本文首发于少数派
相信很多NAS玩家都在自家nas里搭建了一些需要在外网访问的服务。如媒体管理软件radarr/sonarr/nastools,媒体播放emby/plex,下载软件qb等等。这些服务如果自己有公网IP或可以通过v6网络访问,则要比搭建vpn穿透回来方便得多。家庭网络搭建反代有一些问题比较棘手,常见的比如80/443一般都是封禁的,就为了下个电影去备案似乎也得不偿失,所以一般都会采用高位端口进行反代。
之前我一直采用SWAG - LinuxServer.io来做反代,这实际上是一个nginx反代服务器+cerbot证书注册打包服务,包含了一些常用selfhosted服务的配置模板。但是,如刚才所说,由于家庭网络的特殊性,某些服务在访问带端口号的地址时会有些莫名其妙的问题,且每次新添服务都要重新配置一番。相比之下traefik功能则更为强大,且可以通过docker label配置选项,docker启动自动反代,索性花了点时间研究下traefik配置,一劳永逸的解决这个问题。
这里不得不吐槽Traefik Proxy Documentation真是写的又臭又长又迷惑,且中文资料不多。所以配置过程中可能少不了Google解决一些问题,另外reddit Traefik板块还比较活跃,一些共性问题都可以直接找到,实在不行还可以发帖询问。
traefik整体架构
Traefik 是一个为了让部署微服务更加便捷而诞生的现代HTTP反向代理、负载均衡工具。 它支持多种后台来自动化、动态配置文件设置,它是一个边缘路由器,它会拦截外部的请求并根据逻辑规则选择不同的操作方式,规则决定着这些请求到底该如何处理。Traefik 提供自动发现能力,会实时检测服务,并自动更新路由规则。
上图为traefik核心组件结构。请求首先由到Entrypoints到达,然后分析传入的请求,查看他们是否与定义的 Routers 匹配。如果匹配,则会通过一系列 middlewares 处理,再到 Services 上做流量转发。实际上就是很简单的流入-处理-流出的过程。
所以,必不可少的三个核心组件为:
- Entrypoints 是
Traefik的网络入口,它定义接收请求的接口,包括请求地址、端口、是否监听TCP或者UDP等。 - Routers 顾名思义,就是转发,主要用于分析请求,并负责将这些请求连接到对应的服务上去,在这个过程中,Routers还可以使用Middlewares来更新请求,比如在把请求发到服务之前添加一些Headers、添加验证、修改路径等等。
- Services 负责配置如何到达最终将处理传入请求的实际服务。
另外,需要额外关注的两个可选组件:
- Providers 是基础组件,Traefik 的配置发现是通过它来实现的,它可以是协调器,容器引擎,云提供商或者键值存储文件(yaml或toml)。Traefik 通过查询
Providers的API来查询路由的相关信息,一旦检测到变化,就会动态的更新路由。比如你用docker就可以配置好跟traefik相关的label,docker启动时就可以自动转发。 - Middlewares 用来修改请求或者根据请求来做出一些判断(authentication, rate limiting, headers, …),中间件要附加到路由上,是一种在请求发送到你的service之前(或者在服务的响应发送到客户端之前)调整请求的一种方法。
还有一点需要说明白的是,针对docker作为后端的traefik的配置可以通过两种渠道(实际上还可以通过命令行,但没必要),一是编写配置文件(可以yaml或toml格式),二是通过配置docker label。区别在于有一些配置可以通过docker自动更新,不必重新改配置文件,但有些如静态配置或非docker的后端服务则只能通过配置文件完成。具体可参考Traefik Configuration Documentation - Traefik
配置分享
由于每个人的网络和服务器状况都不一样,个人觉得手把手的那种教程没什么意义,这里就结合我的配置实例说明下大致该怎么配置。
traefik配置
首先我是用docker-compose维护我所有容器,这里提供我的traefik配置供参考:
services:
traefik:
image: traefik:latest
restart: always
ports:
# 可以通过路由器映射到外网的高位端口如23333,8080端口是web界面
- "443:443"
- "7080:8080"
volumes:
- /var/run/docker.sock:/var/run/docker.sock # 访问docker
- /path/to/traefik:/etc/traefik #配置文件所在目录
environment:
# 这里我用的阿里云域名解析,注册证书用,这里通过环境变量设置,不考虑安全问题的话可以直接写在里面
- "ALICLOUD_ACCESS_KEY=${ALICLOUD_ACCESS_KEY}"
- "ALICLOUD_SECRET_KEY=${ALICLOUD_SECRET_KEY}"
- "ALICLOUD_REGION_ID=cn-beijing"
extra_hosts:
# /etc/hosts里会添加 172.17.0.1 host.docker.internal,可以发现host网络下的docker
- "host.docker.internal:host-gateway"
然后是traefik的配置文件,我用的是yaml格式:
global:
checkNewVersion: true
sendAnonymousUsage: true
entryPoints:
websecure:
address: :443
asDefault: true #这默认为false,即所有router如不指定则同时接收所有entrypoints,true则只默认接收该entrypoint
# 自动注册和更新证书
certificatesResolvers:
lets:
acme:
email: xxx@outlook.com
storage: /etc/traefik/acme/acme.json
dnsChallenge:
provider: alidns
delayBeforeCheck: 0
resolvers:
- "dns13.hichina.com"
- "dns14.hichina.com"
# traefik日志
log:
level: INFO
filePath: /etc/traefik/log.json
format: common
maxAge: 3
# 访问日志,会越来越大,可通过logrotate控制,
accessLog:
filePath: /etc/traefik/access.json
format: json
bufferingSize: 100
# 启用traefik面板
api:
insecure: true
dashboard: true
# 发现服务配置,这里主要是docker,redis作用见后文
providers:
docker:
endpoint: "unix:///var/run/docker.sock"
defaultRule: 'Host(`{{ (split "-" .Name)._0 }}.xxx.xxx`)'
redis:
endpoints:
- 192.168.1.4:6379 # 如果redis和traefik在一台服务器上,只需要指定redis的容器名称:端口即可
# 动态配置文件,一些其他服务通过文件写在里面
file:
directory: "/etc/traefik/dynamic"
服务实例
通过docker label配置示例:
services:
portainer:
image: portainer/portainer-ce:latest
command: -H unix:///var/run/docker.sock
restart: unless-stopped
ports:
- 9000:9000
- 8000:8000
volumes:
- /etc/localtime:/etc/localtime:ro
- /var/run/docker.sock:/var/run/docker.sock
labels:
- "traefik.enable=true" # 默认true,如果不需要反代设置为false
- "traefik.http.services.portainer.loadbalancer.server.port=9000" # 如果映射了多个端口,需要指定反代到后端的端口
- "traefik.http.routers.portainer.tls=true" # 指定tls,则只接收https流量忽略http流量
- "traefik.http.routers.portainer-http.middlewares=http2https@file" # http转https中间件
# - "traefik.http.routers.portainer-http.service=portainer@docker"
# 如果不希望跳转,则将router的service设置到对应项即可
通过动态文件配置:
http:
# 两个router,分别接收http和https
routers:
qb:
service: qb
rule: Host(`qb.xxx.xxx`)
# 通过中间件跳转到https
middlewares:
- http2https
qbhttps:
service: qb
rule: Host(`qb.xxx.xxx`)
# 指定tls,则只接收https流量忽略http流量
tls: true
middlewares:
http2https:
redirectscheme:
scheme: https
permanent: true
# 这里设置为映射到路由器wan的端口
port: 23333
services:
qb:
loadBalancer:
servers:
- url: http://192.168.1.3:8080
需要说明的问题
关于https跳转
跟一般网站配置方式不同的是, 由于ISP封禁443/80端口,这里通过路由器将23333端口同时接收http和https流量,这样所有访问都要显式指定端口号,则无法通过Traefik EntryPoints Documentation - Traefik中的方式在入口处即实现http跳转https:
# 封禁443和80端口后此配置不可用
entryPoints:
web:
address: :80
http: redirections:
entryPoint:
to: websecure
scheme: https
websecure:
address: :443
http:
tls:
certResolver: leresolver
因此,需要给每个service指定两个router,分别接收http和https流量,并在http流量后设置middleware实现跳转,需要注意跳转端口设置为路由器转发到WAN的端口。如果不希望跳转,则将router的service设置到对应项即可。
非集群的多服务器反代
像这种家庭网络一般很少人会用到集群,且比如emby/plex这样用到显卡加速的容器也无法配置集群。但有可能会有多个主机的情况,比如我就把homeassistant和traefik跑在树莓派里,跟多媒体相关的内容则跑在nas里。这里如果一个个手写反代配置则比较麻烦了,可以使用traefik-kop实现自动反代到其他服务器。
traefik-kop是实现docker-redis-traefik自动发现的代理程序,解决了不需要集群的多主机traefik反代问题。实现了跟traefik相同的配置逻辑,即通过label方式实现动态反代。该程序将label内容发布到redis,因此traefik端只要在provider处提供redis地址即可得到需要反代的程序配置。
有一个需要注意的点是,文档中的例子是redis和traefik在一台服务器上,因此只需要指定redis容器名称则完成反代,如果你像我一样将其布置在另一台服务器,则需要指定ip地址。
其他需要说明一下的问题
- 如果有用到host网络的容器,则需要给traefik容器添加
extra_hosts配置,在容器运行后,会在容器的/etc/hosts里会添加172.17.0.1 host.docker.internal,这样traefik就可以发现host网络下的docker。 - traefik的访问日志,会越来越大,可通过logrotate控制,参考How to enable logrotation for traefik? - Stack Overflow。
- 如果容器只映射一个端口到宿主机,可以不指定转发端口,如果映射了多个端口,则需要显式指定要转发的端口。
- 采用dnsChallenge的证书可以注册wildcard,如采用其他方式可能需要给每个子域名指定一些参数,这里由于我没用到,没详细研究。
总结
总体来说,作为一款轻量化的边缘路由程序,traefik给家庭自组服务器做反代还是挺合适的,之前一直对繁复的配置方式望而却步,仔细研究一番发现其实也没有很复杂,善用网络搜索,大部分问题都可以迎刃而解,希望我的文章可以对你有所帮助!