如何在Ubuntu 18.04上使用Traefik作为Docker容器的反向代理

介绍

Docker可以是在生产中运行Web应用程序的有效方法,但您可能希望在同一个Docker主机上运行多个应用程序。在这种情况下,您需要设置反向代理,因为您只想公开端口80443

Traefik是一个支持Docker的反向代理,包括自己的监控仪表板。在本教程中,您将使用Traefik将请求路由到两个不同的Web应用程序容器:Wordpress容器和Adminer容器,每个容器都与MySQL数据库通信。您将使用Let的加密将Traefik配置为通过HTTPS提供所有内容。

先决条件

要继续学习本教程,您需要具备以下条件:

  • 一个Ubuntu 18.04服务器,包括一个具有sudo权限的非root用户和防火墙。没有服务器的同学可以在这里购买,不过我个人更推荐您使用免费的腾讯云开发者实验室进行试验,学会安装后再购买服务器
  • 在您的服务器上安装Docker。
  • 安装Docker Compose,您可以通过如何在Ubuntu 18.04上安装Docker Compose的说明的教程来安装。
  • 域和三个A记录, db-adminblog并且monitor,每一个点到你的服务器的IP地址。在本教程中,请在配置文件和示例中使用your_domain替换您的域。

第1步 - 配置和运行Traefik

Traefik项目有一个官方Docker镜像,因此我们将使用它在Docker容器中运行Traefik。

但在我们启动并运行Traefik容器之前,我们需要创建配置文件并设置加密密码,以便我们可以访问监控仪表板。

我们将使用该htpasswd实用程序创建此加密密码。首先,安装apache2-utils包中包含的实用程序:

sudo apt-get install apache2-utils

然后使用htpasswd生成密码。用您想要用于Traefik管理员用户的密码替换secure_password

htpasswd -nb admin secure_password

程序的输出如下所示:

admin:$apr1$ruca84Hq$mbjdMZBAG.KWn7vfN/SNK/

您将在Traefik配置文件中使用此输出为Traefik运行状况检查和监视仪表板设置HTTP基本身份验证。复制整个输出行,以便稍后粘贴。

要配置Traefik服务器,我们将创建一个名叫traefik.toml的新配置文件。该文件使用TOML格式。TOML是一种类似于INI文件的配置语言,但标准化。该文件允许我们配置Traefik服务器以及我们想要使用的各种集成或提供程序。在本教程中,我们将使用Traefik的三个可用的提供商:apidocker,和acme,这是用于支持TLS使用让我们加密。

nano或您喜欢的文本编辑器中打开您的新文件:

nano traefik.toml

首先,添加两个命名的入口点,httphttps,这样的话,在默认情况下所有后端都可以访问:

defaultEntryPoints = ["http", "https"]

我们稍后将在此文件中配置httphttps输入点。

接下来,配置api提供程序,使您可以访问仪表板界面。您可以在此处粘贴htpasswd命令的输出:

...
[entryPoints]
  [entryPoints.dashboard]
    address = ":8080"
    [entryPoints.dashboard.auth]
      [entryPoints.dashboard.auth.basic]
        users = ["admin:your_encrypted_password"]
​
[api]
entrypoint="dashboard"

仪表板是一个单独的Web应用程序,将在Traefik容器中运行。我们将仪表板设置为在端口8080上运行。

entrypoints.dashboard部分配置了我们将如何与api提供者连接,该entrypoints.dashboard.auth.basic部分为仪表板配置HTTP基本身份验证。使用您刚刚运行的htpasswd命令的输出作为users条目的值。您可以通过用逗号分隔来指定其他登录。

我们已经定义了第一个entryPoint,但是我们需要为标准HTTP和HTTPS通信定义其他不是针对api提供者的。该entryPoints部分配置Traefik和代理容器可以侦听的地址。将这些行添加到entryPoints标题下方的文件中:

...
  [entryPoints.http]
    address = ":80"
      [entryPoints.http.redirect]
        entryPoint = "https"
  [entryPoints.https]
    address = ":443"
      [entryPoints.https.tls]
...

http入口点处理端口80,而 https入口点使用的端口443为TLS / SSL。我们自动将端口80上的所有流量重定向到https入口点,以强制所有请求的安全连接。

接下来,添加此部分以配置Traefik的Let's Encrypt证书支持:

...
[acme]
email = "your_email@your_domain"
storage = "acme.json"
entryPoint = "https"
onHostRule = true
  [acme.httpChallenge]
  entryPoint = "http"

此部分名叫acme因为ACME是用于与Let的加密进行通信以管理证书的协议的名称。Let's Encrypt服务需要使用有效的电子邮件地址进行注册,因此为了让Traefik为我们的主机生成证书,请将email密钥设置为您的电子邮件地址。然后,我们指定将把我们将从Let's Encrypt接收的信息存储在一个名为acme.json的JSON文件中。该entryPoint密钥的需要在端口443指向切入点,这在我们的案例中来说,https切入点。

密钥onHostRule决定了Traefik应该如何生成证书。我们希望在创建具有指定主机名的容器后立即获取证书,这就是onHostRule设置的作用。

acme.httpChallenge部分允许我们指定Let的加密如何验证应该生成证书。我们将其配置为通过http入口点作为挑战的一部分来提供文件。

最后,让我们通过将以下行添加到文件来配置docker提供程序:

...
[docker]
domain = "your_domain"
watch = true
network = "web"

docker提供程序使Traefik能够在Docker容器前充当代理。我们已经将提供程序配置为在web网络上的watch的新容器(我们很快就会创建)并将它们作为your_domain的子域进行公开。

此时,traefik.toml应具备以下内容:

defaultEntryPoints = ["http", "https"]
​
[entryPoints]
  [entryPoints.dashboard]
    address = ":8080"
    [entryPoints.dashboard.auth]
      [entryPoints.dashboard.auth.basic]
        users = ["admin:your_encrypted_password"]
  [entryPoints.http]
    address = ":80"
      [entryPoints.http.redirect]
        entryPoint = "https"
  [entryPoints.https]
    address = ":443"
      [entryPoints.https.tls]
​
[api]
entrypoint="dashboard"
​
[acme]
email = "your_email@your_domain"
storage = "acme.json"
entryPoint = "https"
onHostRule = true
  [acme.httpChallenge]
  entryPoint = "http"
​
[docker]
domain = "your_domain"
watch = true
network = "web"

保存文件并退出编辑器。有了所有这些配置,我们就可以启动Traefik了。

第2步 - 运行Traefik容器

接下来,为代理创建一个Docker网络以与容器共享。Docker网络是必需的,以便我们可以将它与使用Docker Compose运行的应用程序一起使用。我们打电话给这个web网络。

docker network create web

当Traefik容器启动时,我们会将其添加到此网络中。然后,我们可以稍后向此网络添加其他容器,以便Traefik代理。

接下来,创建一个空文件,它将保存我们的Let的加密信息。我们将这个分享到容器中,以便Traefik可以使用它:

touch acme.json

如果容器内的root用户具有唯一的读写访问权限,Traefik将只能使用此文件。为此,请在acme.json上锁定权限,以便只有文件所有者具有读写权限。

chmod 600 acme.json

文件传递给Docker后,所有者将自动更改为容器内的root用户。

最后,使用以下命令创建Traefik容器:

docker run -d \
  -v /var/run/docker.sock:/var/run/docker.sock \
  -v $PWD/traefik.toml:/traefik.toml \
  -v $PWD/acme.json:/acme.json \
  -p 80:80 \
  -p 443:443 \
  -l traefik.frontend.rule=Host:monitor.your_domain \
  -l traefik.port=8080 \
  --network web \
  --name traefik \
  traefik:1.7.2-alpine

命令有点长,让我们分解它。

我们使用该-d标志在后台运行容器作为守护进程。然后,我们将docker.sock文件共享到容器中,以便Traefik进程可以监听容器的更改。我们还将配置文件traefik.toml和我们创建的acme.json文件共享到容器中。

接下来,我们将Docker主机上的端口:80:443映射到Traefik容器中的相同端口,以便Traefik接收到服务器的所有HTTP和HTTPS流量。

然后我们设置两个Docker标签,告诉Traefik将流量引导到Traefik容器内的端口:8080的主机名monitor.your_domain,从而暴露监控仪表板。

我们将容器的网络设置为web,并将容器命名为traefik

最后,我们使用traefik:1.7.2-alpine此容器的图像,因为它很小。

Docker镜像ENTRYPOINT是一个始终在从图像创建容器时运行的命令。在这种情况下,该命令是traefik容器内的二进制文件。您可以在启动容器时将其他参数传递给该命令,但我们已在traefik.toml文件中配置了所有设置。

启动容器后,您现在可以访问仪表板以查看容器的运行状况。您还可以使用此仪表板显示Traefik已注册的前端和后端。通过将您的浏览器指向https://monitor.your_domain访问监控仪表板。系统将提示您输入用户名和密码,即管理员和您在步骤1中配置的密码。

登录后,您将看到类似于此的界面:

目前还没有太多东西可以看,但是打开这个窗口,当你为Traefik添加容器时,你会看到内容发生了变化。

我们现在运行Traefik代理,配置为与Docker一起使用,并准备监视其他Docker容器。让我们为Traefik开始一些容器作为代理。

第3步 - 使用Traefik注册容器

运行Traefik容器后,您就可以在其后面运行应用程序了。让我们在Traefik后面推出以下cotainers:

  1. 使用官方Wordpress图像的博客。
  2. 使用官方Adminer映像的数据库管理服务器。

我们将使用Docker Compose使用docker-compose.yml文件管理这两个应用程序。在编辑器中打开docker-compose.yml文件:

nano docker-compose.yml

将以下行添加到文件中以指定我们将使用的版本和网络:

version: "3"
​
networks:
  web:
    external: true
  internal:
    external: false

我们使用Docker Compose版本3,因为它是Compose文件格式的最新主要版本。

对于Traefik来识别我们的应用程序,它们必须是同一网络的一部分,并且由于我们手动创建了网络,我们通过指定网络名称web和设置external来将其拉入true。然后我们定义另一个网络,以便我们可以将我们公开的容器连接到我们不会通过Traefik公开的数据库容器。我们称之为网络internal

接下来,我们将定义每一个services。让我们从blog容器开始,我们将基于官方的WordPress图像。将此配置添加到文件中:

version: "3"
...
​
services:
  blog:
    image: wordpress:4.9.8-apache
    environment:
      WORDPRESS_DB_PASSWORD:
    labels:
      - traefik.backend=blog
      - traefik.frontend.rule=Host:blog.your_domain
      - traefik.docker.network=web
      - traefik.port=80
    networks:
      - internal
      - web
    depends_on:
      - mysql

environment键允许您指定将在容器内设置的环境变量。通过不为WORDPRESS_DB_PASSWORD设置值,我们告诉Docker Compose从我们的shell获取值并在创建容器时传递它。我们将在启动容器之前在shell中定义此环境变量。这样我们就不会将密码硬编码到配置文件中。

labels部分是您为Traefik指定配置值的部分。Docker标签本身不做任何事情,但Traefik会读取这些内容,因此它知道如何处理容器。以下是每个标签的作用:

  • traefik.backend指定Traefik中后端服务的名称(指向实际blog容器)。
  • traefik.frontend.rule=Host:blog.your_domain告诉Traefik检查所请求的主机,如果它匹配blog.your_domain``blog的模式,则应该将流量路由到容器。
  • traefik.docker.network=web指定Traefik查找哪个网络以查找此容器的内部IP。由于我们的Traefik容器可以访问所有Docker信息,如果我们没有指定它,它可能会占用internal网络的IP 。
  • traefik.port 指定Traefik用于将流量路由到此容器的公开端口。

使用此配置,发送到Docker主机端口80的所有流量都将路由到blog容器。

我们将此容器分配给两个不同的网络,以便Traefik可以通过web网络找到它,并且可以通过internal网络与数据库容器进行通信。

最后,该depends_on密钥告诉Docker Compose该容器需要其依赖项运行启动。由于WordPress需要运行数据库,因此我们必须在启动blog容器之前运行我们的mysql容器。

接下来,通过将此配置添加到您的文件来配置MySQL服务:

services:
...
  mysql:
    image: mysql:5.7
    environment:
      MYSQL_ROOT_PASSWORD:
    networks:
      - internal
    labels:
      - traefik.enable=false

我们正在使用这个容器的官方MySQL 5.7映像。您会注意到我们再次使用没有值的environment项目。该MYSQL_ROOT_PASSWORDWORDPRESS_DB_PASSWORD变量需要被设置为相同的值,以确保我们的WordPress的容器可以与MySQL进行通信。我们不希望将mysql容器暴露给Traefik或外部世界,因此我们只将此容器分配给internal网络。由于Traefik可以访问Docker套接字,因此默认情况下该进程仍会暴露mysql容器的前端,因此我们将添加标签traefik.enable=false以指定Traefik不应公开此容器。

最后,添加此配置以定义Adminer容器:

services:
...
  adminer:
    image: adminer:4.6.3-standalone
    labels:
      - traefik.backend=adminer
      - traefik.frontend.rule=Host:db-admin.your_domain
      - traefik.docker.network=web
      - traefik.port=8080
    networks:
      - internal
      - web
    depends_on:
      - mysql

此容器基于官方Adminer图像。此容器的networkdepends_on配置完全符合我们使用的blog容器。

但是,由于我们将所有流量直接导向Docker主机上的端口80blog容器,因此我们需要以不同方式配置此容器,以便将流量传输到adminer容器。该traefik.frontend.rule=Host:db-admin.your_domain行告诉Traefik检查所请求的主机。如果它与db-admin.your_domain``adminer模式匹配,Traefik会将流量路由到容器。

此时,docker-compose.yml应具备以下内容:

version: "3"
​
networks:
  web:
    external: true
  internal:
    external: false
​
services:
  blog:
    image: wordpress:4.9.8-apache
    environment:
      WORDPRESS_DB_PASSWORD:
    labels:
      - traefik.backend=blog
      - traefik.frontend.rule=Host:blog.your_domain
      - traefik.docker.network=web
      - traefik.port=80
    networks:
      - internal
      - web
    depends_on:
      - mysql
  mysql:
    image: mysql:5.7
    environment:
      MYSQL_ROOT_PASSWORD:
    networks:
      - internal
    labels:
      - traefik.enable=false
  adminer:
    image: adminer:4.6.3-standalone
    labels:
      - traefik.backend=adminer
      - traefik.frontend.rule=Host:db-admin.your_domain
      - traefik.docker.network=web
      - traefik.port=8080
    networks:
      - internal
      - web
    depends_on:
      - mysql

保存文件并退出文本编辑器。

接下来,在启动容器之前,在shell中为WORDPRESS_DB_PASSWORDMYSQL_ROOT_PASSWORD变量设置值:

export WORDPRESS_DB_PASSWORD=secure_database_password
export MYSQL_ROOT_PASSWORD=secure_database_password

用您想要的数据库密码替换secure_database_password。请记住,为WORDPRESS_DB_PASSWORDMYSQL_ROOT_PASSWORD使用相同的密码。

设置这些变量后,使用docker-compose命令运行容器:

docker-compose up -d

现在再看一下Traefik管理仪表板。你会看到现在有一个backend和一个frontend服务于这两个已暴露的服务器:

导航到blog.your_domain,用您的域名替换your_domain。您将被重定向到TLS连接,现在可以完成Wordpress设置:

现在通过在浏览器中访问db-admin.your_domain来访问Adminer ,再次使用您的域名替换your_domain。该mysql容器未暴露于外界,但adminer容器可以通过internalDocker网访问它,他们在分享该internalDocker网时,使用mysql容器名称作为主机名。

在Adminer登录屏幕上,使用用户名root,将mysql用于服务器,并使用您为MYSQL_ROOT_PASSWORD设置的值来设置为密码的值。登录后,您将看到Adminer用户界面:

这两个站点现在都在工作,您可以在monitor.your_domain上使用仪表板来监视您的应用程序。

结论

在本教程中,您将Traefik配置为将请求代理到Docker容器中的其他应用程序。

Traefik在应用程序容器级别的声明性配置使得配置更多服务变得容易,并且在向代理流量添加新应用程序时无需重新启动traefik容器,因为Traefik通过它正在监视的Docker套接字文件立即注意到更改。

要了解有关Traefik可以做些什么的更多信息,请访问Traefik官方文档

更多Ubuntu教程请前往腾讯云+社区学习更多知识。


参考文献:《How to Use Traefik as a Reverse Proxy for Docker Containers on Ubuntu 18.04》

原创声明,本文系作者授权云+社区发表,未经许可,不得转载。

如有侵权,请联系 yunjia_community@tencent.com 删除。

编辑于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏乐沙弥的世界

java环境配置及jps命令未找到

最近基于CentOS 7下安装hadoop集群,碰到了java环境变量的问题,同时也出现了jps命令无法找到的情况。简要描述一下基于CentOS 7下Java环...

16330
来自专栏云计算

使用ACS和Kubernetes部署Red Hat JBoss Fuse

Red Hat JBoss Fuse十多年来一直是构建Java Web / RESTful服务的事实标准。但是,你该如何在当今以云为中心的世界中有效运行?如您所...

286100

20分钟搞定——通过Docker部署Spring Boot应用程序到Bluemix云计算平台

我很想了解关于 Java 中 Spring 框架的更多内容。借 Spring 之势来构建企业应用程序,其简单性使得它非常有趣。于是我着手实践了一个简单的教程,并...

32680
来自专栏吴伟祥

IntelliJ IDEA快速实现Docker镜像部署 顶

1、新建一个Spring Boot工程,在工程里写一个REST接口,如下,简单返回一个字符串。

90830
来自专栏晓晨的专栏

使用Docker安装Jenkins

35310
来自专栏熊二哥

SpringBoot详细研究-04部署测试与监控

这部分的内容实际就是devops的主要工作内容,当然一名合格的程序要也需要掌握这部分的知识。 ? ? 热部署 简单来说,在开发时,修改了任何的代码,I...

26090
来自专栏小狼的世界

Kubernetes中Pod的健康检查

我们先来看一下Kubernetes的架构图,每个Node节点上都有 kubelet ,Container Probe 也就是容器的健康检查是由 kubelet ...

37110
来自专栏python3

gitlab CI脚本编写

从 GitLab 8.0 开始,GitLab CI 就已经集成在 GitLab 中,我们只要在项目中添加一个 .gitlab-ci.yml 文件,然后添加一个 ...

40010
来自专栏bboysoul

使用docker-machine在vmware vsphere上创建docker虚拟机

这个其实没什么好说的,我就是为了记录一下创建的过程,如果不会使用docker-machine。

16220
来自专栏Java帮帮-微信公众号-技术文章全总结

Docker 学习教程【面试+工作】

90240

扫码关注云+社区

领取腾讯云代金券