在 docker 容器内使用带有 ssl 的自托管（Jetty）元数据库时出错

Posted 2023-05-08

【中文标题】在 docker 容器内使用带有 ssl 的自托管（Jetty）元数据库时出错

【英文标题】：Error when using selfhosted (Jetty) Metabase with ssl inside docker container

【发布时间】：2021-02-23 16:15:51

【问题描述】：

我正在尝试在启用 ssl 的 docker 容器内设置一个自托管 (Jetty) 元数据库。

首先我使用certbot 创建了fullchain.pem 和privkey.pem，然后使用this gist 转换为keystore.jks。

然后创建一个用于--env-file docker 标志的 .env 文件：

MB_DB_FILE=/metabase/metabase.db
MB_JETTY_SSL=true
MB_JETTY_SSL_PORT=443
MB_JETTY_SSL_KEYSTORE=./keystore.jks
MB_JETTY_SSL_KEYSTORE_PASSWORD=my-pass

并试图运行：

docker run -p 80:3000 -v ~/metabase:/metabase --env-file "./prod.env" --name metabase metabase/metabase

但我收到以下错误：

ERROR metabase.core :: Metabase Initialization FAILED
java.net.SocketException: Permission denied
    at sun.nio.ch.Net.bind0(Native Method) ~[?:?]
    at sun.nio.ch.Net.bind(Unknown Source) ~[?:?]
    at sun.nio.ch.Net.bind(Unknown Source) ~[?:?]
    at sun.nio.ch.ServerSocketChannelImpl.bind(Unknown Source) ~[?:?]
    at sun.nio.ch.ServerSocketAdaptor.bind(Unknown Source) ~[?:?]
    at org.eclipse.jetty.server.ServerConnector.openAcceptChannel(ServerConnector.java:345) ~[metabase.jar:?]
    at org.eclipse.jetty.server.ServerConnector.open(ServerConnector.java:310) ~[metabase.jar:?]
    at org.eclipse.jetty.server.AbstractNetworkConnector.doStart(AbstractNetworkConnector.java:80) ~[metabase.jar:?]

通过将 SSL_PORT 更改为 8443 解决，所以新的 env 文件如下所示：

MB_DB_FILE=/metabase/metabase.db
MB_JETTY_SSL=true
MB_JETTY_SSL_PORT=8443
MB_JETTY_SSL_KEYSTORE=./keystore.jks
MB_JETTY_SSL_KEYSTORE_PASSWORD=my-pass

删除了旧容器并使用上面的 env 文件启动了一个新容器，但现在我遇到了这个错误：

ERROR metabase.core :: Metabase Initialization FAILED
java.lang.IllegalStateException: /"./keystore.jks" is not a valid keystore

我已经使用this 仔细检查了我的 .jks 文件是否有效。确实如此。

我的问题是：

为什么我不能在 443 上运行它 为什么我的密钥库无效？

编辑 1：

遵循 Joakim 的建议：

改成绝对路径

MB_DB_FILE=/metabase-prod-data/metabase.db
MB_JETTY_SSL=true
MB_JETTY_SSL_PORT=8443
MB_JETTY_SSL_KEYSTORE=/root/services/metabase/setup/keystore.jks
MB_JETTY_SSL_KEYSTORE_PASSWORD=my-pass

收到此错误：

ERROR metabase.core :: Metabase Initialization FAILED
java.lang.IllegalStateException: /root/services/metabase/setup/keystore.jks is not a valid keystore

【参考方案1】：

@Joakim 回答了为什么不使用端口 443

我在元数据库初始化时也遇到了这个问题。 我面临的错误是在 docker 容器内无法访问主机上的密钥库文件。

我使用了 docker-compose yml 文件。您也可以搜索基于终端的方式。

我通过使用卷属性在具有证书的主机上添加文件夹来使其可访问。

metabase:
   ...
    env_file:
      - ./config/metabase.env
    volumes:
      - <LOCAL_PATH>:<CONTAINER_PATH>

环境路径内：

MB_JETTY_SSL_KEYSTORE:<CONTAINER_PATH>/keystore.jks

【参考方案2】：

443 是大多数操作系统上的受限端口，需要 root/超级用户/管理员权限才能绑定到它。

找不到您的密钥库，该路径无效。 这个错误只是令人困惑。

你的配置

MB_JETTY_SSL_KEYSTORE=./keystore.jks

尝试将其设为绝对路径，因为在您的情况下，元数据库显然只是将您提供的内容添加到其他路径 / 的末尾。

【讨论】：

感谢您的帮助。看看我刚刚添加到问题中的编辑 1。试过绝对路径还是不行