很早就开始用阿里云的服务器了,当初阿里云的产品也还不全面,随着阿里云产品的成熟,也是时候把公司的服务器做一次整改。期间学习了很多前辈的经验,当然也有查不到资料,自己摸索的过的坑,希望记录下来分享给遇到同样坑的同学。
因为我们的合作伙伴要求我们的应用都必须使用SSL证书,所以我就要保证用户都是在https下访问。那么根据大部分人的习惯,直接打个域名,不加http,https之类的是再正常不过了,那么我们就需要把所有访问http的用户都转到https下来。我们的code团队为我的这个需求在tomcat上动了很多脑筋,最终是实现了,但不完美;据说还是要用nginx做比较好。
首先当然是先找现成的,就是在阿里云的SLB上找找
- 进入容器集群的管理
- 在负载均衡页面下前往SLB
- 在负载均衡的监听页面,可以看到后端端口为9080,那应该是docker调度的端口,我们不动他,在下面添加https的监听,当然要选择上预先配置好的证书
- 配置成功后,访问https://sn-test.ifengpai.com成功了,但访问http://sn-test.ifengpai.com也能成功,那说明我还只成功了一半,难点还在后面
- 点击https监听后面的更多,你会看到有个添加转发策略的功能,进去添加策略,填写了输入框后,确定为灰色,又要建立虚拟服务器组,这有点麻烦了有没有?
- 熟话说外事问google,家事问baidu,软件找docker;进入http://hub.docker.com里随便找了下https,就发现很多redirecthttps,http-https之类的应用。拿出淘宝的精神,看download看star,最终选择了jamessharp/docker-nginx-https-redirect,创建应用模板如下:
http2https: restart: always memswap_limit: 0 ports: - "9999:80/tcp" #我很不喜欢映射端口出来,但SLB特殊端口要求,只能忍痛占个端口了,毕竟不能用9080,不然域名不知道访问哪个应用 labels: aliyun.scale: '1' aliyun.lb.port_80: tcp://lb-bp15:80 #告诉SLB,用户访问SLB的80时访问此docker的80端口,当然实现访问是这样的user->80->9999-9999->80 shm_size: 0 image: 'jamessharp/docker-nginx-https-redirect:latest' memswap_reservation: 0 kernel_memory: 0 mem_limit: 0
- 应用建好了,下面要配置一下SLB,之前的tcp80->9080肯定是不能用了,又不能修改,只好删除了再建
- SLB的前后端建好了,测试下效果http://sn-test.ifengpai.com, 立马变成https://sn-test.ifengpai.com.
大家一定要注意了,整个过程中我并没有设置任何的域名,也就是说,这是一个很通用的做法,如果你的SLB下有多个子域名,它也是会无条件的帮你跳转到https下的!