https

4 weeks ago · 7e98cddf91
6 changed files with 465 additions and 0 deletions
--- a/modify.md
+++ b/modify.md
@ -1,3 +1,55 @@
 ## 2025-11-21 - HTTPS 部署配置：创建 Docker Compose HTTPS 部署结构
 ### 修改内容
 - **创建目录结构**：
  - 创建 `nginx/` 目录用于存放 Nginx 配置文件
  - 创建 `ssl/` 目录用于存放 SSL 证书文件
  - 在 `ssl/` 目录添加 `.gitignore` 防止证书文件被提交到版本控制
 - **Nginx 配置**：
  - 新增 `nginx/nginx.conf` - Nginx 反向代理配置文件
    - 配置 HTTP 到 HTTPS 自动重定向
    - 配置 SSL/TLS 安全设置（TLSv1.2, TLSv1.3）
    - 配置安全响应头（HSTS, X-Frame-Options 等）
    - 配置反向代理到 marketing-site 服务
    - 配置静态文件缓存优化
 - **Docker Compose 配置**：
  - **保留原有 HTTP 配置**：`docker-compose.yml` 恢复为原始 HTTP 配置
    - marketing-site 服务直接映射端口 3000:3000
    - 适用于开发环境或不需要 HTTPS 的场景
  - **新增 HTTPS 配置**：`docker-compose.https.yml` - 独立的 HTTPS 配置文件
    - marketing-site 服务改为仅暴露内部端口（不直接映射到主机）
    - 新增 nginx 服务，监听 80 和 443 端口
    - 配置 SSL 证书挂载（`./ssl:/etc/nginx/ssl:ro`）
    - 配置 Nginx 配置文件挂载
    - 添加 Docker 网络配置，服务间通过内部网络通信
    - 容器名称改为 `marketing-site-https` 避免与 HTTP 模式冲突
 - **文档和说明**：
  - 新增 `ssl/README.md` - SSL 证书获取和配置说明
    - 说明如何获取 Let's Encrypt 证书
    - 说明如何生成自签名证书（测试用）
    - 说明如何配置商业证书
  - 新增 `HTTPS_DEPLOY.md` - HTTPS 部署完整指南
    - 目录结构说明
    - HTTP 和 HTTPS 模式对比
    - 快速开始步骤（使用 `-f docker-compose.https.yml` 参数）
    - 服务说明
    - 常用命令（区分 HTTP 和 HTTPS 模式）
    - 配置说明
    - 故障排查
 ### 修改的文件
 - `site/docker-compose.yml` - 恢复为原始 HTTP 配置（直接访问 3000 端口）
 - `site/docker-compose.https.yml` - 新增 HTTPS 配置文件（通过 Nginx 反向代理）（新建）
 - `site/nginx/nginx.conf` - Nginx 反向代理和 SSL 配置（新建）
 - `site/ssl/README.md` - SSL 证书配置说明（新建）
 - `site/ssl/.gitignore` - 防止证书文件被提交（新建）
 - `site/HTTPS_DEPLOY.md` - HTTPS 部署指南（新建，已更新说明两种模式）
 变更原因：用户需要在 site 目录创建文件目录结构，采用 docker compose 进行 HTTPS 部署。同时保留原有的 HTTP 配置，创建独立的 HTTPS 配置文件。
 ## 2025-01-XX - 首页轮播优化：添加 Home_1.jpg 并优化文字内容
 ### 修改内容
--- a/site/HTTPS_DEPLOY.md
+++ b/site/HTTPS_DEPLOY.md
@ -0,0 +1,231 @@
 # HTTPS 部署指南
 本文档说明如何使用 Docker Compose 进行 HTTPS 部署。
 ## 目录结构
 ```
 site/
 ├── docker-compose.yml         # Docker Compose HTTP 配置文件（直接访问 3000 端口）
 ├── docker-compose.https.yml   # Docker Compose HTTPS 配置文件（通过 Nginx 反向代理）
 ├── nginx/
 │   └── nginx.conf             # Nginx 反向代理配置
 ├── ssl/
 │   ├── cert.pem               # SSL 证书文件（需要自行添加）
 │   ├── key.pem                # SSL 私钥文件（需要自行添加）
 │   └── README.md              # SSL 证书说明
 └── Dockerfile                 # 应用镜像构建文件
 ```
 ## 配置文件说明
 - **docker-compose.yml** - HTTP 配置（默认）
  - 直接暴露 3000 端口
  - 适用于开发环境或不需要 HTTPS 的场景
 - **docker-compose.https.yml** - HTTPS 配置
  - 使用 Nginx 反向代理
  - 支持 HTTP 自动重定向到 HTTPS
  - 适用于生产环境
 ## 前置要求
 1. Docker 和 Docker Compose 已安装
 2. SSL 证书文件已准备好（见 `ssl/README.md`）
 ## 快速开始
 ### 1. 准备 SSL 证书
 将 SSL 证书文件放置到 `ssl/` 目录：
 ```bash
 # 证书文件
 ssl/cert.pem
 # 私钥文件
 ssl/key.pem
 ```
 详细说明请参考 `ssl/README.md`。
 ### 2. 启动服务
 使用 HTTPS 配置文件启动：
 ```bash
 cd site
 docker-compose -f docker-compose.https.yml up -d
 ```
 **注意**：使用 `-f` 参数指定 HTTPS 配置文件。如果不指定，默认使用 `docker-compose.yml`（HTTP 模式）。
 ### 3. 访问服务
 - HTTP: http://localhost (自动重定向到 HTTPS)
 - HTTPS: https://localhost
 ## 服务说明
 ### marketing-site
 - 应用服务，运行在容器内部端口 3000
 - 不直接暴露端口，通过 nginx 反向代理访问
 ### nginx
 - 反向代理服务
 - 监听端口 80 (HTTP) 和 443 (HTTPS)
 - 自动将 HTTP 请求重定向到 HTTPS
 - 提供 SSL/TLS 终止
 ## 常用命令
 ### 启动服务
 ```bash
 # HTTPS 模式
 docker-compose -f docker-compose.https.yml up -d
 # HTTP 模式（默认）
 docker-compose up -d
 ```
 ### 停止服务
 ```bash
 # HTTPS 模式
 docker-compose -f docker-compose.https.yml down
 # HTTP 模式
 docker-compose down
 ```
 ### 查看日志
 ```bash
 # HTTPS 模式 - 查看所有服务日志
 docker-compose -f docker-compose.https.yml logs -f
 # HTTPS 模式 - 查看特定服务日志
 docker-compose -f docker-compose.https.yml logs -f nginx
 docker-compose -f docker-compose.https.yml logs -f marketing-site
 # HTTP 模式
 docker-compose logs -f
 ```
 ### 重启服务
 ```bash
 # HTTPS 模式
 docker-compose -f docker-compose.https.yml restart
 # HTTP 模式
 docker-compose restart
 ```
 ### 重新构建应用
 ```bash
 # HTTPS 模式
 docker-compose -f docker-compose.https.yml build marketing-site
 docker-compose -f docker-compose.https.yml up -d
 # HTTP 模式
 docker-compose build marketing-site
 docker-compose up -d
 ```
 ## 配置说明
 ### 修改端口
 如需修改 HTTPS 端口，编辑 `docker-compose.https.yml`：
 ```yaml
 nginx:
  ports:
    - "80:80"
    - "8443:443"  # 修改为 8443
 ```
 ### 修改域名
 编辑 `nginx/nginx.conf`，将 `server_name _;` 替换为您的域名：
 ```nginx
 server_name your-domain.com www.your-domain.com;
 ```
 ### 更新 SSL 证书
 1. 将新证书文件放置到 `ssl/` 目录
 2. 重启 nginx 服务：
 ```bash
 # HTTPS 模式
 docker-compose -f docker-compose.https.yml restart nginx
 # HTTP 模式不需要此操作
 ```
 ## 故障排查
 ### 检查容器状态
 ```bash
 # HTTPS 模式
 docker-compose -f docker-compose.https.yml ps
 # HTTP 模式
 docker-compose ps
 ```
 ### 检查 SSL 证书
 ```bash
 # 验证证书文件是否存在
 ls -la ssl/
 # 验证证书内容
 openssl x509 -in ssl/cert.pem -text -noout
 ```
 ### 检查 Nginx 配置
 ```bash
 # 进入 nginx 容器
 docker exec -it nginx-https sh
 # 测试配置
 nginx -t
 ```
 ### 查看错误日志
 ```bash
 # HTTPS 模式
 docker-compose -f docker-compose.https.yml logs nginx
 # HTTP 模式（无 nginx 服务）
 docker-compose logs marketing-site
 ```
 ## 安全建议
 1. ✅ 使用有效的 SSL 证书（生产环境）
 2. ✅ 定期更新 SSL 证书
 3. ✅ 使用强密码保护私钥文件
 4. ✅ 不要将私钥文件提交到版本控制系统
 5. ✅ 定期更新 Docker 镜像和依赖
 ## HTTP vs HTTPS 模式对比
 | 特性 | HTTP 模式 | HTTPS 模式 |
 |------|-----------|------------|
 | 配置文件 | `docker-compose.yml` | `docker-compose.https.yml` |
 | 访问端口 | 3000 | 80 (HTTP), 443 (HTTPS) |
 | 访问地址 | http://localhost:3000 | http://localhost, https://localhost |
 | 反向代理 | 无 | Nginx |
 | SSL 证书 | 不需要 | 需要 |
 | 适用场景 | 开发环境 | 生产环境 |
 ## 注意事项
 - 首次启动 HTTPS 模式前必须准备好 SSL 证书文件
 - 如果证书文件不存在，nginx 容器将无法启动
 - 自签名证书仅用于开发测试，生产环境请使用有效证书
 - 确保防火墙允许 80 和 443 端口访问（HTTPS 模式）
 - HTTP 模式和 HTTPS 模式可以同时运行，但需要确保端口不冲突
--- a/site/docker-compose.https.yml
+++ b/site/docker-compose.https.yml
@ -0,0 +1,35 @@
 version: '3.8'
 services:
  marketing-site:
    build:
      context: .
      dockerfile: Dockerfile
    expose:
      - "3000"
    environment:
      - NODE_ENV=production
    restart: unless-stopped
    container_name: marketing-site-https
    networks:
      - app-network
  nginx:
    image: nginx:alpine
    container_name: nginx-https
    ports:
      - "80:80"
      - "443:443"
    volumes:
      - ./nginx/nginx.conf:/etc/nginx/nginx.conf:ro
      - ./ssl:/etc/nginx/ssl:ro
    depends_on:
      - marketing-site
    restart: unless-stopped
    networks:
      - app-network
 networks:
  app-network:
    driver: bridge
--- a/site/nginx/nginx.conf
+++ b/site/nginx/nginx.conf
@ -0,0 +1,76 @@
 events {
    worker_connections 1024;
 }
 http {
    # 上游服务器配置
    upstream marketing-site {
        server marketing-site:3000;
    }
    # HTTP 重定向到 HTTPS
    server {
        listen 80;
        server_name _;
        # 允许 Let's Encrypt 验证
        location /.well-known/acme-challenge/ {
            root /var/www/certbot;
        }
        # 其他所有请求重定向到 HTTPS
        location / {
            return 301 https://$host$request_uri;
        }
    }
    # HTTPS 服务器配置
    server {
        listen 443 ssl http2;
        server_name _;
        # SSL 证书配置
        ssl_certificate /etc/nginx/ssl/cert.pem;
        ssl_certificate_key /etc/nginx/ssl/key.pem;
        # SSL 安全配置
        ssl_protocols TLSv1.2 TLSv1.3;
        ssl_ciphers HIGH:!aNULL:!MD5;
        ssl_prefer_server_ciphers on;
        ssl_session_cache shared:SSL:10m;
        ssl_session_timeout 10m;
        # 安全头
        add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
        add_header X-Frame-Options "SAMEORIGIN" always;
        add_header X-Content-Type-Options "nosniff" always;
        add_header X-XSS-Protection "1; mode=block" always;
        # 代理配置
        location / {
            proxy_pass http://marketing-site;
            proxy_http_version 1.1;
            proxy_set_header Upgrade $http_upgrade;
            proxy_set_header Connection 'upgrade';
            proxy_set_header Host $host;
            proxy_set_header X-Real-IP $remote_addr;
            proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
            proxy_set_header X-Forwarded-Proto $scheme;
            proxy_cache_bypass $http_upgrade;
            # 超时设置
            proxy_connect_timeout 60s;
            proxy_send_timeout 60s;
            proxy_read_timeout 60s;
        }
        # 静态文件缓存
        location ~* \.(jpg|jpeg|png|gif|ico|css|js|svg|woff|woff2|ttf|eot)$ {
            proxy_pass http://marketing-site;
            proxy_cache_valid 200 30d;
            expires 30d;
            add_header Cache-Control "public, immutable";
        }
    }
 }
--- a/site/ssl/.gitignore
+++ b/site/ssl/.gitignore
@ -0,0 +1,9 @@
 *.pem
 *.key
 *.crt
 *.cert
 *.p12
 *.pfx
 !README.md
 !.gitignore
--- a/site/ssl/README.md
+++ b/site/ssl/README.md
@ -0,0 +1,62 @@
 # SSL 证书目录
 此目录用于存放 SSL 证书文件。
 ## 文件要求
 请将以下文件放置在此目录中：
 - `cert.pem` - SSL 证书文件（或 `fullchain.pem`）
 - `key.pem` - SSL 私钥文件
 ## 获取 SSL 证书
 ### 方式 1: 使用 Let's Encrypt (免费)
 1. 安装 certbot:
 ```bash
 # Ubuntu/Debian
 sudo apt-get update
 sudo apt-get install certbot
 # 或使用 Docker
 docker run -it --rm -v $(pwd)/ssl:/etc/letsencrypt certbot/certbot certonly --standalone
 ```
 2. 获取证书后，将证书文件复制到此目录：
 ```bash
 # Let's Encrypt 证书通常在 /etc/letsencrypt/live/your-domain.com/
 cp /etc/letsencrypt/live/your-domain.com/fullchain.pem ./ssl/cert.pem
 cp /etc/letsencrypt/live/your-domain.com/privkey.pem ./ssl/key.pem
 ```
 ### 方式 2: 使用自签名证书 (仅用于测试)
 ```bash
 # 生成自签名证书（仅用于开发测试）
 openssl req -x509 -nodes -days 365 -newkey rsa:2048 \
  -keyout ssl/key.pem \
  -out ssl/cert.pem \
  -subj "/C=CN/ST=State/L=City/O=Organization/CN=localhost"
 ```
 ### 方式 3: 使用商业证书
 将您购买的 SSL 证书文件重命名为：
 - 证书文件 → `cert.pem`
 - 私钥文件 → `key.pem`
 ## 文件权限
 确保私钥文件权限正确（仅所有者可读）：
 ```bash
 chmod 600 ssl/key.pem
 chmod 644 ssl/cert.pem
 ```
 ## 注意事项
 - ⚠️ **不要将私钥文件提交到版本控制系统**
 - 生产环境请使用有效的 SSL 证书
 - 自签名证书会导致浏览器显示安全警告