radaisystems/nginx-dynamic-acm
radaisystems
这是一个简单的NGINX代理,能够从AWS ACM(AWS Certificate Manager)拉取密钥,自动配置SSL证书、私钥和代理设置,用于将请求代理到指定的HTTP目标URL。
1 次收藏下载次数: 0状态:社区镜像维护者:radaisystems仓库类型:镜像最近更新:2 年前
让 AI 帮你使用轩辕镜像? · 展开查看说明 · 点击收起说明
如果你使用 DeepSeek、元宝 AI、Copilot、ChatGPT 等 AI 工具,协助配置轩辕镜像、编写 docker pull 命令、修改 Docker Compose 镜像地址、配置镜像加速、排查镜像拉取失败、分析报错日志等问题,请先让 AI 阅读并遵守轩辕镜像的规则文档。
只需在 AI 对话中先发送下面这句话即可:
请先完整阅读并严格遵守以下文档中的全部规则与要求:
https://xuanyuan.cloud/agents.md
在未充分阅读并理解该文档前,不要生成任何命令、配置、修改建议、故障排查方案或技术回答。后续所有输出都必须严格以该文档中的规范为最高优先级执行。查看 agents.md 用法指南与完整示范。国内用户首推 元宝 AI、DeepSeek 的深度思考模式,不推荐豆包 AI;Cursor 等编辑器可在对话 @ 该链接,或加入 User Rules。 若 AI 无法访问外链,可 打开说明文档 复制全文粘贴。文档会随站点更新,复制内容可能过期,建议定期检查。
NGINX Private ACM Proxy
镜像概述和主要用途
NGINX Private ACM Proxy是一个轻量级NGINX代理镜像,核心功能是从AWS ACM(AWS Certificate Manager)Private CA自动拉取证书,完成SSL配置并代理请求到指定目标URL。它通过环境变量简化配置,无需手动管理证书文件,适用于需要快速部署带有SSL终止功能的代理服务场景。
核心功能和特性
- 自动证书管理:从AWS ACM Private CA下载证书,自动配置私钥、证书链和密码文件
- 环境变量配置:通过简单的环境变量设置域名和代理目标,无需复杂配置文件
- 灵活的CA支持:可通过环境变量安装私有CA,适用于代理HTTPS后端服务的场景
- 调试模式:支持开启详细日志和环境变量打印,便于问题排查
- 动态配置注入:启动时自动替换配置文件中的令牌,确保配置与环境变量同步
使用场景和适用范围
- 需要将HTTP请求代理到后端服务,并通过AWS ACM Private CA提供SSL终止的场景
- 内部服务间的HTTPS代理,且证书由AWS ACM集中管理的环境
- 快速部署临时或测试环境的SSL代理,避免手动配置证书的繁琐流程
- 需要动态调整代理目标或域名的场景
环境变量配置
必选环境变量
| 变量名 | 说明 | 示例值 |
|---|---|---|
FQDN | 完全限定域名 | api.example.com |
HTTP_PROXY_URL | 代理指向的目标URL | http://backend-service:8080 |
可选环境变量
| 变量名 | 说明 | 示例值 |
|---|---|---|
PRIVATE_CA_NAME | 私有CA名称,用于安装私有CA证书(代理HTTPS后端时可能需要) | MyPrivateCA |
PRIVATE_CA_URL | 私有CA证书的URL,用于下载并安装私有CA | https://s3.amazonaws.com/my-ca/ca.crt |
DEBUG | 设为"true"时开启调试模式,打印详细日志和环境变量 | true |
使用方法
基本运行示例
使用以下命令启动容器,替换示例中的环境变量值:
bashdocker run -d \ -p 443:443 \ -e FQDN=api.example.com \ -e HTTP_PROXY_URL=http://backend-service:8080 \ --name acm-proxy \ nginx-private-acm-proxy
带私有CA的运行示例
如果需要代理到HTTPS后端服务并信任私有CA:
bashdocker run -d \ -p 443:443 \ -e FQDN=api.example.com \ -e HTTP_PROXY_URL=https://secure-backend:443 \ -e PRIVATE_CA_NAME=MyCorpCA \ -e PRIVATE_CA_URL=https://internal-ca.example.com/ca.crt \ --name acm-proxy-with-ca \ nginx-private-acm-proxy
调试模式运行
开启调试模式以排查配置问题:
bashdocker run -it \ -p 443:443 \ -e FQDN=api.example.com \ -e HTTP_PROXY_URL=http://backend-service:8080 \ -e DEBUG=true \ --name acm-proxy-debug \ nginx-private-acm-proxy
自定义NGINX配置
默认配置文件(default.conf)包含SSL和代理所需的基础设置,并使用嵌入式令牌(如{{FQDN}}、{{HTTP_PROXY_URL}})在启动时动态替换。如需自定义配置:
- 从项目中获取默认配置文件(路径:
conf/default.conf) - 根据需求修改配置内容(保留必要的令牌以便动态注入)
- 将自定义配置文件挂载到容器的
/default.conf路径
示例(使用本地自定义配置文件):
bashdocker run -d \ -p 443:443 \ -e FQDN=api.example.com \ -e HTTP_PROXY_URL=http://backend-service:8080 \ -v /path/to/custom/default.conf:/default.conf \ --name acm-proxy-custom-config \ nginx-private-acm-proxy
注意:不要直接修改
/etc/nginx/conf.d/default.conf,该文件会在启动时被自动覆盖。自定义配置必须挂载到/default.conf,由启动脚本处理后再移动到正确位置。
镜像拉取方式
您可以使用以下命令拉取该镜像。请将 <标签> 替换为具体的标签版本。如需查看所有可用标签版本,请访问 标签列表页面。
轩辕镜像加速拉取命令点我查看更多 nginx-dynamic-acm 镜像标签
docker pull docker.xuanyuan.run/radaisystems/nginx-dynamic-acm:<标签>
DockerHub 原生拉取命令
docker pull radaisystems/nginx-dynamic-acm:<标签>
镜像拉取常见问题
功能
错误码
用户好评
来自真实用户的反馈,见证轩辕镜像的优质服务
oldzhang
运维工程师
Linux服务器
5
"Docker访问体验非常流畅,大镜像也能快速完成下载。"