Настройка обратного прокси Traefik в Docker

Traefik Reverse Proxy в Docker: Полное руководство по настройке#

Если вам понравилась настоящая статья, то можете поддержать автора став спонсором на бусти (ссылка в разделе контакты).

Обратный прокси (reverse proxy) — это сервер, который принимает запросы от клиентов и перенаправляет их на внутренние сервисы. Он работает как посредник между пользователем и вашим веб-приложением, скрывая реальную архитектуру и обеспечивая удобные функции: балансировку нагрузки, кэширование, SSL-терминацию, маршрутизацию по доменам и многое другое.

В этой статье мы подробно рассмотрим, что такое обратный прокси, зачем он нужен, и разберём настройку Traefik в Docker.

Что такое обратный прокси и зачем он нужен?#

Reverse proxy — это важный компонент современной инфраструктуры. Основные преимущества:

Единая точка входа для всех сервисов — можно использовать один IP и разные домены или поддомены для множества приложений. Отсутствует необходимость открывать на роутере разные порты под разные приложения. Нам нужны только порт 80 и 443.
Безопасность — скрытие внутренних сервисов за прокси, защита от прямого доступа.
Поддержка SSL — автоматическая генерация и обновление HTTPS-сертификатов с Let’s Encrypt. Наше соединение зашифровано, браузер не ругается на небезопасное подключение.
Балансировка нагрузки — распределение запросов между несколькими контейнерами или серверами. Для дома это не так критично, но в production среде - это просто необходимость
Гибкая маршрутизация — можно настроить правила, перенаправления и rewrite для разных приложений.

Особенности обратного прокси Traefik#

Traefik — современный облачно-ориентированный reverse proxy и балансировщик нагрузки. Его отличительные особенности:

Динамическая конфигурация — Traefik динамически обнаруживает контейнеры Docker и автоматически настраивает маршруты. Не надо перезагружать для применения изменений настроек в динамической конфигурации.
Интеграция с Let’s Encrypt и встроенный ACME клиент — автоматическое получение и обновление SSL-сертификатов. Не надо следить за сроком действия ssl сертификата, traefik сам обновит сертификат при необходимости
Поддержка множества провайдеров — Docker, Kubernetes, Consul и т.д.
Удобная панель мониторинга — веб-интерфейс для просмотра маршрутов и состояния. Да, это не панель для управления, а для мониторинга, но очень информативная
Гибкая маршрутизация и middleware — можно добавлять аутентификацию, редиректы, rate limit и т.д. Это вообще

Traefik идеально подходит для devops и продакшн-окружений, где используется Docker Compose или Kubernetes. При этом необходимо отметить, что Traefik имеет больший функционал, чем популярный у homelab-сообщества nginx proxy manager, и если вы обратите внимание, то его используют многие топ-ютуб блоггеры именно из-за функционала.

Что такое Routers, Middlewares и Services в обратном прокси Traefik#

Схема работы обратного прокси Traefik

Traefik использует в своей конфигурации три основных компонента: (routers) маршрутизаторы, (services) службы и (middlewares ) промежуточное программное обеспечение

Routers

Маршрутизаторы подобны фронтендам: они управляют входящими запросами. В разделе «Routers» вы определите точку входа (entrypoint), кто у нас резолвит сертификаты, и определяет правила для запроса

Services

Сервисы подобны бэкендам: они определяют, куда отправлять запросы. Здесь вы можете указать порт, который Traefik будет использовать для проксирования и любые дополнительные балансировщики нагрузки.

Middlewares

Одна из самых сложных, но и самых интересных функций Traefik. Они - middlewares- изменяют запрос и фактически являются «промежуточным ПО» между маршрутизаторами и сервисами. Вы можете легко добавлять такие элементы, как заголовки, аутентификация, префикс пути или комбинировать их, создавая группы (chains) для повторного использования.

С помощью этих трех концепций мы: идентифицируем входящие запросы; определяем, куда направляется запрос; и выбираем, как мы хотим изменить запрос по мере его маршрутизации.

Конфигурация Traefik#

Существует множество способов настройки Traefik, и для новичков это может быть довольно сложно. Хотя кому я вру? Для новичков это будет просто очень сложно. Даже имея некоторый опыт, я порой не всегда могу сразу разобраться в методах настройки Traefik или как выпустить сертификат на какой-нибудь сервис, который по своей настройке может требовать специальных заголовков.

Итак, давайте уделим время изучению некоторых важных деталей конфигурации Traefik, а именно статической и динамической конфигурации.

Схема работы обратного прокси Traefik

Динамическая конфигурация#

Traefik — это динамический обратный прокси-сервер, то есть он может автоматически (на лету) добавлять и удалять маршруты при запуске или остановке контейнеров, а также применять другие изменения.

Динамическую конфигурацию можно указать в двух местах:

С поставщиком Docker, используя метки в Docker Compose для каждого сервиса. Обратите внимание, что, хотя Traefik не требует перезапуска, сервис с метками потребуется пересоздать (о том, что это за метки я рассказываю в видео, ссылка в начале настоящей статьи).

С файловым провайдером (File Provider) — YAML-файлы в папке «rules» (подробнее см. ниже). Это не требует перезапуска или переустановки каких-либо служб и является по-настоящему динамическим. Именно этот метод я показываю в настоящей статье.

Статическая конфигурация#

Хотя динамическая конфигурация является одним из главных преимуществ Traefik, важно понимать, что Traefik также использует статическую конфигурацию, которая определяется по-другому и должна храниться отдельно.

Для применения изменений в статической конфигурации необходимо перезапустить Traefik. Существует три различных способа определения статической конфигурации Traefik. Одновременно можно использовать только один из них.

Файл конфигурации — может быть в разных форматах, но я использую YAML (traefik.yaml).
Аргументы командной строки (CLI) — эти аргументы передаются во время запуска docker контейнера. Я такой вариант не использую, как из-за большого объема команд, так и из-за сложности восприятия объема информации. Но это вопрос личных преференций.

Список всех переменных можно посмотреть по ссылке

Настройка получения SSL сертификата#

Что нам нужно для полноценной работы обратного прокси.#

Нам нужно квалифицированное доменное имя. При покупке доменного имени рекомендую обратить внимание не на стоимость покупки (они плюс, минус всегда одинаковые), а на стоимость продления. Потому что процентное соотношение между стоимость покупки и стоимостью продления может неприятно удивить.

Сам я пользуюсь услугами smartape. Стоимость продления домена в зоне .ру у них 200р. Можете перейти по реферальной ссылке и посмотреть актуальную стоимость. Не реклама.

Дальше нам нужно разместить наше доменное имя на внешних днс серверах. Я сам пользуюсь услугами cloudflare, но из-за блокировок РКН доступ к их днс может не работать. И хотя я продолжаю пользоваться cloudflare, с учетом существующих на данный момент ограничений советовать их я не могу. Хотя в данной статье я покажу настройку именно с cloudflare. Список днс провайдеров можно посмотреть в документации Traefik. Там есть и отечественные сервисы, нужно просто учитывать код провайдера и переменные окружения при настройке.
Желательно иметь белый ip адрес, который вы можете приобрести у вашего интернет-провайдера.
Настроить split dns, чтобы запросы по поддоменному имени внутри локальной сети не выходили за ее пределы. Более подробно можете посмотреть в моем ролике, посвященному именно этой теме.

Настройки DNS с помощью Cloudflare#

Я предполагаю, что у вас уже зарегистрировано доменное имя и оно уже перенесено на dns сервера соответствующего провайдера. Я показываю все на примере Cloudflare. В этом гайде я использую доменное имя stilicho.ru Картинки не мои, а взяты из интернета

Переходите в ваш профайл

Переход в профайл

Переходим в меню для создания токена

Создаем токен

Начинаем создавать кастомный токен

Кастомный токен

Задаем конкретные настройки токена

настройки токена

Создаем токен

Создание токена

Скопируйте значения вашего токена и сохраните в безопасном месте, так как посмотреть еще раз значения токена в профиле cloudflare у вас не получится. Полученный токен мы с вами будем использоваться на настройки нашего прокси как сервиса, и он позволяет управлять нашими сертификатами с помощью Cloudflare. Если вы потеряете токен, то единственным выходом будет только его пересоздание с нуля.

Значения токена

Можете посмотреть все токены, которые вы создали с помощью cloudflare

Список токенов

Настройка Traefik в Docker#

Шаг 1. Создаём `docker-compose.yml`#

1
services:
2
  traefik:
3
    image: traefik:latest # Используем последний образ Traefik
4
    container_name: traefik # Имя контейнера
5
    restart: unless-stopped # Говорим докеру, чтобы контейнер всегда пытался перезапуститься, в случае непредвиденной остановки
6
    security_opt:
7
      - no-new-privileges:true # Не даем получить контейнеру дополнительные привилегии без нашего ведома
8
    networks:
9
       proxy: # контейнер будет работать определенной докер сети с названием 'proxy'
10
    ports:
11
      - 80:80 # определяем HTTP порт
12
      - 443:443 # определяем HTTPS порт
13
    environment:
14
      - CF_API_EMAIL=mail@gmail.com # Указываем свою почтовый адрес, который у нас служит аккаунтом в Cloudflare для получения API токена
15
      - CF_DNS_API_TOKEN=apitoken # указываем значения полученного токена
16
    volumes:
17
      - /etc/localtime:/etc/localtime:ro # синхронизируем время контейнера со временем хоста
18
      - /var/run/docker.sock:/var/run/docker.sock:ro # Разрешаем Traefik взаимодействовать с докером напрямую
19
      - /home/user/docker/traefik/traefik.yaml:/traefik.yaml:ro # указываем где у нас находится файл статической конфигурации Traefik
20
      - /home/user/docker/traefik/acme.json:/acme.json # указываем где у нас будут храниться все данные о наших SSL сертификатах
21
      - /home/user/docker/traefik/config.yaml:/config.yaml:ro # Указываем где у нас хранится файл динамической конфигурации
22
      - /home/user/docker/traefik/logs:/var/log/traefik # прописываем путь до директории, где у нас будут храниться логи Traefik и access log
23
    labels:
24
      - "traefik.enable=true" # Активируем Traefik для данного сервиса
25
      - "traefik.http.routers.traefik.entrypoints=http" # Определяем точку входа HTTP
26
      - "traefik.http.routers.traefik.rule=Host(`traefik-dashboard.user.ru`)" # Определяем хост правило для роутинга
27
      - "traefik.http.middlewares.traefik-auth.basicauth.users=user:password" # Прикручиваем базовую аутентификацию для защиты нашего traefik, указывая логин и пароль в захэшированном виде
28
      - "traefik.http.middlewares.traefik-https-redirect.redirectscheme.scheme=https" # Указываем что HTTP трафик должен быть перенаправлен в HTTPS трафик
29
      - "traefik.http.middlewares.sslheader.headers.customrequestheaders.X-Forwarded-Proto=https" # Задаем передадресацию заголовков для SSL
30
      - "traefik.http.routers.traefik.middlewares=traefik-https-redirect" # Применяем Apply HTTPS redirect middleware для редиректа https трафика
31
      - "traefik.http.routers.traefik-secure.entrypoints=https" # Безопасная точка входа для HTTPS
32
      - "traefik.http.routers.traefik-secure.rule=Host(`traefik-dashboard.user.ru`)"  # Хост правило для https роутинга
33
      - "traefik.http.routers.traefik-secure.middlewares=traefik-auth" # Применяем аутентификационную middleware
34
      - "traefik.http.routers.traefik-secure.tls=true" # Включаем TLS для безопасного соединения
35
      - "traefik.http.routers.traefik-secure.tls.certresolver=cloudflare" # Используем Cloudflare для выпуска сертификатов
36
      - "traefik.http.routers.traefik-secure.tls.domains[0].main=user.ru" # Доменное имя второго уровня, на который выпускаем SSL сертификат
37
      - "traefik.http.routers.traefik-secure.tls.domains[0].sans=*.user.ru" # Выпускаем wildcard SSL сертификат на все поддоменные имя в рамках домена, определенного правилом выше
38
      - "traefik.http.routers.traefik-secure.service=api@internal" # Определяем внутренний сервис для Traefik API
39

40
networks:
41
  proxy:
42
    name: proxy # Определяем внешнюю сеть к которой необходимо присоединиться
43
    external: true # Указываем, что сеть является внешней

Шаг 2. Создаём `traefik.yaml`#

1
api:
2
  dashboard: true #включаем дэшборд
3
  debug: true # включаем уровень дебаг
4
entryPoints: # определяем точки входа
5
  http: # название точки входа
6
    address: ":80" # порт который относиться к названию http
7
    http: # следующие пять строчек, говорят нам, что мы на глобальном уровне заставляем весь трафик, который приходит на порт 80
8
      redirections:
9
        entryPoint:
10
          to: https
11
          scheme: https
12
  https: # название точки входа
13
    address: ":443" # порт который относиться к названию https
14
      encodedCharacters:                  # Разрешённые закодированные символы (важно для Trilium)
15
        allowEncodedSlash: true           # Разрешить %2F
16
        allowEncodedPercent: true         # Разрешить %25
17
        allowEncodedHash: true            # Разрешить %23
18
serversTransport: # следующие две строчки разрешают нам использовать самоподписанные ssl сертификаты в тех сервиса, которые их используют, например Proxmox
19
  insecureSkipVerify: true
20
providers: # определяем провайдеров конфигурации - это докер и файл динамической конфигурации
21
  docker:
22
    endpoint: "unix:///var/run/docker.sock"
23
    exposedByDefault: false
24
  file:
25
    filename: /config.yaml
26
certificatesResolvers: # определяем кто у нас выступает резолвером сертификатов
27
  cloudflare: # кто именно, указываем, что надо использовать acme; указываем почту, которая используется в cloudflare
28
    acme:
29
      email: mail@gmail.com #add your email
30
      storage: acme.json # определяем файл, где будет храниться вся информация об ssl сертификатов
31
      dnsChallenge: # используем метод получения ssl сертификатов как dns challenge
32
        provider: cloudflare
33
        # provider: vultr
34
        resolvers:
35
          - "1.1.1.1:53"
36
          - "1.0.0.1:53"
37

38
log: # определяем уровень логирования и путь для логов
39
  level: "INFO"
40
  filePath: "/var/log/traefik/traefik.log"
41
accessLog:
42
  filePath: "/var/log/traefik/access.log"

Шаг 3. Создаем файл динамической конфигурации#

В динамической конфигурации мы указываем по каким маршрутам (routers) находятся наши сервисы (services). Указываем на какое поддоменное имя надо выпускать сертификат к конкретному сервису и какие middlewares необходимо применить. В файле который приведен ниже, мы выпускаем ssl сертификат на нашу ноду Proxmox, чтобы она - нода - была доступна по красивому поддоменному имени.

1
http:
2
 #region routers
3
  routers:
4
    proxmox:
5
      entryPoints:
6
        - "https"
7
      rule: "Host(`proxmox.DOMAIN_NAME.ru`)"        # поменяйте на ваше доменное имя
8
      middlewares:
9
        - default-headers
10
        - https-redirect
11
      tls: {}
12
      service: proxmox
13
#
14
#region services
15
#
16
  services:
17
    proxmox:
18
      loadBalancer:
19
        servers:
20
          - url: "https://ip:8006"            # указываете ваш айпи
21
        passHostHeader: true
22
#
23
# region middlewares
24
#
25
  middlewares:                                # даем определение какие middlewares мы хотим в будущем использовать. Полны список на сайте traefik.io
26
    #
27
    https-redirect:    # перенаправляет запрос, если схема запроса отличается от настроенной схемы.
28
      redirectScheme:
29
        scheme: https
30
        permanent: true
31
#
32
    default-headers: # управляет заголовками запросов и ответов
33
      headers:
34
        frameDeny: true
35
        browserXssFilter: true
36
        contentTypeNosniff: true
37
        forceSTSHeader: true
38
        stsIncludeSubdomains: true
39
        stsPreload: true
40
        stsSeconds: 15552000
41
        customFrameOptionsValue: SAMEORIGIN
42
        customRequestHeaders:
43
          X-Forwarded-Proto: https
44

45
    default-whitelist: # локальный фаерволл, работающий по принципу разрешить запросы только с конкретных айпи.
46
      ipAllowList:
47
        sourceRange:
48
        - "10.0.0.0/8"
49
        - "192.168.0.0/16"
50
        - "172.16.0.0/12"

Шаг 4. Создаем acme.json#

touch /etc/traefik/acme.json - создаем файл, в котором будут храниться данные о наших сертификатах

chmod 600 /etc/traefik/acme.json - задаем необходимые права на acme.json файл. В противном случае Traefik просто не запустится. Считаю, что наличие такой защиты от дурака - большой плюс.

Шаг 5. Запуск контейнера Traefik#

docker network create proxy - создаем докер сеть с названием proxy

sudo apt install apache2-utils - устанавливаем пакет утилит apache 2

echo $(htpasswd -nB user) | sed -e s/\\$/\\$\\$/g - создаем захэшированный пароль для нашего дэшборда

docker compose up -d - запускаем контейнер

Если у вас все в порядке - это можно посмотреть в логе traefik.log - то теперь, когда мы перейдем по ссылке для дэшборда traefik по адресу traefik-dashboard.user.ru, то: во-первых, мы такой доступ получим, а, во-вторых, сможем посмотреть данные нашего сертификата в браузере. Также данные о сертификате можно посмотреть в acme.json файле.

Если все в порядке, то у вас в наличии подготовленный полноценный обратный прокси, который стоит и бьет копытом, чтобы начать выпускать ssl сертификаты на все подряд. Но, конечно, вместе с настоящей статьей, лучше посмотреть еще и видео, так как там наглядное пособие, каким образом можно выпускать сертификаты с помощью labels в докере.

Prohomelab