Nginx for DefectDojo Docker镜像文档

概述

Nginx for DefectDojo是专为DefectDojo安全漏洞管理平台设计的专用Nginx Docker镜像，提供预配置的Web服务环境，支持反向代理、静态资源处理、请求路由及SSL终端，旨在简化DefectDojo的部署流程并提升访问性能与安全性。

核心功能与特性

1. 预配置的DefectDojo适配规则

• 内置针对DefectDojo应用服务器的反向代理配置，无需手动编写复杂路由规则
• 优化的请求缓冲与连接复用策略，减少后端服务负载

2. 静态资源服务支持

• 支持托管DefectDojo前端静态资源（CSS、JavaScript、图片等）
• 内置缓存控制头配置，提升静态资源加载速度

3. 安全增强特性

• 支持SSL/TLS加密（通过挂载证书实现HTTPS）
• 内置基础安全响应头（如X-Content-Type-Options、X-Frame-Options等）
• 可配置的请求速率限制，防御简单DDoS***

4. 灵活的配置扩展

• 支持通过环境变量动态调整基础配置参数
• 允许挂载自定义Nginx配置文件覆盖默认规则
• 支持多阶段构建，减小镜像体积（基于Nginx Alpine基础镜像）

使用场景

1. DefectDojo生产环境部署

作为DefectDojo平台的前端Web服务器，处理客户端请求并转发至应用后端，提供稳定、安全的访问入口。

2. 开发与测试环境

快速搭建本地DefectDojo测试环境，无需手动配置Nginx，专注于平台功能验证。

3. 多实例DefectDojo部署

通过自定义Nginx配置，支持同一服务器部署多个DefectDojo实例的请求路由隔离。

使用方法

基本使用（Docker Run）

bash
docker run -d \
  --name defectdojo-nginx \
  -p 80:80 \
  -p 443:443 \
  -v /path/to/defectdojo/static:/usr/share/nginx/html \
  -v /path/to/ssl/certs:/etc/nginx/ssl \
  -v /path/to/custom/nginx.conf:/etc/nginx/conf.d/default.conf \
  defectdojo/nginx:latest

参数说明：

• -p 80:80：映射HTTP端口
• -p 443:443：映射HTTPS端口（需提前准备SSL证书）
• -v /path/to/defectdojo/static：挂载DefectDojo静态资源目录
• -v /path/to/ssl/certs：挂载SSL证书目录（包含.crt和.key文件）
• -v /path/to/custom/nginx.conf：挂载自定义Nginx配置文件（可选）

Docker Compose配置示例

在DefectDojo完整部署架构中，可与应用后端、数据库等服务协同工作：

yaml
version: '3.8'

services:
  nginx:
    image: defectdojo/nginx:latest
    container_name: defectdojo-nginx
    ports:
      - "80:80"
      - "443:443"
    volumes:
      - ./defectdojo/static:/usr/share/nginx/html
      - ./ssl:/etc/nginx/ssl
      - ./nginx/conf.d:/etc/nginx/conf.d
    depends_on:
      - defectdojo-web
    restart: unless-stopped

  defectdojo-web:
    image: defectdojo/defectdojo:latest
    # DefectDojo应用服务配置...

环境变量说明

通过环境变量可调整部分Nginx配置（需镜像支持动态配置）：

自定义Nginx配置

如需深度定制Nginx规则，可通过挂载自定义配置文件覆盖默认配置：

1. 创建自定义配置文件（如custom.conf）：

nginx
server {
    listen 80;
    server_name defectdojo.example.com;

    # 重定向至HTTPS（如启用SSL）
    if ($enable_ssl = "true") {
        return 301 [***]
    }

    location /static/ {
        alias /usr/share/nginx/html/;
        expires 1d;
        add_header Cache-Control "public";
    }

    location / {
        proxy_pass [***]
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;
    }
}

2. 挂载配置文件运行容器：

bash
docker run -d \
  --name defectdojo-nginx \
  -p 80:80 \
  -e BACKEND_HOST=my-defectdojo-web \
  -e BACKEND_PORT=8080 \
  -v ./custom.conf:/etc/nginx/conf.d/default.conf \
  defectdojo/nginx:latest

注意事项

• 生产环境建议启用SSL并定期更新证书
• 静态资源目录需与DefectDojo应用的静态文件输出路径保持一致
• 高并发场景下可调整Nginx的worker_processes、worker_connections等性能参数
• 升级镜像前建议备份自定义配置文件，避免配置丢失===SHORT_DESC=== 为DefectDojo安全漏洞管理平台提供专用Nginx服务的Docker镜像，用于反向代理、静态资源托管及请求路由，优化平台部署与访问性能。 ===FULL_DESC===# Nginx for DefectDojo Docker镜像文档

概述

Nginx for DefectDojo是专为DefectDojo安全漏洞管理平台设计的专用Nginx Docker镜像，提供预配置的Web服务环境。该镜像针对DefectDojo的架构特点优化，支持反向代理、静态资源处理、SSL终端及请求路由，旨在简化平台部署流程并提升访问性能与安全性。

核心功能与特性

1. DefectDojo专用配置

• 内置针对DefectDojo应用服务器的预配置反向代理规则，无需手动编写复杂路由
• 优化的请求缓冲与连接复用策略，减少后端服务负载，提升并发处理能力

2. 静态资源管理

• 原生支持DefectDojo前端静态资源（CSS、JavaScript、图片等）托管
• 内置缓存控制头配置（Expires、Cache-Control），提升静态资源加载速度

3. 安全增强

• 支持SSL/TLS加密（通过挂载证书实现HTTPS部署）
• 预置基础安全响应头（X-Content-Type-Options、X-Frame-Options、X-XSS-Protection）
• 可配置请求速率限制，防御简单DDoS与暴力***

4. 部署灵活性

• 基于轻量级Nginx Alpine基础镜像，减小镜像体积（≈20MB）
• 支持环境变量动态调整核心配置参数
• 允许挂载自定义Nginx配置文件覆盖默认规则
• 兼容Docker Compose与Kubernetes部署架构

使用场景

1. 生产环境部署

作为DefectDojo平台的前端Web服务器，处理客户端请求并转发至应用后端，提供稳定、安全的生产级访问入口。

2. 开发与测试环境

快速搭建本地DefectDojo测试环境，无需手动配置Nginx，专注于平台功能验证与开发调试。

3. 多实例隔离部署

通过自定义Nginx配置，支持同一服务器部署多个DefectDojo实例的请求路由隔离与端口映射。

使用方法

基本使用（Docker Run）

bash
docker run -d \
  --name defectdojo-nginx \
  -p 80:80 \
  -p 443:443 \
  -e BACKEND_HOST=defectdojo-web \
  -e BACKEND_PORT=8000 \
  -v /path/to/defectdojo/static:/usr/share/nginx/html \
  -v /path/to/ssl/certs:/etc/nginx/ssl \
  -v /path/to/custom/conf.d:/etc/nginx/conf.d \
  defectdojo/nginx:latest

参数说明：

• -p 80:80/-p 443:443：映射HTTP/HTTPS端口
• -e BACKEND_HOST：DefectDojo应用后端服务主机名/IP
• -e BACKEND_PORT：DefectDojo应用后端服务端口
• -v /path/to/defectdojo/static：挂载DefectDojo静态资源目录
• -v /path/to/ssl/certs：挂载SSL证书目录（包含.crt和.key文件）
• -v /path/to/custom/conf.d：挂载自定义Nginx配置目录（覆盖默认配置）

Docker Compose配置示例

典型的DefectDojo完整部署架构中，与应用服务协同工作的配置：

yaml
version: '3.8'

services:
  nginx:
    image: defectdojo/nginx:latest
    container_name: defectdojo-nginx
    ports:
      - "80:80"
      - "443:443"
    environment:
      - BACKEND_HOST=defectdojo-web
      - BACKEND_PORT=8000
      - ENABLE_SSL=true
      - SSL_CERT_PATH=/etc/nginx/ssl/cert.crt
      - SSL_KEY_PATH=/etc/nginx/ssl/cert.key
    volumes:
      - ./defectdojo/static:/usr/share/nginx/html
      - ./ssl:/etc/nginx/ssl
      - ./nginx/conf.d:/etc/nginx/conf.d
    depends_on:
      - defectdojo-web
    restart: unless-stopped

  defectdojo-web:
    image: defectdojo/defectdojo:latest
    # DefectDojo应用服务配置（数据库连接、环境变量等）
    restart: unless-stopped

环境变量配置说明

通过环境变量可动态调整核心配置（无需修改配置文件）：

自定义Nginx配置

如需深度定制Nginx规则（如URL重写、高级缓存策略），可通过挂载自定义配置文件实现：

1. 创建自定义配置文件（如./nginx/conf.d/custom.conf）：

nginx
server {
    listen 80;
    server_name defectdojo.example.com;

    # 强制HTTPS重定向（当ENABLE_SSL=true时）
    if ($enable_ssl = "true") {
        return 301 [***]
    }

    # 静态资源配置
    location /static/ {
        alias $static_root/;
        expires 7d;
        add_header Cache-Control "public, max-age=604800";
        add_header X-Content-Type-Options "nosniff";
    }

    # 反向代理至DefectDojo后端
    location / {
        proxy_pass [***]
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;
        proxy_connect_timeout 30s;
        proxy_read_timeout 90s;
        client_max_body_size $client_max_body_size;
    }
}

# SSL配置（当ENABLE_SSL=true时生效）
server {
    listen 443 ssl;
    server_name defectdojo.example.com;

    ssl_certificate $ssl_cert_path;
    ssl_certificate_key $ssl_key_path;
    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_ciphers HIGH:!aNULL:!MD5;
    ssl_prefer_server_ciphers on;

    # 静态资源与反向代理配置（同HTTP server块）
    location /static/ { ... }
    location / { ... }
}

2. 通过Docker Compose挂载配置目录：

yaml
volumes:
  - ./nginx/conf.d:/etc/nginx/conf.d  # 挂载自定义配置目录

注意事项

• 生产环境强烈建议启用SSL并定期更新证书
• 静态资源目录需与DefectDojo应用的STATIC_ROOT配置保持一致
• 高并发场景下可调整Nginx性能参数（worker_processes、worker_connections）
• 升级镜像前建议备份自定义配置文件，避免配置丢失
• 容器重启策略建议设置为restart: unless-stopped，确保服务稳定性