traefik

Présentation

Traefik est un reverse proxy HTTP moderne et un répartiteur de charge qui facilite le déploiement de micro services. Traefik est gratuit, OpenSource et SelfHosted.

Traefik s'intègre à vos composants d'infrastructure existants (Docker, mode Swarm, Kubernetes, Marathon, Consul, Etcd, Rancher, Amazon ECS, ...) et se configure automatiquement et dynamiquement.

Ce qui distingue Traefik, outre ses nombreuses fonctionnalités, est qu'il découvre automatiquement la bonne configuration des services. La magie opère lorsque Traefik inspecte votre infrastructure, où il trouve les informations pertinentes et découvre quel service sert quelle requête.

Traefik est nativement compatible avec les principales technologies de cluster, telles que Kubernetes, Docker, Docker Swarm, AWS, Mesos, Marathon, et bien d'autres encore. (Il fonctionne même pour les logiciels hérités fonctionnant sur du métal nu).

Avec Traefik, il n'est pas nécessaire de maintenir et de synchroniser un fichier de configuration séparé : tout se passe automatiquement, en temps réel (pas de redémarrage, pas d'interruption de connexion). On trouve deux types de fichiers de configuration, que l'on verra plus tard.

En développant Traefik, notre objectif principal est de le rendre simple à utiliser, et nous sommes sûrs que vous allez l'apprécier.

Vous pouvez retrouver le projet ici ou sur Github.

Prérequis

Dans mon cas, les parties liées au certificat sont commentées, car j'utilise un certificat wildcard généré au préalable via un challenge DNS (OVH). Un guide sera disponible prochainement.

Configuration

Il faut d'abord commencer par créer les fichiers de configuration. Traefik utilise deux types de configuration.

Vous pouvez retrouver un exemple ici.

Installation

Docker-compose

L'installation se fait majoritairement via une image Docker. J'ai choisi le déploiement par docker-compose, je trouve cela bien plus pratique.

# By Khroners
version: '3.8'
services:
  traefik:
    image: traefik:2.4.8 #utiliser le dernier tag
    container_name: traefik
    restart: unless-stopped
    security_opt:
      - no-new-privileges:true
    networks:
      - proxy
    ports:
      - 80:80
      - 443:443
    volumes:
      - /etc/localtime:/etc/localtime:ro
      - /var/run/docker.sock:/var/run/docker.sock:ro
      - /apps/traefik/traefik.yml:/etc/traefik/traefik.yml:ro
      - /apps/traefik/config/:/etc/traefik/config/:ro
# Décommentez cette ligne si vous n'utilisez pas un certificat déjà généré
#      - /apps/traefik/acme.json:/acme.json
#Commentez cette ligne si vous n'utilisez pas un certificat généré au préalable      
      - /etc/letsencrypt/archive/khroners.fr-0001/:/certs:ro # Edit the path of your certificates
    labels:
      - traefik.enable=true
      - traefik.http.routers.traefik.entrypoints=http
      - traefik.http.routers.traefik.rule=Host("traefik.exemple.fr")
      - traefik.http.middlewares.traefik-auth.basicauth.users=admin:{SHA}0DPiKuNIrrVmD8IUCuw1hQxNqZc=
      - traefik.http.middlewares.traefik-https-redirect.redirectscheme.scheme=https
      - traefik.http.routers.traefik.middlewares=traefik-https-redirect
      - traefik.http.routers.traefik-secure.entrypoints=https
      - traefik.http.routers.traefik-secure.rule=Host("traefik.exemple.fr")
      - traefik.http.routers.traefik-secure.middlewares=traefik-auth
      - traefik.http.routers.traefik-secure.tls=true
# Décommentez cette ligne si vous n'utilisez pas un certificat déjà généré
#      - traefik.http.routers.traefik-secure.tls.certresolver=http
      - traefik.http.routers.traefik-secure.service=api@internal

networks:
  proxy:
    external: true

Le fichier docker-compose.yml est également disponible ici.

Pour une installation rapide, vous pouvez récupérer le répertoire, modifier les fichiers de configuration (les URL, certificats, tags des images) et lancer le conteneur.

mkdir /apps/
cd /apps/
git clone https://github.com/Khroners/Traefik-with-A-plus-on-SSL-Labs-Headers

Une fois les fichiers de configuration modifiés (traefik.yml, config.yml et tls.yml), vous pouvez lancer le conteneur et vérifier son bon fonctionnement.

cd Traefik-with-A-plus-on-SSL-Labs-Headers/
docker-compose up -d
docker logs <id_du_conteneur>

 

Attention : Pensez bien à modifier les fichiers de configuration pour correspondre à votre infrastructure (URL, chemin de destination des volumes, certificats, …)

Configuration des conteneurs pour l'utilisation de Traefik

Il est nécessaire de rajouter des étiquettes ("labels") aux conteneurs pour qu'ils soit détectés par Traefik. Voici un exemple avec le déploiement de Wordpress.

version: "3.8"

services:
   # Base de données
   wordpress-db:
     container_name: $SERVICE-db
     image: mysql:5.7.34
     volumes:
       - $DATA_LOCATION/db:/var/lib/mysql
     restart: always
     environment:
       MYSQL_ROOT_PASSWORD: $DB_ROOT
       MYSQL_DATABASE: wordpress
       MYSQL_USER: $DB_USER
       MYSQL_PASSWORD: $DB_PASSWORD

 
     networks:
       - proxy

   wordpress:
     container_name: $SERVICE
     depends_on:
       - wordpress-db
     image: wordpress:php7.4
     restart: always
     volumes:
       - $DATA_LOCATION/uploads.ini:/usr/local/etc/php/conf.d/uploads.ini
       - $DATA_LOCATION/html:/var/www/html
     environment:
       WORDPRESS_DB_HOST: wordpress-db:3306
       WORDPRESS_DB_USER: $DB_USER
       WORDPRESS_DB_PASSWORD: $DB_PASSWORD
       WORDPRESS_DB_NAME: wordpress
#     ports:
#      - 8082:8082


     networks:
       - proxy

     labels:
      - "traefik.enable=true"
      - "traefik.http.routers.$SERVICE.entrypoints=http"
      - "traefik.http.routers.$SERVICE.rule=Host(`$SERVICE.$NDD`)"
      - "traefik.http.middlewares.$SERVICE-https-redirect.redirectscheme.scheme=https"
      - "traefik.http.routers.$SERVICE.middlewares=$SERVICE-https-redirect"
      - "traefik.http.routers.$SERVICE.middlewares=hsts-headers@file"
      - "traefik.http.routers.$SERVICE-secure.entrypoints=https"
      - "traefik.http.routers.$SERVICE-secure.rule=Host(`$SERVICE.$NDD`)"
      - "traefik.http.routers.$SERVICE-secure.middlewares=hsts-headers@file"
      - "traefik.http.routers.$SERVICE-secure.tls=true"
#      - "traefik.http.routers.$SERVICE-secure.tls.certresolver=http"
      - "traefik.docker.network=proxy"
 
networks:
  proxy:
    external:
      name: proxy

On remarque ici que pour chaque service, on rajoute le réseau “proxy” qui correspond au réseau de Traefik. Ce réseau est déclaré à la fin du fichier.

Les labels sont rajoutés pour le service exposé. 

Attention : Décommentez le label commenté si vous n'utilisez pas un certificat pré-généré.

Le serveur Wordpress sera donc accessible via https://$SERVICE.$NDD/.