无法登录nginx代理后面的minio
问题描述 投票:0回答:2
我无法登录 nginx 代理后面的 minio 控制台。两者都是通过 docker compose 作为 docker 容器启动的。我可以通过访问 localhost:9001 在没有代理的情况下登录 minio,但在代理后面则无法登录。尽管我使用与没有代理相同的登录名,但我收到响应 401 无效登录。 Nginx 配置主要取自 minio 文档。谁能看看原因或知道我可以检查什么才能登录吗?
docker compose 的一部分:
nginx:
image: nginx:alpine
restart: unless-stopped
ports:
- ${FORWARD_NGINX_HTTP_PORT:-80}:80
- ${FORWARD_NGINX_HTTPS_PORT:-443}:443
volumes:
- ./nginx/conf.d:/etc/nginx/conf.d
- ./nginx/ssl:/etc/nginx/ssl
networks:
- default
minio:
image: minio/minio
command: minio server /data/minio --console-address ":9001"
restart: unless-stopped
healthcheck:
test: [ "CMD", "mc", "ready", "local" ]
interval: 30s
timeout: 5s
retries: 3
expose:
- 9000
- 9001
environment:
MINIO_ROOT_USER: ${MINIO_ROOT_USER:-minio}
MINIO_ROOT_PASSWORD: ${MINIO_ROOT_PASSWORD:-password}
MINIO_SERVER_URL: https://s3.localhost
MINIO_BROWSER_REDIRECT_URL: https://s3.localhost/minio/ui
ports:
- ${FORWARD_MINIO_API_PORT:-9000}:9000
- ${FORWARD_MINIO_CONSOLE_PORT:-9001}:9001
volumes:
- minio-data:/data
networks:
- default
部分nginx配置:
server {
listen 443 ssl;
listen [::]:443 ssl;
server_name s3.localhost;
ssl_certificate /etc/nginx/ssl/localhost.crt;
ssl_certificate_key /etc/nginx/ssl/localhost.key;
ignore_invalid_headers off;
client_max_body_size 0;
proxy_buffering off;
proxy_request_buffering off;
location / {
proxy_set_header Host $http_host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_connect_timeout 300;
proxy_http_version 1.1;
proxy_set_header Connection "";
chunked_transfer_encoding off;
proxy_pass http://minio:9000;
}
location /minio/ui {
rewrite ^/minio/ui/(.*) /$1 break;
proxy_set_header Host $http_host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header X-NginX-Proxy true;
real_ip_header X-Real-IP;
proxy_connect_timeout 300;
proxy_http_version 1.1;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection "upgrade";
proxy_set_header Origin '';
chunked_transfer_encoding off;
proxy_pass http://minio:9001;
}
}
使用 mkcert 生成的证书。
2个回答
2
投票
投票
这是一个工作配置。 Minio 控制台位于 https://127.0.0.1/。
├── docker-compose.yml
└── nginx
├── nginx.conf
└── ssl
├── localhost.crt
└── localhost.key
🗎
docker-compose.ymlversion: '3.7'
services:
minio:
image: minio/minio
command: server --console-address ":9001" /data
restart: unless-stopped
hostname: minio
volumes:
- data:/data
healthcheck:
test: [ "CMD", "mc", "ready", "local" ]
interval: 30s
timeout: 5s
retries: 3
environment:
MINIO_ROOT_USER: minio
MINIO_ROOT_PASSWORD: password
nginx:
image: nginx:alpine
hostname: nginx
volumes:
- ./nginx/nginx.conf:/etc/nginx/nginx.conf:ro
- ./nginx/ssl:/etc/nginx/ssl
ports:
- "443:443"
restart: unless-stopped
depends_on:
- minio
volumes:
data:
🗎
nginx/nginx.confuser nginx;
worker_processes auto;
events {
}
http {
include /etc/nginx/mime.types;
default_type application/octet-stream;
sendfile on;
keepalive_timeout 65;
upstream console {
server minio:9001;
}
server {
listen 443 ssl;
listen [::]:443 ssl;
server_name s3.localhost;
ssl_certificate /etc/nginx/ssl/localhost.crt;
ssl_certificate_key /etc/nginx/ssl/localhost.key;
ignore_invalid_headers off;
client_max_body_size 0;
proxy_buffering off;
proxy_request_buffering off;
location / {
proxy_set_header Host $http_host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header X-NginX-Proxy true;
real_ip_header X-Real-IP;
proxy_connect_timeout 300;
proxy_http_version 1.1;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection "upgrade";
chunked_transfer_encoding off;
proxy_pass http://console;
}
}
}
0
投票
投票
问题原因
问题与您用于 nginx 服务 HTTPS 流量的 SSL 证书(似乎是自签名)有关。
ssl_certificate /etc/nginx/ssl/localhost.crt;
ssl_certificate_key /etc/nginx/ssl/localhost.key;
Minio Console 将连接到 Minio Server 的存储以访问其管理数据(例如登录时的用户数据)。将
MINIO_SERVER_URLhttps://s3.localhost401 invalid login解决方案
方案一:使用内部地址访问Minio服务器
这就是这个答案所做的,但它修改了你的nginx配置,这是没有必要的。
由于控制台和服务器并置在同一个容器中,如果未显式设置
MINIO_SERVER_URL您还可以从容器的启动日志中看到该地址,例如 以下行(控制台将使用第一个地址来联系 服务器):
API: http://192.168.106.5:9000 http://127.0.0.1:9000另请注意,
仅由控制台使用,设置它或 不会影响我们访问存储服务。MINIO_SERVER_URL
解决方案2:让控制台信任您自己的证书
不建议这样做,除非您确实想确保连接安全 在控制台和服务器之间。
因为,我不知道是否有任何 CLI 选项或环境变量让
minio将
或localhost.crt
(如果您使用自己的 CA 签署root-ca.crt
)添加到托管 docker 的本地系统。localhost.crtsudo apt install ca-certificates # or yum, dnf,... depends on your OS. sudo cp localhost.crt /usr/local/share/ca-certificates/ sudo update-ca-certificates # for Debian-based OS sudo update-ca-trust force-enable && sudo update-ca-trust extract # for RHEL-based OS如果不重建镜像,直接绑定挂载 本地系统到容器的
在您的撰写文件中。/etc/ssl/certs/ca-certificates.crtservices: minio: image: minio/minio volumes: - minio-data:/data - /etc/ssl/certs/ca-certificates.crt:/etc/ssl/certs/ca-certificates.crt同(3),如果mount单个文件不够,再mount多个 目录。
替代(2),扩展官方图片:
# custom.Dockerfile FROM minio/minio COPY /etc/ssl/certs/ca-certificates.crt /etc/ssl/certs/这是从官方图片得知的。如果不够,复制全部
、/etc/ssl/certs/
和 的目录/usr/share/ca-certificates
到图像。/usr/local/share/ca-certificatesdocker build -f custom.Dockerfile -t minio:${TAG:-latest}
注:
镜像基于RedHat的minio/minio, 不包括包管理器。所以,我们无法安装ubi9:micro包裹。这就是为什么我们需要从以下位置复制 CA 证书文件: 主机系统。ca-certificates
最新问题
- Flutter:tflite_flutter 在 iPhone 上以调试模式运行,但不能以发布模式运行
- 函数调用时的Python列表乘法[重复]
- 如何在JavaScript中格式化/整理/美化
- GCC/G++ 链接问题。有点菜鸟问题
- 在 python 中将项目添加到列表列表时出现意外输出[重复]
- 为什么对两个相同的列表进行操作会得到不同的结果? [重复]
- 在 PHP 中提交数字时显示值
- 如何从 Google 查找我正在使用的哪些 API 可能会受到即将到来的 OAuth 同意变更的影响?
- Python什么时候知道初始化是一个副本,以便一个地方的更改自动更改另一个地方? [重复]
- 根据 pandas 数据框中的条件选择两列之间的值
- 在Python中构建二维数组[重复]
- 如何在Python中的列表中创建子列表? [重复]
- ref(firebase.database(),dbPath)<->firebase.database().ref(dbPath)
- 使用 npm run script 将数据种子到 api 中
- 使用 npm run script 将数据种子到 mysql
- 多维Python数组[重复]
- Python 将列表中的字符串链接在一起[重复]
- Python - 列表的列表[重复]
- 为什么python中dict中的值改变了total? [重复]
- python初始化一个字典列表可能只是复制引用[重复]
© www.soinside.com 2019 - 2024. All rights reserved.