create nginx service and add Dcokerfilewith cerbot

2025-05-26 19:35:50 +03:00
parent 34f445132c
commit c197427ab8
7 changed files with 161 additions and 5 deletions
@@ -55,7 +55,7 @@ services:
      - .env
    ports:
      - "${HTTP_OUTER_PORT}:${HTTP_INNER_PORT}"
-      - "${HTTPS_OUTER_PORT}:${HTTPS_INNER_PORT"
+      - "${HTTPS_OUTER_PORT}:${HTTPS_INNER_PORT}"
    depends_on:
      - api
      - db
@@ -0,0 +1,25 @@
+FROM nginx:latest
+
+# Устанавливаем Certbot и зависимости
+RUN apt-get update && \
+    apt-get install -y certbot python3-certbot-nginx cron && \
+    apt-get clean && \
+    rm -rf /var/lib/apt/lists/*
+
+# Удаляем дефолтный конфиг Nginx
+RUN rm /etc/nginx/conf.d/default.conf
+
+# Копируем ваш Nginx-конфиг и скрипты
+COPY yalarba.ru.conf /etc/nginx/conf.d/
+COPY startup.sh /usr/local/bin/
+COPY renew-certs.sh /usr/local/bin/
+
+# Даем права на выполнение скриптов
+RUN chmod +x /usr/local/bin/startup.sh /usr/local/bin/renew-certs.sh
+
+# Добавляем cron-задачу для обновления сертификатов
+RUN echo "0 3 * * * /usr/local/bin/renew-certs.sh >> /var/log/cron.log 2>&1" > /etc/cron.d/certbot-renew
+RUN chmod 0644 /etc/cron.d/certbot-renew
+
+# Запускаем cron и Nginx при старте
+CMD ["/usr/local/bin/startup.sh"]
@@ -0,0 +1,57 @@
+# HTTP — редирект на HTTPS
+server {
+    listen 80;
+    listen [::]:80;
+    server_name yalarb.ru www.yalarb.ru;
+
+    # Перенаправление всех HTTP-запросов на HTTPS
+    return 301 https://$server_name$request_uri;
+}
+
+# HTTPS — основной сервер
+server {
+    listen 443 ssl http2;
+    listen [::]:443 ssl http2;
+    server_name yalarba.ru www.yalarba.ru;
+
+    # Пути к SSL-сертификату (например, от Let's Encrypt)
+    ssl_certificate /etc/letsencrypt/live/yalarba.ru/fullchain.pem;
+    ssl_certificate_key /etc/letsencrypt/live/yalarba.ru/privkey.pem;
+
+    # Настройки SSL
+    ssl_protocols TLSv1.2 TLSv1.3;
+    ssl_prefer_server_ciphers on;
+    ssl_ciphers 'ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384';
+    ssl_session_timeout 1d;
+    ssl_session_cache shared:SSL:50m;
+    ssl_stapling on;
+    ssl_stapling_verify on;
+
+    # Корневая директория сайта
+    root /var/www/yalarba.ru/html;
+    index index.html index.htm index.nginx-debian.html;
+
+    # Дополнительные заголовки безопасности
+    add_header X-Frame-Options "SAMEORIGIN";
+    add_header X-Content-Type-Options "nosniff";
+    add_header X-XSS-Protection "1; mode=block";
+    add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
+
+    # Обработка статических файлов
+    location / {
+        try_files $uri $uri/ =404;
+    }
+
+    # Запрет доступа к скрытым файлам (например, .htaccess)
+    location ~ /\. {
+        deny all;
+        access_log off;
+        log_not_found off;
+    }
+
+    # Настройки для PHP (если используется)
+    # location ~ \.php$ {
+    #     include snippets/fastcgi-php.conf;
+    #     fastcgi_pass unix:/var/run/php/php8.1-fpm.sock;
+    # }
+}
@@ -0,0 +1,4 @@
+#!/bin/bash
+
+# Обновляем сертификаты
+certbot renew --quiet --post-hook "nginx -s reload"
@@ -0,0 +1,16 @@
+#!/bin/bash
+
+# Запускаем cron
+service cron start
+
+# Получаем сертификаты (если их нет)
+if [ ! -f "/etc/letsencrypt/live/your_domain.com/fullchain.pem" ]; then
+    certbot --nginx --non-interactive --agree-tos --email valitovgaziz@yandex.ru \
+    -d yalarba.ru -d www.yalarba.ru
+fi
+
+# Перезапускаем Nginx для применения изменений
+nginx -s reload
+
+# Запускаем Nginx в foreground
+nginx -g "daemon off;"
@@ -5,7 +5,4 @@ FROM nginx:alpine
 COPY index.html /usr/share/nginx/html/

 # (Опционально) Можно заменить конфиг Nginx
-# COPY nginx/nginx.conf /etc/nginx/conf.d/default.conf
-
-# Порт, который будет слушать Nginx
-EXPOSE 80
+COPY nginx/nginx.conf /etc/nginx/conf.d/default.conf
@@ -0,0 +1,57 @@
+# HTTP — редирект на HTTPS
+server {
+    listen 80;
+    listen [::]:80;
+    server_name yalarb.ru www.yalarb.ru;
+
+    # Перенаправление всех HTTP-запросов на HTTPS
+    return 301 https://$server_name$request_uri;
+}
+
+# HTTPS — основной сервер
+server {
+    listen 443 ssl http2;
+    listen [::]:443 ssl http2;
+    server_name yalarba.ru www.yalarba.ru;
+
+    # Пути к SSL-сертификату (например, от Let's Encrypt)
+    ssl_certificate /etc/letsencrypt/live/yalarba.ru/fullchain.pem;
+    ssl_certificate_key /etc/letsencrypt/live/yalarba.ru/privkey.pem;
+
+    # Настройки SSL
+    ssl_protocols TLSv1.2 TLSv1.3;
+    ssl_prefer_server_ciphers on;
+    ssl_ciphers 'ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384';
+    ssl_session_timeout 1d;
+    ssl_session_cache shared:SSL:50m;
+    ssl_stapling on;
+    ssl_stapling_verify on;
+
+    # Корневая директория сайта
+    root /var/www/yalarba.ru/html;
+    index index.html index.htm index.nginx-debian.html;
+
+    # Дополнительные заголовки безопасности
+    add_header X-Frame-Options "SAMEORIGIN";
+    add_header X-Content-Type-Options "nosniff";
+    add_header X-XSS-Protection "1; mode=block";
+    add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
+
+    # Обработка статических файлов
+    location / {
+        try_files $uri $uri/ =404;
+    }
+
+    # Запрет доступа к скрытым файлам (например, .htaccess)
+    location ~ /\. {
+        deny all;
+        access_log off;
+        log_not_found off;
+    }
+
+    # Настройки для PHP (если используется)
+    # location ~ \.php$ {
+    #     include snippets/fastcgi-php.conf;
+    #     fastcgi_pass unix:/var/run/php/php8.1-fpm.sock;
+    # }
+}