默认情况下,Jenkins自带内置的Winstone网络服务器,可以通过8080端口进行监听,方便入门。但是,只要您认真使用Jenkins,就应该使用SSL保护它,以保护通过网页界面传输的密码和其他敏感数据。
在本教程中,我们将演示如何将Nginx配置为反向代理,以将客户端请求定向到Jenkins。开始之前,您需要完成以下准备工作。
配置了使用sudo命令的非root用户的Ubuntu 16.04服务器,没有服务器的用户可以购买和使用腾讯云服务器或者直接在腾讯云实验室Ubuntu服务器上机实验,搭建Jenkins环境详见腾讯云社区相关教程,如果使用CentOS系统,参考腾讯云实验室Jenkins环境搭建教程。
打开/etc/nginx/sites-available/default
文件添加我们的反向代理设置。
$ sudo nano /etc/nginx/sites-available/default
首先,我们在使用SSL配置设置的server块中添加特定访问和错误日志:
/etc/nginx/sites-available/default
. . .
server {
# SSL Configuration
#
# listen 443 ssl default_server;
# listen [::]:443 ssl default_server;
access_log /var/log/nginx/jenkins.access.log;
error_log /var/log/nginx/jenkins.error.log;
然后,我们将配置代理设置。由于我们正在向Jenkins发送所有请求,因此我们将注释掉默认try_files
行,正如所写的那样,在请求到达Jenkins之前将返回404错误。
/etc/nginx/sites-available/default
. . .
location / {
# First attempt to serve request as file, then
# as directory, then fall back to displaying a 404.
# try_files $uri $uri/ =404; }
. . .
然后,我们将添加实际的代理设置。配置首先包括提供的Nginxproxy_params
,它确保我们的日志文件中可以使用主机名、客户端请求协议和客户端IP地址等信息。接下来,proxy_pass
设置代理服务器的协议和地址,在我们的例子中是在端口8080上的本地主机上访问的Jenkins服务器。然后,我们将proxy_read_timeout
从Nginx默认的60秒增加到项目建议的90秒。最后我们添加proxy_redirect
以确保正确地重写响应以包含正确的主机名。
请务必在以下proxy_redirect行中替换您的SSL加密域名:
/etc/nginx/sites-available/default
Location /
. . .
location / {
# First attempt to serve request as file, then
# as directory, then fall back to displaying a 404.
# try_files $uri $uri/ =404;
include /etc/nginx/proxy_params;
proxy_pass http://localhost:8080;
proxy_read_timeout 90s;
# Fix potential "It appears that your reverse proxy set up is broken" error.
proxy_redirect http://localhost:8080 https://your.ssl.domain.name;
完成这些更改后,保存并退出文件。Jenkins配置完成后,再重新启动Nginx,但我们现在将测试我们的配置:
$ sudo nginx -t
如果一切顺利,命令将返回:
nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
nginx: configuration file /etc/nginx/nginx.conf test is successful
如果没有,请修复测试通过前报告的所有错误。
注意:如果您把
proxy_pass
配置错误(例如,通过添加尾部斜杠),您将在Jenkins配置页面中获得类似这样的内容:配置错误如果您看到此错误,请仔细检查Nginx配置中的设置
proxy_pass
和proxy_redirect
设置。
为了使Jenkins能够使用Nginx,我们需要更新Jenkins配置,以便Jenkins服务器只在localhost
接口而不是所有接口(0.0.0.0
)上进行侦听。如果Jenkins监听所有接口,那么它可能在其原始的未加密端口(8080)上可访问。
修改/etc/default/jenkins
配置文件以进行这些调整。
$ sudo nano /etc/default/jenkins
找到JENKINS_ARGS
行并添加--httpListenAddress=127.0.0.1
到现有参数:
/etc/default/jenkins
. . .
JENKINS_ARGS="--webroot=/var/cache/$NAME/war --httpPort=$HTTP_PORT --httpListenAddress=127.0.0.1"
保存并退出该文件,要使用新的配置设置,我们要重新启动Jenkins和Nginx。
$ sudo systemctl restart jenkins
由于systemctl
不显示输出,我们要检查状态:
$ sudo systemctl status jenkins
我们应该看到Active行中的active (exited)状态:
● jenkins.service - LSB: Start Jenkins at boot time
Loaded: loaded (/etc/init.d/jenkins; bad; vendor preset: enabled)
Active: active (exited) since Tue 2017-04-25 22:37:29 UTC; 5s ago
Docs: man:systemd-sysv-generator(8)
Process: 11360 ExecStop=/etc/init.d/jenkins stop (code=exited, status=0/SUCCESS)
Process: 11391 ExecStart=/etc/init.d/jenkins start (code=exited, status=0/SUCCESS)
在Nginx重复这些步骤:
$ sudo systemctl restart nginx
$ sudo systemctl status nginx
● nginx.service - A high performance web server and a reverse proxy server
Loaded: loaded (/lib/systemd/system/nginx.service; enabled; vendor preset: enabled)
Active: active (running) since Tue 2017-04-25 22:36:08 UTC; 2min 51s ago
Process: 11339 ExecStop=/sbin/start-stop-daemon --quiet --stop --retry QUIT/5 --pidfile /run/nginx.pid (code=
Process: 11349 ExecStart=/usr/sbin/nginx -g daemon on; master_process on; (code=exited, status=0/SUCCESS)
Process: 11345 ExecStartPre=/usr/sbin/nginx -t -q -g daemon on; master_process on; (code=exited, status=0/SUC
Main PID: 11353 (nginx)
现在我们已经重新启动了两台服务器,我们应该可以使用HTTP或HTTPS访问域。HTTP请求将自动重定向到HTTPS,Jenkins站点是安全的。
我们将在启用加密后重置管理密码来测试配置。我们首先通过http访问该网站,以验证我们是否达到了Jenkins,并按照我们的预期重定向到https:
在您的浏览器中,输入“http:// your.ssl.domain.name”,用您的域名替换your.ssl.domain.name
。按Enter键后,URL应以https开头,位置栏应指示连接是安全的。
在“用户”字段输入admin
以及Jenkins在安装时创建和存储的自动生成的密码。
$ sudo cat /var/lib/jenkins/secrets/initialAdminPassword
如果您已重置管理员用户的密码,请输入该密码。无论哪种方式,我们登录之后都要更改密码以确保其安全。
点击右上角的“admin”,然后从下拉菜单中选择“配置”。输入并确认新密码,然后单击“保存”。您现在可以安全地使用Jenkins网络界面了。
在本教程中,在完成准备工作后,我们把Nginx配置为Jenkins内置网络服务器的反向代理,以确保通过Web界面传输的凭据和其他信息。
参考文献:《How to Configure Jenkins with SSL using an Nginx Reverse Proxy》
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。