Eu tenho duas VMs. Um executando o LEMP e outro executando o grafana.
Eu configurei o nginx no LEMP para servir como um proxy reverso para várias VMs em meu laboratório, incluindo a VM com o grafana.
Funciona muito bem, mas eu gostaria de adicionar Let's Encrypt SSL no host grafana de fora, então grafana.mydomain.com é exibido em SSL.
Eu quero configurar o caractere curinga para * .mydomain.com para que, no futuro, eu possa implantar novos serviços e VMs que possam ser acessados via HTTPS de fora. Existe uma prática comum em fazer isso? Não tenho certeza se devo instalar certbot e implantar o certificado no host nginx ou no vm executando o grafana. Eu tentei os dois e os dois falharam. Além disso, não tenho certeza se eu perdi algumas configurações na configuração grafana f.ex. Não consigo encontrar nenhum guia que pareça fornecer a configuração correta da configuração afaik.
Atualmente, eu tentei instalar o SSL no host do proxy reverso nginx e no host grafana para o caractere curinga * .mydomain.com, o que também aumenta minha confusão porque agora é "duplicado" com certs.
certs são armazenados em /etc/letsencrypt/live/mydomain.com
Não tenho certeza do que mais é relevante para informações. Mas aqui está a configuração do nginx armazenada em /etc/nginx/sites-enabled/grafana.mydomain.com:
server {
server_name grafana.mydomain.com;
# ssl on;
# ssl_certificate /etc/letsencrypt/live/mydomain.com/fullchain.pem;
# ssl_certificate_key /etc/letsencrypt/live/mydomain.com/privkey.pem;
location / {
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header Host $host;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_pass http://10.0.0.113:3000;
}
}
Nota. Comentei as configurações de SSL, pois não consigo acessar a grafana com isso ativado ao acessar de fora.
SSL foi implantado no host nginx com este comando:
$ sudo certbot certonly --manual -d *.mydomain.com --agree-tos --no-bootstrap --manual-public-ip-logging-ok --preferred-challenges dns-01 --server https://acme-v02.api.letsencrypt.org/directory
Em poucas palavras - Estou certo de que o certbot e o LE devem ser implementados no host nginx. E não há necessidade disso no host de backend (grafana)? Meu palpite é que a versão descomplicada da configuração do nginx postada acima deve funcionar, mas estou perdendo algumas configurações em outro lugar.