Jenkins:如何在Nginx反向代理后面配置Jenkins以便JNLP从站进行连接

saj*_*jus 8 proxy nginx jenkins

我正在尝试建立一个Jenkins主节点和一个Jenkins从节点,其中Jenkins Master在具有SSL终止的不同服务器上支持Nginx反向代理.nginx配置如下:

upstream jenkins {
  server <server ip>:8080 fail_timeout=0;
}

server {
  listen 443 ssl;
  server_name jenkins.mydomain.com;
  ssl_certificate /etc/nginx/certs/mydomain.crt;
  ssl_certificate_key /etc/nginx/certs/mydomain.key;

  location / {
    proxy_set_header        Host $host:$server_port;
    proxy_set_header        X-Real-IP $remote_addr;
    proxy_set_header        X-Forwarded-For $proxy_add_x_forwarded_for;
    proxy_set_header        X-Forwarded-Proto $scheme;
    proxy_redirect          http:// https://;
    proxy_pass              http://jenkins;
  }
}

server {
  listen 80;
  server_name jenkins.mydomain.com;
  return 301 https://$server_name$request_uri;
}
Run Code Online (Sandbox Code Playgroud)

在Jenkins主全局安全配置中,JNLP代理的TCP端口设置为50000.端口50000设置为可从主机上的任何位置访问.

使用以下命令启动JNLP从站:

java -jar slave.jar -jnlpUrl https://jenkins.mydomain.com/computer/slave-1/slave-agent.jnlp -secret <secret>
Run Code Online (Sandbox Code Playgroud)

JNLP从站无法连接到主站上配置的JNLP端口:

INFO: Connecting to jenkins.mydomain.com:50000 (retrying:4)
java.net.ConnectException: Connection timed out
        at java.net.PlainSocketImpl.socketConnect(Native Method)
        at java.net.AbstractPlainSocketImpl.doConnect(AbstractPlainSocketImpl.java:350)
        at java.net.AbstractPlainSocketImpl.connectToAddress(AbstractPlainSocketImpl.java:206)
        at java.net.AbstractPlainSocketImpl.connect(AbstractPlainSocketImpl.java:188)
        at java.net.SocksSocketImpl.connect(SocksSocketImpl.java:392)
        at java.net.Socket.connect(Socket.java:589)
        at java.net.Socket.connect(Socket.java:538)
        at hudson.remoting.Engine.connect(Engine.java:400)
        at hudson.remoting.Engine.run(Engine.java:298)
Run Code Online (Sandbox Code Playgroud)

JNLP从站连接到Jenkins主站所需的配置是什么?

Pol*_*ick 17

JNLP端口似乎使用二进制协议,而不是基于文本的HTTP协议,所以很遗憾,它不能像通常的Jenkins页面那样通过NGINX进行反向代理.

相反,你应该:

  1. 配置全局安全性>选中"启用安全性"并为JNLP从属代理设置固定的"TCP端口".这将导致所有Jenkins页面发出指定此端口的额外HTTP标头:X-Hudson-CLI-Port,X-Jenkins-CLI-Port,X-Jenkins-CLI2-Port.

  2. 允许您的固定TCP JNLP端口通过任何防火墙,以便CLI客户端和JNLP代理可以直接到达后端的Jenkins服务器.

  3. 将系统属性设置hudson.TcpSlaveAgentListener.hostName为后端Jenkins服务器的主机名或IP地址.这将导致所有页面发出包含此指定主机名的额外HTTP标头(X-Jenkins-CLI-Host).这告诉CLI客户端在哪里连接,但据称不是JNLP代理.

  4. 对于节点列表中的每个构建从属计算机 jenkins.mydomain.com/computer/,使用Launch方法"通过Java Web Start启动从属代理",单击计算机,单击"配置",单击"启动方法"下右侧的"高级..."按钮,并适当地设置"隧道连接通过"字段.阅读问号帮助.您可能只需要"HOST:"语法,其中HOST是后端Jenkins服务器的主机名或IP地址.

免责声明:我尚未测试第4步,但在下面的第一个链接中提到了它.

参考文献:

  • 如果像我一样你不知道在哪里设置第3步"设置系统属性hudson.TcpSlaveAgentListener.hostName",这就是它的地方和方式:https://wiki.jenkins.io/display/JENKINS/Features+controlled+ by + system + properties当你需要在Docker中运行Jenkins master时,https://github.com/jenkinsci/docker/blob/master/README.md#passing-jvm-parameters另外一个titbit是_not_包括此服务器上的端口值(只是服务器lan ip或resolvable hostname). (5认同)

小智 6

自从 OP 提出这个问题以来已经快4 年了,但是,如果您到达此页面并寻找合适的解决方案,那么现在就可以了

我使用 Traefik 作为 Jenkins 的反向代理。TCP 端口入站现在完全禁用。 在此处输入图片说明

您唯一需要确保的是您的代理/从设备信任 Jenkins 服务器证书(因为 webSocket 不能与-disableHttpsCertValidation-noCertificateCheck

如果这是 Windows 代理,请使用:

C:\Program Files (x86)\Java\jre1.8.0_251\bin\keytool.exe -import -storepass "changeit" -keystore "C:\Program Files (x86)\Java\jre1.8.0_251\lib\security\cacerts" -alias <cert_alias> -file "<path_to_cert>"
Run Code Online (Sandbox Code Playgroud)

(根据您的Java版本相应地更改路径)