api-platform.com - Caddy は API プラットフォームで HTTP を許可します

Question

私はこの質問が何度も聞かれていることを知っています:

1. Caddy - 1 つのドメインに対してのみ https を無効にする方法
2. caddy ssl を無効にして、Gitlab CI を介した Cloud Run へのデプロイを有効にします
3. Caddy - ローカル ドメインでの HTTPS の設定
4. Docker から実行しているときに TLS を無効にするにはどうすればよいですか?
5. Caddy で http と https の両方を提供する方法は?

しかし、ここに私の問題があります。

設定

ドキュメントに従って、新しい Api Platform プロジェクトを作成しました。

開始するための最も簡単で強力な方法は、API プラットフォーム ディストリビューションをダウンロードすることです。

リリース2.5.6をダウンロードしました。

• ドッカー構成
• Dockerfile _
• キャディファイル
• および他の多くのファイル。

docker-compose

pwa サービスと PostgreSQL を削除して、docker 構成ファイルを少し変更します。

version: "3.4"

services:
  php:
    build:
      context: ./api
      target: api_platform_php
    restart: unless-stopped
    env_file:
      - api/.env
    volumes:
      - php_socket:/var/run/php
    healthcheck:
      interval: 10s
      timeout: 3s
      retries: 3
      start_period: 30s

  caddy:
    build:
      context: api/
      target: api_platform_caddy
    env_file:
      - api/.env
    depends_on:
      - php
    environment:
      MERCURE_PUBLISHER_JWT_KEY: ${MERCURE_PUBLISHER_JWT_KEY:-!ChangeMe!}
      MERCURE_SUBSCRIBER_JWT_KEY: ${MERCURE_SUBSCRIBER_JWT_KEY:-!ChangeMe!}
    restart: unless-stopped
    volumes:
      - php_socket:/var/run/php
      - caddy_data:/data
      - caddy_config:/config
    ports:
      # HTTP
      - target: 80
        published: 80
        protocol: tcp
      # HTTPS
      - target: 443
        published: 443
        protocol: tcp
      # HTTP/3
      - target: 443
        published: 443
        protocol: udp

volumes:
  php_socket:
  caddy_data:
  caddy_config:

Dockerfile

変更なし

キャディファイル

行をコメントすることによるわずかな変更reverse_proxy @pwa http://{$PWA_UPSTREAM}

{
    # Debug
    {$DEBUG}
    # HTTP/3 support
    servers {
        protocol {
            experimental_http3
        }
    }
}

{$SERVER_NAME}

log

# Matches requests for HTML documents, for static files and for Next.js files,
# except for known API paths and paths with extensions handled by API Platform
@pwa expression `(
        {header.Accept}.matches("\\btext/html\\b")
        && !{path}.matches("(?i)(?:^/docs|^/graphql|^/bundles/|^/_profiler|^/_wdt|\\.(?:json|html$|csv$|ya?ml$|xml$))")
    )
    || {path} == "/favicon.ico"
    || {path} == "/manifest.json"
    || {path} == "/robots.txt"
    || {path}.startsWith("/_next")
    || {path}.startsWith("/sitemap")`

route {
    root * /srv/api/public
    mercure {
        # Transport to use (default to Bolt)
        transport_url {$MERCURE_TRANSPORT_URL:bolt:///data/mercure.db}
        # Publisher JWT key
        publisher_jwt {env.MERCURE_PUBLISHER_JWT_KEY} {env.MERCURE_PUBLISHER_JWT_ALG}
        # Subscriber JWT key
        subscriber_jwt {env.MERCURE_SUBSCRIBER_JWT_KEY} {env.MERCURE_SUBSCRIBER_JWT_ALG}
        # Allow anonymous subscribers (double-check that it's what you want)
        anonymous
        # Enable the subscription API (double-check that it's what you want)
        subscriptions
        # Extra directives
        {$MERCURE_EXTRA_DIRECTIVES}
    }
    vulcain
    push

    # Add links to the API docs and to the Mercure Hub if not set explicitly (e.g. the PWA)
    header ?Link `</docs.jsonld>; rel="http://www.w3.org/ns/hydra/core#apiDocumentation", </.well-known/mercure>; rel="mercure"`
    # Disable Google FLOC tracking if not enabled explicitly: https://plausible.io/blog/google-floc
    header ?Permissions-Policy "interest-cohort=()"

    # Comment the following line if you don't want Next.js to catch requests for HTML documents.
    # In this case, they will be handled by the PHP app.
    # reverse_proxy @pwa http://{$PWA_UPSTREAM}

    php_fastcgi unix//var/run/php/php-fpm.sock
    encode zstd gzip
    file_server
}

結果

ウェブサイトにアクセスできますが、キャディがトラフィックを自動的にリダイレクトするため、ウェブサイトhttps://localhostなしではアクセスできませんhttps httphttps

問題1

解決策を試してみると、うまくいきauto_httpsません。

ここで私が試したこと：

• またはを追加するauto_https disable_redirectsauto_https off

{
    auto_https off
    # Debug
    {$DEBUG}
    # HTTP/3 support
    servers {
        protocol {
            experimental_http3
        }
    }
    //...
}

にアクセスしようとするとhttp://localhost:80、リダイレクトされhttps://localhost、取得しましたThis site can’t provide a secure connection

問題 2

私が解決策を試すとき：

構成でホスト名または IP アドレスを指定しない

{$SERVER_NAME}キャディファイルから削除します

にアクセスしようとするとhttp://localhost:80、リダイレクトされhttps://localhost、取得しましたThis site can’t provide a secure connection

問題 3

私が解決策を試すとき：

HTTP ポートで排他的にリッスンする

services:
  # ...
  caddy:
    build:
      context: api/
      target: api_platform_caddy
    #...
    ports:
      # HTTP
      - target: 80
        published: 80
        protocol: tcp
      # HTTPS
      #- target: 443
      #  published: 443
      #  protocol: tcp
      # HTTP/3
      #- target: 443
      #  published: 443
      #  protocol: udp

にアクセスしようとするとhttp://localhost:80、リダイレクトされhttps://localhost、取得しましたThis site can’t be reached

質問

httpキャディ サーバーで許可するにはどうすればよいですか?

Answer 1

ここで解決策を見つけました：

https://github.com/caddyserver/caddy/issues/3219#issuecomment-608236439

キャディファイル

{
    http_port 8080
    # Debug
    {$DEBUG}
    # HTTP/3 support
    servers {
        protocol {
            experimental_http3
        }
    }
    //...
}

docker-compose

services:
  caddy:
    # ...
    ports:
      # HTTP
      - target: 80
        published: 80
        protocol: tcp
      - target: 8080
        published: 8080
        protocol: tcp
      # HTTPS
      - target: 443
        published: 443
        protocol: tcp
      # HTTP/3
      - target: 443
        published: 443
        protocol: udp