traefik 介绍
traefik 是一个为了让部署微服务更加便捷而诞生的现代HTTP反向代理、负载均衡工具。 它支持多种后台 (Docker, Swarm, Kubernetes, Marathon, Mesos, Consul, Etcd, Zookeeper, BoltDB, Rest API, file…) 来自动化、动态的应用它的配置文件设置。
特性一览
- 它非常快
- 无需安装其他依赖,通过 Go 语言编写的单一可执行文件
- 支持 Rest API
- 多种后台支持:Docker, Swarm, Kubernetes, Marathon, Mesos, Consul, Etcd, 并且还会更多
- 后台监控, 可以监听后台变化进而自动化应用新的配置文件设置
- 配置文件热更新。无需重启进程
- 正常结束 http 连接
- 后端断路器
- 轮询,rebalancer 负载均衡
- Rest Metrics
- 支持最小化 官方 docker 镜像
- 后台支持 SSL
- 前台支持 SSL(包括 SNI)
- 清爽的 AngularJS 前端页面
- 支持 Websocket
- 支持 HTTP/2
- 网络错误重试
- 支持 Let’s Encrypt (自动更新 HTTPS 证书)
- 高可用集群模式
本文将分享 traefik 结合 docker-compose 的一点使用经验。
docker(docker-ce) 及 docker-compose(1.23.2) 的快速安装
sudo curl -fsSL https://get.docker.com | bash -s docker --mirror Aliyun
sudo curl -L https://github.com/docker/compose/releases/download/1.23.2/docker-compose-`uname -s`-`uname -m` -o /usr/local/bin/docker-compose
sudo chmod +x /usr/local/bin/docker-compose
docker-compose 安装 traefik 及使用
用其搭配 docker-compose 部署网站,可轻松绑定域名,设置 https , 负载均衡,已在多个项目使用,文档可靠,强烈推荐!
以下为使用的基本操作
- 创建 network,使 traefik 及网站处于同一网络
- 创建 traefik.toml(官方文档)
- 创建 acme.json (
touch acme.json && chmod 600 ./acme.json) - 创建 docker-compose.yml
docker-compose.yml
使用 docker-compose up -d 即可构建 traefik 服务,
根据 labels 标签通过监听其内部的 8090 端口,并绑定了域名 traefik.testdomain.com
docker-compose 可使用的 labes 配置见文档:http://docs.traefik.cn/toml#docker-backend
traefik.toml 配置见文档:http://docs.traefik.cn/toml
使用之前需要先创建一个网络(docker network create me_gateway),让 traefik 及所有网站都使用一个网络,这样就能够自动将域名绑定到对应的容器中
下面是一个 traefik 的 docker-compose.yml 配置
version: '3'
services:
me_traefik:
restart: always
image: traefik:1.7.4
ports:
- '80:80'
- '443:443'
labels:
- 'traefik.backend=me_traefik'
- 'traefik.frontend.rule=Host:traefik.testdomain.com'
- 'traefik.enable=true'
- 'traefik.passHostHeader=true'
- 'traefik.protocol=https'
- 'traefik.port=8090'
volumes:
- /var/run/docker.sock:/var/run/docker.sock
- ./traefik.toml:/traefik.toml
- ./acme.json:/acme.json
networks:
- webgateway
networks:
webgateway:
external:
name: me_gateway
volumes 说明
/var/run/docker.sock:主机 docker./traefik.toml:traefik 配置文件./acme.json:Let's Encrypt 配置,会根据 traefik.toml 生成,映射出来,后续重启数据将不会丢失,但是需要为其添加读写权限(chmod 600 acme.json),初始化时可以touch acme.json生成一个空文件
下面是一个 traefik 的 traefik.toml 配置示例
################################################################
# Global configuration
################################################################
debug = false
logLevel = "ERROR"
defaultEntryPoints = ["http","https"]
[entryPoints]
[entryPoints.http]
address = ":80"
# [entryPoints.http.redirect]
# entryPoint = "https"
# 启用https
[entryPoints.https]
address = ":443"
[entryPoints.https.tls]
[entryPoints.webentry]
address = ":8090"
[entryPoints.webentry.auth]
[entryPoints.webentry.auth.basic]
users = ["test:$apr1$H6uskkkW$IgXLP6ewTrSuBkTrqE8wj/"]
[api]
dashboard = true
entrypoint = "webentry"
[ping]
[docker]
endpoint = "unix:///var/run/docker.sock"
domain = "testdomain.com"
watch = true
exposedByDefault = false
usebindportip = true
swarmMode = false
network = "me_gateway"
[acme]
# 用于注册的邮箱地址
email = "wsyimo@qq.com"
# 证书存储使用的文件或键。
storage = "acme.json"
# 代理acme验证证书challenge/apply的入口点。
# 警告, 必需指向到一个443端口作为入口点
entryPoint = "https"
# 启用按需证书。如果这个主机名还没有证书,这将会在与一个主机名发起请求的第一个TLS握手中向Let's Encrypt请求一个证书。
# 警告,第一次在请求中获取主机证书会导致TLS握手会非常慢,这会引起Dos攻击。
# 警告,值得注意的是Let's Encrypt是有请求上限的:https://letsencrypt.org/docs/rate-limits
onDemand = false
# 启用根据前端Host规则来生成证书。这将会为每个具有Host规则的前端生成一个Let's Encrypt的证书。
# 举个例子,一个具有规则的Host:test1.traefik.cn,test2.traefik.cn 将会为主域名test1.traefik.cn与SAN(替代域名) test2.traefik.cn生成一个证书。
onHostRule = true
[acme.httpChallenge]
entryPoint="http"
traefik 自动申请 https 证书(Let’s Encrypt)
文档地址:http://docs.traefik.cn/toml#acme-lets-encrypt-configuration
defaultEntryPoints = ["http","https"]
[entryPoints]
[entryPoints.http]
address = ":80"
# [entryPoints.http.redirect]
# entryPoint = "https"
# 启用https
[entryPoints.https]
address = ":443"
[entryPoints.https.tls]
[entryPoints.webentry]
address = ":8090"
traefik 自定义入口并配置账户密码
文档地址:http://docs.traefik.cn/toml#entrypoints-definition
但是,按照文档来,可能并不一定能够配置成功~,如果不成功就参考下面的配置吧,
defaultEntryPoints = ["http","https"]
[entryPoints]
[entryPoints.http]
address = ":80"
# [entryPoints.http.redirect]
# entryPoint = "https"
# 启用https
[entryPoints.https]
address = ":443"
[entryPoints.https.tls]
[entryPoints.webentry]
address = ":8090"
[entryPoints.webentry.auth]
[entryPoints.webentry.auth.basic]
users = ["test:$apr1$H6uskkkW$IgXLP6ewTrSuBkTrqE8wj/"]
[api]
dashboard = true
entrypoint = "webentry"
- 在 api 节点指定 entrypoint= 入口点
- 配置 entryPoints 节点
[entryPoints]
[entryPoints.入口点]
address = ":8090"
[entryPoints.webentry.auth]
[entryPoints.webentry.auth.basic]
users = ["test:$apr1$H6uskkkW$IgXLP6ewTrSuBkTrqE8wj/"]
上诉密码需要使用 htpasswd 生成,可在服务器生成,也可使用新鲜出炉的 metools 的htpasswd 密码生成
在线生成了。(不支持traefik v2)
当 traefik 部署完成,后续网站绑定域名只需要在 docker-compose.yml 中指定 labels对应值即可自动绑定域名,申请 https 等操作了(指定到同一个网络),关于更多使用场景及方法,还是需要去查看文档 ,简单的可以参考我的配置,clone 后通过 docker-compose.yml 就可快速在服务器构建你的项目了
相关地址
- 完整使用示例:参考时需注意域名端口的绑定
- traefik 文档地址:http://docs.traefik.cn/
- traefik 仓库地址:https://github.com/containous/traefik