Docker 容器中运行 Nginx 的最佳实践

随着云计算和容器化技术的发展，Docker 成为了最实用的应用容器引擎，也成为了部署前端项目的首选。

在 Docker 中运行 Nginx 是常见的使用场景之一。本文将介绍 Docker 容器中运行 Nginx 的最佳实践，包括如何处理配置文件，如何映射容器端口以及如何保护容器的安全。

处理配置文件

Nginx 配置文件是容器中最重要的组成部分之一。通常情况下，我们会将自定义的 Nginx 配置文件放在本地的某个目录中，然后将该目录挂载到 Docker 容器中。这种方法最大的好处是，我们可以随时修改配置文件，而无需重新构建和运行容器。

下面是一个示例 Dockerfile，演示如何将本地的配置文件挂载到容器中：

-- -------------------- ---- -------
---- ------------

- ------------
---- ---------- ---------------------

- ------
------ --

- -- -----
--- --------- ----- ------- ------

在该示例中，我们将本地的 nginx.conf 文件拷贝到了容器内的 /etc/nginx/nginx.conf 路径中。另外，我们暴露了容器的 80 端口，以便可以从外部访问该容器。最后，我们使用了 CMD 指令，启动了 Nginx 服务。

映射容器端口

为了让外部用户可以通过浏览器访问 Nginx 服务，我们需要将容器内的端口映射到主机上的一个端口。这可以通过 Docker 命令行实现。

例如，要将容器内的 80 端口映射到主机上的 8080 端口，可以使用以下命令：

docker run --name my-nginx -p 8080:80 nginx

在上述命令中，-p 参数表示将容器中的端口映射到主机上的端口。8080:80 表示将容器中的 80 端口映射到主机上的 8080 端口。另外，--name 参数表示给容器命名。

保护容器的安全

容器的安全是部署任何应用程序的最关键问题之一。为了保护容器的安全，我们需要采取一些措施，比如进行 SSL 加密、使用防火墙和设置访问控制等。

对于 SSL 加密，我们可以在 Nginx 中启用 HTTPS。这可以通过为 Nginx 生成自签名证书来实现。验证 SSL 证书的浏览器仍会显示警告，但这可以为您的用户提供一定程度的保护。要为 Nginx 生成自签名证书，可以按照以下步骤操作：

1. 生成私钥：

openssl genrsa -out server.key 2048

1. 生成证书请求：

openssl req -new -key server.key -out server.csr

1. 签名证书请求：

openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt

完成以上步骤后，我们需要将生成的证书拷贝到容器内，并在 Nginx 配置文件中启用 HTTPS：

-- -------------------- ---- -------
------ -
    ------ --- ----
    ----------- ------------

    --------------- ----------------------------
    ------------------- ----------------------------

    - ----
-

另外，我们可以使用 Docker Compose 文件来管理多个 Docker 容器，并使用防火墙和访问控制机制来保护容器的安全。

下面是一个示例 Docker Compose 文件，演示如何启动 Nginx 服务和一个防火墙容器，以及如何设置访问控制：

-- -------------------- ---- -------
-------- ---

---------
  ------
    ------ -----
    --------
      - ----------------------------------
      - ------------------------
    ------
      - -------
      - ---------
    -------- ------

  ---------
    ------ ----------------
    ------------
      - -----------
      - --------------------
      - ---------------------------
      - --------------------------
      - -----------------------------------------
    -------- ------

在该示例中，我们使用了 polinux/firewall 镜像来实现防火墙和访问控制。设置访问控制的方式是，在 firewall 服务中定义了一个环境变量 MICROSERVICE_0_ACCESS_FROM，该变量指定了可以访问 nginx 服务的 IP 范围。在本例中，我们只允许具有 192.168.0.0/16 IP 的主机访问 nginx 服务。

结论与展望

在本文中，我们介绍了 Docker 容器中运行 Nginx 的最佳实践，包括如何处理配置文件、如何映射容器端口以及如何保护容器的安全。这些实践可以确保 Nginx 服务在容器中安全、快速和可靠地运行。

容器化技术是一个快速发展的领域，未来将继续有更多的改进和创新。我们可以期待在容器中运行 Nginx 的最佳实践也将得到进一步的优化和改进。

来源：JavaScript中文网 ，转载请注明来源 https://www.javascriptcn.com/post/677103296d66e0f9aacb0bd2