Traefik V2. Reverse Proxy и LoadBalancer для контейнеров в динамическом окружении.
Traefik V2. Reverse Proxy и LoadBalancer для контейнеров в динамическом окружении и микросервисных архитектурах.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Буду очень благодарен за поддержку в виде чашечки ☕️:
www.buymeacoffee.com/RomNero
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Предложениям пишите на: infotube@romnero.de
Matrix: @romnero:matrix.romnero.de
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
00:00 | Вступление
00:32 | Зачем нужен Reverse Proxy. Traefik
02:38 | Nginx Proy Manager vs. Traefik
04:43 | Traefik - установка. Первые шаги
06:15 | DNS для работы с Traefik
07:05 | Docker compose для Traefik
08:25 | Traefik Dashboard
09:38 | Traefik commands и traefik networks
11:25 | Добавляем nginx контейнер в Traefik
15:00 | Отключение автоматического добавление контейнеров
16:53 | Traefik конфигурация в YAML файле
20:54 | Let'sEncrypt SSL сертификаты. Автоматичекая переадресация http - https
24:44 | Traefik: Secure Dashboard. Безопасность: пользователь и пароль
27:21 | Добавление apache контейнера к traefik
29:35 | Traefik Load Balancer. Контейнер whoami. Скалирование (docker scale).
32:14 | Grafana в traefik. Другие порты.
34:47 | Traefik TCP/UDP. Streaming. MySQL DB через traefik.
Примеры кода: github.com/RomNero/KZhead-In...
Traefik - это современный реверс-прокси и лоад-балансер с открытым исходным кодом, который используется для управления трафиком в современных микросервисных архитектурах. Он предоставляет функциональность маршрутизации и балансировки нагрузки для контейнеризованных приложений, работающих в среде Docker, Kubernetes и других оркестрационных систем. Traefik может автоматически обнаруживать новые сервисы, динамически обновлять конфигурацию и осуществлять балансировку нагрузки на основе различных алгоритмов. Он также обеспечивает поддержку HTTPS и интеграцию с различными провайдерами сертификатов. Traefik имеет простой конфигурационный файл и хорошую документацию, что делает его популярным выбором для развертывания и управления веб-приложениями в современных инфраструктурах.
Очень подробно и понятно объясняете. Спасибо большущее!!!
Автор просто гений, классная подача, все объяснил, показал, красава!
Как класно вы рассказываете сложные вещи простым языком. Спасибо за это видео, многое стало понятно!
Спасибо за очень позитивный отзыв👍
Это тот урок, который я так долго искал. Пока в спортзале крутил педали целый час - все посмотрел, нашел все ответы на свои вопросы. Здоровья тебе друг
Спасибо за отзыв. Рад помочь👍
Шикарная подача, от других авторов как-то не зашло совсем, а это видео очень понравилось. Спасибо за проделанную работу
Спасибо. Очень приятно. Лучшая оценка для меня👍😉
Отличный урок. Спасибо.
Спасибо!
Отличное видео! Спасибо за проделанную работу!
Спасибо за отзыв👍
Огромное спасибо за такое понятное и доступное объяснение. Высший пилотаж! Удачи!
Спасибо за позитивный отзыв 👍
Спасибо, полезное видео. Особенно радует, когда показывают зачем оно вообще нужно и чем лучше/хуже других распространенных решений.
Спасибо за отзыв. Рад, что видео было полезным
Спасибо огромное за качественный материал! Все разжевано максимально!
Спасибо за позитивный отзыв 👍
Очень актуальное и полезное видео. Как всегда, огромное спасибо.
Пользуйтесь. Спасибо за отзыв👍😉
Спасибо за видео. Прояснили простыми словами моменты, которые не мог понять их оф. документации. Очень полезный материал делаете!
Спасибо за отзыв. У меня тоже была такая проблема, когда первый раз посмотрел документацию. Вроде бы всё красиво сделано, но не всё понятно было.
Спасибо за видео! Очень полезно
Всегда пожалуйста
Спасибо, многое стало понятно!
Рад помочь👍
Благодарю! Приходилось настраивать данные сервисы. Время проходит, что-то забывается. Освежил Вашим видео с хорошими и простыми примерами за короткое время!
Спасибо за отзыв. Всегда рад помочь👍
Очень понравилось видео, спасибо большое.
Спасибо за отзыв 👍
спасибо
Спасибо за видео! Настолько интересно и не терпится попробовать что в свой выходной буду пытаться внедрить traefik на свой сервера 😅
Я вас понимаю😄 у меня так же часто бывает. Но не забывайте, что traefik подходит именно для микросервесных окружений. Я использую параллельно traefik и для некоторых вещей nginx proxy manager.
@@RomNero если я правильно понимаю, трафик можно использовать, чтобы запускать на одном сервере отдельные приложения в докер-контейнерах
Йуххху! Новое видео!
Как концерт Eisbrecher? У нас отлично прошёл👍
@@RomNero он только 15го будет)
спасибо. все супер понятно. как то изучал его по индусам голову сломал и бросил это дело.
Спасибо. Значит работа проделана не зря😉 я когда-то тоже не с первого раза разобрался в системе.
Как раз собираюсь запускать traefik в kubernetes. Там многое делается иначе чем в докере но очень полезной была информация по лэйблам. Спасибо за видео.
Есть небольшие различия. В K8s есть больше возможной ей у traefik. Он больше для этой среды предназначен.
Очень хорошая подача материала. Спасибо. Текстовые версии файлов (шаблонов) планируете добавить к видео?
Спасибо. Точно, забыл закинуть. Исправлю позже👍
@@RomNero Скажите пожалуйста, Traefik просто прокси сервер или он ещё и кеширует данные? Пользуюсь NPM, и там замечаю при просмотре видео что просто по ip через пооброшенный порт работает быстрее чем по доменному имени через NPM (есть подозрение что там нужно с кешированием разбираться, но не нашел где отключать).
Спасибо за то, что делитесь знаниями! Можете показать как с помощью traefik делать канареечные релизы?
Спасибо. Я не понимаю, что такое "канареечные"? Не обладаю СНГшным сленгом😄
@@RomNero Canary Releases)))
Спасибо автору за потраченное время, очень интересно слушать и всё понятно и наглядно. Мы у себя в компании внедрили ProxySQL для балансировки нагрузки базы данных, возможно вас заинтересует, полезный продукт.
Спасибо за отзыв и за идею. Я использую ProxySQL но только для больших MySQL (mariadb, percona) кластеров. И так же когда данный кластер должен много разных приложений обслуживать. Для небольших кластеров 3-5 хвостов, проще сделать haproxy.
@@RomNero Согласен. У нас MySQL NDB Cluster
В чем разница между Nginx и Ngnix Proxy Manager? Ведь это два разных докер образа. Можно ли настроить чистый образ Ngnix как обратный прокси, и нужно ли это делать?
Если не секрет, скажете пожалуйста, где вы настраивали днс запись? Это дополнительная утилита?
Конечно не секрет. Публичный dns находится у провайдера netcup.
Спасибо за видео. А что вы думаете про caddy, сравнивали с traefik?
Спасибо за отзыв. Caddy в первую очередь это Web Server. Его можно сравнивать с nginx и apache. Все эти системы могут также использоваться в качестве proxy. Но... Они не могут предложить тот функционал и автоматизацию как traefik. Но traefik предназначен только для микросервесных окружений (Docker, K8s). Caddy набирает сейчас большую популярность. И я считаю, что конфигурировать его проще чем nginx. Но это дело вкуса и опыта.
А можно как-то сделать чтобы был один домен, а траефик распределял по пути допустим?
Спасибо за как всегда крутое и понятное объяснение! Вопрос: как можно traefik задублировать? Как в видео про keepalived+haproxy. Если есть только одна точка входа трафика, и она выйдет из строя - падает всё..
Спасибо за отзыв👍 Есть traefik cluster. Но он ещё в beta версии. Если запущен в K8s, то сам kubernetes следит, что бы traefik работал. И здесь уже отпадает вопрос об HA.
А вы пользовались HaProxy? Интересно услышать ваше мнение про сравнение Traefik и HaProxy
Да, знаком немного с haproxy kzhead.info/sun/gsmRldVwioqCoI0/bejne.html Эти системы нельзя так сравнивать. Они исполняют разные цели. В haproxy нет динамики и автоматизации.
Отличное видео👍 А можно Traefic использовать в закрытой локальной сети предприятия? Я так понимаю Let’s encrypts без белого днс не будет уже работать. Может с помощью mkcert использовать самоподписанные сертификаты SSL?
Да, можно использовать свои сертификат. Их нужно импортировать в traefik
Не понима почему, не могу зайти на дешбоард через публичный домен и публичный айпи но все нормально работает на корпоративном айпи и на локалхост, может проблема в ДДНС? (дайнамик)
Спасибо за видео. Траефик установлен на VPS в докер контейнере, так же здесь установлен wireguard. В домашней локальной сети запущен сервер с нескольким веб-приложениями в докере. Этот локальный сервер связан с сервером на VPS через wireguard туннель Имеется ли принципиальная возможность перенаправлять с помощью траефик в докер контейнеры, находящиеся на другом хосте? Настроил маршрутизацию с докер контейнера на VPS в докер контейнеры на локальном сервере, однако траефик не перенаправляет. Сразу же сообщает, что страница не найдена.
спасибо за видео!! будут ли уроки по Kubernetes?
Будут по K8s. Это как бы подводчщие видео, что бы потом эти темы не так глубоко включать в видео по k8s
@@RomNero 👍будем ждать
Priwet Roman. Spasibo za video. Est odin woprosik. Mi na firme isem Mailarchiwator kotori budet rabotat s MailBox. Mozes stonibud posowetowat? za ranee blagodaren
Привет. К сожалению, ничего подсказать не могу с приложений. Можно просто использовать backup. И долгосрочное хранение email сотрудников, на сколько я знаю, противозаконно. Так что здесь смотри, для каких целей.
А есть способ включить TLS на TCP? Я попробовал, но вышло только без TLS.
Здравствуйте, спасибо за отличный материал и за доступную подачу. Можно ли использовать свой коммерческий wildcard сертификат для динамической конфигурации с доменами 3 уровня?
Да, конечно можно!
Добрый день. Подача супер, спасибо за труды!) Расскажите пожалуйста какую связку посоветуете для публикации в открытый интернет своих микросервисов расположенных на вирутальной машине в проксмокс. Я это вижу так: отдельная ВМ в проксмокс на борту которой nginx proxy manager, которая пересылает запросы на другие ВМ, внутри которых уже запросы принимает traefik и предоставляет нам нужный сервис. Верный ход мыслей или можно как то всё это дело проще организовать? Может есть ультимат гайд для владельцев домашней лаборатории на проксмокс?
Можно сделать и так, но получается перенасыщееие proxy: npm и traefik. Стоит использовать что-то одно. Лучше всего связать Docker VM в кластер - Docker swarm или создать K8s cluster. И тогда уже использовать только traefik. Коротко говоря: много динамических микросервисов - traefik. Статические сервисы - npm.
@@RomNero Благодарю за ответ! Буду изучать! И еще можно простенький вопрос: без открытия портов на роутере возможно сделать сервис общедоступным? Не используя впн. Вроде как есть такая штука как cloudflare tunnel , пока не успел еще изучить, но возможно есть еще другие варианты?
cloudflare tunnel не подходит - сторонний сервис, которому нужно доверять, не готов на это.
Будет обзор на SWAG reverse proxy?
В планах нет. Думаю, npm и traefik достаточно😄
Всё-таки NginxProxyManager более проще использовать и настраивать. Но вот проблема в обновлении NginxProxyManager! Дальше версии 2.9.22 не идёт! Подскажите, пожалуйста, можно обновиться на новые версии???
Согласен, npm проще, но как я в видео и говорил traefik предназначен для полной автоматизации и для использования в больших окружения (Docker, K8s). Обновится можно. Так же вот запись на github: Important: Back up your entire instance before using this new version! As with any new version, there may be breaking changes. Bring your docker instance down Zip or copy your data and letsencrypt folders Pull this new image jc21/nginx-proxy-manager:2.10.4 Bring up your docker stack and check for any problems in the logs Renew your DNS certs Check some or all of your hosts for expected behaviour
Вот именно так и я делал, образ pull'литься, запускается - но не работает, в логах ошибки и через время контейнер становиться unhealthy. И никак не получается выбраться выше версии 2.9.22
@@RomNero Не получается установить таким образом, контейнеры выше чем 2.9.22. pull-ляться, запускаются и через время падают с ошибкой. Прям печаль
Какая ошибка? Стоит прогуглить именно error
@@RomNero там возникают какие-то проблемы с базой данных, толи смена прав на файлы-каталоги, толи на индексы таблиц. У них на гите есть пару инструкций как исправить , но не получилось.
Добрый день! Вы при сравнивании эти двух серверов сказали что NginxProxyManager для более точной работы необходимо донастраивать, можете рассказать как это делается и что можно донастроить и что это даст? Большое спасибо за Вашу работу! P.s. или где это можно почитать.
Я имел в виду при работе с автоматизацией. Нужно довольно много писать кода, что бы полностью автоматизировать данную систему.
Возможно ли получение сертификата без внешнего хоста? Т.е. только на localhost, но если домен прописан в файле host? Или надо всегда держать внешний хостинг для получения LE сертификатов?
Для Le сертификатов нужен public доступ. Можно так же импортировать свои сертификаты.
Возможно ли сделать несколько tcp соединений с разными хостами, но на одном порту. К примеру если несколько контейнеров баз данных mysql. Хотелось бы не меняя порта обращаться по разным хостам.
Конечно можно. Proxy сервер для этого и предназначен👍
@@RomNero просто из того что я читал, в принципе проблема настроить перенаправление по хостам через tcp, там что то связано с tls. И про это по-моему даже есть на сайте трафика
пока что единственное что не получилось, это пробросить TCP в Graylog. на входе есть reap ip, на выходе docker gw ip. какая-то общая проблема и так и не понял как решить. условно graylog inputы приходят все с левым адресом
Хорошее ли это решение ставить graylog inputs за traefik... Здесь подсказать не могу. Использую traefik только для Web сервисов. Inputs имеют отдельные internal IPs
Подскажите пжлс, как можно используя traefik ограничить доступ к отдельному (веб) контейнеру только для белого списка ИП. p.s. перечитал примеры, никак не получается. Т.е. за траефиком например два веб сервера nginx1 и nginx2 и мне нужно ограничить доступ к nginx2 всем кроме 1 ип. Спасибо
Хороший вопрос, сам с ним как-то сидел. Функция называется http middleware ipwhitelist. Нужно добавить как Labels. Но, на сколько помню, то это действует на всё контейнеры. Будет интересно узнать ваше решение, как применить только к одному.
Дошел до 24 минуты, столкнулся с проблемами: 1. сайт с nginx не открывается по https 2. в логах нет инфы о выпуске сертификатов SSL 3. не возможно подключиться по shh к VDS, приходиться откатывать виртуалку к старому снепшоту. (2 раза уже такое повотряеться). С чем это может быть связано? Спасибо, за видео.
Disable the userland-proxy option in the docker daemon to avoid this proxying/NATing Using networking host mode, with those possible clashes with local ports
если у кого прокси передает докеровский гейтвейт
Круто! Но немного допилить по функционалу Nginx Proxy Managar, и он будет в разы круче, особенно редиректом на другие виртуальные машины. У меня около 25 разных виртуальных машин, и traefik тут не справиться.
Здесь вы правы. Для вашего окружения traefik не подойдёт. Я тоже использую npm и traefik параллельно
Да уж конечно )) Provider: file в руки. И этот комбаин умеет сразу и в докер и в вирталки и из кубера домашнего рядом развернутого ингресы выставлять наружу. Npm очень далеко до такого.
Спасибо. Посмотрю 👍
@RomNero kzhead.info/sun/Y8p6YZlsiHueq2g/bejne.html - не совсем то, но тоже интересно. там про куб + авто-днс. но в репе есть и другие примеры.
Удобная и простая штука, с удовольствием использую. Есть только одно НО: никак не могу разобраться с тем, как стоящих за ним веб-серверах получать IP пользователя, а не внутреннего докерного:( Может, подскажете какое-либо решение?
Стоит настроить forwarded Header - описание в разделе EntryPoints. Либо перенаправлял логи в центральную лог-систему и там уже анализировать (я делаю так в динамических инфраструктурах)
@@RomNero спасибо, попробую внимательнее с этим разобраться. Ещё после просмотра вашего видео взялся погуглить, не решилась ли эта проблемка сейчас - и есть версия, что достаточно для траефика в файле докер-композ прописать порты развёрнутым способом, где указать, что сервис будет использоваться как хост. Ночью поэкспериментирую с этим
@@RomNero вот об этом речь: ports: - target: 80 published: 80 protocol: tcp mode: host
@@RomNero хм, странно, мой предыдущий комментарий удалён. В общем, расширенная нотация при описании портов реально сработала
Добрый день, можете подсказать как свой сертификат добавить. Пару дней бьюсь все никак не дойдет...Заранее спасибо)
В официальной документации, раздел tls.
всем привет подскажите как решить проблему ... столкнулся с пробросом реальных ип как на npm так и на traefik . у меня в traefik nextcloud и другие сервисы подняты в docker compose но везде в логах пишется ип или traefik или npm
Часто этот вопрос встречаю. Нужно для npm добавить add_header X-Frame-Options "SAMEORIGIN"; Для traefik смотри в документации параметры Forwarded Headers.
@@RomNero добавление заголовка не решило проблему все равно получаю ип npm/traefik в трафик установка плагинов не помогла , может у вас есть рабочий конфиг с проброс ип , если есть не могли бы вы поделится?
Я снимаю логи с самих прокси и передаю их в graylog. Там, при необходимости, анализирую. Давно для тестов делал перенаправления real ip для traefik, но ещё первых версий. Найду, скину обязательно.
Здравствуйте. вопрос маленький: установил nginx pm на плату orange pi zero (все в докере. nginx на Mariadb) настроений duckdns. устанавливаются ssl сертификаты. но по домену можно переходить только в сети роутера (порты 80 и 443 проброшены раньше времени). Если пытается получить доступ снаружи то получаю сообщение что сервер в данный момент недоступен..может кто-то сталкивался с такой проблемой Спасибо!!!
Такая же проблема, приходилось откатываться к бекапам
крутое видео, но с SSL возникли проблемы. всё сделал как у тебя, но не проходит сертификат.
Нужно, что бы сервер был доступен из интернет по портам 80 и 443. Если этого сделать невозможно, то нужно использовать dns challenge
@@RomNero доступен) я пытаюсь заменить npm на траефик. чую что то с правами на файл acme.json, так как он или не создается, либо пустой (если руками добавить)
Я бы включил debug log на traefik. Там всё должно быть видно, в чем проблема.
@@RomNero включен. ничего нужного не вижу. поебусь еще)
Reverse Proxy противопоставляется Nginx как будто он сам не Reverse Proxy.... =\
Я ждал подобного комментария. Я делал видео по nginx proxy manager. Traefik обладает большим функционалом и предназначен больше для кластерных и динамических систем. У npm другие сильные стороны.
@@RomNero ну так это и понятно. Но подача почему такая? Говорили бы зачем нужен proxy MANAGER и какие у него возможности. А не называли бы яблоню яблоком..
Видео не о npm ☝️ о нем есть отдельное видео.