今天碰到一个 docker 私有仓库的一个坑,本来私有仓库的搭建没有使用 https,然后需要在使用的 docker 的 daemon.json 配置文件的 insecure-registries 配置中添加地址,但似乎这个配置只是一个白名单,是在声明可以从这个地址获取仓库,但并不是优先会从这个地址获取,仍然会优先读取 https 地址的内容,如果 https 有响应内容,无论正确与否,都会优先使用 https 地址。
但在 nginx 配置中,如果没有配置任何一个 443 的 https 服务的话,默认服务器是不响应 443 接口的,但是如果一旦配置了一个 443 服务,那么所有的 443 接口都会默认使用这个配置(源于 nginx 的服务搜索策略),所以一旦在私有仓库的 nginx 上配置了其它 443 服务,就需要屏蔽一下仓库域名下 443 接口返回的内容。
解决方案:配置 nginx 的 default_server,默认不进行返回,另外注意默认的 443 虽然不需要返回内容,但仍然需要配置 ssl 证书,否则 nginx 会报错,证书随意。通过 return 444 来中止响应。
server { listen 443 default_server; server_name _ ; ssl on; ssl_certificate 随便设置一个ssl证书; ssl_certificate_key 随便设置一个ssl证书的key; return 444; }
转自:https://blog.51cto.com/kusorz/2136247
其它参考:
nginx 的 default_server 定义及匹配规则:https://segmentfault.com/a/1190000015681272
慎用 Nginx 的 default_server:https://www.sunzhongwei.com/about-nginx-default-server
关于Nginx的server_name:https://blog.51cto.com/onlyzq/535279
Nginx 的 default_server 指令:https://www.oschina.net/question/12_3565