docker 和 nginx 配合的一个坑

今天碰到一个 docker 私有仓库的一个坑，本来私有仓库的搭建没有使用 https，然后需要在使用的 docker 的 daemon.json 配置文件的 insecure-registries 配置中添加地址，但似乎这个配置只是一个白名单，是在声明可以从这个地址获取仓库，但并不是优先会从这个地址获取，仍然会优先读取 https 地址的内容，如果 https 有响应内容，无论正确与否，都会优先使用 https 地址。

但在 nginx 配置中，如果没有配置任何一个 443 的 https 服务的话，默认服务器是不响应 443 接口的，但是如果一旦配置了一个 443 服务，那么所有的 443 接口都会默认使用这个配置（源于 nginx 的服务搜索策略），所以一旦在私有仓库的 nginx 上配置了其它 443 服务，就需要屏蔽一下仓库域名下 443 接口返回的内容。

解决方案：配置 nginx 的 default_server，默认不进行返回，另外注意默认的 443 虽然不需要返回内容，但仍然需要配置 ssl 证书，否则 nginx 会报错，证书随意。通过 return 444 来中止响应。

server {
     listen 443 default_server;
     server_name _ ;
     ssl on;
     ssl_certificate             随便设置一个ssl证书;                
     ssl_certificate_key     随便设置一个ssl证书的key;
     return 444;
}

转自：https://blog.51cto.com/kusorz/2136247

其它参考：

nginx 的 default_server 定义及匹配规则：https://segmentfault.com/a/1190000015681272
慎用 Nginx 的 default_server：https://www.sunzhongwei.com/about-nginx-default-server
关于Nginx的server_name：https://blog.51cto.com/onlyzq/535279
Nginx 的 default_server 指令：https://www.oschina.net/question/12_3565