我有两台服务器,我们称它们为ServerA
和ServerB
。
我在 NameCheap 上购买了一个域名,我们称之为它example.com
每台服务器都有在不同端口上运行的 docker 容器(Flask Web 应用程序)。
例子:
WebApp1 running on port 8080
WebApp2 running on port 8081
.
.
两台服务器的配置相同。
然后,我在端口 443 上使用 nginx 作为反向代理,每个端口都有自己的子域。
例子:
WebApp1 running on port 8080 will be accessible via test1.example.com
WebApp2 running on port 8081 will be accessible via test2.example.com
.
.
我正在使用 CertBot 来获取 SSL 证书。
我的两台服务器托管在 OCI(Oracle 云)上,我在 OCI 上构建了一个网络负载均衡器来平衡服务器之间的流量。
以下是我的配置:
nginx.conf
user nginx;
worker_processes auto;
pid /run/nginx.pid;
include /etc/nginx/modules-enabled/*.conf;
events {
worker_connections 800;
}
http {
##
# Basic Settings
##
sendfile on;
tcp_nopush on;
tcp_nodelay on;
keepalive_timeout 65;
types_hash_max_size 2048;
include /etc/nginx/mime.types;
default_type application/octet-stream;
##
# SSL Settings
##
ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3; # Dropping SSLv3, ref: POODLE
ssl_prefer_server_ciphers on;
##
# General Logging Settings
##
access_log /var/log/nginx/access.log;
error_log /var/log/nginx/error.log;
##
# Gzip Settings
##
# gzip on;
# gzip_vary on;
# gzip_min_length 10240;
# gzip_proxied expired no-cache no-store private auth;
# gzip_types text/plain text/css text/xml text/javascript application/x-javascript application/xml;
# gzip_disable "MSIE [1-6]\.";
##
# Web Apps configurations
##
include /etc/nginx/sites-enabled/*;
}
/etc/nginx/sites-enabled/test1.example.com
server {
server_name test1.example.com;
location / {
access_log /var/log/nginx/test1/access.log;
error_log /var/log/nginx/test1/error.log;
proxy_pass http://localhost:8080;
}
listen 443 ssl; # managed by Certbot
ssl_certificate /etc/letsencrypt/live/test1.example.com/fullchain.pem; # managed by Certbot
ssl_certificate_key /etc/letsencrypt/live/test1.example.com/privkey.pem; # managed by Certbot
include /etc/letsencrypt/options-ssl-nginx.conf; # managed by Certbot
ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem; # managed by Certbot
}
server {
if ($host = test1.example.com) {
return 301 https://$host$request_uri;
} # managed by Certbot
server_name test1.example.com;
listen 80;
return 404; # managed by Certbot
}
目前,域名 test1.example.com 有一条到 ServerA 的 A 记录,该记录工作正常,我可以访问我的 WebApp。
但我希望域指向我的负载均衡器,以便我可以平衡两台服务器上的流量。但我不能这样做,除非我在两台服务器上颁发 SSL 证书,但我不能。因为在 上发布 test1.example.com 后ServerA
,这样做ServerB
会导致 certbot 出错,指出证书已分配给ServerA
。
有人可以帮助我如何做到这一点吗?
为了解决您提到的 SSL 证书和负载平衡问题,有一个可行的解决方案。您可以将在ServerA上创建的SSL证书通过SCP(Secure Copy Protocol)传输到ServerB,以安全地复制证书和私钥。
使用Certbot在ServerA上创建证书后,您可以手动或自动将相应文件(fullchain.pem和privkey.pem)从ServerA复制到ServerB。可以使用定期运行(例如每天一次)的 cronjob 来实现自动化,以确保两台服务器都具有最新的证书。
以下是复制证书文件的命令示例:
将“user”替换为您在 ServerB 上的用户名,将“/path/to/certificate/”替换为 ServerB 上应保存证书的相应路径。
对于自动复制,您可以创建一个执行这些命令的 shell 脚本,并设置一个 cronjob 来定期运行该脚本。
正确配置 SSH 密钥对于服务器之间的安全和自动化通信非常重要。另外,请确保两台服务器的安全,因为SSL证书的私钥是敏感信息。