Отказать в доступе к подсистеме в докеризированном прокси nginx

На чтение 3 мин Опубликовано 01.10.2024

Содержание

Вопрос или проблема
Ответ или решение
Шаги по настройке:
Пример файла конфигурации:
Заключение:

Вопрос или проблема

У меня есть несколько веб-приложений в контейнерах Docker, к которым получаем доступ через прокси-сервер nginx в контейнере.

Эти приложения находятся по следующим адресам:

Все работает как ожидается, однако мне нужно заблокировать доступ к определенным подкаталогам некоторых приложений.

Например, я хотел бы заблокировать доступ к конкретному адресу, как этот:

https://apps.local/app1/feature1

Согласно документации nginx, я должен иметь возможность загрузить конкретную конфигурацию хоста в папку vhost.d. Поэтому я создал том, указывающий на папку vhost.d.

./vhost.d:/etc/nginx/vhost.d:ro

Внутри этой папки у меня есть конфигурационный файл с именем виртуального хоста (apps.local.conf). Содержимое файла выглядит следующим образом:

location = /app1/feature1 {
  deny all;
}

Однако это, похоже, ничего не делает. Что я делаю не так?

Ответ или решение

Для того чтобы заблокировать доступ к определённым подкаталогам в вашем приложении, которое обслуживается с помощью dockerized Nginx Proxy, необходимо правильно настроить конфигурацию Nginx. Вы на верном пути, создавая файл конфигурации в директории vhost.d, но есть несколько деталей, которые нужно учесть.

Шаги по настройке:

Проверьте структуру вашего проекта:
Убедитесь, что ваш том ./vhost.d:/etc/nginx/vhost.d:ro действительно правильно монтируется в контейнер Nginx. Вы можете это сделать, запустив команду внутри контейнера:
```
ls /etc/nginx/vhost.d/
```
Убедитесь, что ваш файл конфигурации apps.local.conf присутствует.
Корректное написание файла конфигурации:
В вашем файле apps.local.conf вы используете следующую конфигурацию:
```
location = /app1/feature1 {
   deny all;
}
```
Попробуйте изменить его на:
```
location /app1/feature1 {
   deny all;
}
```
Изменив location = на location, вы указываете Nginx, что нужно блокировать доступ к этому URL-адресу и всем связанным с ним запросам.
Перезапуск Nginx:
После внесения изменений в конфигурацию Nginx и сохранения файла убедитесь, что конфигурация правильная, выполнив:
```
nginx -t
```
Если всё в порядке, вам нужно перезапустить контейнер Nginx, чтобы изменения вступили в силу.
Проверьте порядок загрузки конфигураций:
Убедитесь, что в вашем Dockerfile или в настройках Compose нет других конфигурационных файлов, которые могут переопределять ваше правило. Например, если у вас есть более общие файлы конфигурации, содержащие директивы location, они могут предотвращать работу вашего блока.
Логи Nginx:
Если изменение не сработало, обязательно проверьте логи Nginx для диагностики проблем. Логи могут содержать полезную информацию о том, что не так с вашей конфигурацией.

Пример файла конфигурации:

Вот как может выглядеть окончательный файл конфигурации apps.local.conf:

server {
    listen 80;
    server_name apps.local;

    location /app1/feature1 {
        deny all;
    }

    # Другие настройки и локации
}

Заключение:

Следуя этим шагам, вы сможете успешно заблокировать доступ к конкретной поддиректории в вашем приложении, работающем под управлением Nginx в Docker. Убедитесь, что вы проверяете корректность всех конфигураций, чтобы избежать конфликтов. После внесения всех нужных изменений всегда рекомендуется тестировать конфигурацию и обновления.