docker nginx 配置反向代理和负载均衡

版权声明：本文为博主原创文章，未经博主允许不得转载。 https://blog.csdn.net/Kiloveyousmile/article/details/79842700

1. 获取及配置nginx　　

　　如果需要全站通过docker部署，那么nginx或许是不可或缺的。通过配置nginx,可以迅速实现负载均衡和反向代理服务。值得一提的是，docker官网恰好也有nginx镜像。通过以下命令获取：

$ docker pull nginx:latest

　　nginx镜像的配置和正常使用时是一样的，一般都是在/etc/nginx/conf.d目录下建立自己的filename.cnf文件即可。不同的，docker nginx通过挂载的方式将配置文件应用到nginx。
　　例如，我在本地$HOME/nginx/conf.d文件夹下建立default.cnf文件，文件内容：

upstream backends {
    server app1:8080;
    server app2:80801;
}

server {
    listen        80;
    listen       443 ssl;
    server_name example.com;
    # SSL
    # ssl on; # 只允许ssl方式访问
    ssl_certificate /etc/ssl/certs/example.pem;
    ssl_certificate_key /etc/ssl/certs/example.key;
    ssl_session_timeout 5m;
    ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    ssl_prefer_server_ciphers on;

    #proxy to webs
    location ~.*/ {
        proxy_redirect off;
        proxy_set_header Host $host;  
        proxy_set_header X-Real-IP $remote_addr;  
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;  
        proxy_pass http://backends;      # 这里设置你要代理的ip+端口
    }
}

其中，
upstream backends {}:实现了名称为backends的负载均衡。可存在多个，如有需要，还可以自行创建其他。
listen 80：监听80端口。
listen 443 ssl;监听443端口，并且开启ssl。
ssl_certificate， ssl_certificate_key：加载ssl证书。他们指定的是镜像中ssl证书文件的位置，推荐将证书放到如上位置。他们后面的几个配置，都是ssl的默认配置，不需要修改。
location ~.*/{}：nginx文件路径的正则匹配，将外部对服务器的访问，自动分配到docker应用程序容器，交给这些应用程序处理请求。

　　这个文件实现了简单地http访问、https访问，以及简单地负载均衡(将外部对服务器的请求，随机地分配到app1和app2这两个容器处理)。

2. 启动nginx

　　通过upstream的配置，我们看到，nginx还关联着其他两个容器：app1、app2，并且需要能够和这两个容器相互通信。所以，启动nginx之前，需要先启动其他两个容器，这样通过命令行纪委不方便，我们通过docker-compose的编写配置文件的方式来启动nginx。
　　文件内容如下：
docker-compose.yml　

version: "3"
services:
  nginx:
    image: nginx
    container_name: nginx
    depends_on:
      - todolist
    ports:
      - "443:443" # https访问端口
      - "80:80" # http访问端口
    volumes:
      - $HOME/etc/nginx/conf.d:/etc/nginx/conf.d # 挂载配置文件
      - $HOME/etc/ssl/certs:/etc/ssl/certs # 挂载证书文件
    links:
      - app1 # 相当于 docker run 中的 --link
      - app2

  app1: # 镜像服务的名称(不指定container_name，docker-compose在此基础上构建名称)
    image: web # 既然是负载均衡，那么启动的镜像必然是相同的
    container_name: app1 # 这样写是必要的，否则docker-compose将采用默认命名方式
    ports:
      - "8080:8080" # 端口映射不是必要的。详情请连接docker的通信
  app2:
    image: web
    container_name: app2
    ports:
      - "8081:8081" # 端口映射不是必要的。详情请连接docker的通信

　　在以上文件所在的目录运行以下命令，即可启动nginx，体验配置结果了:

$ docker-compose up -d

需要注意地地方：

1. nginx镜像暴露了两个端口，80和443。如果需要通过http的方式访问，一定要映射80端口；如果需要通过https的方式访问，一定要映射443端口。默认同时映射就好了，更新配置方便。
2. docker-compose中指定镜像的名字，使用container_name属性。

我看了网上的很多教程，都没有提到nginx的启动问题，尤其是端口映射。如果你启动时，没有映射443端口，单独配置http访问或者https访问，不会发生任何问题，一旦要配置二者可以同时访问，或者http重定向到https，必要会出现问题。常见的为，本地curl出现如下结果：

curl: (35) gnutls_handshake() failed: An unexpected TLS packet was received.