Настройка обратного прокси-сервера Traefik для контейнеров Docker в Debian 9

Docker – довольно эффективный метод запуска приложений в среде производства. Но что делать, если на одном хосте Docker нужно запустить несколько приложений? В такой ситуации можно настроить обратный прокси-сервер, который будет поддерживать открытыми только порты 80 и 443.

Traefik – это обратный прокси с поддержкой Docker, который предоставляет встроенную панель мониторинга. Данный мануал поможет настроить Traefik для маршрутизации запросов к двум разным контейнерам приложений: WordPress и Adminer. Каждый контейнер подключен к БД MySQL. Traefik будет обслуживать все по HTTPS с помощью сертификата Let’s Encrypt.

Требования

  • Сервер Debian 9, настроенный согласно этому мануалу.
  • Запущенный хост Docker. В этом вам поможет руководство Установка и использование Docker в Debian 9.
  • Docker Compose (установить приложение можно с помощью этого мануала).
  • Домен и три записи А: db-admin, blog и monitor. Каждая запись должна указывать на IP-адрес хоста Docker. В мануале используется условное обозначение your_domain. Его нужно заменить вашим доменом.

1: Настройка и запуск Traefik

Проект Traefik предоставляет официальный образ Docker, который поможет быстро запустить Traefik в контейнере.

Но прежде чем запустить контейнер Traefik, нужно создать конфигурационный файл и установить зашифрованный пароль, чтобы получить доступ к панели мониторинга.

Используйте утилиту htpasswd, чтобы создать зашифрованный пароль. Установите утилиту, которая входит в пакет apache2-utils.

sudo apt install apache2-utils

Затем сгенерируйте пароль с помощью htpasswd. Замените secure_password паролем, который вы хотите использовать для пользователя администратора Traefik:

htpasswd -nb admin secure_password
admin:$apr1$ruca84Hq$mbjdMZBAG.KWn7vfN/SNK/

Этот вывод используется в конфигурационном файле Traefic для настройки базовой аутентификации HTTP в панели мониторинга Traefik. Скопируйте всю строку, чтобы затем вставить ее в файл.

Чтобы настроить сервер Traefik, создайте файл traefik.toml в формате TOML. TOML – это стандартизированный язык конфигурации (аналогичный INI-файлам). Этот файл позволяет настроить сервер Traefik и дополнительные провайдеры. В данном мануале мы используем три доступных провайдера Traefik: api, docker и acme, который нужен для поддержки TLS сертификатов Let’s Encrypt.

Откройте файл:

nano traefik.toml

Добавьте две именованные точки входа, http и https, доступ к которым по умолчанию будет у всех бэкендов.

defaultEntryPoints = ["http", "https"]

Точки http и https мы настроим немного позже.

Сейчас мы настроим провайдер api, который дает доступ к панели мониторинга. Здесь и нужно использовать строку, сгенерированную командой htpasswd:

...
[entryPoints] [entryPoints.dashboard] address = ":8080"
[entryPoints.dashboard.auth] [entryPoints.dashboard.auth.basic] users = ["admin:your_encrypted_password"] [api] entrypoint="dashboard"

Панель инструментов – это отдельное веб-приложение, которое будет работать в контейнере Traefik по порту 8080.

Раздел entrypoints.dashboard настраивает соединение с провайдером api.

Раздел entrypoints.dashboard.auth.basic включает базовую аутентификацию HTTP для дашборда. Вставьте вместо your_encrypted_password строку, сгенерированную утилитой htpasswd. Вы можете указать несколько пар учетных данных, разделив их запятыми.

Итак, мы определили первую точку входа, entryPoint, но для стандартного взаимодействия HTTP и HTTPS нужны другие точки. Раздел entryPoints настраивает адрес, который будут слушать Traefik и контейнеры. Добавьте в файл такие строки:

...
[entryPoints.http] address = ":80"
[entryPoints.http.redirect] entryPoint = "https"
[entryPoints.https] address = ":443"
[entryPoints.https.tls] ...

Точка входа http обрабатывает порт 80, а точка https использует порт 443 для поддержки TLS/SSL. Весь трафик, поступающий по порту 80, будет автоматически перенаправлен в точку https, чтобы все запросы обслуживались только по зашифрованным соединениям.

Затем добавьте следующий раздел, чтобы настроить сертификат Let’s Encrypt для Traefik.

...
[acme] email = "your_email@your_domain"
storage = "acme.json"
entryPoint = "https"
onHostRule = true
[acme.httpChallenge] entryPoint = "http"

Этот раздел называется acme, потому что он отвечает за ACME, – это протокол, с помощью которого сервер взаимодействует с Let’s Encrypt для управления сертификатами. Чтобы Traefik создавал сертификаты для хостов, укажите в строке email свой адрес электронной почты. Затем нужно указать, что хранить информацию Let’s Encrypt нужно в файле JSON, acme.json. В строке entryPoint нужно указать порт обработки точки входа 443 (это точка входа https).

Ключ onHostRule определяет, как Traefik будет генерировать сертификаты. Сертификаты должны появиться сразу, как только будут созданы контейнеры с указанными именами хостов; за это отвечает параметр onHostRule.

В разделе acme.httpChallenge нужно указать, как сервис Let’s Encrypt будет определять, что сертификат должен быть сгенерирован. Мы настроим его для обслуживания файла в рамках задачи через точку входа http.

Теперь добавьте в файл настройки провайдера docker:

...
[docker] domain = "your_domain"
watch = true
network = "web"

Провайдер Docker включает Traefik в качестве прокси-сервера для контейнеров Docker. Провайдер будет следить (строка watch) за новыми контейнерами в сети, которые мы скоро создадим, и выставлять их как субдомены your_domain.

В итоге файл traefik.toml должен выглядеть так:

defaultEntryPoints = ["http", "https"] [entryPoints] [entryPoints.dashboard] address = ":8080"
[entryPoints.dashboard.auth] [entryPoints.dashboard.auth.basic] users = ["admin:your_encrypted_password"] [entryPoints.http] address = ":80"
[entryPoints.http.redirect] entryPoint = "https"
[entryPoints.https] address = ":443"
[entryPoints.https.tls] [api] entrypoint="dashboard"
[acme] email = "your_email@your_domain"
storage = "acme.json"
entryPoint = "https"
onHostRule = true
[acme.httpChallenge] entryPoint = "http"
[docker] domain = "your_domain"
watch = true
network = "web"

Сохраните и закройте файл.

2: Запуск контейнера Traefik

Создайте сеть Docker для поддержки взаимодействия прокси-сервера и контейнеров. Сеть Docker необходима, так как ее можно использовать для работы с приложениями, запущенными в Docker Compose. Для примера мы назовем эту сеть web.

docker network create web

Когда контейнер Traefik будет запущен, нужно будет добавить его в эту сеть. Позже можно добавить в нее дополнительные контейнеры, чтобы использовать Traefik в качестве прокси-сервера для них.

Затем создайте пустой файл, в котором будет храниться информация о шифровании Let’s Encrypt. Добавьте его в контейнер, чтобы Traefik мог его использовать.

touch acme.json

Затем заблокируйте доступ к файлу, чтобы читать и изменять его мог только пользователь root. Если вы этого не сделаете, Traefik не запустится.

chmod 600 acme.json

Создайте контейнер Traefik с помощью этой команды:

docker run -d \
-v /var/run/docker.sock:/var/run/docker.sock \
-v $PWD/traefik.toml:/traefik.toml \
-v $PWD/acme.json:/acme.json \
-p 80:80 \
-p 443:443 \
-l traefik.frontend.rule=Host:monitor.your_domain \
-l traefik.port=8080 \
--network web \
--name traefik \
traefik:1.7.6-alpine

Рассмотрим компоненты этой команды:

  • Флаг –d запускает контейнер в фоновом режиме как демон. Затем команда добавляет в контейнер файл docker.sock, благодаря чему процесс Traefik может прослушивать изменения в контейнерах. Также в контейнер можно поместить конфигурационный файл traefik.toml и acme.json.
  • После этого порты 80 и 443 хоста Docker подключаются к одному и тому же порту в контейнере Traefik. Теперь Traefik получает все запросы HTTP и HTTPS.
  • Затем нужно установить две метки Docker, которые будут направлять трафик на хост monitor.your_domain по порту :8080 внутри контейнера Traefik, открывая дашборд.
  • В качестве сети контейнера нужно указать web. Контейнер называется traefik.
  • Затем для создания контейнера используется образ traefik:1.7.6-alpine.

ENTRYPOINT образа Docker – это команда, которая запускается всегда, когда из образа создается контейнер. В этом случае команда представляет собой бинарный файл traefik внутри контейнера. Вы можете передать дополнительные аргументы этой команде при запуске контейнера, но все необходимые данные мы уже указали в файле traefik.toml.

После запуска контейнера у вас появится дашборд, с помощью которого можно просмотреть состояние контейнеров. Вы также можете использовать эту панель для визуализации интерфейсов и бэкэндов, которые зарегистрировал Traefik. Откройте панель мониторинга в браузере:

https://monitor.your_domain

Вам будет предложено ввести имя пользователя и пароль администратора, и пароль (имя – admin, пароль – строка, которую вы сгенерировали в разделе 1).

После аутентификации на экране появится дашборд.

Пока что в панели не так много информации. Оставьте это окно открытым, и позже вы увидите, что содержимое дашборда изменится, когда вы добавите контейнеры для Traefik.

Теперь у вас есть прокси-сервер Traefik, настроенный для взаимодействия с Docker и готовый управлять другими контейнерами Docker.

3: Добавление контейнеров для Traefik

Контейнер Traefik запущен и готов обслуживать другие контейнеры приложений. Добавьте следующие контейнеры:

  1. Блог, запущенный с помощью официального образа WordPress.
  2. Сервер управления базами данных на основе официального образа Adminer.

Управлять этими приложениями можно с помощью Docker Compose, используя файл docker-compose.yml:

nano docker-compose.yml

Укажите в файле версии и сеть:

version: "3"
networks:
web:
external: true
internal:
external: false

Версия 3 Docker Compose – это новейшая версия формата файла Compose.

Чтобы сервер Traefik мог опознать приложения, они должны входить в одну сеть. Поскольку используемая сеть создана вручную, нужно указать ее имя (web ) и установить в external значение true. Затем нужно определить другую сеть, чтобы связать контейнеры с контейнером базы данных, который не будет обслуживаться контейнером Traefik. Эта внутренняя сеть будет называться internal.

Затем по очереди нужно определить все сервисы. Начать можно с контейнера blog, который основан на официальном образе WordPress. Добавьте в файл этот блок:

version: "3"
...
services:
blog:
image: wordpress:4.9.8-apache
environment:
WORDPRESS_DB_PASSWORD:
labels:
- traefik.backend=blog
- traefik.frontend.rule=Host:blog.your_domain
- traefik.docker.network=web
- traefik.port=80
networks:
- internal
- web
depends_on:
- mysql

Параметр environment указывает переменные среды, которые будут установлены внутри контейнера. Если значение WORDPRESS_DB_PASSWORD не установлено, Docker Compose будет извлекать его из оболочки и передавать при создании контейнера. Определить эту переменную среды можно в оболочке перед запуском контейнеров. Тогда пароли не попадут в конфигурационный файл.

В разделе labels указываются параметры Traefik. Метки Docker сами по себе ничего не делают, но Traefik читает их и понимает, как обращаться с контейнерами. Каждая метка выполняет такие действия:

  • traefik.backend определяет имя сервиса бэкенда (который указывает на контейнер blog).
  • traefik.frontend.rule=Host:blog.your_domain исследует запрашиваемый хост и, если он совпадает с шаблоном blog.your_domain, перенаправляет трафик в контейнер blog.
  • traefik.docker.network=web определяет сеть, в которой Traefik может найти внутренний IP-адрес контейнера. Поскольку Traefik имеет доступ ко всей информации Docker, он может случайно выбрать IP сети internal, если сеть не указана явно.
  • traefik.port указывает порт, который Traefik должен использовать для маршрутизации трафика в контейнеры.

При такой конфигурации весь трафик, отправленный на порт 80 хоста Docker, будет перенаправлен в контейнер blog.

Этот контейнер принадлежит двум различным сетям, чтобы Traefik мог найти его через сеть web и связываться с контейнером базы данных через сеть internal.

Параметр depends_on помогает Docker Compose понять, что этот контейнер нужно запускать после его зависимостей. Поскольку для работы WordPress необходима запущенная БД, контейнер mysql запускается раньше, чем контейнер blog.

Теперь настройте сервис MySQL:

services:
...
mysql:
image: mysql:5.7
environment:
MYSQL_ROOT_PASSWORD:
networks:
- internal
labels:
- traefik.enable=false

Для создания этого контейнера мы используем официальный образ MySQL 5.7. Обратите внимание: параметр environment снова не имеет значения. Для переменных MYSQL_ROOT_PASSWORD и WORDPRESS_DB_PASSWORD необходимо установить одинаковое значение, чтобы контейнер WordPress мог связываться с MySQL. Контейнер mysql не должен взаимодействовать с Traefik или с внешним миром, потому он принадлежит только сети internal. Поскольку Traefik имеет доступ к сокету Docker, процесс по-прежнему будет открывать фронтенд контейнера mysql по умолчанию. Поэтому нужно добавить метку traefik.enable=false, чтобы Traefik не смог сделать этот контейнер доступным.

Теперь нужно добавить параметры контейнера Adminer:

services:
...
adminer:
image: adminer:4.6.3-standalone
labels:
- traefik.backend=adminer
- traefik.frontend.rule=Host:db-admin.your_domain
- traefik.docker.network=web
- traefik.port=8080
networks:
- internal
- web
depends_on:
- mysql

Этот контейнер основан на официальном образе Adminer. Параметры network и depends_on совпадают с этими же параметрами контейнера blog.

Однако поскольку весь трафик порта 80 хоста Docker направляется непосредственно в контейнер blog, нужно настроить контейнер adminer немного иначе, чтобы он получал свой трафик. Благодаря строке traefik.frontend.rule=Host:db-admin.your_domain сервер Traefik будет проверять запрашиваемый хост. Если он соответствует шаблону db-admin.your_domain, Traefik направит трафик в контейнер adminer.

В итоге файл будет выглядеть так:

version: "3"
networks:
web:
external: true
internal:
external: false
services:
blog:
image: wordpress:4.9.8-apache
environment:
WORDPRESS_DB_PASSWORD:
labels:
- traefik.backend=blog
- traefik.frontend.rule=Host:blog.your_domain
- traefik.docker.network=web
- traefik.port=80
networks:
- internal
- web
depends_on:
- mysql
mysql:
image: mysql:5.7
environment:
MYSQL_ROOT_PASSWORD:
networks:
- internal
labels:
- traefik.enable=false
adminer:
image: adminer:4.6.3-standalone
labels:
- traefik.backend=adminer
- traefik.frontend.rule=Host:db-admin.your_domain
- traefik.docker.network=web
- traefik.port=8080
networks:
- internal
- web
depends_on:
- mysql

Сохраните и закройте файл.

Теперь нужно задать значения переменных WORDPRESS_DB_PASSWORD и MYSQL_ROOT_PASSWORD, прежде чем запустить контейнеры.

export WORDPRESS_DB_PASSWORD=secure_database_password
export MYSQL_ROOT_PASSWORD=secure_database_password

Вместо secure_database_password укажите надежный пароль для БД. В WORDPRESS_DB_PASSWORD и MYSQL_ROOT_PASSWORD нужно использовать один и тот же пароль.

Теперь запустите контейнеры:

docker-compose up -d

Снова откройте панель Traefik. Вы увидите, что в ней появились новые контейнеры, а также backend и frontend.

Откройте в браузере blog.your_domain (где your_domain – ваш домен). Соединение будет перенаправлено на зашифрованный порт 443. Теперь можно закончить установку WordPress.

После этого откройте в браузере db-admin.your_domain. Контейнер mysql не доступен в интернете, но контейнер adminer имеет доступ к нему через внутреннюю сеть Docker (internal).

На экране появится форма входа Adminer. Используйте имя пользователя root, укажите mysql в поле server, в поле пароля введите значение переменной MYSQL_ROOT_PASSWORD. После этого вы получите доступ к интерфейсу Adminer.

Оба сайта теперь работают. Чтобы получить доступ к дашборду, введите monitor.your_domain.

Заключение

Теперь сервер Traefik проксирует запросы в контейнеры приложений Docker.

Traefik позволяет легко настраивать большое количество сервисов и устраняет необходимость перезапускать контейнер traefik при добавлении новых приложений в контейнер traefik. Traefik незамедлительно получает все сведения об изменениях через файл сокета Docker.

Чтобы узнать больше о возможностях Traefik, читайте его официальную документацию.

Читайте также:

Tags: , , ,

Добавить комментарий