Ошибка HTTP/HTTPS в среде Proxy/Docker/LXC

Question

Я занимаюсь настройкой нового сайта WordPress и столкнулся с некоторыми проблемами в моей конфигурации, особенно касательно внутреннего трафика loopback и REST API. Сам сайт работает без видимых проблем — я не вижу никаких проблем с кешированием или предупреждений XSS. Сгенерированные ссылки также правильно включают https:// в URI.

Моя инфраструктура:

Один из моих серверов работает на Proxmox, среде виртуализации на основе QEMU. В этой конфигурации у меня есть несколько контейнеров LXC, один из которых является NGINX Proxy Manager. Этот контейнер — единственный в моей конфигурации с публичным IP-адресом; все остальные контейнеры общаются внутри сети 192.168.0.0/16. Cloudflare расположен перед NGINX Proxy Manager.

WordPress работает внутри Docker-контейнера, управляемого сервером Docker. Следующий файл docker-compose.yml используется для запуска WordPress:

services:
  db:
    image: mariadb
    command: '--default-authentication-plugin=mysql_native_password'
    volumes:
      - ./data/mariadb:/var/lib/mysql
    restart: always
    environment:
      - MYSQL_ROOT_PASSWORD={password}
      - MYSQL_DATABASE=wordpress
      - MYSQL_USER=wordpress
      - MYSQL_PASSWORD={password}
    expose:
      - 3306
  web:
    image: wordpress
    depends_on:
      - db
    ports:
      - 80:80
    restart: always
    environment:
      - WORDPRESS_DB_HOST=db
      - WORDPRESS_DB_USER=wordpress
      - WORDPRESS_DB_PASSWORD={password}
      - WORDPRESS_DB_NAME=wordpress
      - WORDPRESS_DEBUG=0
      - WORDPRESS_CONFIG_EXTRA=define('WP_CONTENT_DIR', '/var/www/html/wp-content'); define('WP_CONTENT_URL', 'https://static.example.com'); define('COOKIE_DOMAIN', 'www.example.com'); define('SITECOOKIEPATH', '.'); define('WP_HOME', 'http://www.example.com'); define('WP_SITEURL', 'http://www.example.com');
    volumes:
      - ./data/wordpress:/var/www/html
      - ./data/wordpress-static:/var/www/html/wp-content
      - ./config/apache2/sites-enabled:/etc/apache2/sites-enabled
      - ./config/apache2/conf-enabled/server-name.conf:/etc/apache2/conf-enabled/server-name.conf
      - ./config/php/custom.ini:/usr/local/etc/php/conf.d/config.ini
      - ./log/apache2:/var/log/apache2
    extra_hosts:
      - www.example.com:127.0.0.1

Apache2 работает внутри Docker-контейнера по HTTP, так как SSL-сертификат обрабатывается Cloudflare и применяется на моем NGINX Proxy Manager.

Проблема:

Проблема, с которой я столкнулся, заключается в том, что WordPress пытается выполнить loopback-запросы через HTTPS, что приводит к ошибке:

The loopback request to your site failed, this means features relying on them are not currently working as expected.
Error: cURL error 7: Failed to connect to www.example.com port 443 after 0 ms: Couldn't connect to server (http_request_failed)

Проверка состояния сайта — рекомендованные улучшения:

Страница Состояние сайта WordPress показывает следующие проблемы:

1. Адрес WordPress и адрес сайта не используют HTTPS

Вы заходите на этот сайт используя HTTPS, но ваш адрес WordPress и адрес сайта не настроены для использования HTTPS по умолчанию.
Обратитесь к вашему веб-хосту по поводу поддержки HTTPS для вашего сайта.
Узнайте больше о том, почему вы должны использовать HTTPS.

2. Кэш страницы не обнаружен

Не удается обнаружить кэш страницы из-за возможной проблемы с loopback-запросом. Пожалуйста, проверьте, проходит ли тест loopback-запроса успешно.
Ошибка: cURL error 7: Failed to connect to www.example.com port 443 after 0 ms: Couldn't connect to server (Code: http_request_failed)

Кеширование страниц улучшает скорость и производительность вашего сайта, храня и предоставляя статические страницы вместо динамического генерирования страницы для каждого посетителя.

WordPress проверяет наличие кэша страницы, выполняя несколько запросов на главную страницу и ищет один или несколько из следующих заголовков HTTP-ответа о кешировании:
cache-control, expires, age, last-modified, etag, x-cache-enabled, x-cache-disabled, x-srcache-store-status, x-srcache-fetch-status.

Также я заметил проблему с запланированными задачами (WP-Cron):

Запланированное событие wp_privacy_delete_old_export_files не удалось выполнить. Ваш сайт все еще работает, но это может означать, что запланированные сообщения или автоматические обновления могут не работать должным образом.

Это указывает на то, что фоновые задачи WordPress (WP-Cron), запланированные сообщения и автоматические обновления могут не функционировать правильно из-за сбоя loopback-запроса.

Предварительно настроенный wp-config.php для настройки обратного прокси:

Тем не менее, Docker-образ WordPress уже включает предварительно настроенный wp-config.php, предполагая настройку обратного прокси. Прокси также правильно добавляет необходимые заголовки:

// Если мы находимся за прокси-сервером и используем HTTPS, нужно уведомить об этом WordPress
// также см. https://wordpress.org/support/article/administration-over-ssl/#using-a-reverse-proxy
if (isset($_SERVER['HTTP_X_FORWARDED_PROTO']) && strpos($_SERVER['HTTP_X_FORWARDED_PROTO'], 'https') !== false) {
        $_SERVER['HTTPS'] = 'on';
}
// (мы включаем это по умолчанию, поскольку обратное проксирование чрезвычайно распространено в контейнерных средах)

Конфигурация NGINX:

real_ip_header CF-Connecting-IP;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Host $server_name;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_redirect off;

Диаграмма потока сети:

            +---------------------------+
            |     Посетитель (Браузер)   |
            +------------+--------------+
                         |
                         v
       +--------------------------------+
       |       CDN Cloudflare (SSL)     |
       +-----------------+--------------+
                         |
                         v
      +--------------------------------------+
      |  my.real.server.ip:443 (NGINX PM)    |
      |       Обратный прокси (SSL)          |
      +------------------+-------------------+
                         |
                         v
      +-----------------------------------------+
      |  http://192.168.1.1:80 (WordPress LXC)  |
      |  Внутренняя сеть (контейнер LXC)        |
      +------------------+----------------------+
                         |
                         v
      +--------------------------------------+
      |  http://172.18.0.3:80 (Docker WP)    |
      |  Apache2 внутри контейнера Docker   |
      +--------------------------------------+

Попытки исправления:

Я пытался настроить $WP_HOME и $WP_SITEURL как с https://, так и с http://, и даже полностью убрать их из файла docker-compose.yml. Я также добавил extra_host в файл docker-compose.yml. Однако ни одна из этих попыток не решила проблему.

Конфигурация Apache VirtualHost:

Конфигурация базовая, с минимальными изменениями, кроме измененного формата журнала:

<VirtualHost *:80>
        ServerName www.example.com

        ServerAdmin [email protected]
        DocumentRoot /var/www/html

        LogFormat "%v:%p %a %{c}a %l %u %t \"%r\" %>s %O \"%{Referer}i\" \"%{User-Agent}i\"" proxy_combined
        LogFormat "%v %{CF_CONNECTING_IP}i (via cloudflare:%h) %l %u %t \"%r\" %>s %b" cloudflare
        ErrorLog ${APACHE_LOG_DIR}/error.log
        CustomLog ${APACHE_LOG_DIR}/access.log cloudflare
</VirtualHost>

Кроме этого, домен правильно установлен в файле server-name.conf Apache:

ServerName www.example.com

Есть идеи?

Я был бы признателен за любые предложения или инсайты по решению этой проблемы с loopback-запросами, особенно учитывая, что это затрагивает конфигурацию HTTPS, обнаружение кеширования страниц и запланированные задачи.

Спасибо за вашу поддержку!