Anleitung: nextcloud mit nginx reverse proxy und LetsEncrypt auf Docker

RainerBegeistert · 1. Oktober 2019

Seit einem Update sind die Docker bei mir auch ausgegraut, ist aber kein Problem. Ich nehme die Verwaltung mit der Console (z.B. Putty) vor. Das geht ohne Probleme.

Den Down Befehl kannst du auch nur auf der Console eingeben, nicht im Terminal.

Meine compose sieht so aus:

Code

version: '3' 
services:
  db:
    image: mariadb
    command: --transaction-isolation=READ-COMMITTED --binlog-format=ROW
    container_name: nextcloud-mariadb
    networks:
      - nextcloud_network
    volumes:
      - db:/var/lib/mysql
      - /etc/localtime:/etc/localtime:ro
    environment:
      - MYSQL_ROOT_PASSWORD=
      - MYSQL_PASSWORD=
      - MYSQL_DATABASE=
      - MYSQL_USER=
    restart: always
  
  app:
    image: nextcloud:16.0.3
    ports:
      - XXXX:80
      - XXXX:443
    environment:
      - VIRTUAL_HOST=nextcloud.XXX
      - LETSENCRYPT_HOST=nextcloud.XXXX
      - LETSENCRYPT_EMAIL=XXXXXX
    container_name: nextcloud-app
    networks:
      - nextcloud_network
    depends_on:
      - db
    volumes:
      - nextcloud:/var/www/html
      - /etc/localtime:/etc/localtime:ro
    restart: always

  web:
    build: ./web
    restart: always
    container_name: letsencrypt-web
    volumes:
      - /share/CACHEDEV1_DATA/Docker/Docker-Volumes/html:/var/www/html:ro
    depends_on:
      - app
    ports:
      - XXXX:80
    networks:
      - nextcloud_network

  phpmyadmin:
    image: phpmyadmin/phpmyadmin
    container_name: phpadminnextcloud
    restart: always
    depends_on:
      - db
    ports:
      - XXXX:80
    networks:
      - nextcloud_network

  redis:
    image: redis
    container_name: redis
    restart: always
    networks:
      - nextcloud_network

  proxy:
    image: jwilder/nginx-proxy
    restart: always
    container_name: proxy
    ports:
      - 443:443
      - 80:80
    labels:
      com.github.jrcs.letsencrypt_nginx_proxy_companion.nginx_proxy: "true"
    volumes:
      - /share/CACHEDEV1_DATA/Docker/Docker-Volumes/certs:/etc/nginx/certs:rw
      - /share/CACHEDEV1_DATA/Docker/Docker-Volumes/vhost.d:/etc/nginx/vhost.d
      - /share/CACHEDEV1_DATA/Docker/Docker-Volumes/html:/usr/share/nginx/html
      - /share/CACHEDEV1_DATA/Docker/Docker-Volumes/conf.d:/etc/nginx/conf.d
      - /var/run/docker.sock:/tmp/docker.sock:ro
      - ./uploadsize.conf:/etc/nginx/conf.d/uploadsize.conf:ro
      - /etc/localtime:/etc/localtime:ro
    networks:
      - nextcloud_network

  letsencrypt-companion:
    image: jrcs/letsencrypt-nginx-proxy-companion
    container_name: letsencrypt
    restart: always
    volumes:
      - /share/CACHEDEV1_DATA/Docker/Docker-Volumes/certs:/etc/nginx/certs
      - /share/CACHEDEV1_DATA/Docker/Docker-Volumes/vhost.d:/etc/nginx/vhost.d
      - /share/CACHEDEV1_DATA/Docker/Docker-Volumes/html:/usr/share/nginx/html
      - /var/run/docker.sock:/var/run/docker.sock:ro
    networks:
      - nextcloud_network
    depends_on:
      - proxy

  db-backup:
    image: fradelg/mysql-cron-backup
    container_name: backup-cloud    
    depends_on:
      - db
    volumes:
      - /share/CACHEDEV1_DATA/Docker/Docker-Volumes/backup/cloud:/backup
      - /etc/localtime:/etc/localtime:ro
    environment:
      - MYSQL_HOST=
      - MYSQL_USER=
      - MYSQL_PASS=
      - MAX_BACKUPS=
      - INIT_BACKUP=
      # samstags 20:00
      - CRON_TIME=0 19 * * *
    restart: always
           
    networks:
      - nextcloud_network
      
volumes:
  db:
  nextcloud:
  owncloud:
  app:
  app1:
  web:
  phpmyadmin:
  redis:
  redis1:
  proxy:
  letsencrypt-companion:
  docker-gen:
  app1:
  db-backup:
  conf:
  vhost:
  html:
  certs:
  dhparam:
  web1:
  conf1:
    
networks:
  nextcloud_network:

Alles anzeigen

Die habe ich mir selbst ausgedacht und von mir erweitert. So ist z.B. ein Datenbankbackup eingefügt. Einige Volumes sind unnützt, ist mir aber egal.

zinnik · 1. Oktober 2019

Vielen Dank Rainer...

die ganzen volumes die du unten aufführst kann man doch weglassen oder?

Zumindestens die ,die nicht in der Compose aufgeführt werden.

Wenn ich die compose.yml so starte funktioniert bei dir alles? Ohne weitere änderungen?

Lg zinnik

RainerBegeistert · 1. Oktober 2019

Bei mir funktioniert so alles. Gerade vor ein paar Tagen hat sich automatisch das LetsEncrypt Zertifikat verlängert. Auch ein Update von NC klappte einwandfrei.

zinnik · 1. Oktober 2019

Bei dem Update von nextcloud gibts du dann in der Compose einfach die neue version an oder geht das automatisch?

Dann noch eine frage Meine subdomain bei Strato zeigt mit einem CNAME Record auf die Dyndns von Qnap als auf meinenas.myqnapcloud.com

So und hier die frage für die Qnap habe ich von qnap einZertifikat erworben und damit ich von außen auf die Qnap verschlüsselt zugreife.

Kann dies vielleicht auch der Fehler sein oder hat das nichts damit zu tun.

Ich weiß viele fragen aber irgendwie möchte ich das Ding ans laufen bringen.

Da ich leider wenig Erfahrung bis gar keine in Putty oder programmieren habe. Tue ich mir da sehr schwer.

RainerBegeistert · 1. Oktober 2019

Zitat von zinnik

Bei dem Update von nextcloud gibts du dann in der Compose einfach die neue version an oder geht das automatisch?

Nein automatisch geht das nicht. Du gehst dabei wie folgt vor: Nachdem du NC-Docker gestoppt hast, löscht du in der Containerstation das Image der NC, schreibst bei Compose die neue Version hin und pull(st) dann.

Zitat von zinnik

So und hier die frage für die Qnap habe ich von qnap einZertifikat erworben und damit ich von außen auf die Qnap verschlüsselt zugreife.

Dein vorhandenes Zertifikat ist für die Qnap. Ich nenne sie jetzt einfach mal root. Für NC in der subdomain benötigst du ein weiteres Zertifikat, da LetsEncrypt Wildcard-Zertifikate nur ausstellt, wenn man die Kontrolle über die Domain mit einem TXT-Record im Domain Name System (DNS) nachweist. Da kann ich nicht weiterhelfen. Bei mir ist es ebenso, dass meine Qnap ein Zertifikat hat und NC auch.

Zitat von zinnik

Da ich leider wenig Erfahrung bis gar keine in Putty oder programmieren habe. Tue ich mir da sehr schwer.

Es muss nicht unbedingt putty sein. Es gibt auch z.B. PortableSmartty und weitere.

zinnik · 1. Oktober 2019

Da muss ich jetzt nochmal nachfragen.

Also meine Domain und Subdomain liegt bei Strato. Wie ersten beitrag steht:

Wenn ich nun in strato in der Verwaltung schaue ist TXT record inaktiv.

Es wird nur aktiv wenn ich den CNAME Record entferne.

domain.JPG

Liegt denn dann hier eventuell der Fehler?

Aber irgendwie muss ich ja mit CNAME auf meine qnap verweisenoder sehe ich das falsch?

CyberMicha · 2. Oktober 2019

Guten Morgen zusammen,

Meine Nextcloud lässt keine Uploads mehr über den windows client ( 2.6 ) zu.

Es kommt server replied: ohne was dahinter.

Habe container und images gelöscht und per pull die aktuelle version ( 17 ) installiert.

Zuerst hatte ich danach Probleme mit dem verbinden. Kein klicken auf "Zugriff gewähren" möglich. Das habe ich in der config gelöst ( 'overwriteprotocol' => '', )

Kann man irgendwie auf die 16er zurück gehen? Daten sind alle gesichert. Im compose steht Nextcloud:fpm.

Bin ratlos.

Was braucht ihr an Infos? Finde leider keine richtige log datei.

LG aus Griechenland Michael.

Edit: Erledigt.

Zurück auf 16.0.5 über docker-compose.yml mit image: nextcloud:stable-fpm

Upload:

uploadsize.conf in den Ordner\Docker-Volumes\nextcloud\nginx-conf.d kopiert und zusätzlich die

php.ini-development unter /usr/local/etc/php eingestellt auf post_max_size = 20G und upload_max_filesize = 20G

Container neu gestartet.

zinnik · 2. Oktober 2019

Guten morgen RainerBegeistert

würdest du mir bitte noch dein Verzeichnis für die nextcloud im Freigabeordner Docker-Configs zur verfügung stellen dann würde ich mal so die Installation versuchen.

Lg zinnik

CyberMicha · 2. Oktober 2019

Hallo zusammen,

kann mir jemand sagen, was genau ich einrichten muss um

Anleitung: nextcloud mit nginx reverse proxy und LetsEncrypt auf Docker

zum Laufen zu bekommen? Mir ist die URL zu collabora nicht gnaz klar.

Aktuell nutze ich für nextclod eine URL xxx.ddnss.de

LG Michael

RainerBegeistert · 2. Oktober 2019

zinnik Kein Problem. Zu deinem Beitrag aus #106 meine ich, das wäre so richtig.

im Verzeichnis proxy gibt es 2 Dateien. Die erste Datei nennt sich Dockerfile In dieser Datei sind die Einträge:

Code

FROM jwilder/nginx-proxy

COPY uploadsize.conf /etc/nginx/conf.d/uploadsize.conf
COPY certs /etc/nginx/certs/
COPY dhparam.pem /etc/nginx/dhparam/dhparam.pem

Die weitere Datei heißt uploadsize.conf mit Eintrag:

Code

client_max_body_size 512M;

Ein weiteres Verzeichnis heißt web In diesem Verzeichnis 2 Dateien. Wieder eine Dockerfile mit dem Inhalt:

Code

FROM nginx

COPY nginx.conf /etc/nginx/nginx.conf

Die weitere Datei, die hier liegt ist dann logischerweise die nginx.conf

Ob du diese Dateien 1:1 übernehmen kannst, weiß ich nicht. Ich habe container-station nicht standardmäßig installiert. Habe da andere Ordner verwandt, aber zum Testen kannst du es gerne nehmen.

zinnik · 3. Oktober 2019

Hallo Rainer

Kannst du noch den Inhalt der nginx.conf posten.

Danke

RainerBegeistert · 3. Oktober 2019

Code: nginx.conf

user  www-data;
worker_processes  1;

error_log  /var/log/nginx/error.log warn;
pid        /var/run/nginx.pid;


events {
    worker_connections  1024;
}


http {
    include       /etc/nginx/mime.types;
    default_type  application/octet-stream;

    log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '
                      '$status $body_bytes_sent "$http_referer" '
                      '"$http_user_agent" "$http_x_forwarded_for"';

    access_log  /var/log/nginx/access.log  main;

    sendfile        on;
    #tcp_nopush     on;

    keepalive_timeout  65;

    set_real_ip_from  10.0.0.0/8;
    set_real_ip_from  172.16.0.0/12;
    set_real_ip_from  192.168.0.0/16;
    real_ip_header    X-Real-IP;

    #gzip  on;

    upstream php-handler {
        server app:9000;
    }

    server {
        listen 80;

        # Add headers to serve security related headers
        # Before enabling Strict-Transport-Security headers please read into this
        # topic first.
        # add_header Strict-Transport-Security "max-age=15768000;
        # includeSubDomains; preload;";
        #
        # WARNING: Only add the preload option once you read about
        # the consequences in https://hstspreload.org/. This option
        # will add the domain to a hardcoded list that is shipped
        # in all major browsers and getting removed from this list
        # could take several months.
        add_header X-Content-Type-Options nosniff;
        add_header X-XSS-Protection "1; mode=block";
        add_header X-Robots-Tag none;
        add_header X-Download-Options noopen;
        add_header X-Permitted-Cross-Domain-Policies none;

        root /var/www/html;

        location = /robots.txt {
            allow all;
            log_not_found off;
            access_log off;
        }

        # The following 2 rules are only needed for the user_webfinger app.
        # Uncomment it if you're planning to use this app.
        #rewrite ^/.well-known/host-meta /public.php?service=host-meta last;
        #rewrite ^/.well-known/host-meta.json /public.php?service=host-meta-json
        # last;

        location = /.well-known/carddav {
            return 301 $scheme://$host/remote.php/dav;
        }
        location = /.well-known/caldav {
            return 301 $scheme://$host/remote.php/dav;
        }

        # set max upload size
        client_max_body_size 10G;
        fastcgi_buffers 64 4K;

        # Enable gzip but do not remove ETag headers
        gzip on;
        gzip_vary on;
        gzip_comp_level 4;
        gzip_min_length 256;
        gzip_proxied expired no-cache no-store private no_last_modified no_etag auth;
        gzip_types application/atom+xml application/javascript application/json application/ld+json application/manifest+json application/rss+xml application/vnd.geo+json application/vnd.ms-fontobject application/x-font-ttf application/x-web-app-manifest+json application/xhtml+xml application/xml font/opentype image/bmp image/svg+xml image/x-icon text/cache-manifest text/css text/plain text/vcard text/vnd.rim.location.xloc text/vtt text/x-component text/x-cross-domain-policy;

        # Uncomment if your server is build with the ngx_pagespeed module
        # This module is currently not supported.
        #pagespeed off;

        location / {
            rewrite ^ /index.php$uri;
        }

        location ~ ^/(?:build|tests|config|lib|3rdparty|templates|data)/ {
            deny all;
        }
        location ~ ^/(?:\.|autotest|occ|issue|indie|db_|console) {
            deny all;
        }

        location ~ ^/(?:index|remote|public|cron|core/ajax/update|status|ocs/v[12]|updater/.+|ocs-provider/.+)\.php(?:$|/) {
            fastcgi_split_path_info ^(.+\.php)(/.*)$;
            include fastcgi_params;
            fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
            fastcgi_param PATH_INFO $fastcgi_path_info;
            # fastcgi_param HTTPS on;
            #Avoid sending the security headers twice
            fastcgi_param modHeadersAvailable true;
            fastcgi_param front_controller_active true;
            fastcgi_pass php-handler;
            fastcgi_intercept_errors on;
            fastcgi_request_buffering off;
        }

        location ~ ^/(?:updater|ocs-provider)(?:$|/) {
            try_files $uri/ =404;
            index index.php;
        }

        # Adding the cache control header for js and css files
        # Make sure it is BELOW the PHP block
        location ~ \.(?:css|js|woff|svg|gif)$ {
            try_files $uri /index.php$uri$is_args$args;
            add_header Cache-Control "public, max-age=15778463";
            # Add headers to serve security related headers (It is intended to
            # have those duplicated to the ones above)
            # Before enabling Strict-Transport-Security headers please read into
            # this topic first.
            # add_header Strict-Transport-Security "max-age=15768000;
            #  includeSubDomains; preload;";
            #
            # WARNING: Only add the preload option once you read about
            # the consequences in https://hstspreload.org/. This option
            # will add the domain to a hardcoded list that is shipped
            # in all major browsers and getting removed from this list
            # could take several months.
            add_header X-Content-Type-Options nosniff;
            add_header X-XSS-Protection "1; mode=block";
            add_header X-Robots-Tag none;
            add_header X-Download-Options noopen;
            add_header X-Permitted-Cross-Domain-Policies none;
            # Optional: Don't log access to assets
            access_log off;
        }

        location ~ \.(?:png|html|ttf|ico|jpg|jpeg)$ {
            try_files $uri /index.php$uri$is_args$args;
            # Optional: Don't log access to other assets
            access_log off;
        }
    }

}

Alles anzeigen

zinnik · 4. Oktober 2019

Hallo Rainer

leider haben mir deine dateien nicht weitergeholfen. Trotzdem Vielen Dank. ich weiss nicht weiter und werde vermutlich auf geben oder gibt es noch irgendwo eine andere Anleitung mit SSl verschlüsselung.

Irgenwie erhalte ich jetzt auch Fehler beim Composen und komme daher nicht weiter.

RainerBegeistert · 5. Oktober 2019

Kannst du nicht ein paar Fehlermeldungen hier reinkopieren? Ich vermute, dass meine Configs nicht zu dir passen, weil ich Pfade etc. angepasst habe.

zinnik · 8. Oktober 2019

Hallo rainer

Habe die installation auch gleich wieder gelöscht weil da auch sehr viele Volumes mit erstellt werden.

Bin nun wieder bei der ersten Installation des erstellten tread vom 20.05.18

Und habe nach wie vor den letsencrypt Fehler

Code

/etc/nginx/certs/nextcloud.zinnik.de /app                                                                                                                
Creating/renewal nextcloud.zinnik.de certificates... (nextcloud.zinnik.de)                                                                               
2019-10-08 20:43:06,992:INFO:simp_le:1479: Generating new certificate private key                                                                        
2019-10-08 20:43:12,124:ERROR:simp_le:1446: CA marked some of the authorizations as invalid, which likely means it could not access http://example.com/.w
ell-known/acme-challenge/X. Did you set correct path in -d example.com:path or --default_root? Are all your domains accessible from the internet? Please 
check your domains' DNS entries, your host's network/firewall setup and your webserver config. If a domain's DNS entry has both A and AAAA fields set up,
 some CAs such as Let's Encrypt will perform the challenge validation over IPv6. If your DNS provider does not answer correctly to CAA records request, L
et's Encrypt won't issue a certificate for your domain (see https://letsencrypt.org/docs/caa/). Failing authorizations: https://acme-v01.api.letsencrypt.
org/acme/authz-v3/691690024                                                                                                                              
Challenge validation has failed, see error log.                                                                                                          
                                                                                                                                                         
Debugging tips: -v improves output verbosity. Help is available under --help.                                                                            
/app                                                                                                                                                     
Sleep for 3600s

Alles anzeigen

Ich weiss nicht was ich noch machen soll

PESLL · 10. Oktober 2019

Hi zusammen,

ich gehöre auch zu den leidgeplagten die bei dieser Docker Installation nicht über das 2 MB Upload Limit kommen.

Einige hier haben es geschafft, andere nicht. Das ist doch sehr eigenartig.

1. Bei mir ist es so, das die Datei 'proxy/uploadsize.conf' komplett ignoriert wird.

Der zugehörige Befehl in 'proxy/Dockerfile' 'COPY uploadsize.conf /etc/nginx/conf.d/uploadsize.conf

wird schlichtweg nicht ausgeführt. Nach dem Hochfahren mit 'docker-compose up -d'

gibt es keine 'uploadsize.conf' in 'nginx-conf.d\'. Nur eine 'default.conf' ohne die wichtigen

'client_max_body_size' Einträge.

2. In NC 17 fehlt in der Systemkonfiguration die Einstellmöglichkeit für das Uploadlimit,

so wie es z.B. hier Link für NC 16 (?) beschrieben ist.

Stattdessen wird nur der aktuell gültige Wert ausgegeben: Einstellungen/System

Unbenannt.png

Eben nur 2MB.

Hat jemand eine Idee wo diese Einstellung hingekommen ist oder warum die rausgenomen wurde ? ( "Admin" bin ich.)

3. Gibt es u.U. einen Zusammenhang mit Docker auf ARM ? Da müssen ja einige Einträge ausgetauscht werden. (Link. Dank an Realforce.)

Dagegen spricht, das alles andere läuft ( Calendar, Kontakte, Uploads < 2MB )

Gruß und Dank

Gerd

andi001 · 11. Oktober 2019

Hallo Gerd,

kommst du per SSH auf diese Maschine drauf?
Solltest du SSH-Zugriff haben, schau dir mal Folgendes an:

https://help.nextcloud.com/t/s…-file-size-upload/21314/6

Vielleicht hilft dir das.

SG
andi

RainerBegeistert · 11. Oktober 2019

zinnik: Sorry, aber noch einmal von vorne.... ohne mich

zinnik · 11. Oktober 2019

Ich benötige nur Hilfe bei dem Zertifikatsfehler ansonsten funktioniert ja eigentlich alles.

Nur dieser Lets Encrypt fehler ? Also ich habe keine Zugriff per https auf die nextcloud weil eben dieses Zertifikat nicht erstellt wird. Die anderen Container und volumes die in deiner Maschine intigriert benötige ich alle garnicht. Sorry rainer aber ich würde mich über Hilfe von dir freuen.

Lg zinnik

zinnik · 15. Oktober 2019

Hallo ich bins nochmal

Guido83 hat wahrscheinlich die Lösung schon gepostet denn die gleichen Fehlermeldung im Le und nginx Container habe ich auch.

Zitat von Guido83

Ich habe die Lösung für unser kleines Problem gefunden.

Mod: Zitat ohne Quellenangabe! Die Zitat Funktion des Forums richtig nutzen

Aber Anschein bin ich zu doof die Lösung richtig umzusetzen.

Kann bitte nocheinmal jemandhelfen was ich hier genau machen muss.

Lg zinnik

Anleitung: nextcloud mit nginx reverse proxy und LetsEncrypt auf Docker

QuTS hero h5.1.6.2734 Build 20240414

QTS 5.1.6.2722 Build 20240402

Vulnerability in XZ Utils

Vulnerability in Network ＆ Virtual Switch

Anleitung: nextcloud mit nginx reverse proxy und LetsEncrypt auf Docker

[Howto] Nextcloud mittels Docker-Container

[Howto] JDownloader2 auf QNAP-NAS (x86 und ARM)

QTS 4.3 - Let's Encrypt SSL Zertifikat mit wenigen Klicks erstellen

[HOW TO] Jdownloader mit Docker-Container

Screenshots erstellen und im Forum einbinden (Windows)

(Betriebs)- System vs. Systemvolume - Hinweise zum Verständnis

QuDedup: Backup Job neu verlinken - Ein Ritt ins Verderben

[QUICK HOW-TO] Apps manuell auf ein anderes Volume verschieben

[QUICK HOW TO] QNAP Disks unter Windows mit UFS Explorer auslesen

Kodi-Headless Server als Docker-Container

Hardware Praxis – „Hör mal wer da surrt“: Ein Erfahrungsbericht aus dem IT-Alltag

Hardware Praxis – Tipps zum Einbau einer neuen Festplatte: Ergänzung

Foren Update im Juli / August geplant

IT-Geschichten – Die verrückte Tastatur