Ubuntu20.04でNginxリバースプロキシを使用してSSLでJenkinsを構成する方法
序章
デフォルトでは、 Jenkins には、ポートでリッスンする独自の組み込みWinstoneWebサーバーが付属しています 8080
、始めるのに便利です。 ただし、JenkinsをSSLで保護して、Webインターフェイスを介して送信されるパスワードと機密データを保護することもお勧めします。
このチュートリアルでは、クライアントリクエストをJenkinsに転送するためのリバースプロキシとしてNginxを構成します。
前提条件
開始するには、次のものが必要です。
- Ubuntu 20.04初期サーバーセットアップガイドに従って、root以外のsudo対応ユーザーとファイアウォールで構成された1台のUbuntu20.04サーバー。
- Ubuntu 20.04にJenkinsをインストールする方法の手順に従って、Jenkinsをインストールしました
- Ubuntu 20.04にNginxをインストールする方法の手順に従って、Nginxをインストールしました
- Let’sEncryptによって提供されるドメインのSSL証明書。 この証明書を取得するには、 Ubuntu20.04でLet’sEncryptを使用してNginxを保護する方法に従ってください。 所有または管理している登録済みドメイン名が必要になることに注意してください。 このチュートリアルでは、全体を通してドメイン名example.comを使用します。
ステップ1—Nginxを構成する
前提条件のチュートリアルUbuntu20.04でLet’sEncryptを使用してNginxを保護する方法では、SSLを使用するようにNginxを構成しました。 /etc/nginx/sites-available/example.com
ファイル。 このファイルを開いて、リバースプロキシ設定を追加します。
- sudo nano /etc/nginx/sites-available/example.com
の中に server
SSL構成設定でブロックし、Jenkins固有のアクセスログとエラーログを追加します。
. . .
server {
. . .
# SSL Configuration
#
listen [::]:443 ssl ipv6only=on; # managed by Certbot
listen 443 ssl; # managed by Certbot
access_log /var/log/nginx/jenkins.access.log;
error_log /var/log/nginx/jenkins.error.log;
. . .
}
次に、プロキシ設定を構成しましょう。 すべてのリクエストをJenkinsに送信するため、デフォルトをコメントアウトします try_files
行。それ以外の場合は、リクエストがJenkinsに到達する前に404エラーを返します。
. . .
location / {
# First attempt to serve request as file, then
# as directory, then fall back to displaying a 404.
# try_files $uri $uri/ =404; }
. . .
次に、次のようなプロキシ設定を追加しましょう。
proxy_params
:/etc/nginx/proxy_params
ファイルはNginxによって提供され、ホスト名、クライアントリクエストのプロトコル、クライアントIPアドレスなどの重要な情報が保持され、ログファイルで利用できるようにします。proxy_pass
:これにより、プロキシサーバーのプロトコルとアドレスが設定されます。この場合は、経由でアクセスされるJenkinsサーバーになります。localhost
ポートで8080
.proxy_read_timeout
:これにより、Nginxの60秒のデフォルトからJenkinsが推奨する90秒の値に増やすことができます。proxy_redirect
:これにより、応答が正しく書き換えられ、適切なホスト名が含まれるようになります。
SSLで保護されたドメイン名を必ず置き換えてください example.com
の中に proxy_redirect
下の行:
Location /
. . .
location / {
# First attempt to serve request as file, then
# as directory, then fall back to displaying a 404.
# try_files $uri $uri/ =404;
include /etc/nginx/proxy_params;
proxy_pass http://localhost:8080;
proxy_read_timeout 90s;
# Fix potential "It appears that your reverse proxy setup is broken" error.
proxy_redirect http://localhost:8080 https://example.com;
これらの変更を行ったら、ファイルを保存してエディターを終了します。 Jenkinsを構成するまで、Nginxの再起動を延期しますが、今すぐ構成をテストできます。
- sudo nginx -t
すべてが順調である場合、コマンドは次を返します。
Outputnginx: the configuration file /etc/nginx/nginx.conf syntax is ok
nginx: configuration file /etc/nginx/nginx.conf test is successful
そうでない場合は、テストに合格するまで報告されたエラーを修正します。
注:構成を誤った場合 proxy_pass
(たとえば、末尾にスラッシュを追加すると)Jenkins Configurationページに次のようなものが表示されます。
このエラーが表示された場合は、 proxy_pass
と proxy_redirect
Nginx構成の設定。
ステップ2—Jenkinsを構成する
JenkinsがNginxと連携するには、JenkinsサーバーがでのみリッスンするようにJenkins構成を更新する必要があります。 localhost
すべてのインターフェースではなくインターフェース(0.0.0.0
). Jenkinsがすべてのインターフェイスでリッスンする場合、元の暗号化されていないポートからアクセスできる可能性があります(8080
).
変更してみましょう /etc/default/jenkins
これらの調整を行うための構成ファイル:
- sudo nano /etc/default/jenkins
を見つけます JENKINS_ARGS
行と追加 --httpListenAddress=127.0.0.1
既存の議論に:
. . .
JENKINS_ARGS="--webroot=/var/cache/$NAME/war --httpPort=$HTTP_PORT --httpListenAddress=127.0.0.1"
ファイルを保存して終了します。
新しい構成設定を使用するには、Jenkinsを再起動します。
- sudo systemctl restart jenkins
以来 systemctl
出力が表示されない場合は、ステータスを確認してください。
- sudo systemctl status jenkins
あなたは見るべきです active (exited)
のステータス Active
ライン:
Output● jenkins.service - LSB: Start Jenkins at boot time
Loaded: loaded (/etc/init.d/jenkins; generated)
Active: active (exited) since Mon 2018-07-09 20:26:25 UTC; 11s ago
Docs: man:systemd-sysv-generator(8)
Process: 29766 ExecStop=/etc/init.d/jenkins stop (code=exited, status=0/SUCCESS)
Process: 29812 ExecStart=/etc/init.d/jenkins start (code=exited, status=0/SUCCESS)
Nginxを再起動します:
- sudo systemctl restart nginx
ステータスを確認します。
- sudo systemctl status nginx
Output● nginx.service - A high performance web server and a reverse proxy server
Loaded: loaded (/lib/systemd/system/nginx.service; enabled; vendor preset: enabled)
Active: active (running) since Mon 2018-07-09 20:27:23 UTC; 31s ago
Docs: man:nginx(8)
Process: 29951 ExecStop=/sbin/start-stop-daemon --quiet --stop --retry QUIT/5 --pidfile /run/nginx.pid (code=exited, status=0/SUCCESS)
Process: 29963 ExecStart=/usr/sbin/nginx -g daemon on; master_process on; (code=exited, status=0/SUCCESS)
Process: 29952 ExecStartPre=/usr/sbin/nginx -t -q -g daemon on; master_process on; (code=exited, status=0/SUCCESS)
Main PID: 29967 (nginx)
両方のサーバーを再起動すると、HTTPまたはHTTPSのいずれかを使用してドメインにアクセスできるようになります。 HTTPリクエストは自動的にHTTPSにリダイレクトされ、Jenkinsサイトは安全に提供されます。
ステップ3—構成をテストする
暗号化を有効にしたので、管理者パスワードをリセットして構成をテストできます。 まず、HTTP経由でサイトにアクセスして、Jenkinsに到達でき、HTTPSにリダイレクトされることを確認しましょう。
Webブラウザで、次のように入力します http://example.com
、ドメインを example.com
. を押した後 ENTER
、URLはで始まる必要があります https
ロケーションバーは、接続が安全であることを示している必要があります。
Ubuntu 20.04にJenkinsをインストールする方法で作成した管理ユーザー名をユーザーフィールドに入力し、選択したパスワードをパスワードフィールドに入力できます。
ログインしたら、パスワードを変更して安全を確保できます。
画面の右上隅にあるユーザー名をクリックします。 メインプロファイルページで、ページの左側のリストから構成を選択します。
これにより、新しいパスワードを入力して確認できる新しいページに移動します。
保存をクリックして、新しいパスワードを確認します。 これで、JenkinsWebインターフェイスを安全に使用できます。
結論
このチュートリアルでは、NginxをJenkinsの組み込みWebサーバーへのリバースプロキシとして構成し、Webインターフェイスを介して送信される資格情報やその他の情報を保護しました。 Jenkinsが安全になったので、継続的インテグレーションパイプラインをセットアップして、コードの変更を自動的にテストする方法を学ぶことができます。 Jenkinsを初めて使用する場合に考慮すべきその他のリソースは、Jenkinsプロジェクトの「最初のパイプラインの作成」チュートリアルまたはコミュニティ提供プラグインのライブラリです。