nginx - Docker nginx-proxy：容器之间的代理

Question

我目前在我的公司中使用 Docker-Compose 运行一个开发堆栈，为开发人员提供他们编写应用程序所需的一切。

它特别包括：

• 一个 Gitlab 容器（sameersbn/gitlab）来管理私有 GIT 存储库，
• 用于构建和持续集成的 Jenkins 容器（library/jenkins ），
• 一个 Archiva 容器 ( ninjaben/archiva-docker ) 来管理 Maven 存储库。

为了通过 HTTPS 保护服务并将它们暴露给外界，我安装了优秀的 nginx-proxy 容器（jwilder/nginx-proxy），它允许使用容器上的环境变量自动配置 nginx 代理，并自动将 HTTP 重定向到 HTTPS .

DNS 配置为将 dockerized 服务的每个公共 URL 映射到主机的 IP。

最后，使用 Docker-Compose，我的 docker-compose.yml 文件如下所示：

version: '2'
services:
  nginx-proxy:
    image: jwilder/nginx-proxy
    ports:
    - "80:80"
    - "443:443"
    volumes:
    - /var/run/docker.sock:/tmp/docker.sock:ro
    - /var/config/nginx-proxy/certs:/etc/nginx/certs:ro
  postgresql:
    # Configuration of postgresql container ...
  gitlab:
    image: sameersbn/gitlab
    ports:
    - "10022:22"
    volumes:
    - /var/data/gitlab:/home/git/data
    environment:
    # Bunch of environment variables ...
    - VIRTUAL_HOST=gitlab.my-domain.com
    - VIRTUAL_PORT=80
    - CERT_NAME=star.my-domain.com
  archiva:
    image: ninjaben/archiva-docker
    volumes:
    - /var/data/archiva:/var/archiva
    environment:
    - VIRTUAL_HOST=archiva.my-domain.com
    - VIRTUAL_PORT=8080
    - CERT_NAME=star.my-domain.com
  jenkins:
    image: jenkins
    volumes:
    - /var/data/jenkins:/var/jenkins_home
    environment:
    - VIRTUAL_HOST=jenkins.my-domain.com
    - VIRTUAL_PORT=8080
    - CERT_NAME=star.my-domain.com

对于开发人员工作站，一切都按预期工作。https://gitlab.my-domain.com可以通过和访问不同https://repo.my-domain.com的服务https://jenkins.my-domain.com。

当一个 dockerized 服务访问另一个 dockerized 服务时，就会出现问题。例如，如果我尝试https://archiva.my-domain.com从 jenkins docker 访问，我会从代理收到超时错误。

似乎即使archiva.my-domain.com被解析为来自 docker 容器的公共主机 IP，来自 dockerized 服务的请求也不会被 nginx-proxy 代理。

据我了解，docker-nginx 正在处理来自主机网络的请求，但并不关心来自内部容器网络的请求（_dockerconfig_default_ 用于 Docker-Compose 堆栈）。

你可以说，为什么我需要使用容器中的代理？当然，我可以使用http://archiva:8080Jenkins 容器中的 URL，它会起作用。但是这种配置是不可扩展的。

例如，使用 Gradle 构建编译一个应用程序，build.gradle 需要通过https://archiva.my-domain.com. 如果从开发人员工作站启动构建，但不是通过 jenkins 容器启动，它将起作用......

另一个示例是通过 OAuth GitLab 服务在 Jenkins 中进行的身份验证，其中相同的 URL GitLab 身份验证需要从外部和 Jenkins 容器内部都可用。

我的问题是：如何配置 nginx-proxy 将请求从一个容器代理到另一个容器？

我没有看到任何讨论这个问题的话题，我对这个问题的理解还不够，无法在 nginx 配置上构建解决方案。

任何帮助将非常感激。

Answer 1

BMitch，胜算很大，确实是 iptables 规则问题，而不是 nginx-proxy 配置错误。

表链 INPUT 的默认策略filter是，并且没有对来自容器 IP (127.20.XX) 的请求DROP进行任何规则。ACCEPT

因此，作为记录，如果其他人面临同样的问题，我会提供一些情况的细节。

为了从外部访问容器，Docker 在 PREROUTING 和 FORWARD 规则上设置了规则，以允许外部 IP 从主机 IP 到容器 IP 的 DNATed。这些默认规则允许任何外部 IP，这就是限制对容器的访问需要一些高级 iptables 自定义的原因。

有关示例，请参见此链接：http ://rudijs.github.io/2015-07/docker-restricting-container-access-with-iptables/

但是如果你的容器需要访问主机资源（在主机上运行的服务，或者在我的例子中，一个 nginx-proxy 容器监听 HTTP/HTTPS 主机端口并代理到容器），你需要注意 iptables 规则输入链。

实际上，来自容器并发送到主机的请求将由 Docker 守护进程路由到主机网络堆栈，但随后需要通过 INPUT 链（因为请求srcIP 是主机的 IP）。所以如果你想保护主机资源并让容器访问它们，不要记得添加这样的东西：

iptables -A INPUT -s 127.20.X.X/24 -j ACCEPT

其中 127.20.XX/24 是运行容器的虚拟网络。

非常感谢您的帮助。