使用docker nginx给飞牛搭建一个反向代理,这样不论是飞牛本身还是其中运行的docker,乃至局域网内的其他服务,都可以利用飞牛自带的DDNS IPv6实现从外网访问,只需要在docker内运行一个定制的带有ACME脚本的Nginx镜像,就可以实现域名访问和自动证书签发。
本篇文章使用阿里云域名,经过备案可正常解析访问,需在阿里云创建带有AliyunDNSFullAccess权限的子账号,并生成授权Key和密钥,用于在签发证书时验证DNS。
备注写在前面:
1. 以下所有/home/nginx/目录,可以自行指定为其他目录,保持一致即可
2. 示例域名nas.xxx.com需改为自己的根域名或二级域名等,
一:设置飞牛DDNS
此处应该有很多教程了,不多赘述,需要光猫路由器支持IPv6,并且飞牛已获取IPv6地址
二:打通IPv6外网访问
需要关闭光猫的IPv6防火墙,并在路由器上添加出站规则
至此,使用支持IPv6的客户端从外网访问 http://[IPv6地址]:5666 ,正常情况下就已经可以访问到了(浏览器访问IPv6需要使用“[]”包括地址)
三:配置端口和Docker容器
1.释放http(s)端口
为了在域名上隐藏端口,我们需要让Nginx监听飞牛的80,443端口,并将在此端口上收到的请求代理转发到5667端口。所以首先要把端口释放出来,在飞牛的[端口设置]里,取消勾选该选项
2.准备Nginx运行必须的配置文件
使用SSH运行以下命令,生成nginx配置文件
sudo docker run --name tmp-nginx-container -d nginx
sudo docker cp tmp-nginx-container:/etc/nginx/nginx.conf /home/nginx/nginx.conf
sudo docker rm -f tmp-nginx-container
3.创建Nginx容器
新建Docker Compose并运行,此镜像为打包的带acme的nginx官方镜像,项目地址
services:
nginx:
image: ningjx/nginx_acme:latest
container_name: nginx
restart: always
networks:
default:
ports:
- "80:80"
- "443:443"
extra_hosts:
- "host.docker.internal:host-gateway"
environment:
- Ali_Key=xx #阿里云账户Key
- Ali_Secret=xx #阿里云账户密钥
- Cert_Home=/etc/nginx/ssl
- Email=xxx@xxx.com #随便填
volumes:
- /home/nginx/nginx.conf:/etc/nginx/nginx.conf
- /home/nginx/conf.d:/etc/nginx/conf.d
- /home/nginx/logs:/var/log/nginx
- /home/nginx/html:/etc/nginx/html
- /home/nginx/ssl:/etc/nginx/ssl
- /home/nginx/crontabs:/var/spool/cron/crontabs
- /home/nginx/acme:/root/.acme.sh
networks:
default:
enable_ipv6: true
在/home/nginx/conf.d目录下新建代理配置base.conf(文件名随意)
server {
# 监听 IPv4/IPv6 的 80 端口(HTTP)
listen 80;
listen [::]:80;
# 强制跳转到 HTTPS
return 301 https://$host$request_uri;
}
server {
# 监听 IPv4/IPv6 的 443 端口(HTTPS)
listen 443 ssl;
listen [::]:443 ssl;
server_name nas.xxx.com;
# 指定 SSL 证书路径(ECC 证书)
ssl_certificate /etc/nginx/ssl/nas.xxx.com_ecc/fullchain.cer;
ssl_certificate_key /etc/nginx/ssl/nas.xxx.com_ecc/nas.xxx.com.key;
# 启用 TLS 1.2/1.3 和优化加密套件
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256;
ssl_prefer_server_ciphers on;
# 反向代理配置
location / {
proxy_pass https://192.168.50.100:5667;
# 基础代理头
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
# WebSocket 支持
proxy_http_version 1.1;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection "upgrade";
# 超时设置(避免 WebSocket 连接断开)
proxy_read_timeout 86400s; # 长连接超时
proxy_send_timeout 86400s;
}
# 启用 HSTS(严格传输安全)
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
}
四:启用自动证书签发
在Docker容器页面,打开nginx容器的终端,输入
acme.sh --issue --dns dns_ali -d nas.xxx.com --reloadcmd 'service nginx force-reload'
即可签发证书,后续会自动续期
至此,即可通过[http://[IPv6地址]:5666](https://nas.xxx.com访问飞牛
当需要反向代理其他服务时,只需在base.conf加入新的server配置,指定新的证书和server_name名即可
