.NetCore中IdentityServer使用nginx-proxy的一次排錯經歷

前言

最近在看 Duende.IdentityServer.Admin，本地使用IIS Express跑了一下源碼，也看了一遍的代碼，決定使用他們的模板創建一個Demo，部署在本地的Docker環境中，也算是踩一下坑吧。以下不會詳細介紹項目的部署，只會介紹部署時遇到的問題。

創建 Duende.IdentityServer.Admin

首選安裝模板 ，此時最新版本 1.1.0，具體可以參考官方

dotnet new -i Skoruba.Duende.IdentityServer.Admin.Templates::1.1.0

然後可以就可以使用VS去創建了，當然也可以使用命令行創建，具體在GitHub上已有說明，這裏不做詳細贅述。

Docker部署

創建完項目之後，使用IIS Express運行項目，幾乎沒有任何問題，接下來就是使用docker-compose去部署項目。
docker-compose.yml代碼如下：

version: '3.4'

services:
  sqldata:
    image: mcr.microsoft.com/mssql/server:2017-latest
    container_name: youthsoft-identityserver-db

  identity-sts:
    image: ${REGISTRY:-youthsoftdapr}/identity.sts:${TAG:-latest}
    build:
      context: .
      dockerfile: src/Services/Identity/YouthSoft.IdentityServer.STS.Identity/Dockerfile
    container_name: youthsoft-identity-sts

  identity-admin:
    image: ${REGISTRY:-youthsoftdapr}/identity.admin:${TAG:-latest}
    build:
      context: .
      dockerfile: src/Services/Identity/YouthSoft.IdentityServer.Admin/Dockerfile
    container_name: "youthsoft-identity-admin"

這裏沒有配置具體的信息，具體信息配置在了docker-compose.override.yml文件中，如下：

version: '3.4'

services:
  sqldata:
    environment:
      - SA_PASSWORD="${DB_PASSWORD:-Pass@word}"
      - ACCEPT_EULA="Y"
    ports:
      - "6433:1433"
    volumes:
      - youthsoft-sqldata:/var/opt/mssql

  identity-sts:
    environment:
      - ASPNETCORE_ENVIRONMENT=Development
      - AdminConfiguration__IdentityAdminBaseUrl=http://localhost:6101
      - ConnectionStrings__ConfigurationDbConnection=Server=sqldata;Database=YouthSoftIdentityServerAdmin;User Id=sa;Password=${DB_PASSWORD:-Pass@word};TrustServerCertificate=true
      - ConnectionStrings__PersistedGrantDbConnection=Server=sqldata;Database=YouthSoftIdentityServerAdmin;User Id=sa;Password=${DB_PASSWORD:-Pass@word};TrustServerCertificate=true
      - ConnectionStrings__IdentityDbConnection=Server=sqldata;Database=YouthSoftIdentityServerAdmin;User Id=sa;Password=${DB_PASSWORD:-Pass@word};TrustServerCertificate=true
      - ConnectionStrings__DataProtectionDbConnection=Server=sqldata;Database=YouthSoftIdentityServerAdmin;User Id=sa;Password=${DB_PASSWORD:-Pass@word};TrustServerCertificate=true
    ports:
      - "6101:6101"
    depends_on:
      - sqldata
    volumes:
      - './shared/serilog.json:/app/serilog.json'

  identity-admin:
    environment:
      - VIRTUAL_HOST=admin.youthsoft.local
      - ASPNETCORE_ENVIRONMENT=Development
      - 'AdminConfiguration__IdentityAdminBaseUrl=http://localhost:6102'
      - AdminConfiguration__IdentityAdminRedirectUri=http://localhost:6102/signin-oidc
      - AdminConfiguration__IdentityServerBaseUrl=http://localhost:6101
      - ConnectionStrings__ConfigurationDbConnection=Server=sqldata;Database=YouthSoftIdentityServerAdmin;User Id=sa;Password=${DB_PASSWORD:-Pass@word};TrustServerCertificate=true
      - ConnectionStrings__PersistedGrantDbConnection=Server=sqldata;Database=YouthSoftIdentityServerAdmin;User Id=sa;Password=${DB_PASSWORD:-Pass@word};TrustServerCertificate=true
      - ConnectionStrings__IdentityDbConnection=Server=sqldata;Database=YouthSoftIdentityServerAdmin;User Id=sa;Password=${DB_PASSWORD:-Pass@word};TrustServerCertificate=true
      - ConnectionStrings__AdminLogDbConnection=Server=sqldata;Database=YouthSoftIdentityServerAdmin;User Id=sa;Password=${DB_PASSWORD:-Pass@word};TrustServerCertificate=true
      - ConnectionStrings__AdminAuditLogDbConnection=Server=sqldata;Database=YouthSoftIdentityServerAdmin;User Id=sa;Password=${DB_PASSWORD:-Pass@word};TrustServerCertificate=true
      - ConnectionStrings__DataProtectionDbConnection=Server=sqldata;Database=YouthSoftIdentityServerAdmin;User Id=sa;Password=${DB_PASSWORD:-Pass@word};TrustServerCertificate=true
    depends_on:
      - identity-sts
      - sqldata

volumes:
  youthsoft-sqldata:
    external: false

networks:
  proxy:
    driver: bridge
  identityserverui:
    driver: bridge

遇到的問題

問題1：IDX20804

說明：
docker-compose 中 sts 設置的端口是 6101，訪問地址是 http://localhost:6101，admin設置的端口是6102，訪問地址是http://localhost:6102。
理想狀態下打開http://localhost:6101 會打開sts，點擊 IdentityServer Admin 按鈕時會跳轉到admin，也就是http://localhost:6102，但是每次當點擊跳轉的時候就會出現上邊的錯誤，起初不是很理解，最後在GitHub的issue得到了啓發。
第一次打開http://localhost:6101時會打開sts，此時正常跳轉。但是當點擊 IdentityServer Admin 時，此時的http://localhost:6102就不是宿主機的地址了，而是sts容器中的地址，容器中沒有6102端口所以就無法打開。

解決方法
仔細查看了Duende.IdentityServer.Admin中的配置，發現要使用docker的話，就不能使用localhost，而是要使用域名，那本地如何設置域名呢？答案就是在windows的host文件中配置，在host文件中添加 127.0.0.1 admin.youthsoft.local sts.youthsoft.local，這樣這兩個域名就會運行在本地，就可以實現localhost的功能。

同時還需要藉助nginx將不同的域名代理到不同的容器中，這裏使用了nginx-proxy，他可以根據docker-compose上的配置自動生成ngxin的配置，也就是docker容器的自動反向代理，詳細的使用可參考官方，使用起來也比較簡單，就是在環境變量中添加一個 VIRTUAL_HOST配置，並指向前邊配置的本地域名，然後nginx-proxy在創建容器的時候就會自動創建該容器的反向代理。

如下就是自動生成的反向代理：

修改docker-compose.override.yml

version: '3.4'

services:
  nginx-proxy:
    image: jwilder/nginx-proxy
    container_name: nginx002
    ports:
      - '80:80'
    volumes:
      - './shared/nginx/conf.d:/etc/nginx/conf.d'
      - '/var/run/docker.sock:/tmp/docker.sock:ro'
    networks:
      proxy: null
      identityserverui:
        aliases:
          - sts.youthsoft.local
          - admin.youthsoft.local
    restart: always
  sqldata:
    environment:
      - SA_PASSWORD="${DB_PASSWORD:-Pass@word}"
      - ACCEPT_EULA="Y"
    ports:
      - "6433:1433"
    volumes:
      - youthsoft-sqldata:/var/opt/mssql
    networks:
      identityserverui: null

  identity-sts:
    environment:
      - VIRTUAL_HOST=sts.youthsoft.local
      - ASPNETCORE_ENVIRONMENT=Development
      - AdminConfiguration__IdentityAdminBaseUrl=http://admin.youthsoft.local
      - 'IdentityServerOptions__IssuerUri=http://sts.youthsoft.local'
      - ConnectionStrings__ConfigurationDbConnection=Server=sqldata;Database=YouthSoftIdentityServerAdmin;User Id=sa;Password=${DB_PASSWORD:-Pass@word};TrustServerCertificate=true
      - ConnectionStrings__PersistedGrantDbConnection=Server=sqldata;Database=YouthSoftIdentityServerAdmin;User Id=sa;Password=${DB_PASSWORD:-Pass@word};TrustServerCertificate=true
      - ConnectionStrings__IdentityDbConnection=Server=sqldata;Database=YouthSoftIdentityServerAdmin;User Id=sa;Password=${DB_PASSWORD:-Pass@word};TrustServerCertificate=true
      - ConnectionStrings__DataProtectionDbConnection=Server=sqldata;Database=YouthSoftIdentityServerAdmin;User Id=sa;Password=${DB_PASSWORD:-Pass@word};TrustServerCertificate=true
    depends_on:
      - sqldata
    volumes:
      - './shared/serilog.json:/app/serilog.json'
      - './shared/nginx/certs/cacerts.crt:/usr/local/share/ca-certificates/cacerts.crt'
    networks:
      identityserverui:
        aliases:
          - sts.youthsoft.local

  identity-admin:
    environment:
      - VIRTUAL_HOST=admin.youthsoft.local
      - ASPNETCORE_ENVIRONMENT=Development
      - 'AdminConfiguration__IdentityAdminBaseUrl=http://admin.youthsoft.local'
      - AdminConfiguration__IdentityAdminRedirectUri=http://admin.youthsoft.local/signin-oidc
      - AdminConfiguration__IdentityServerBaseUrl=http://sts.youthsoft.local
      - 'IdentityServerData__Clients__0__ClientUri=http://admin.youthsoft.local'
      - 'IdentityServerData__Clients__0__RedirectUris__0=http://admin.youthsoft.local/signin-oidc'
      - 'IdentityServerData__Clients__0__FrontChannelLogoutUri=http://admin.youthsoft.local/signin-oidc'
      - 'IdentityServerData__Clients__0__PostLogoutRedirectUris__0=http://admin.youthsoft.local/signout-callback-oidc'
      - 'IdentityServerData__Clients__0__AllowedCorsOrigins__0=http://admin.youthsoft.local'
      - 'IdentityServerData__Clients__1__RedirectUris__0=http://admin-api.youthsoft.local/swagger/oauth2-redirect.html'
      - ConnectionStrings__ConfigurationDbConnection=Server=sqldata;Database=YouthSoftIdentityServerAdmin;User Id=sa;Password=${DB_PASSWORD:-Pass@word};TrustServerCertificate=true
      - ConnectionStrings__PersistedGrantDbConnection=Server=sqldata;Database=YouthSoftIdentityServerAdmin;User Id=sa;Password=${DB_PASSWORD:-Pass@word};TrustServerCertificate=true
      - ConnectionStrings__IdentityDbConnection=Server=sqldata;Database=YouthSoftIdentityServerAdmin;User Id=sa;Password=${DB_PASSWORD:-Pass@word};TrustServerCertificate=true
      - ConnectionStrings__AdminLogDbConnection=Server=sqldata;Database=YouthSoftIdentityServerAdmin;User Id=sa;Password=${DB_PASSWORD:-Pass@word};TrustServerCertificate=true
      - ConnectionStrings__AdminAuditLogDbConnection=Server=sqldata;Database=YouthSoftIdentityServerAdmin;User Id=sa;Password=${DB_PASSWORD:-Pass@word};TrustServerCertificate=true
      - ConnectionStrings__DataProtectionDbConnection=Server=sqldata;Database=YouthSoftIdentityServerAdmin;User Id=sa;Password=${DB_PASSWORD:-Pass@word};TrustServerCertificate=true
    depends_on:
      - identity-sts
      - sqldata
    networks:
      identityserverui: null

volumes:
  youthsoft-sqldata:
    external: false

networks:
  proxy:
    driver: bridge
  identityserverui:
    driver: bridge

注意：本次修改的配置文件中，修改了數據庫初始化文件(identityserverdata.json)中種子數據中的地址。這就要先把之前遷移生成的數據庫先刪掉，或者把數據庫中的地址改成和配置文件中的地址一樣，建議還是先刪掉再重新執行一次遷移。

問題2：找不到任何可成功連接的IP (sts.youthsoft.local:80)

大部分人可能都不會遇到這個問題，但是這個問題困擾了我好久，錯誤也捕捉不到，原因就是我的80端口被佔用了，CMD執行 netstat -aon|findstr "80"命令，發現除了docker佔用了80端口，還有其它程序也佔用了80端口，一看原來是我開着FastGithub.UI這個程序，這個程序主要就是加速GitHub的訪問，平時訪問github時不能出來的圖片，在打開它後也可以出來，經常逛GitHub的朋友可以用一下。如果有類似的問題，可以排查一下80端口是否被佔用。

解決方法：
關閉掉程序就可以打開了。

問題3：跳轉 IdentityServer Admin 時，nginx報502錯誤

上邊一切就緒，但是在跳轉到IdentityServer Admin時，出現了nginx 502錯誤，在查看了nginx容器的日誌後，找到了問題。

upstream sent too big header while reading response header from upstream

解決方法
解決方法就是在nginx配置的http段添加以下配置

proxy_buffer_size          128k;
proxy_buffers              4 256k;
proxy_busy_buffers_size    256k;

但是nginx的配置是自動生成的啊，怎麼辦？
我們可以把 nginx的 conf.d 文件夾掛載到本地，並在文件夾中創建一個 .conf 結尾的文件，比如：proxy.conf，內容就存放上邊的配置即可。
因爲在 nginx.conf 的http段有一個配置，默認會包含 conf.d 文件夾下的所有配置文件。include /etc/nginx/conf.d/*.conf;

重新運行docker-compose 發現就可以

寫在最後

排錯是痛苦的，但是也是成長最快的方法，因爲在經歷一番折騰後得出的知識印象也最深刻。

如果您覺得這篇文章有幫助到你，歡迎推薦，也歡迎關注我的公衆號。