Andere Webseiten auf derselben Maschine wie Discourse ausführen

@pfaffman hat dies am 2022.02.24 stark bearbeitet. Gebt mir die Schuld, wenn es kaputt ist.

Wenn Sie andere Websites auf demselben Rechner wie Discourse ausführen möchten, müssen Sie einen zusätzlichen NGINX- oder HAProxy-Proxy vor dem Docker-Container einrichten.

HINWEIS: Dies ist für fortgeschrittene Administratoren

Diese Anleitung setzt voraus, dass Discourse bereits funktioniert – wenn dies nicht der Fall ist, kann es schwierig sein festzustellen, ob die Konfiguration funktioniert oder nicht.

Sie können ./discourse-setup nicht verwenden, um Discourse einzurichten, wenn ein anderer Server Port 80 oder 443 verwendet. Sie müssen samples/standalone.yml kopieren und mit Ihrem bevorzugten Texteditor bearbeiten.

Nginx außerhalb des Containers installieren

Stellen Sie zunächst sicher, dass der Container nicht läuft:

cd /var/discourse
./launcher stop app

Installieren Sie dann nginx und certbot:

sudo apt-get update && sudo apt-get install nginx certbot python3-certbot-nginx

Die Container-Definition ändern

Hier ändern wir, wie Discourse tatsächlich eingerichtet wird. Wir möchten nicht, dass der Container auf Ports lauscht – stattdessen weisen wir ihn an, auf einer speziellen Datei zu lauschen.

Sie müssen /var/discourse/containers/app.yml bearbeiten, um SSL zu deaktivieren und die Vorlage zum Erstellen des Nginx-Sockets hinzuzufügen. Es sollte wie folgt aussehen:

# Basisvorlagen verwendet; kann gekürzt werden, um weniger Funktionalität pro Container-Vorlage einzuschließen:
  - "templates/postgres.template.yml"
  - "templates/redis.template.yml"
  - "templates/web.template.yml"
  - "templates/web.ratelimited.template.yml"
  # - "templates/web.ssl.template.yml" # entfernen – https wird vom äußeren nginx behandelt
  # - "templates/web.letsencrypt.ssl.template.yml" # entfernen – https wird vom äußeren nginx behandelt
  - "templates/web.socketed.template.yml"  # <-- Hinzugefügt

Stellen Sie sicher, dass Sie die freigegebenen Ports entfernen oder auskommentieren, indem Sie eine # vor jede Zeile setzen.

# welche Ports freigeben?
# expose: gesamten Abschnitt durch eine # vor jede Zeile auskommentieren
# - "80:80"   # http
# - "443:443" # https

Jetzt können Sie

/var/discourse/launcher rebuild app

ausführen, um Discourse neu zu erstellen und seine Daten für den Socket verfügbar zu machen.

Wenn Sie einen anderen Reverse-Proxy verwenden, der keinen Web-Socket verwenden kann, können Sie stattdessen einen anderen Port im obigen Abschnitt freigeben, z. B. - 8080:80.

Eine NGINX ‘site’ für den äußeren nginx erstellen

Erstellen Sie eine Site-Datei für Discourse:

cd /etc/nginx/sites-available
cp default discourse.example.com
cd ../sites-enabled
ln -s ../sites-available/discourse.example.com

Bearbeiten Sie dann diese Datei, indem Sie diese Zeilen auskommentieren:

        #listen 80 default_server;
        #listen [::]:80 default_server;

und die server_name- und location-Anweisungen wie folgt bearbeiten:

    server_name discourse.example.com;  # <-- Dies ändern

location / {
                proxy_pass http://unix:/var/discourse/shared/standalone/nginx.http.sock:;
                proxy_set_header Host $http_host;
                proxy_http_version 1.1;
                proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
                proxy_set_header X-Forwarded-Proto $scheme;
                proxy_set_header X-Real-IP $remote_addr;

}

Wenn Sie eine Zwei-Container-Installation verwenden, lautet die Socket-Zeile:

                proxy_pass http://unix:/var/discourse/shared/web-only/nginx.http.sock:;

Führen Sie dann in einer Shell Folgendes aus:

certbot --nginx

und folgen Sie den Anweisungen. Wenn Sie die Eingabeaufforderungen nicht verstehen, sollten Sie dies wahrscheinlich nicht tun, können aber die certbot-Dokumentation zur Hilfe konsultieren.

@pfaffman meint, dass certbot dies für Sie erledigt, aber wenn Sie Änderungen an der Nginx-Konfiguration vornehmen, müssen Sie

sudo service nginx reload

ausführen.

Ihre anderen Sites erstellen

Sie sind mit dem Discourse-Teil fertig!

Erstellen Sie andere NGINX-“Sites” und verknüpfen und aktivieren Sie sie dann, wie im letzten Schritt oben gezeigt.

Tipps

• sudo netstat -tulpn : Dies zeigt Ihnen, welche Ports verwendet werden
• /var/log/nginx/error.log : Ist der Speicherort des Nginx-Logs auf Ubuntu. Dies teilt Ihnen mit, was der Fehler ist, wenn Sie einen 502 Bad Gateway-Fehler erhalten.

The guide in the first post is great and, on the whole, still works just fine

There are three things worth noting:

1. I initially missed some of the app.yml changes. There are 3 things you need to change in your app.yml. If you miss any of these things it won’t work:

   1. Comment out all ssl templates in the templates. If you are using letsencrypt you will have two:

      # - "templates/web.ssl.template.yml"
      # - "templates/web.letsencrypt.ssl.template.yml"
      

   2. Add a socket template:

      - "templates/web.socketed.template.yml" 
      

   3. Comment out all exposed ports:

      # - "80:80"   # http
      # - "443:443" # https
      

2. As others mentioned, I had to change the ssl cert and key names in the discourse.conf:

   ssl_certificate      /var/discourse/shared/standalone/ssl/discourse.angusmcleod.com.au.cer;
   ssl_certificate_key  /var/discourse/shared/standalone/ssl/discourse.angusmcleod.com.au.key;
   

3. Turns out my site didn’t have a dhparams.pem key (dh stands for Diffie Hellman, there’s some good explanations of what this is here). You can generate this yourself:

   openssl dhparam -out /var/discourse/shared/standalone/ssl/dhparams.pem 2048
   

Some other things you may find useful:

• sudo netstat -tulpn: This will tell you what ports are being used

• /var/log/nginx/error.log: Is the location of the nginx log on ubuntu. This will tell you what the error is when you get a 502 Bad Gateway error.

• You may finish a ./launcher rebuild app, excitedly go to your domain to see if it worked and be greeted with a depressing 502 Bad Gateway error. Before giving up in frustration, try restarting nginx one more time:

  sudo service nginx restart

  This clinched it for me.

Now my sandbox is using nginx outside the container (although I haven’t added the extra website yet).

Hi,

I am just doing a fresh install of Discourse.
I am very surprised that :

• The setup script does not simply allow to setup on a different port, disabling SSL support, and then it’s up to us to do reverse proxy as we want (Apache, Nging) : It seems such a common setup, it would save hundreds of hours of life to humanity
• I am even more surprised that the setup redirects us to an outdated forum topic, in which we need to dig for the proper information, instead of a proper documentation page, kept up to date.

Thanks guys anyway for your work, but I think there is room for improvement here.
Cheers

Just wanted to share how I accomplished this, it was a little easier than I first thought.

From an already running machine, with Caddy acting as a reverse proxy for a number of existing Docker containers already.

1. Clone discourse as per the official instructions
2. Copy /var/discourse/samples/standalone.yml -> /var/discourse/containers/app.yml
3. Fill in SMTP settings and website address
4. Comment out 443:443 from the expose: section
5. Replace 80:80 -> 3001:80, 3001 being the port I’m serving via Caddy
6. Run ./launcher rebuild app
7. Done

Whop!

@TheBestPessimist I swapped the order of the HTTP/HTTPS sections, it works better than adding a “don’t do this!” notice

I would recommend just doing double NGINX, it is far more complex to set it up direct and has virtually no performance cost. Getting it right would be very hard cause we serve some files direct and have a layer of caching that is tricky to configure.

Note, customizing NGINX is easy with mixin templates have a look at the various example templates here: discourse_docker/templates at master · discourse/discourse_docker · GitHub

PSA: If you want to allow uploads larger than 1MB to your site, you’ll also have to set client_max_body_size 100M in any nginx config that sits in front of your site.

For reference, here’s the full nginx config I use:

server {
    if ($host = discourse.mysite.org) {
        return 301 https://$host$request_uri;
    } # managed by Certbot


    if ($host = backupname.mysite.org) {
        return 301 https://$host$request_uri;
    } # managed by Certbot

    listen 80; listen [::]:80;
    server_name discourse.mysite.org;
    server_name backupname.mysite.org;

    location / {
        proxy_pass http://unix:/var/discourse/shared/mysite/nginx.http.sock:;
        proxy_set_header Host $http_host;
        proxy_http_version 1.1;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;
        proxy_set_header X-Real-IP $remote_addr;
    }
}

# nginx 1.14.1 | intermediate profile | OpenSSL 1.1.0f | link

server {
    listen 443 ssl http2;  listen [::]:443 ssl http2;
    server_name discourse.mysite.org;
    server_name backupname.mysite.org;

    # from discourse examples
    http2_idle_timeout 5m; # up from 3m default
    client_max_body_size 50M; # allow 50M uploads

    location / {
        proxy_pass http://unix:/var/discourse/shared/mysite/nginx.http.sock:;
        proxy_set_header Host $http_host;
        proxy_http_version 1.1;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto https;
        proxy_set_header X-Real-IP $remote_addr;
    }
    ssl_certificate /etc/letsencrypt/live/backupname.mysite.org/fullchain.pem; # managed by Certbot
    ssl_certificate_key /etc/letsencrypt/live/backupname.mysite.org/privkey.pem; # managed by Certbot

    ###### https://mozilla.github.io/server-side-tls/ssl-config-generator/ ####

    ssl_session_timeout 1d;
    ssl_session_cache shared:SSL:50m;
    ssl_session_tickets off;

    # modern configuration. tweak to your needs.
    ssl_protocols TLSv1.2;
    ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256';
    ssl_prefer_server_ciphers on;

    # HSTS (ngx_http_headers_module is required) (15768000 seconds = 6 months)
    add_header Strict-Transport-Security max-age=15768000;

    # OCSP Stapling ---
    # fetch OCSP records from URL in ssl_certificate and cache them
    ssl_stapling on;
    ssl_stapling_verify on;

    ## verify chain of trust of OCSP response using Root CA and Intermediate certs
    ssl_trusted_certificate /etc/letsencrypt/live/backupname.mysite.org/chain.pem;

    resolver 1.1.1.1;

}

16 posts were split to a new topic: Using Nginx Proxy Manager to manage multiple sites with Discourse

angus’s instructions still work; I have a question, though: will LetsEncrypt still work automatically with this after 3 months when it’s time to renew the certificates? (I assume/hope the answer is yes since the host nginx reads them directly from /var/discourse/shared/standalone?)

@Godmar_Back I ran into this problem right now, and my certificate was NOT renewed.

@angus - since we use the letsencrypt certs created by discourse, but commented out the relevant parts in app.yml, I guess the update script is no longer being started. Did you find a solution for that?

I tried entering the app and

 "/shared/letsencrypt"/acme.sh --cron --home "/shared/letsencrypt" --force

which kind of showed me at least a problem.

my.site.com:Verify error:Fetching https://my.seite.com/.well-known/acme-challenge/XXXXXXXedited-out-XXXXXXXXXXXXXXXXXXXX: Error getting validation data
[Mi 25. Aug 10:41:37 UTC 2021] Please check log file for more details: /shared/letsencrypt/acme.sh.log

Acme.sh.log pretty much repeats the error message. But it also tells me that all config files are empty.

On the otherhand acme.sh updated itself, so I assume it has not been started in the background for a while, probably since I changed to the outer nginx.

You’ll need to handle those outside the container. Follow whatever guide is for let’s encrypt and nginx.

As it’s past the period you can edit it yourself, you could flag it. You can flag a post, including your own, by clicking the ellipsis followed by the flag icon at the bottom of the post.

In this case you would choose to flag it as “Something Else” and explain that your email reply included the content from the previous post.

https://meta.discourse.org/t/upload-problem-with-https-or-http2-and-s3/202799/3

I’ve just got my new install of discourse on my new server, and after restoring the backup, now I get an issue with SSL.

It says that “parts of this page are not secure, such as images” and after a quick google search I seen that it means the images and fonts etc are not being served over https. However everything appears that it is.

I just copied the NGINX config, and it wasn’t there before I restored the backup.

Any ideas?

You could check your force_https is enabled in your admin settings. There have been a few issues with that recently.

Wenn ich Discourse Docker auf einem Server hätte, dieser aber Port 980 und 9443 (Reserve-Proxy) verwendete, könnte ich dann ./discourse-setup verwenden, um ein weiteres Discourse einzurichten? (Einen weiteren Ordner von Discourse herunterladen)
Es scheint auf diese Weise einfacher zu sein, oder?

Warum würden Sie das tun, anstatt Multi-Site auszuführen?

Sie können appy.yml erstellen, aber Sie können discourse-setup nicht verwenden. Kopieren Sie das andere und bearbeiten Sie es.

Es ist irgendwie komplizierter und erfordert, dass alle Sites dieselbe E-Mail und dieselben Plugins verwenden. Für die meisten Leute ist es einfacher, einfach einen anderen Server zu betreiben, denke ich.

Ja, genau
Und der einzelne wird vom Discourse-Team mehr unterstützt

Könnten Sie erklären, wie das geht?

1. Ich hatte app.yml
   Könnte ich den anderen Discourse-Ordner und app02.yml kopieren?

2. Könnte ich ./discourse-setup ausführen, wenn ich den discourse02-Ordner und app02.yml kopiert habe?
   Wie könnte ich es hier konfigurieren?
   Ich möchte sicher sein, dass sich zwei Container nicht gegenseitig beeinträchtigen.

3. Mein aktueller Container heißt “app”.
   Könnte ich seinen Namen ändern, indem ich app.yml umbenenne?