编注:本文入选「自力更生」征文活动。本次征文选题灵活,只要围绕「自托管」展开即可,软件推荐、经验分享、技术科普、观点评论均可投稿,入围作品均可获得稿酬、Zeabur 订阅、少数派 PRIME 会员等奖励。了解详情
目前征文投稿已截止,你可以通过 #自力更生 标签查看所有投稿。
相信很多 NAS 玩家都在自家 NAS 里搭建了一些需要在外网访问的服务。如媒体管理软件radarr/sonarr/nastools,媒体播放 emby/plex,下载软件 qb 等等。这些服务如果自己有公网 IP 或可以通过 v6 网络访问,则要比搭建 VPN 穿透回来方便得多。家庭网络搭建反代有一些问题比较棘手,常见的比如 80/443 一般都是封禁的,就为了下个电影去备案似乎也得不偿失,所以一般都会采用高位端口进行反代。
之前我一直采用 SWAG - LinuxServer.io 来做反代,这实际上是一个 nginx 反代服务器+cerbot证书注册打包服务,包含了一些常用 selfhosted 服务的配置模板。但是,如刚才所说,由于家庭网络的特殊性,某些服务在访问带端口号的地址时会有些莫名其妙的问题,且每次新添服务都要重新配置一番。相比之下 Traefik 功能则更为强大,且可以通过 docker label配置选项,docke r 启动自动反代,索性花了点时间研究下 Traefik 配置,一劳永逸的解决这个问题。
这里不得不吐槽 Traefik Proxy Documentation 真是写的又臭又长又迷惑,且中文资料不多。所以配置过程中可能少不了Google解决一些问题,另外 reddit Traefik 板块还比较活跃,一些共性问题都可以直接找到,实在不行还可以发帖询问。
Traefik 是一个为了让部署微服务更加便捷而诞生的现代 HTTP 反向代理、负载均衡工具。 它支持多种后台来自动化、动态配置文件设置,它是一个边缘路由器,它会拦截外部的请求并根据逻辑规则选择不同的操作方式,规则决定着这些请求到底该如何处理。Traefik 提供自动发现能力,会实时检测服务,并自动更新路由规则。
上图为Traefik核心组件结构。请求首先由到Entrypoints
到达,然后分析传入的请求,查看他们是否与定义的 Routers
匹配。如果匹配,则会通过一系列 middlewares
处理,再到 Services
上做流量转发。实际上就是很简单的流入-处理-流出的过程。
所以,必不可少的三个核心组件为:
另外,需要额外关注的两个可选组件:
还有一点需要说明白的是,针对 docker 作为后端的 Traefik 的配置可以通过两种渠道(实际上还可以通过命令行,但没必要),一是编写配置文件(可以 yaml 或 toml 格式),二是通过配置 docker label。区别在于有一些配置可以通过 docker 自动更新,不必重新改配置文件,但有些如静态配置或非docker的后端服务则只能通过配置文件完成。具体可参考 Traefik Configuration Documentation - Traefik.
由于每个人的网络和服务器状况都不一样,个人觉得手把手的那种教程没什么意义,这里就结合我的配置实例说明下大致该怎么配置。
首先我是用 docker-compose 维护我所有容器,这里提供我的 Traefik 配置供参考:
services: traefik: image: traefik:latest restart: always ports: # 可以通过路由器映射到外网的高位端口如23333,8080端口是web界面 - "443:443" - "7080:8080" volumes: - /var/run/docker.sock:/var/run/docker.sock # 访问docker - /path/to/traefik:/etc/traefik #配置文件所在目录 environment: # 这里我用的阿里云域名解析,注册证书用,这里通过环境变量设置,不考虑安全问题的话可以直接写在里面 - "ALICLOUD_ACCESS_KEY=${ALICLOUD_ACCESS_KEY}" - "ALICLOUD_SECRET_KEY=${ALICLOUD_SECRET_KEY}" - "ALICLOUD_REGION_ID=cn-beijing" extra_hosts: # /etc/hosts里会添加 172.17.0.1 host.docker.internal,可以发现host网络下的docker - "host.docker.internal:host-gateway"
然后是 Traefik 的配置文件,我用的是 yaml 格式:
global: checkNewVersion: true sendAnonymousUsage: trueentryPoints: websecure: address: :443 asDefault: true #这默认为false,即所有router如不指定则同时接收所有entrypoints,true则只默认接收该entrypoint# 自动注册和更新证书certificatesResolvers: lets: acme: email: [email protected] storage: /etc/traefik/acme/acme.json dnsChallenge: provider: alidns delayBeforeCheck: 0 resolvers: - "dns13.hichina.com" - "dns14.hichina.com"# traefik日志log: level: INFO filePath: /etc/traefik/log.json format: common maxAge: 3# 访问日志,会越来越大,可通过logrotate控制,accessLog: filePath: /etc/traefik/access.json format: json bufferingSize: 100# 启用traefik面板api: insecure: true dashboard: true # 发现服务配置,这里主要是docker,redis作用见后文providers: docker: endpoint: "unix:///var/run/docker.sock" defaultRule: 'Host(`{{ (split "-" .Name)._0 }}.xxx.xxx`)' redis: endpoints: - 192.168.1.4:6379 # 如果redis和traefik在一台服务器上,只需要指定redis的容器名称:端口即可 # 动态配置文件,一些其他服务通过文件写在里面 file: directory: "/etc/traefik/dynamic"
服务实例
通过 docker label 配置示例:
services: portainer: image: portainer/portainer-ce:latest command: -H unix:///var/run/docker.sock restart: unless-stopped ports: - 9000:9000 - 8000:8000 volumes: - /etc/localtime:/etc/localtime:ro - /var/run/docker.sock:/var/run/docker.sock labels: - "traefik.enable=true" # 默认true,如果不需要反代设置为false - "traefik.http.services.portainer.loadbalancer.server.port=9000" # 如果映射了多个端口,需要指定反代到后端的端口 - "traefik.http.routers.portainer.tls=true" # 指定tls,则只接收https流量忽略http流量 - "traefik.http.routers.portainer-http.middlewares=http2https@file" # http转https中间件 # - "traefik.http.routers.portainer-http.service=portainer@docker" # 如果不希望跳转,则将router的service设置到对应项即可
通过动态文件配置:
http: # 两个router,分别接收http和https routers: qb: service: qb rule: Host(`qb.xxx.xxx`) # 通过中间件跳转到https middlewares: - http2https qbhttps: service: qb rule: Host(`qb.xxx.xxx`) # 指定tls,则只接收https流量忽略http流量 tls: true middlewares: http2https: redirectscheme: scheme: https permanent: true # 这里设置为映射到路由器wan的端口 port: 23333 services: qb: loadBalancer: servers: - url: http://192.168.1.3:8080
需要说明的问题
关于 https 跳转
跟一般网站配置方式不同的是, 由于 ISP 封禁 443/80 端口,这里通过路由器将 23333 端口同时接收 http和 https 流量,这样所有访问都要显式指定端口号,则无法通过 Traefik EntryPoints Documentation - Traefik 中的方式在入口处即实现 http 跳转 https:
# 封禁443和80端口后此配置不可用entryPoints: web: address: :80 http: redirections: entryPoint: to: websecure scheme: https websecure: address: :443 http: tls: certResolver: leresolver
因此,需要给每个service指定两个router,分别接收http和https流量,并在http流量后设置middleware实现跳转,需要注意跳转端口设置为路由器转发到WAN的端口。如果不希望跳转,则将router的service设置到对应项即可。
家庭网络一般很少人会用到集群,且比如emby/plex这样用到显卡加速的容器也无法配置集群。但有可能会有多个主机的情况,比如我就把homeassistant和Traefik跑在树莓派里,跟多媒体相关的内容则跑在NAS里。这里如果一个个手写反代配置则比较麻烦了,可以使用Traefik-kop实现自动反代到其他服务器。
Traefik-kop是实现docker-redis-Traefik自动发现的代理程序,解决了不需要集群的多主机Traefik反代问题。实现了跟Traefik相同的配置逻辑,即通过label方式实现动态反代。该程序将label内容发布到redis,因此Traefik端只要在provider处提供redis地址即可得到需要反代的程序配置。
有一个需要注意的点是,文档中的例子是 redis 和 Traefik 在一台服务器上,因此只需要指定 redis 容器名称则完成反代,如果你像我一样将其布置在另一台服务器,则需要指定 ip 地址。
redis: endpoints: - 192.168.1.4:6379 # 如果redis和traefik在一台服务器上,只需要指定redis的容器名称:端口即可
其他需要说明一下的问题
- 如果有用到 host 网络的容器,则需要给 Traefik 容器添加
extra_hosts
配置,在容器运行后,会在容器的/etc/hosts
里会添加172.17.0.1 host.docker.internal
,这样 Traefik 就可以发现 host 网络下的docker。 - Traefik 的访问日志,会越来越大,可通过 logrotate 控制,参考 How to enable logrotation for Traefik? - Stack Overflow。
- 如果容器只映射一个端口到宿主机,可以不指定转发端口,如果映射了多个端口,则需要显式指定要转发的端口。
- 采用 dnsChallenge 的证书可以注册 wildcard,如采用其他方式可能需要给每个子域名指定一些参数,这里由于我没用到,没详细研究。
总结
总体来说,作为一款轻量化的边缘路由程序,Traefik 给家庭自组服务器做反代还是挺合适的,之前一直对繁复的配置方式望而却步,仔细研究一番发现其实也没有很复杂,善用网络搜索,大部分问题都可以迎刃而解,希望我的文章可以对你有所帮助!