在 https 上运行 gunicorn？

Question

我们有一些 Django 设置通过代理（Apache 和 Nginx），最终进入实际的 Django 运行时。

我们需要端到端的 HTTPS，即使它在我们的网络中也是如此。由于 Gunicorn 在我们其他设置中的成功和性能，我们一直在重新审视它，但需要使用 HTTPS 进行端到端测试以保持一致。

我们的拓扑是这样的：

https://foo.com -> [面向公众的代理] -> (https) -> [内部服务器https://192...:8001]

如何配置 Gunicorn 以使用自签名证书侦听 HTTPS？

Answer 1

Gunicorn 现在支持 SSL，as of version 17.0。您可以将其配置为在 https 上侦听，如下所示：

$ gunicorn --certfile=server.crt --keyfile=server.key test:app

如果您使用--bind 侦听端口 80，请记住将端口更改为 443（HTTPS 连接的默认端口）。例如：

$ gunicorn --certfile=server.crt --keyfile=server.key --bind 0.0.0.0:443 test:app

Answer 2

回复晚了很多，但对于遇到此问题的其他人，还有另一种选择，使用 nginx 作为上面的“[面向公众的代理]”。

配置 nginx 以处理端口 443 上的传入 SSL 流量，然后将 proxy_pass 配置为内部端口上的 gunicorn。外部流量是加密的，nginx和gunicorn之间的流量无论如何都不会暴露。我觉得这很容易管理。

Answer 3

如果您使用的是 gunicorn.config.py 或类似的 gunicorn 配置文件，您可以添加证书文件和密钥文件。

certfile = '/etc/letsencrypt/live/example.com/fullchain.pem'
keyfile = '/etc/letsencrypt/live/example.com/privkey.pem'

配置文件可用于将设置初始化为环境变量，如果您有很多设置，这会很有帮助。 使用配置文件

• 通过创建一个名为的文件来创建一个配置文件 gunicorn.config.py

• 一些常用的设置是

    bind = "0.0.0.0:8000"
    workers = 4
    pidfile = 'pidfile'
    errorlog = 'errorlog'
    loglevel = 'info'
    accesslog = 'accesslog'
    access_log_format = '%(h)s %(l)s %(u)s %(t)s "%(r)s" %(s)s %(b)s "%(f)s" "%(a)s"'
  

  当然

    certfile = '/etc/letsencrypt/live/example.com/fullchain.pem'
    keyfile = '/etc/letsencrypt/live/example.com/privkey.pem'
  

查看documentation 和配置文件example

使用这些设置运行 gunicorn

    $ gunicorn app:app

因为

默认情况下，将从运行 gunicorn 的同一目录中读取名为 gunicorn.conf.py 的文件。

Answer 4

除了certfile 和keyfile，您还需要添加ca-certs。没有通过ca-certs，我在Android设备上得到Trust anchor for certification path not found.。

示例命令：

/usr/bin/python3 /usr/local/bin/gunicorn --bind 0.0.0.0:443 wsgi:app --workers=8 --access-logfile=/root/app/logs/access.log --error-logfile=/root/app/logs/error.log --certfile=/root/app/certificate.crt --keyfile=/root/app/private.key --ca-certs=/root/app/ca_bundle.crt --daemon