Yêu cầu
・Docker đã cài đặt
・Docker Compose đã cài đặt
・Quyền quản trị hệ thống
・Domain đã trỏ về IP server
・Port 80 và 443 mở và trỏ về server

Thiết lập Nginx Webserver với Let’s Encrypt trên Docker
Quy trình thiết lập gồm các bước sau:・Tạo Docker Compose file
・Cấu hình Nginx server
・Tạo script setup SSL
・Chạy Certbot client
・Tự động gia hạn certificate

Bước 1: Tạo cấu trúc thư mục và .env

Tạo các thư mục cần thiết trong dự án:

mkdir -p docker/nginx/etc/nginx/templates
mkdir -p docker/nginx/etc/nginx/conf
mkdir -p docker/nginx/certs

Cấu trúc thư mục:

docker/
└── nginx/
    ├── setup-ssl.sh
    ├── entrypoint.sh
    ├── etc/nginx/
    │   ├── nginx.conf
    │   ├── conf/
    │   └── templates/
    │       ├── default.conf.template
    │       ├── https.conf.template
    │       └── upstream.conf.template
    └── certs/              # Thư mục chứa certificates (gitignored)

File Structure
・entrypoint.sh: Script tự động generate nginx configs từ templates
・setup-ssl.sh: Script tạo SSL certificate trên host (chạy ngoài container)
・templates/: Nginx config templates
・https.conf.template: HTTPS config cho domain
・upstream.conf.template: PHP-FPM upstream config
・certs/: Thư mục chứa Let’s Encrypt certificates trên host (gitignored, mounted vào container)

Environment Variables

Bước 2: Tạo Dockerfile cho Nginx

Tạo file docker/Dockerfile với multi-stage build:

FROM nginx:1.28.0-alpine as nginx

WORKDIR /var/www/html
COPY docker/nginx/ /
COPY docker/nginx/entrypoint.sh /usr/local/bin/entrypoint.sh
RUN chmod +x /usr/local/bin/entrypoint.sh

EXPOSE 80 443

ENTRYPOINT ["/usr/local/bin/entrypoint.sh"]
CMD ["nginx", "-g", "daemon off;"]

Bước 3: Tạo Docker Compose file

Tạo file docker-compose.yml để chạy Nginx với HTTPS:

services:
  nginx:
    build:
      context: .
      dockerfile: docker/Dockerfile
      target: nginx
    environment:
      ENABLE_BASIC_AUTH: "${ENABLE_BASIC_AUTH-false}"
      PHP_FPM_HOST: app
      PHP_FPM_PORT: 9000
      ENABLE_HTTP_LOCALHOST: "false"
      ENABLE_HTTPS: "true"
      HTTPS_DOMAIN: "${HTTPS_DOMAIN-example.com}"
    ports:
      - "${DOCKER_NGINX_EXTERNAL_PORT-8000}:80"
      - "${DOCKER_NGINX_HTTPS_PORT-8443}:443"
    depends_on:
      - app
      - certbot
    volumes:
      - ".:/var/www/html"
      - "./docker/nginx/certs:/etc/letsencrypt"

  certbot:
    image: certbot/certbot:latest
    volumes:
      - "./docker/nginx/certs:/etc/letsencrypt"
    entrypoint: "/bin/sh -c 'trap exit TERM; while :; do certbot renew; sleep 12h & wait $${!}; done;'"

  app:
    build:
      context: .
      dockerfile: docker/Dockerfile
      target: app
    volumes:
      - ".:/var/www/html"
    environment:
      PHP_OPCACHE_VALIDATE_TIMESTAMPS: 1
    command: ["development"]

Giải thích:
webserver (nginx): container Nginx với HTTPS
certbot: container tự động gia hạn certificate
app: container Laravel application
Volume ./docker/nginx/certs:/etc/letsencrypt: chia sẻ certificates giữa containers

Bước 4: Tạo file cấu hình Nginx

4.1. Tạo template HTTP (cho Let’s Encrypt validation)
Tạo file docker/nginx/etc/nginx/templates/default.conf.template:

server {
    listen 80;
    server_name _;

    root /var/www/html/public;
    index index.php;

    client_max_body_size 40m;

    access_log /dev/stdout;
    error_log /dev/stderr;

    add_header X-Frame-Options "SAMEORIGIN" always;
    add_header X-Content-Type-Options "nosniff" always;
    proxy_hide_header X-Powered-By;

    charset utf-8;

    location = /health {
        return 200 'OK!';
        add_header Content-Type text/plain;
    }

    location = /favicon.ico { access_log off; log_not_found off; }
    location = /robots.txt  { access_log off; log_not_found off; }

    error_page 404 /index.php;

    location / {
        auth_basic $basic_auth;
        auth_basic_user_file /etc/nginx/.htpasswd;
        try_files $uri $uri/ /index.php$is_args$args;
    }

    location ~ \.php$ {
        set $path_info $fastcgi_path_info;
        fastcgi_index index.php;
        fastcgi_split_path_info ^(.+\.php)(/.*)$;
        fastcgi_pass php-fpm;
        fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;

        include fastcgi_params;
    }

    location ~ /\.(?!well-known).* {
        deny all;
    }
}

Lưu ý: Block location ~ /\.(?!well-known).* chặn các file ẩn nhưng cho phép .well-known để Let’s Encrypt validate.

4.2. Tạo template HTTPS
Tạo file docker/nginx/etc/nginx/templates/https.conf.template:

# HTTPS server for ${HTTPS_DOMAIN}
server {
    listen 443 ssl;
    http2 on;
    server_name ${HTTPS_DOMAIN};

    root /var/www/html/public;
    index index.php;

    # SSL configuration
    ssl_certificate /etc/letsencrypt/live/${HTTPS_DOMAIN}/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/${HTTPS_DOMAIN}/privkey.pem;

    client_max_body_size 40m;

    access_log /dev/stdout;
    error_log /dev/stderr;

    add_header X-Frame-Options "SAMEORIGIN" always;
    add_header X-Content-Type-Options "nosniff" always;
    add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
    proxy_hide_header X-Powered-By;

    charset utf-8;

    location = /health {
        return 200 'OK!';
        add_header Content-Type text/plain;
    }

    location = /favicon.ico { access_log off; log_not_found off; }
    location = /robots.txt  { access_log off; log_not_found off; }

    error_page 404 /index.php;

    location / {
        auth_basic $basic_auth;
        auth_basic_user_file /etc/nginx/.htpasswd;
        try_files $uri $uri/ /index.php$is_args$args;
    }

    location ~ \.php$ {
        set $path_info $fastcgi_path_info;
        fastcgi_index index.php;
        fastcgi_split_path_info ^(.+\.php)(/.*)$;
        fastcgi_pass php-fpm;
        fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;

        include fastcgi_params;
    }

    location ~ /\.(?!well-known).* {
        deny all;
    }
}

# Redirect HTTP to HTTPS for ${HTTPS_DOMAIN}
server {
    listen 80;
    server_name ${HTTPS_DOMAIN};

    location / {
        return 301 https://$host$request_uri;
    }
}

Giải thích:
Server block đầu: HTTPS trên port 443 với HTTP/2
Server block thứ hai: redirect HTTP → HTTPS
Security headers: HSTS, X-Frame-Options, X-Content-Type-Options

Bước 5: Tạo Entrypoint script

Tạo file docker/nginx/entrypoint.sh để tự động generate config từ template:

#!/bin/sh
set -e

# Set BASIC_AUTH_VALUE based on ENABLE_BASIC_AUTH
if [ "$ENABLE_BASIC_AUTH" = "true" ]; then
    export BASIC_AUTH_VALUE="Administrator's Area"
else
    export BASIC_AUTH_VALUE="off"
fi

# Generate map config from template
envsubst '$$BASIC_AUTH_VALUE' < /etc/nginx/templates/map.conf.template > /etc/nginx/conf.d/map.conf

# Generate upstream config
envsubst '$$PHP_FPM_HOST $$PHP_FPM_PORT' < /etc/nginx/templates/upstream.conf.template > /etc/nginx/conf.d/upstream.conf

# Generate nginx configs from templates
if [ "$ENABLE_HTTP_LOCALHOST" = "true" ]; then
    envsubst '$$PHP_FPM_HOST $$PHP_FPM_PORT' < /etc/nginx/templates/localhost.conf.template > /etc/nginx/conf.d/server-localhost.conf
fi

# Handle HTTPS setup
if [ "$ENABLE_HTTPS" = "true" ] && [ -n "$HTTPS_DOMAIN" ]; then
    # Create directories if they don't exist
    mkdir -p /etc/letsencrypt/live/${HTTPS_DOMAIN}

    if [ -f "/etc/letsencrypt/live/${HTTPS_DOMAIN}/fullchain.pem" ]; then
        envsubst '$$PHP_FPM_HOST $$PHP_FPM_PORT $$HTTPS_DOMAIN' < /etc/nginx/templates/https.conf.template > /etc/nginx/conf.d/server-https.conf
    fi
fi

# Execute the main command
exec "$@"

Script này:
・Tạo config từ template dựa trên biến môi trường
・Chỉ tạo HTTPS config nếu certificate tồn tại
・Dùng envsubst để thay thế biến

Bước 6: Tạo script setup SSL

Tạo file docker/nginx/setup-ssl.sh để tạo certificate trên host:

#!/bin/bash
set -e

# Get script directory and project root
SCRIPT_DIR="$(cd "$(dirname "${BASH_SOURCE[0]}")" && pwd)"
PROJECT_ROOT="$(cd "${SCRIPT_DIR}/../.." && pwd)"

# Configuration
DOMAIN="${HTTPS_DOMAIN:-example.com}"
CERT_DIR="${PROJECT_ROOT}/docker/nginx/certs"

echo "Setting up SSL certificate for ${DOMAIN} on host..."
echo "Certificate will be saved to: ${CERT_DIR}"

# Create directories on host
mkdir -p "${CERT_DIR}"

# Check if certificate already exists
if [ -f "${CERT_DIR}/live/${DOMAIN}/fullchain.pem" ]; then
    echo "Certificate already exists for ${DOMAIN}"
    echo "Location: ${CERT_DIR}/live/${DOMAIN}/"
    exit 0
fi

cd "${PROJECT_ROOT}"

# Request certificate using docker (certificate saved on host, mounted into container)
echo "Requesting certificate (port 80 must be available)..."
docker run --rm \
    -v "${CERT_DIR}:/etc/letsencrypt" \
    -p 80:80 \
    certbot/certbot certonly \
    --standalone \
    --agree-tos \
    -d "${DOMAIN}"

echo ""
echo "Certificate created successfully on host!"
echo "Location: ${CERT_DIR}/live/${DOMAIN}/"
echo "Files: fullchain.pem, privkey.pem"
echo ""
echo "Certificate will be automatically mounted into nginx container."
echo "You can now run: docker-compose up -d"

Lưu ý: Script này chạy trên host, không trong container. Certificate được lưu trên host và mount vào container.

Bước 7: Chạy Certbot để lấy certificate

7.1. Test với dry-run (khuyến nghị)
Trước khi lấy certificate thật, test với --dry-run:

chmod +x docker/nginx/setup-ssl.sh

# Test với dry-run
docker run --rm \
    -v "$(pwd)/docker/nginx/certs:/etc/letsencrypt" \
    -p 80:80 \
    certbot/certbot certonly \
    --standalone \
    --dry-run \
    --agree-tos \
    -d your-domain.com

Lưu ý: Thay your-domain.com bằng domain của bạn.

7.2. Lấy certificate thật

Nếu dry-run thành công, chạy script để lấy certificate:

HTTPS_DOMAIN=your-domain.com ./docker/nginx/setup-ssl.sh

Hoặc dùng domain mặc định:

./docker/nginx/setup-ssl.sh

Quá trình:

1. Script kiểm tra certificate đã tồn tại chưa
2. Nếu chưa, chạy Certbot với –standalone mode
3. Certbot bind port 80 để Let’s Encrypt validate
4. Certificate được lưu tại ./docker/nginx/certs/live/your-domain.com/
   
   Lưu ý:
   ・Đảm bảo port 80 mở và trỏ về server.
   ・Nếu Nginx đang chạy trên port 80, tạm dừng trước khi chạy script.

Bước 8: Khởi động Docker Compose

Sau khi có certificate, khởi động services:

docker-compose up -d

Kiểm tra containers đang chạy:

docker-compose ps

Kiểm tra logs:

docker-compose logs nginx
docker-compose logs certbot

Bước 9: Kiểm tra HTTPS

Truy cập domain qua HTTPS:

curl -I https://your-domain.com:8443

Hoặc mở trình duyệt và truy cập: https://your-domain.com:8443

Bạn sẽ thấy:

・Certificate hợp lệ (không có cảnh báo)

・Tự động redirect HTTP → HTTPS

・Security headers được áp dụng

Bước 10: Gia hạn certificates

Let’s Encrypt certificates có thời hạn 90 ngày. Có 2 cách gia hạn:

10.1. Tự động gia hạn (đã cấu hình)

Service certbot trong docker-compose.yml tự động gia hạn mỗi 12 giờ:

certbot:
  image: certbot/certbot:latest
  volumes:
    - "./docker/nginx/certs:/etc/letsencrypt"
  entrypoint: "/bin/sh -c 'trap exit TERM; while :; do certbot renew; sleep 12h & wait $${!}; done;'"

Certbot chỉ gia hạn khi certificate sắp hết hạn (trong vòng 30 ngày).

10.2. Gia hạn thủ công

Nếu cần gia hạn ngay:

docker run --rm \
    -v "$(pwd)/docker/nginx/certs:/etc/letsencrypt" \
    certbot/certbot renew

Hoặc trong container:

docker-compose exec certbot certbot renew

Sau khi gia hạn, reload Nginx để áp dụng certificate mới:

docker-compose exec nginx nginx -s reload

Hoặc restart container:

docker-compose restart nginx

Troubleshooting

Lỗi: “Port 80 is already in use”

Nguyên nhân: Port 80 đang được sử dụng bởi service khác.

Giải pháp:

# Kiểm tra process đang dùng port 80
sudo lsof -i :80

# Tạm dừng Nginx nếu đang chạy
docker-compose down

# Sau đó chạy lại setup-ssl.sh
./docker/nginx/setup-ssl.sh

Lỗi: “Failed to obtain certificate”

Nguyên nhân:
・Domain chưa trỏ về IP server
・Port 80 bị firewall chặn
・Let’s Encrypt không thể truy cập domain

Giải pháp:

# Kiểm tra DNS
nslookup your-domain.com

# Kiểm tra port 80
curl -I http://your-domain.com

# Kiểm tra firewall
sudo ufw status

Lỗi: “Nginx không load HTTPS config”

Nguyên nhân:
・Certificate chưa tồn tại
・Biến môi trường chưa đúng
・Volume mount sai

Giải pháp:

# Kiểm tra certificate
ls -la docker/nginx/certs/live/your-domain.com/

# Kiểm tra biến môi trường
docker-compose config

# Kiểm tra volume mount trong container
docker-compose exec nginx ls -la /etc/letsencrypt/live/

Tổng kết

Sau khi hoàn thành các bước trên, bạn đã:
・Thiết lập Nginx với HTTPS trên Docker
・Cấu hình Let’s Encrypt SSL/TLS certificates
・Tự động gia hạn certificates
・Redirect HTTP → HTTPS
・Áp dụng security headers

The post Hướng dẫn từng bước thiết lập Let’s Encrypt SSL/TLS cho Nginx trên Docker. appeared first on Tomoshare.

Tại sao lại cần có proxy?

Thay vì kết nối trực tiếp tới server, client gửi request đến proxy để đánh giá và thực hiện những request đó.

• Bảo vệ quyền riêng tư: Proxy có thể được sử dụng để ẩn địa chỉ IP của client, giúp bảo vệ quyền riêng tư của người dùng khỏi các trang web và ứng dụng mà họ truy cập.
• Cân bằng tải (Load balancing): Proxy có thể được sử dụng để phân phối lưu lượng truy cập giữa nhiều server, giúp cải thiện hiệu suất và độ tin cậy của hệ thống.
• Bảo mật (Security): Proxy có thể được sử dụng để lọc lưu lượng truy cập, giúp ngăn chặn các cuộc tấn công mạng.
• Giảm chi phí: Proxy có thể được sử dụng để truy cập các tài nguyên từ xa, giúp giảm chi phí cho doanh nghiệp.

Có 2 loại proxy thường gặp đó là Forward proxy và Reverse proxy.

Forward proxy

• Là một client proxy, hoạt động thay mặt cho các thiết bị clients để gửi yêu cầu đến server.
• Nó nằm giữa clients và Internet, chuyển tiếp các requests của clients đến server thông qua Internet.

Use cases:

• Access control and content filtering: forward proxy kiểm tra các request có hợp lệ hay không để thực hiện forward hoặc block request.
• Log/Monitor request: quản lý và giám sát các request, thường được sử dụng trong môi trường công ty, trường học hay các tổ chức để kiểm soát việc truy cập Internet và bảo vệ khỏi các nội dung độc hại.
• User Privacy: forward proxy nằm giữa client và Internet, nó thay mặt client gửi request đến server qua Internet, có thể che dấu danh tính, địa chỉ IP và bảo vệ quyền riêng tư của người dùng thực.
• Cache responses: giảm độ trễ, tăng performance, tối ưu bandwidth, proxy cache lại response để trả về cho client trong các lần request tiếp theo thay vì request trực tiếp đến server.

Services:

• Squid
• Privoxy
• VPN services
• Cloudflare WARP

Reverse proxy

• Là một server proxy, nằm giữa Internet và server để xử lý các request thay mặt cho server.
• Chúng hoạt động như những servers bình thường. Reverse proxy chuyển tiếp request đến một hoặc nhiều server thật, kết quả sau đó trả về cho client, làm cho client không biết về những server thật nói trên.
• Reverse proxy được cài đặt trong một private network của một hoặc nhiều server, và tất cả lưu lượng truy cập đều phải đi qua proxy này.

Use cases:

• Load Balancing: cân bằng tải, phân bổ lượng truy cập trang web đến các máy chủ khác nhau, nhằm mục đích tăng throughput, giảm letancy, phục vụ số lượng client lớn hơn.
• Security: có thể coi reverse proxy là một Web Application Firewall (WAF), có nhiệm vụ chặn các truy cập khả nghi đến server, làm rate limit, một phần nào đó ngăn chặn tấn công DDoS.
• Cache responses: giảm độ trễ, tăng performance, tối ưu bandwidth, proxy cache lại response để trả về cho client trong các lần request tiếp theo thay vì request trực tiếp đến server.
• SSL encryption/decryption: reverse proxy có thể xử lý việc SSL termination (dừng), giải mã lưu lượng được mã hóa SSL từ client và chuyển tiếp nó đến máy chủ phụ trợ ở dạng không được mã hóa và ngược lại.

Services:

• Nginx
• Apache HTTP
• HAProxy
• CDN services

Điểm khác biệt chính

• Forward proxy:
  • Xử lý request từ client tới Internet.
  • Bảo vệ quyền riêng tư client và lọc nội dung.
• Reverse proxy:
  • Xử lý request từ Internet tới web servers.
  • Performance và security.

Nguồn: https://blog.bytebytego.com

Cảm ơn mọi người đã dành thời gian để đọc 🙇‍♂️

The post Forward proxy vs. Reverse proxy appeared first on Tomoshare.