Docker安装Guacamole配置https访问

---

This is a currently unsupported block.

如何使用Docker安装Guacamole的教程太多了，这里就不赘述了，如果需要的话可以看文章最后。

0. 背景

众所不周知，Guacamole虽然本身是用了tomcat作为http server，但是找了一圈全部都是用nginx / apache反代guacamole来实现https的访问。

行吧，那就用nginx吧。下面的方法使用nginx容器和宿主机直接安装nginx都适用，这里主要以nginx容器为主。

1. 配置

1.1 准备

首先你得有一个域名，同时这个域名的DNS记录已经绑定了机器IP地址。

其次我为了方便管理nginx容器可以挂载证书和配置文件，所以在宿主机准备了一个目录用来存放所有的文件：

sudo mkdir /home/用户名/nginx-config

1.2 SSL证书准备

先生成一个SSL证书，自签也可以（可问GPT），Let’s Encrypt也可以，我这里为了方便直接用Let’s Encrypt来生成：

先安装certbot (如果没有的话)：

sudo apt install certbot python3-certbot-nginx
sudo certbot --nginx

接下来按提示输入即可，注意：

1. 邮箱填好，证书到期会邮件提醒你
2. 域名要填对，并且已经解析到你的机器，否则会失败

完成后会提示你证书生成的位置，把fullchain.pem和privkey.pem复制到准备好的目录里：

cp /提示的文件路径/fullchain.pem /home/用户名/nginx-config/fullchain.pem
cp /提示的文件路径/privkey.pem /home/用户名/nginx-config/privkey.pem

1.3 nginx配置文件准备

如果你已经有修改过nginx配置文件的话，可以参考下面的内容修改。

如果没有，就先创建一个文件：

touch /home/用户名/nginx-config/nginx.conf
# 这里不要用sudo (除非你已经是root了)，否则可能会有权限问题

然后用文本编辑器打开，我这里用的nano:

nano /home/用户名/nginx-config/nginx.conf

用下面的配置文件（注意修改域名）：

user  nginx;
worker_processes  auto;

error_log  /var/log/nginx/error.log notice;
pid        /var/run/nginx.pid;

events {
    worker_connections  1024;
}

http {
    include       /etc/nginx/mime.types;
    default_type  application/octet-stream;

    log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '
                      '$status $body_bytes_sent "$http_referer" '
                      '"$http_user_agent" "$http_x_forwarded_for"';

    access_log  /var/log/nginx/access.log  main;

    sendfile        on;
    #tcp_nopush     on;

    keepalive_timeout  65;

    #gzip  on;

    include /etc/nginx/conf.d/*.conf;

    # SERVER BLOCK MUST BE INSIDE THE HTTP BLOCK
    server {
        listen 443 ssl;
        server_name 你的域名;
        
        ssl_certificate      /etc/nginx/fullchain.pem;
        ssl_certificate_key  /etc/nginx/privkey.pem;
        ssl_session_timeout  5m;
        ssl_ciphers  ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;
        ssl_protocols TLSv1.2 TLSv1.3;
        ssl_prefer_server_ciphers  on;

        # HSTS header
        add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;

        location / {
            proxy_pass http://guacamole:8080;
            proxy_buffering off;
            proxy_http_version 1.1;
            proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
            proxy_set_header Upgrade $http_upgrade;
            proxy_set_header Connection $http_connection;
            access_log off;
        }

        error_page   500 502 503 504  /50x.html;
        location = /50x.html {
            root   html;
        }
    }
}

粘贴进去（或者SFTP进去）之后，保存退出（nano是ctrl+o再ctrl+x）。

注意，我这里因为安全需求只用了https端口访问，如果需要80端口跳转443，那就问问GPT吧。

1.4 Nginx，启动！

起nginx容器：

sudo docker run -d \
  --name my-nginx \
  --link guacamole:guacamole \   
# 注意：这里^^^的容器名称按实际情况填，如果你用的文末的配置文件，就是
# --link guacamole-client:guacamole \
  -p 443:443 \
# 如果你需要暴露80，则加上
#   -p 80:80 \
  -v /home/用户名/nginx-config/nginx.conf:/etc/nginx/nginx.conf:ro \
  -v /home/用户名/nginx-config/fullchain.pem:/etc/nginx/fullchain.pem:ro \
  -v /home/用户名/nginx-config/privkey.pem:/etc/nginx/privkey.pem:ro \
  --restart always \
  nginx:latest

现在基本就可以了，可以看一下是不是起来了：

sudo docker ps -a

2. 遇到的问题

如果你是宿主机上运行的nginx，在nginx的配置文件中的：

proxy_pass http://guacamole:8080;

可以改为http://127.0.0.1:8080，但是如果是nginx容器则应该交由docker来解析hostname（即guacamole:8080），因为在容器中访问本地地址，访问到的肯定还是容器内的网络。

同时如果有保密性的要求，即guacamole不记录真实访问者IP，可以参考官方文档

Related to the RemoteIpValve configuration for tomcat, documented in Setting up the Remote IP Valve, the proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; line is important if you want the X-Forwarded-For header to be passed through to the web application server and available to applications running inside it. from: https://guacamole.apache.org/doc/gug/reverse-proxy.html

把nginx配置文件的这几个配置项删掉。

同时如果你需要用到guacamole中上传文件的功能，可以参考文档调整上传文件大小上限：

When proxying Guacamole through Nginx, you may run into issues with the default limitations that Nginx places on file uploads (1MB). The errors you receive can be non-intuitive (permission denied, for example), but may be indicative of these limits. The client_max_body_size parameter can be set within the location block to configure the maximum file upload size: from: https://guacamole.apache.org/doc/gug/reverse-proxy.html

安装Guacamole的Docker Compose文件

来源：https://linux.do/t/topic/85217

version: "3"
services:
  guacamole-postgres:
    container_name: guacamole-postgres
    image: postgres:latest
    environment:
      POSTGRES_PASSWORD: 123456
      PGDATA: /var/lib/postgresql/data/pgdata  #需要做这一步才能数据持久化，具体说明查看官方文档
    volumes:
      - /your-path/data:/var/lib/postgresql/data  #左边更改为你自己的路径
    network_mode: "bridge"
    restart:
      always

  guacamole-guacd:
    container_name: guacamole-guacd
    image: guacamole/guacd:latest
    network_mode: "bridge"
    restart:
      always

  guacamole-client:
    container_name: guacamole-client
    image: guacamole/guacamole:latest
    environment:
      POSTGRES_DATABASE: guacamole_db
      POSTGRES_USER: sqldata
      POSTGRES_PASSWORD: 234567
    ports:
      - 8080:8080           #左边修改为自己的外网端口
    network_mode: "bridge"
    links:
      - guacamole-postgres:postgres
      - guacamole-guacd:guacd
    restart:
      always

使用guacamole-client生成guacamole_db的初始化脚本（因为guacamole不会自动初始化数据库）

sudo docker run --rm guacamole/guacamole /opt/guacamole/bin/initdb.sh --postgresql > initdb.sql

将生成的sql脚本复制到容器内并执行

docker cp initdb.sql guacamole-postgres:/
docker exec -it guacamole-postgres psql -U sqldata -d guacamole_db
\i /initdb.sql
exit
rm -f initdb.sql