使用阿里云容器服务部署基于SSL的Websocket应用

问题

直到我写这篇文章时（2017年11月），阿里云的负载均衡（下面简称：SLB）还不支持websocket。但是，如果我有一个使用websocket的应用想部署到阿里云，可以吗，怎么办？

方案

答案是可以的，使用SLB的TCP侦听，再在容器服务中使用阿里云的自定义路由镜像（下面简称：acs/proxy）来实现https/ws/wss等协议。下面使用一个简单的例子来举例说明。

第一步：建立一个例子应用

我们使用dockerhub上的socket-io-examples来做实验。我们先在本地做个实验如下：

1. 先运行以下命令：

docker run -d -p 8888:8888 ronliu/tornado-websocket-example # 下载并运行container
docker ps # 应该看到tornado-websocket-example已经在运行了

2. 打开第一个网页localhost:8888；
3. 再打开第二个网页http://localhost:8888/api?id=1&value=100，它将修改server上id=1的值；
4. 切换到第一个网页，在不刷新的前提下，你应该看到id=1的值已经变成了100。

下面我们就来部署这个应用到阿里云，同时实现https和wss（websocke的SSL加密协议）。

第二步：配置域名和SSL证书

在下面的例子中，假设我们要配置的域名是ws.mydomain.io

1. 获取SSL证书，可访问sslfree^[1]，按照网站指引获得并下载证书；

2. 下载证书后，里面有3个文件，分别是：ca_bundle.crt、private.key、和certificate.crt；
3. 使用以下命令生成一个acs/proxy可以识别的SSL证书字符串：

# 在private.key、certificate.crt、和ca_bundle.crt文件最后加一个回车
cat private.key certificate.crt ca_bundle.crt > cert.pem # 生成包含`acs/proxy`可识别的证书字符串文件
awk 1 ORS='\\n' cert.pem # 在屏幕中打印出转义过的证书字符串，可以直接拷贝粘贴到后续的`docker compose`文件中去

第三步：配置阿里云容器服务

容器结构图

1. 建立一个阿里云集群
2. 在和集群生成的SLB中，设置2个TCP侦听端口，分别是：
   • 前端端口80，后端端口80
   • 前端端口443，后端端口443
3. 使用以下docker compose文件建立一个应用：

version: '2'
services:
  lb:
    image: 'registry.aliyuncs.com/acs/proxy:0.5'
    ports:
      - '80:80'      # 第一个80是指容器映射到节点暴露的端口（需和SLB侦听中配置的后端端口一致），后一个是容器暴露的端口
      - '443:443'    # 同上
    restart: always
    labels:
      aliyun.custom_addon: 'proxy'
      aliyun.global: 'true'
      aliyun.lb.port_80: 'tcp://apollo:80' # 第一个80是指ACS/Proxy容器暴露的端口，后一个SLB侦听中的配置的前端端口
      aliyun.lb.port_443: 'tcp://apollo:443' # 同上
  apollo:
    expose:
      - '8888/tcp' # 告诉 acs/proxy 暴露的端口
    image: 'ronliu/tornado-websocket-example'
    labels:

      # 强制https，如果用户访问http，会返回301，然后转到https
      aliyun.proxy.FORCE_SSL: 'true'

      # 告诉acs/proxy需要关联的域名和协议，也同时向acs/proxy注册该Virtual Host
      aliyun.proxy.VIRTUAL_HOST:  'http://ws.mydomain.io,https://ws.mydomain.io,wss://ws.mydomain.io'

      # 使用已经生成的证书字符串
      aliyun.proxy.SSL_CERT: '-----BEGIN PRIVATE KEY-----\n-----END PRIVATE KEY-----\n-----BEGIN CERTIFICATE----------END CERTIFICATE-----\n' 

4. 测试https配置

• 首先看网页访问http://ws.mydomain.io是否有绿标
• 在用以下命令测试

    openssl s_client -servername ws.mydomain.io -showcerts -connect {SLB IP地址}:443

5. 进入域名管理，添加A记录，把ws.mydomain.io指向SLB的地址。
6. 访问http://ws.mydomain.io
   会自动转到https://ws.mydomain.io，并和第一步中在本地机器上表现的功能一样。

参考资料

阿里云官方参考资料：自定义路由和负载均衡策略镜像acs/proxy 参考文档

---

1. sslfree是一个基于lets encrypt的免费提供SSL证书的网站，也可以通过其他网站来获取SSL证书 ↩