steveltn/https-portal
steveltn
自动构建
由Nginx、Let's Encrypt和Docker驱动的全自动HTTPS服务器,提供自动化HTTPS服务。
147 次收藏下载次数: 0状态:自动构建维护者:steveltn仓库类型:镜像最近更新:25 天前
让 AI 帮你使用轩辕镜像? · 展开查看说明 · 点击收起说明
如果你使用 DeepSeek、元宝 AI、Copilot、ChatGPT 等 AI 工具,协助配置轩辕镜像、编写 docker pull 命令、修改 Docker Compose 镜像地址、配置镜像加速、排查镜像拉取失败、分析报错日志等问题,请先让 AI 阅读并遵守轩辕镜像的规则文档。
只需在 AI 对话中先发送下面这句话即可:
请先完整阅读并严格遵守以下文档中的全部规则与要求:
https://xuanyuan.cloud/agents.md
在未充分阅读并理解该文档前,不要生成任何命令、配置、修改建议、故障排查方案或技术回答。后续所有输出都必须严格以该文档中的规范为最高优先级执行。查看 agents.md 用法指南与完整示范。国内用户首推 元宝 AI、DeepSeek 的深度思考模式,不推荐豆包 AI;Cursor 等编辑器可在对话 @ 该链接,或加入 User Rules。 若 AI 无法访问外链,可 打开说明文档 复制全文粘贴。文档会随站点更新,复制内容可能过期,建议定期检查。
HTTPS-PORTAL
HTTPS-PORTAL 是一款由 Nginx、Let's Encrypt 和 Docker 驱动的全自动 HTTPS 服务器。通过使用它,您可以让任何现有 Web 应用通过 HTTPS 运行,仅需额外一行配置。SSL 证书将自动从 Let's Encrypt 获取并续期。
Docker Hub 页面:https://hub.docker.com/r/steveltn/https-portal/
目录
- 镜像概述与主要用途
- 前提条件
- 快速上手
- 核心功能与特性
- 本地测试
- 重定向配置
- 自动容器发现
- 与非 Docker 应用的混合部署
- 多域名支持
- 多上游服务(负载均衡)
- 静态网站托管
- 证书共享
- HTTP 基本认证
- 访问限制
- 日志配置
- 调试模式
- 其他配置
- 高级用法
- 通过环境变量配置 Nginx
- 覆盖 Nginx 配置文件
- 工作原理
- 关于 Let's Encrypt 的速率限制
- 故障排除
- 鸣谢
镜像概述与主要用途
HTTPS-PORTAL 是一款轻量级 Docker 镜像,旨在为 Web 应用提供全自动的 HTTPS 支持。其核心功能包括:
- 自动从 Let's Encrypt 获取和续期 SSL/TLS 证书
- 通过 Nginx 实现 HTTP 到 HTTPS 的强制重定向
- 支持多域名、多上游服务、静态网站托管等场景
- 提供灵活的访问控制和认证机制
主要用途:快速为现有 Web 应用(无论是否基于 Docker)添加 HTTPS 支持,无需手动配置 Nginx 和 SSL 证书。
前提条件
HTTPS-PORTAL 以 Docker 镜像形式分发,使用前需确保目标 Linux 主机(本地或远程)满足以下条件:
- 80 和 443 端口可用且已开放(需允许外部访问)
- 已安装 Docker Engine,推荐同时安装 Docker Compose(本文示例主要基于 Docker Compose 格式)
- 所有使用的域名已解析到该主机的 IP 地址
快速上手
基础示例
创建 docker-compose.yml 文件:
yamlhttps-portal: image: steveltn/https-portal:1 ports: - '80:80' - '443:443' environment: DOMAINS: 'example.com' # 替换为您的域名 # STAGE: 'production' # 测试通过前不要使用生产环境,默认使用 Let's Encrypt 测试服务器
在同一目录下执行 docker-compose up,片刻后即可通过 https://example.com 访问默认欢迎页面。
真实场景示例(对接 WordPress)
yamlhttps-portal: image: steveltn/https-portal:1 ports: - '80:80' - '443:443' links: - wordpress restart: always environment: DOMAINS: 'wordpress.example.com -> http://wordpress:80' # 域名 -> 上游服务(WordPress 容器) # STAGE: 'production' # 测试稳定后启用生产环境证书 wordpress: image: wordpress links: - db:mysql db: image: mariadb environment: MYSQL_ROOT_PASSWORD: '安全密码' # 替换为实际密码
执行 docker-compose up -d(-d 表示后台运行),访问 https://wordpress.example.com 即可使用 HTTPS 加密的 WordPress。
核心功能与特性
本地测试
无需公网域名即可本地测试配置,使用自签名证书:
yamlhttps-portal: # ... 其他配置 ... environment: STAGE: local # 使用本地自签名证书 DOMAINS: 'example.com' # 测试域名
注意:本地测试需确保 example.com 解析到 Docker 主机,可通过修改 /etc/hosts 文件(如 127.0.0.1 example.com)或配置 DNSMasq 实现。
重定向配置
支持域名间重定向(使用 => 分隔符):
yamlhttps-portal: # ... 其他配置 ... environment: DOMAINS: 'www.example.com => https://example.com' # www 域名重定向到主域名
所有路径将自动跟随,例如 https://www.example.com/foo 会重定向到 https://example.com/foo(301 永久重定向)。
自动容器发现
警告:此功能需挂载 Docker 套接字(/var/run/docker.sock),本质上授予容器主机 root 权限,除非必要否则不建议使用。
通过 Docker API 自动发现同一主机上的其他容器,无需手动配置 DOMAINS:
- 配置 HTTPS-PORTAL 挂载 Docker 套接字:
yamlversion: '2' services: https-portal: # ... 其他配置 ... volumes: - /var/run/docker.sock:/var/run/docker.sock:ro # 只读挂载 Docker 套接字
- 在目标应用容器中设置
VIRTUAL_HOST环境变量:
yamlversion: '2' services: my-app: image: nginx # 示例应用 environment: VIRTUAL_HOST: example.com # 告诉 HTTPS-PORTAL 为该域名配置代理 expose: - 80 # 暴露内部端口(无需映射到主机)
注意:应用容器需与 HTTPS-PORTAL 在同一 Docker 网络中。若应用暴露多个端口,可通过 VIRTUAL_PORT 指定上游端口(如 VIRTUAL_PORT: 8080)。
与非 Docker 应用的混合部署
对于直接运行在主机上的非 Docker 应用,可通过 host.docker.internal 访问(支持 Docker Desktop):
yamlhttps-portal: # ... 其他配置 ... environment: DOMAINS: 'example.com -> http://host.docker.internal:8080' # 代理到主机的 8080 端口
防火墙设置:若主机启用 UFW,需允许 HTTPS-PORTAL 容器访问主机端口:
bash# 获取 Docker 网络网关 IP(假设网络名为 default) DOCKER_HOST_IP=$(docker network inspect default --format='{{(index .IPAM.Config 0).Gateway}}') # 获取 HTTPS-PORTAL 容器 IP HTTPS_PORTAL_IP=$(docker inspect -f '{{range .NetworkSettings.Networks}}{{.IPAddress}}{{end}}' <容器名>) # 允许访问主机 8080 端口 ufw allow from $HTTPS_PORTAL_IP to $DOCKER_HOST_IP port 8080
多域名支持
通过逗号分隔多个域名配置:
yamlhttps-portal: # ... 其他配置 ... environment: DOMAINS: 'blog.example.com -> http://blog:80, git.example.com -> http://git:3000'
支持为每个域名单独指定证书环境(覆盖全局 STAGE):
yamlDOMAINS: 'blog.example.com -> http://blog #local, git.example.com #staging' # blog 使用本地证书,git 使用测试证书
多上游服务(负载均衡)
通过 | 分隔多个上游服务,实现负载均衡:
yamlhttps-portal: # ... 其他配置 ... environment: DOMAINS: 'app.example.com -> http://app1:80|http://app2:80[weight=2 max_conns=100]'
weight=2:app2 权重为 2(接收 2/3 请求)max_conns=100:限制到 app2 的并发连接数为 100
支持 Nginx 上游模块的所有参数(详见 Nginx 文档)。
静态网站托管
直接托管静态文件(无需上游服务):
yamlhttps-portal: # ... 其他配置 ... environment: DOMAINS: 'static.example.com' # 仅指定域名,无需上游 volumes: - /path/to/static/files:/var/www/vhosts/static.example.com # 挂载静态文件目录
HTTPS-PORTAL 会自动在 /var/www/vhosts 下创建与域名对应的子目录,静态文件需放在该目录下(如 index.html)。
证书共享
将证书目录挂载到主机,供其他应用使用:
yamlhttps-portal: # ... 其他配置 ... volumes: - /host/path/to/certs:/var/lib/https-portal # 证书存储路径
证书文件结构:/host/path/to/certs/[域名]/fullchain.pem(证书链)和 privkey.pem(私钥)。
HTTP 基本认证
为域名添加 HTTP 基本认证(格式:用户名:密码@域名 -> 上游):
yamlhttps-portal: # ... 其他配置 ... environment: DOMAINS: 'admin:secret@example.com -> http://app:80' # 访问 example.com 需输入用户名 admin、密码 secret
访问限制
通过 IP 地址限制访问,支持全局或按域名配置:
- 全局限制(允许 1.2.3.0/24 网段和 4.3.2.1 IP):
yamlhttps-portal: environment: ACCESS_RESTRICTION: "1.2.3.4/24 4.3.2.1" # 空格分隔多个 IP/网段
- 按域名限制:
yamlDOMAINS: "[1.2.3.4/24] app.example.com -> http://app:80, [4.3.2.1] api.example.com"
支持 CIDR 网段(如 192.168.1.0/24)和单个 IP(如 1.2.3.4)。
日志配置
默认不记录访问日志,错误日志输出到 stdout(Docker 日志),可通过环境变量自定义:
- 输出到标准流:
yamlhttps-portal: environment: ERROR_LOG: stdout # 错误日志到 stdout ACCESS_LOG: stderr # 访问日志到 stderr
- 输出到文件(需挂载日志目录):
yamlhttps-portal: environment: ERROR_LOG: default # 默认路径 /var/log/nginx/error.log ACCESS_LOG: default # 默认路径 /var/log/nginx/access.log volumes: - /host/logs:/var/log/nginx # 挂载日志目录到主机
- 自定义日志路径:
yamlhttps-portal: environment: ERROR_LOG: /var/log/custom/error.log ACCESS_LOG: /var/log/custom/access.log volumes: - /host/custom/logs:/var/log/custom
其他日志相关环境变量:
ACCESS_LOG_BUFFER: 访问日志缓冲区大小(如16k)ERROR_LOG_LEVEL: 错误日志级别(默认error,可选debug/info等)
调试模式
设置 DEBUG=true 输出域名解析等调试信息:
yamlhttps-portal: environment: DEBUG: 'true' # 启用调试模式
其他配置
- 证书续期时间:默认提前 30 天续期,可通过
RENEW_MARGIN_DAYS调整(如RENEW_MARGIN_DAYS=15)。 - 强制续期证书:设置
FORCE_RENEW: 'true'强制重新获取证书(用于解决证书链问题)。
高级用法
通过环境变量配置 Nginx
支持通过环境变量修改 Nginx 核心参数,默认值如下:
| 环境变量 | 默认值 | 说明 |
|---|---|---|
WORKER_PROCESSES | 1 | 工作进程数 |
WORKER_CONNECTIONS | 1024 | 每个进程的最大连接数 |
KEEPALIVE_TIMEOUT | 65 | 长连接超时时间(秒) |
GZIP | on | 是否启用 gzip 压缩(可选 off) |
CLIENT_MAX_BODY_SIZE | 1M | 最大请求体大小(0 表示不限制) |
HSTS_MAX_AGE | 未设置 | HSTS 头有效期(秒,如 31536000 表示 1 年,启用前需谨慎测试) |
LISTEN_IPV6 | false | 是否启用 IPv6 监听(仅支持 Linux 主机) |
WEBSOCKET | false | 是否启用 WebSocket 代理 |
RESOLVER | 未设置 | DNS 解析器(如 127.0.0.11 ipv6=off valid=30s 用于动态上游) |
DYNAMIC_UPSTREAM | false | 是否启用动态上游(配合 RESOLVER 使用,解决 DNS 缓存问题) |
示例:启用 HSTS 和 WebSocket:
yamlhttps-portal: environment: HSTS_MAX_AGE: 31536000 # HSTS 有效期 1 年 WEBSOCKET: 'true' # 启用 WebSocket 代理
覆盖 Nginx 配置文件
通过挂载自定义 ERB 模板覆盖默认 Nginx 配置:
- 单域名配置:挂载
<域名>.conf.erb(HTTP 配置)和<域名>.ssl.conf.erb(HTTPS 配置):
yamlhttps-portal: volumes: - ./example.com.conf.erb:/var/lib/nginx-conf/example.com.conf.erb:ro # HTTP 配置 - ./example.com.ssl.conf.erb:/var/lib/nginx-conf/example.com.ssl.conf.erb:ro # HTTPS 配置
- 全局默认配置:覆盖
default.conf.erb或default.ssl.conf.erb影响所有域名:
yamlhttps-portal: volumes: - ./custom.default.ssl.conf.erb:/var/lib/nginx-conf/default.ssl.conf.erb:ro # 全局 HTTPS 模板
模板语法参考 ERB,可使用环境变量动态生成配置。
工作原理
- 证书获取:启动时检查证书是否存在/过期,若不存在或即将过期(默认提前 30 天),通过 ACME 协议向 Let's Encrypt 申请/续期证书。
- Nginx 配置生成:根据
DOMAINS或自动发现的容器生成 Nginx 配置,包含 HTTPS 监听、SSL 证书路径、上游代理规则等。 - 服务启动:启动 Nginx 服务,并通过 cron 任务每周检查证书续期。
关于 Let's Encrypt 的速率限制
Let's Encrypt 为防止滥用设置了速率限制,主要包括:
- 每注册域名每周最多 50 张证书
- 每小时最多 5 次验证失败
- 每周最多 5 次重复证书申请
HTTPS-PORTAL 默认使用 Let's Encrypt 测试服务器(STAGE=staging),生成的证书不受浏览器信任,但无严格速率限制。测试稳定后,通过 STAGE=production 切换到生产服务器,生成可信证书。
故障排除
- 证书链不完整:设置
FORCE_RENEW: 'true'强制续期证书,重新获取完整证书链。 - 域名解析失败:确保域名已正确解析到主机 IP,可通过
nslookup example.com验证。 - 端口占用:确保 80/443
镜像拉取方式
您可以使用以下命令拉取该镜像。请将 <标签> 替换为具体的标签版本。如需查看所有可用标签版本,请访问 标签列表页面。
轩辕镜像加速拉取命令点我查看更多 https-portal 镜像标签
docker pull docker.xuanyuan.run/steveltn/https-portal:<标签>
DockerHub 原生拉取命令
docker pull steveltn/https-portal:<标签>
镜像拉取常见问题
功能
错误码
用户好评
来自真实用户的反馈,见证轩辕镜像的优质服务
oldzhang
运维工程师
Linux服务器
5
"Docker访问体验非常流畅,大镜像也能快速完成下载。"