我们在构建DevOps的流程中,反向代理和自动证书管理是保障服务安全和高效访问的核心环节。Traefik作为一款强大、灵活的反向代理工具,以其与Docker的深度集成和出色的自动化能力而备受青睐。本文将带你一步步搭建 Traefik,结合 Docker 实现反向代理和自动证书管理,帮助你快速上手并理解其工作原理。
一、为什么选择Traefik?
Traefik 作为一款云原生的边缘路由器(Edge Router),具有以下显著优势:
🟢 自动服务发现:Traefik 能够自动检测 Docker 容器并动态更新路由规则。
🟢 自动化 SSL 证书管理:通过集成 Let’s Encrypt,实现 HTTPS 加密的自动签发、续期。
🟢 直观的 Web UI:内置仪表盘,方便监控路由、流量和服务状态。
🟢 灵活的中间件机制:支持请求重写、速率限制、认证等中间件,提升安全性。
二、准备环境
在动手之前,请确保你的环境满足以下条件:
三、安装 Traefik 和 Docker
1. 安装 Docker 与 Docker Compose
在 Linux 系统中执行以下命令:
# 更新系统软件包
sudo apt update && sudo apt upgrade -y
# 安装 Docker
sudo apt install docker.io -y
# 启动 Docker 并设置开机启动
sudo systemctl start docker
sudo systemctl enable docker
# 安装 Docker Compose
sudo apt install docker-compose -y
2. 创建 Traefik 目录结构
mkdir traefik
cd traefik
mkdir -p config data letsencrypt
四、编写 Traefik 配置
1. 创建 `docker-compose.yml`
在 `traefik` 目录下新建 `docker-compose.yml` 文件,内容如下:
version: "3.8"
services:
traefik:
image: traefik:v2.11
container_name: traefik
restart: always
ports:
- "80:80" # HTTP
- "443:443" # HTTPS
- "8080:8080" # Traefik Web UI
volumes:
- "/var/run/docker.sock:/var/run/docker.sock:ro"
- "./config/traefik.yml:/etc/traefik/traefik.yml"
- "./letsencrypt:/letsencrypt"
networks:
- web
networks:
web:
external: true
2. 创建 `traefik.yml`
在 `config` 目录下创建 `traefik.yml` 文件:
entryPoints:
web:
address: ":80"
websecure:
address: ":443"
api:
dashboard: true # 启用 Web UI
providers:
docker:
exposedByDefault: false # 防止默认暴露所有服务
watch: true
certificatesResolvers:
myresolver:
acme:
email: your-email@example.com
storage: "/letsencrypt/acme.json"
httpChallenge:
entryPoint: web
3. 创建 `acme.json` 文件
用于存储 Let’s Encrypt 证书数据:
touch letsencrypt/acme.json
chmod 600 letsencrypt/acme.json
五、配置示例服务
以 Nginx 为例,创建 `docker-compose.override.yml` 文件:
version: "3.8"
services:
nginx:
image: nginx:latest
container_name: nginx
labels:
- "traefik.enable=true"
- "traefik.http.routers.nginx.rule=Host(`example.com`)"
- "traefik.http.routers.nginx.entrypoints=websecure"
- "traefik.http.routers.nginx.tls.certresolver=myresolver"
networks:
- web
六、启动服务
1. 启动 Traefik 服务:
docker network create web
docker-compose up -d
2. 启动 Nginx 示例服务:
docker-compose -f docker-compose.override.yml up -d
3. 验证服务是否正常:
打开浏览器访问 `http://example.com`,若显示 Nginx 默认页面,则服务正常。
打开 `http://localhost:8080` 查看 Traefik Web UI,验证 Traefik 路由是否生效。
七、测试 HTTPS 自动签发
访问 `https://example.com`,若成功跳转并显示有效证书,说明 Traefik 的自动证书管理已生效。
常见问题排查
✅ 如果访问 `https://example.com` 时证书未生效:
检查 `traefik.yml` 的 `email` 地址是否正确。
确认 `acme.json` 权限是否为 `600`。
确保域名 DNS 解析已正确指向服务器 IP。
八、Traefik 中间件配置 (可选)
Traefik 提供强大的中间件机制,支持:
- 重写 URL
- 添加 Basic Auth 身份验证
- 限制请求速率
- 防范 DDoS 攻击
示例:Basic Auth 认证
labels:
- "traefik.http.middlewares.auth.basicauth.users=user:$(htpasswd -nb user password | sed -e s/\\$/\\$\\$/g)"
- "traefik.http.routers.nginx.middlewares=auth@docker"
九、性能优化建议
1. 使用CDN服务,减轻Traefik的带宽负载。
2. 结合Cloudflare等防火墙工具,提升安全性。
3. 定期更新Traefik、Docker以获取最新安全补丁。
Traefik的强大之处在于其高度自动化和可扩展性,尤其在多容器环境下展现出色。
