我有两台服务器,我们将它们称为ServerA和ServerB。
我在 NameCheap 上购买了一个域名example.com
每个服务器都有在不同端口上运行的 docker 容器(Flask Web Apps)。
例子:
WebApp1 running on port 8080
WebApp2 running on port 8081
.
.
两个服务器的配置相同。
然后,我使用 nginx 在端口 443 上作为反向代理,每个端口都有自己的子域。
例子:
WebApp1 running on port 8080 will be accessible via test1.example.com
WebApp2 running on port 8081 will be accessible via test2.example.com
.
.
我正在使用 CertBot 获取 SSL 证书。
我的两台服务器托管在 OCI(Oracle Cloud)上,我在 OCI 上构建了一个网络负载平衡器来平衡服务器之间的流量。
以下是我的配置:
nginx.conf
user nginx;
worker_processes auto;
pid /run/nginx.pid;
include /etc/nginx/modules-enabled/*.conf;
events {
worker_connections 800;
}
http {
##
# Basic Settings
##
sendfile on;
tcp_nopush on;
tcp_nodelay on;
keepalive_timeout 65;
types_hash_max_size 2048;
include /etc/nginx/mime.types;
default_type application/octet-stream;
##
# SSL Settings
##
ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3; # Dropping SSLv3, ref: POODLE
ssl_prefer_server_ciphers on;
##
# General Logging Settings
##
access_log /var/log/nginx/access.log;
error_log /var/log/nginx/error.log;
##
# Gzip Settings
##
# gzip on;
# gzip_vary on;
# gzip_min_length 10240;
# gzip_proxied expired no-cache no-store private auth;
# gzip_types text/plain text/css text/xml text/javascript application/x-javascript application/xml;
# gzip_disable "MSIE [1-6]\.";
##
# Web Apps configurations
##
include /etc/nginx/sites-enabled/*;
}
/etc/nginx/sites-enabled/test1.example.com
server {
server_name test1.example.com;
location / {
access_log /var/log/nginx/test1/access.log;
error_log /var/log/nginx/test1/error.log;
proxy_pass http://localhost:8080;
}
listen 443 ssl; # managed by Certbot
ssl_certificate /etc/letsencrypt/live/test1.example.com/fullchain.pem; # managed by Certbot
ssl_certificate_key /etc/letsencrypt/live/test1.example.com/privkey.pem; # managed by Certbot
include /etc/letsencrypt/options-ssl-nginx.conf; # managed by Certbot
ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem; # managed by Certbot
}
server {
if ($host = test1.example.com) {
return 301 https://$host$request_uri;
} # managed by Certbot
server_name test1.example.com;
listen 80;
return 404; # managed by Certbot
}
目前,域名 test1.example.com 有一个到 ServerA 的 A 记录,它运行正常,我可以访问我的 WebApp。
但我希望域名指向我的负载均衡器,这样我就可以平衡两台服务器上的流量。但除非我在两台服务器上都颁发 SSL 证书,否则我无法做到这一点,而我做不到。因为在 上颁发 test1.example.com 后ServerA,在 上这样做ServerB会导致 certbot 出现错误,提示证书已分配给ServerA。
有人能帮我解决该怎么做吗?
答案1
对于您提到的 SSL 证书和负载平衡问题,有一个可行的解决方案。您可以使用安全复制协议 (SCP) 将在 ServerA 上创建的 SSL 证书传输到 ServerB,以安全地复制证书和私钥。
使用 Certbot 在 ServerA 上创建证书后,您可以手动或自动将相应文件 (fullchain.pem 和 privkey.pem) 从 ServerA 复制到 ServerB。可以使用定期运行的 cronjob(例如每天运行一次)来实现自动化,以确保两台服务器都具有最新的证书。
以下是复制证书文件的命令示例:
scp /etc/letsencrypt/live/test1.example.com/fullchain.pem user@ServerB:/path/to/certificate/
scp /etc/letsencrypt/live/test1.example.com/privkey.pem user@ServerB:/path/to/certificate/
将“user”替换为您在 ServerB 上的用户名,并将“/path/to/certificate/”替换为在 ServerB 上应保存证书的适当路径。
对于自动复制,您可以创建一个执行这些命令的 shell 脚本,并设置一个 cronjob 来定期运行该脚本。
正确配置 SSH 密钥对于服务器之间的安全和自动通信非常重要。此外,还要确保两台服务器的安全,因为 SSL 证书的私钥是敏感信息。