_protocols TLSv1.1 TLSv1.2 TLSv1.3;
    ssl_ciphers EECDH+CHACHA20:EECDH+CHACHA20-draft:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;
    ssl_prefer_server_ciphers on;
    ssl_session_cache shared:SSL:10m;
    ssl_session_timeout 10m;
    add_header Strict-Transport-Security "max-age=31536000";
    error_page 497  https://$host$request_uri;
    location / {
 
        proxy_pass http://8.136.14.176:88/;
        proxy_set_header Host $host:$server_port;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header REMOTE-HOST $remote_addr;
        add_header X-Cache $upstream_cache_status;
        proxy_connect_timeout 30s;
        proxy_read_timeout 86400s;
        proxy_send_timeout 30s;
        proxy_http_version 1.1;
        proxy_set_header Upgrade $http_upgrade;
        proxy_set_header Connection "upgrade";
    }
}