本教程是基于已完成域名申请,学会DDNS映射的小伙伴,如果还没到这步,请参考:极空间通过docker实现阿里云ddns外网域名访问
关于域名申请、IPv6访问,@清净思 大佬这篇写得最具体了,大家可以先学习下:外网访问极空间和容器:使用DDNS-GO和IPv6
前言:
docker有了,域名有了,小伙伴们都用得很开心了。但慢慢使用中,是不是就会发现这么几个问题:
1.浏览器上醒目的“不安全”字样,怎么才能算“安全”?
2.docker越多,使用的端口越多,记不清楚怎么办?
3.别人的服务都有清晰直观的二级域名,这个是怎么来的?
4.Nginx做反向代理那么多的代码完全看不懂,等等
这个时候,就要讲得本次的主角,Nginx Proxy Manager(后面简称NPM),真正的所见即所得、可视化管理,让你的困扰一扫而空。
部署:
本次我们用到的docker是chishin/nginx-proxy-manager-zh,目前最新的版本是刚更新的2.9.19(镜像较大,可能用时较长,请耐心等待。下载不了的小伙伴可以私信我,回头闪电传发你)
下载完成双击进入部署,以下是我自己的文件目录结构和参考配置,和Alist一样,主要修改文件夹路径和端口映射。需要注意,80和443一般都是禁用的,所以需要映射到别的端口。(这里我们举例分别用了8081和8443,以后就记住这两个端口就可以了)
入门教学)
使用内网IP:81访问管理页面,使用默认登录邮箱和密码登录(如图),登录后设置自己的邮箱及密码。这步就不演示了。
(默认邮箱:admin@example.com 默认密码: changeme)
管理页面中最基础的功能,或者本文主要涉及的两个功能,一个是仪表盘中代理服务(因为我是升级部署过来的,前面已经做了9个代理),一个是SSL证书(可以看到我也是11月4日才刚刚弄好,就迫不及待和大家分享经验了,希望各路大神勿喷 )
应用:
前面也说了,我们使用NPM做反向代理主要解决2个痛点,一个是通过二级域名区分端口服务,一个是https加密,我们依次来讲。
在设置二级域名之前,还需要提前完成一项工作,就是确认下你的ddns是否更新到了二级域名,简单的做法是使用通配符“*”。如以aliyun-ddns这个docker为例,把“环境”设置中的“Domain”项从“example.com”更换为“*.example.com”就可以了。(example.com换成你自己的域名即可)
(如果还需要使用根域名,就用英文逗号隔开,“*.example.com,example.com”)
完成这步操作后再登录阿里云的控制台,可以看到域名的解析设置里面记录就变成了这样2条,这个时候二级域名就已经生效了。
(当然更精确的做法是给每个二级域名单独添加一条记录,各位可以根据需要选择不同的方法)
回到NPM,慊鞔矸瘢慊饔疑辖堑摹疤砑哟矸瘛保诘龅亩曰翱蛑幸来温既耄慊鞅4婕纯伞�
回到代理服务主页面,可以看到记录已经增加了一条,这里我们以Alist为例(具体名字大家按习惯随便输入,总的原则就是顺手好记)
再访问你的Alist的时候,就不用域名:5244了,这个时候可以用刚刚设置好的域名:8081访问了。
到这锔崭胀瓿梢话耄梢钥吹阶笊辖堑牟话踩曜⒒乖冢颐且廊皇褂玫膆ttp访问。继续往下走,就是SSL和https的环节了。
选择“SSL证书”页面,点击右上角的“添加SSL证书”,可以看到有两种方式可以选择,我们仍然以阿里云的域名为例,分别看看
第一种方式适用于从零开始的:
可以自动申请、添加及更新,我目前用的就是这种方式,推荐使用的方式。
第二种方式适用于已有证书的,需要先下载Nginx对应的证书,再依次上传证书密钥以及证书,如图:
两种方式都可以,按你自己实际情况来,最后效果如图
最后一步,再次回到代理服务页面,选择刚刚配置好的条目,点击编辑
首先是第一个“详细内容”页面,注意这个位置不需要改成https(我刚开始就被这个逻辑绕进去了)
其次是第三个“SSL”页面,选择对应的证书,因为我这两个证书都是通配符证书,所以选哪个都可以
保存后回到代理页面,可以看到已经完成了,状态显示在线。
这个时候,用你这个二级域名:8443,就可以看到安全可靠的小锁了。
依次类推,分别加上你熟悉的二级域名,再配合浏览器插件,一套完整且加密的docker服务就可以构建起来了。
常见问题清单
1.qBittorrent在使用反向代理后页面显示异常、登录报错问题
2.SSL证书相关问题(完成,感谢大佬 @万亿隆基 的友情相助)
3.vim工具安装问题(问题2延深学习,感谢 @wbwboo 同学的探索研究)
4.利用NPM实现外网访问家庭路由器问题(感谢大佬 @疼丿你就喊 友情指导以及 @kuma @Pulse 的共同探索)
5.利用NPM实现极空间的https访问。(感谢大佬 @z112185040 的友情指导)
6.NPM与Bitwarden密码管理工具的配合使用。
7.利用反向代理访问heimdall显示不正常问题。
8.利用反向代理访问部分docker无法正常登录问题(gotify为例)。
1.qBittorrent在使用反向代理后可能会出现页面显示异常(登录框不居中/图标不显示),登录后报错的问题
这时需要通过内网登陆,在qb菜单栏工具-选项里面,关闭图中框选的两个选项,就可以使用二级域名正常访问了
2.SSL证书相关问题(有些问题是我自己琢磨的,如果错了请大家及时指正)
方案一:阿里云一年可以免费申请20个证书,但是有一个限制,就是只能支持普通域名,不支持通配符域名
普通域名证书的特点就是仅能对应一个二级域名,比如alist.example.com的证书给qb.example.com用,就会报错了。
有同学也问到了,到期以后怎么办?没错,是需要手动更新,重新上传,毕竟免费嘛。
就不能自动续期吗,当然可以,作为国内乃至全球数一数二的云平台,这种小功能还不能安排吗,不仅自动更新甚至还为我们贴心的准备了通配符域名,国际认证,专家服务。当然,省心不省钱。
贫穷让我清醒。
方案二:通过第三方申请证书,以来此加密 https://letsencrypt.osfipin.com/为例
可以查阅官方文档学习https://www.yuque.com/osfipin/letsencrypt
简单的使用支持通配符域名,支持手动快速续期,或者自动续期(需加入VIP,200积分兑换,也可以慢慢白嫖)
高阶的用法也可以采用全自动申请部署方案https://www.yuque.com/osfipin/letsencrypt/zagxv6
申请好的证书下载相应的Nginx版本文件较多,一般用下图这两个就可以了
因为是一般是申请的通配符域名证书,所以不管alist.example.com、qb.example.com还是nastools.example.com都可以用同一个证书。
如果想测试的小伙伴,顺手用个推荐码:E69XY44D,可立刻获得5个积分,助力我加速开个vip给大家再详细测测
为了防止恶意注册占用资源,来此加密只提供3个域名服务,绑定微信可以到6个,但由于支持了通配符域名,对于个人用户是完全够用的。
方案三:利用Nginx Proxy Manager自动注册并更新
本来这也是这个帖子主要推荐的方法,其实和方案二是殊途同归的,理论上可以自动续期,我目前使用的SSL也是这个方法申请的,但是昨天写教程的时候翻车了,死活申请不了,和后面有个同学一样,就报下面的错
An unexpected error occurred:
AttributeError: module 'certbot.interfaces' has no attribute 'IAuthenticator'
目前也还没搞清楚,暂时只能和大家一起蹲在这,等哪位大佬来解答一下了
1125更新:果然有大佬出手了,感谢大佬 @万亿隆基 的友情相助,同样出现上面报错的同学可以操练起来了。
首先要打开本docker的SSH,如图所示,需要使用/bin/bash命令,看见图2界面时就成功进入了
依次输入apt-get update 和 apt-get install vim 安装一下vi命令,如图,一段代码后安装完成。
输入执行vi /usr/local/lib/python3.7/dist-packages/certbot_dns_aliyun/dns_aliyun.py,执行(可能会显示混乱,粘贴后回车就行)
在出现的文件内容中找到下图@zope.interface.implementer(interfaces.IAuthenticator)和@zope.interface.provider(interfaces.IPluginFactory)这两行
点击“a”,进入编辑模式,在这两行前加上#号
然后点“Esc”,退出编辑模式,输入“:”,到达末行,在输入“x”,回车即完成保存。再回到NPM的SSL证书页面,就可以用第三种方案了。
再次感谢大佬 @万亿隆基 的友情相助,也同样感谢 @木果果 同学的研究探索。
3.vim工具安装问题
在问题2里,拓展了一个vim文本编辑工具的知识点,但是有的小伙伴在安装的时候确出了问题,出现了如下的错误
通过查阅资料,发现问题处在临时目录权限问题,需要执行命令chmod 777 /tmp(注意空格)给tmp目录赋权
再执行apt-get update 和 apt-get install vim 就可以了。
有问题的小伙伴们可以试一试了。
4.利用NPM实现外网访问家庭路由器问题
论坛里面有很多小伙伴希望极空间增加一个内置的浏览器(我也希望 ),一方面是想解决下载的时候直接跳转迅雷的问题,另一方面还想解决外网的时候访问家里路由器修改设置的问题。这就来着了,NPM就可以帮你解决访问路由器的问题了。(目前调试通过的有小米AX3600、AX6000,华硕的RT-ACRH17,后面有成功的小伙伴欢迎留言啊)
以下内容是基于IPv6,小米路由器AX3600举例,rom版本是MiWiFi 稳定版 1.1.19。(公网IPv4的话应该还需要在路由器上增加一个端口转发)
在代理服务里面增加一条记录,需要注意的就是转发主机/IP这个位置写的是路由器的地址,小米路由器的默认访问端口是8080(我一开始查记录一直误认为是80,好在有大佬及时指出;其他路由器根据实际调整即可)
下图就是在外网状态下(手机热点连接)访问小米路由器的设置画面了,大家可以测试起来了。undefined
华硕路由器的设置可以参考如下:
更新最新固件没有解决(华硕RT-AX86U),依然登陆调整不到设置界面
后来看到群晖的相关案例,原来是这样的——“我们使用的是非标准80端口,访问unraid页面的时候有个自动重定向的动作,导致路径和端口丢失”
如图所示,需要修改一下;
- location / {
- proxy_pass [color=#336699]http://192.168.50.1:80/;[/color]
- proxy_set_header Host $http_host;
- proxy_redirect http:// https://;
- proxy_set_header X-Forwarded-Host $http_host;
- proxy_set_header X-Forwarded-Port $server_port;
- proxy_set_header X-Forwarded-Proto $scheme;
- proxy_set_header X-Forwarded-Scheme $scheme;
- proxy_set_header X-Real-IP $remote_addr;
- proxy_set_header X-Forwarded-For $remote_addr;
- proxy_set_header Upgrade $http_upgrade;
- proxy_set_header Connection $http_connection;
- proxy_http_version 1.1;
- }
5.利用NPM实现极空间的https访问。
本贴的主要目的就是抛砖引玉,果然又有大佬出手相助了,再次感谢大佬 @z112185040 的友情指导
小伙伴们都知道,极空间的访问是采用 http://我的域名:5055实现的,前面我和 @静雪 同学也一直在纠结,既然已经实现了大部分服务的https访问,但是极空间为什么不行呢?官方客服虽然提到未来会提供极空间本身的SSL支持,但总觉得是不是有别的办法。
6.NPM与Bitwarden密码管理工具的配合使用。
不少小伙伴用NGINX的初始动机,就是因为因为是密码管理工具Bitwarden,因为密码管理本身的高保密性要求,必须要基于https的访问才可以使用。
因为版本更新维护问题,这里我们选用的docker为vaultwarden/server
Docker配置比较简单,论坛有大佬都发了教程,这里就简要发个配置图:
回到我们的NPM,对登录管理端口做反向代理,并添加SSL证书
通过https对应的端口(如8443)登录,创建账户即可使用
配合浏览器插件使用更加方便。
7.利用反向代理访问heimdall显示不正常问题。
Nas可用的导航工具很多,heimdall、flare、onenav还有homarr等等,各有优点和不足。但如果说知名度的话,一般就绕不开heimdall了,只要看这华丽的stars就知道了。
关于heimdall的部署,后期我会更新在论坛。
设置完docker,我们再设置heimdall的反向代理参数,这个和其他的docker没有多大区别,如图:
设置完成后,我们测试https端口,我这里是8443
可以看到现在的显示是异常的,而且每个按钮也无法点开,此时需要来到你配置的 configwww 目录,找到隐藏文件 .env,用文本编辑器打开
如图所示,编辑APP_URL字段,改为https://你的二级域名:8443 (注意添加端口)
再次访问你设置的域名地址及https端口,就看到熟悉的界面了
8.利用反向代理访问部分docker无法正常登录问题(gotify为例)。
当我们对部分docker使用反向代理后,可能会发现页面访问正常,但是登录却一直报错的问题。我查了下资料,可能和部分参数未能正确传递给服务器有一点关系,需要再代理的高级设置中添加一部分参数。这里就以 gotify 这个docker为例做一个探讨,其他的类似问题可以参考解决。
1.先正常的完成反代及SSL设置。如图:
2.但是我们访问设置好的反代页面,登录时会发现系统报错,无法正常登录。
3.回到NPM,打开刚刚设置好的代理页面,切换至“高级”页面,粘贴如下参数,并修改第二行的参数(标红)为内网访问的地址和端口:
- location / {
- proxy_pass http://172.17.0.1:8083/;
- proxy_set_header Host $http_host;
- proxy_redirect http:// https://;
- proxy_set_header X-Forwarded-Host $http_host;
- proxy_set_header X-Forwarded-Port $server_port;
- proxy_set_header X-Forwarded-Proto $scheme;
- proxy_set_header X-Forwarded-Scheme $scheme;
- proxy_set_header X-Real-IP $remote_addr;
- proxy_set_header X-Forwarded-For $remote_addr;
- proxy_set_header Upgrade $http_upgrade;
- proxy_set_header Connection $http_connection;
- proxy_http_version 1.1;
- }
4.再次回到gotify,重新登录,发现已经正常工作了。
5.其他docker遇到类似的问题也可以参考这个方法来试试。欢迎大家测试过后来留言回帖。
目前该方法解决登录问题的docker有:1.gotify;2.calibre-web
拓展阅读
极空间nas从选片到下电影至播放电影仅需1分钟
解决极空间alist挂载阿里、夸克等网盘内容不更新问题
极空间docker部署javtube及Jellyfin插件
极空间通过docker实现阿里云ddns外网域名访问
极空间NginxProxyManager部署及应用教程
外网访问极空间和容器:使用DDNS-GO和IPv6
极空间安装aria2-pro:支持百度网盘、阿里网盘、BT、PT等
极空间打造私人“豆瓣”:自动化观影指南
极空间docker版qbittorrent不显示中文方法
极空间Nas-Opentwr软路由-旁路由
极空间挂载阿里云、115、百度、夸克等20个网盘下载观看 | 
中级发烧友
