elestio/nginx-auto-ssl Docker 镜像 - 轩辕镜像 | Docker 镜像高效稳定拉取服务
elestio/nginx-auto-sslelestio
为网站/应用添加SSL证书的最简单解决方案,基于Let's Encrypt和OpenResty自动生成与续期证书,支持HTTP/2、WebSocket及灵活的代理配置,可通过环境变量快速设置多域名代理。
2 次收藏下载次数: 0状态:社区镜像维护者:elestio仓库类型:镜像最近更新:2 个月前
nginx-auto-ssl
镜像概述
nginx-auto-ssl是一个Docker镜像,用于通过Let's Encrypt和OpenResty自动生成SSL证书,默认包含合理的SSL配置、HTTP/2和WebSocket支持。该镜像支持通过环境变量指定允许的域名和简单代理,并可轻松覆盖nginx.conf以满足自定义需求。本镜像基于Valian/docker-nginx-auto-ssl分叉,针对Elestio需求定制,增加了速率限制和输出缓存功能。
镜像状态:已用于生产环境。未来可能会添加向后兼容的变更。
核心功能与特性
- 自动SSL证书管理:通过Let's Encrypt自动生成、续期SSL证书,无需手动干预
- 丰富的协议支持:默认启用HTTP/2和WebSocket支持
- 灵活的代理配置:通过环境变量快速定义多域名代理规则
- 安全配置:内置合理的SSL设置,支持Diffie-Hellman密钥交换
- 环境变量驱动:无需修改配置文件即可通过环境变量调整核心参数
- 多存储支持:证书可存储在本地文件系统或Redis(适用于负载均衡环境)
- 高度可定制:支持自定义Nginx配置、代理模板及扩展配置
使用场景
- 快速为网站或应用添加HTTPS支持,无需手动管理SSL证书
- 多域名服务需要统一入口和SSL管理的场景
- 生产环境中需要自动证书续期的服务
- 需要简单配置反向代理的微服务架构
- 开发/测试环境中使用Let's Encrypt测试服务器获取证书
使用方法
快速启动
以下命令可快速为指定域名生成并自动续期SSL证书:
bash# 替换为实际值 export DOMAIN=yourdomain.com export APP_ADDRESS=localhost:8080 # 运行容器 docker run -d \ --name nginx-auto-ssl \ --restart on-failure \ --network host \ -e ALLOWED_DOMAINS="$DOMAIN" \ -e SITES="$DOMAIN=$APP_ADDRESS" \ -v ssl-data:/etc/resty-auto-ssl \ elestio/nginx-auto-ssl # 查看日志确认运行状态 docker logs nginx-auto-ssl
注意:确保服务器已正确配置DNS,使域名解析指向当前服务器。
Docker Compose示例
创建docker-compose.yml文件:
yamlversion: '2' services: nginx: image: elestio/nginx-auto-ssl restart: on-failure ports: - 80:80 - 443:443 volumes: - ssl_data:/etc/resty-auto-ssl environment: ALLOWED_DOMAINS: 'yourdomain.com' SITES: 'yourdomain.com=myapp:80' # 你的应用服务,监听SITES中指定的端口 myapp: image: nginx volumes: ssl_data:
启动服务:
bashdocker-compose up -d
配置选项
| 变量 | 示例 | 描述 |
|---|---|---|
| ALLOWED_DOMAINS | (www|api).example.com、example.com、([a-z]+.)?example.com | 允许的域名正则模式,使用ngx.re.match匹配。默认允许所有域名 |
| DIFFIE_HELLMAN | true | 强制重新生成dhparam.pem。未指定时使用默认密钥 |
| SITES | db.com=localhost:5432; *.app.com=localhost:8080、_=localhost:8080 | 多代理快捷配置,格式为域名1=端点1; 域名2=端点2。_表示默认服务器(同Nginx配置) |
| FORCE_HTTPS | true、false | 若为true,自动添加HTTP到HTTPS的重定向规则。默认值为true |
| LETSENCRYPT_URL | [***]、[***] | Let's Encrypt服务器URL,用于指定生产或测试环境 |
| RESOLVER_ADDRESS | 8.8.8.8、127.0.0.53 ipv6=off | OCSP装订使用的DNS解析器地址。默认值为8.8.8.8。添加ipv6=off可禁用IPv6 |
| STORAGE_ADAPTER | file、redis | 证书存储位置。redis适用于负载均衡环境,避免I/O阻塞。默认值为file |
| REDIS_HOST | hostname、ip地址 | Redis存储的主机名。当STORAGE_ADAPTER=redis时必填 |
| REDIS_PORT | 6379 | Redis服务端口。默认值为6379 |
| REDIS_DB | 0 | 存储证书的Redis数据库编号。默认值为0 |
| REDIS_KEY_PREFIX | some-prefix | Redis键名前缀。默认值为空字符串 |
自定义配置
通过conf.d添加配置
可通过挂载卷或自定义镜像的方式,在/etc/nginx/conf.d/目录下添加额外的Nginx配置文件(.conf后缀)。
卷挂载方式:
bashdocker run -d \ --name nginx-auto-ssl \ -p 80:80 -p 443:443 \ -v $PWD/conf.d:/etc/nginx/conf.d \ # 挂载本地conf.d目录 -v ssl-data:/etc/resty-auto-ssl \ elestio/nginx-auto-ssl
自定义镜像方式:
DockerfileFROM elestio/nginx-auto-ssl COPY ./conf.d /etc/nginx/conf.d # 复制本地conf.d目录到镜像
示例配置文件(server.conf):
nginxserver { listen 443 ssl; server_name api.example.com; include resty-server-https.conf; # 必须包含的SSL配置 location / { proxy_pass [***] proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; } }
自定义SITES模板
通过覆盖/usr/local/openresty/nginx/conf/server-proxy.conf文件,自定义SITES变量生成的代理配置模板。
示例模板:
nginxserver { listen 443 ssl; server_name $SERVER_NAME; include resty-server-https.conf; location / { proxy_pass [***] proxy_set_header Upgrade $http_upgrade; proxy_set_header Connection "upgrade"; # 添加WebSocket支持 } }
通过卷挂载覆盖模板:
bashdocker run -d \ --name nginx-auto-ssl \ -v $PWD/server-proxy.conf:/usr/local/openresty/nginx/conf/server-proxy.conf \ -e SITES="ws.example.com=websocket-service:8080" \ elestio/nginx-auto-ssl
自定义nginx.conf
当其他自定义方式无法满足需求时,可提供完整的nginx.conf配置文件。
示例Dockerfile:
DockerfileFROM elestio/nginx-auto-ssl COPY nginx.conf /usr/local/openresty/nginx/conf/ # 覆盖默认nginx.conf
最小化可用配置(nginx.conf):
nginxevents { worker_connections 1024; } http { include resty-http.conf; # 必须包含的基础HTTP配置 # HTTPS服务器 server { listen 443 ssl; include resty-server-https.conf; # 必须包含的SSL配置 server_name example.com; location / { proxy_pass [***] } } # HTTP服务器(用于Let's Encrypt验证和重定向) server { listen 80 default_server; include resty-server-http.conf; # 必须包含的HTTP配置 } }
构建并运行自定义镜像:
bashdocker build -t custom-nginx-auto-ssl . docker run -d --name nginx -p 80:80 -p 443:443 custom-nginx-auto-ssl
nginx/nginx-ingress
NGINX 官方镜像
NGINX和NGINX Plus入口控制器是专为Kubernetes设计的流量管理工具,主要用于管理外部HTTP/HTTPS流量进入Kubernetes集群,支持请求路由、负载均衡、SSL终止、流量控制等功能,适用于容器化应用和微服务架构,其中NGINX Plus还提供商业支持、高级监控和增强的负载均衡能力,帮助提升集群流量管理的效率与安全性。
115 次收藏10亿+ 次下载
10 天前更新
nginx/nginx-prometheus-exporter
NGINX 官方镜像
NGINX Prometheus Exporter用于收集并导出NGINX与NGINX Plus的监控指标,供Prometheus采集以实现对其运行状态的监控。
50 次收藏5000万+ 次下载
27 天前更新
nginxinc/nginx-unprivileged
nginxinc
非特权NGINX Docker构建文件是指用于构建以非root用户身份在Docker容器中运行NGINX的配置文件,通过预设用户权限、环境变量及安全参数,确保NGINX在低权限模式下仍能正常处理HTTP请求、反向代理及负载均衡等功能,有效降低因容器漏洞引发的权限提升风险,适用于对安全性要求较高的生产环境部署场景。
184 次收藏10亿+ 次下载
14 天前更新
nginx/nginx-ingress-operator
NGINX 官方镜像
用于NGINX和NGINX Plus入口控制器的NGINX入口操作器,基于Helm图表构建。
3 次收藏100万+ 次下载
19 天前更新
nginxinc/nginx-s3-gateway
nginxinc
基于NGINX的认证和缓存网关,用于S3 API后端服务。
6 次收藏500万+ 次下载
21 天前更新
nginx/unit
NGINX 官方镜像
此仓库已停用,建议用户改用Docker官方提供的镜像,具体官方镜像可通过链接[***]
66 次收藏1000万+ 次下载
3 年前更新
镜像拉取常见问题
使用与功能问题
错误码与失败问题
manifest unknown 错误:镜像不存在或标签错误
manifest unknown 错误
TLS/SSL 证书验证失败:Docker pull 时 HTTPS 证书错误
TLS 证书验证失败
DNS 解析超时:无法解析镜像仓库地址或连接超时
DNS 解析超时
410 Gone 错误:Docker 版本过低导致协议不兼容
410 错误:版本过低
402 Payment Required 错误:流量耗尽错误提示
402 错误:流量耗尽
401 UNAUTHORIZED 错误:身份认证失败或登录信息错误
身份认证失败错误
429 Too Many Requests 错误:请求频率超出专业版限制
429 限流错误
Docker login 凭证保存错误:Cannot autolaunch D-Bus(不影响登录)
凭证保存错误
账号 / 计费 / 权限
用户好评
来自真实用户的反馈,见证轩辕镜像的优质服务
oldzhang
运维工程师
Linux服务器
5
"Docker访问体验非常流畅,大镜像也能快速完成下载。"