Warum Traefik und nicht Nginx, Apache & co?<\/h2>\n
Traefik bietet verschiedene Integrationen (Provider<\/em> genannt<\/a>) f\u00fcr unter anderem Docker, Kubernetes und andere. Das vereinfacht die Konfiguration in diesen Umgebungen enorm: Man kann mit Labels festlegen, wie ein Container erreichbar sein soll. Das h\u00e4ndische Anpassen der Konfiguration in Nginx oder einem anderen Reverse Proxy entf\u00e4llt eben so wie alles was damit zusammen h\u00e4ngt, etwa der Vergabe von statischen IP-Adressen f\u00fcr die Container. Dennoch ist Traefik effizient, bereits in Version 1.4 wurde 85% des Durchsatzes von Nginx erreicht.<\/a><\/p>\n Zwar kann man Traefik auch alleinstehend nutzen, also v\u00f6llig ohne Docker & co. Allerdings fehlen dann einige der Vorteile. Hier sollte man zudem bedenken, dass Traefik ein reiner Reverse Proxy ist. Man kann also nicht – im Gegensatz zu Apache oder Nginx – etwa statische Dateien ausliefern oder per angebundenem PHP\/Python dynamische Inhalte generieren. Daf\u00fcr ist ein eigener Container notwendig. Wer etwa statische Dateien ausliefern m\u00f6chte, ben\u00f6tigt also einen Nginx\/Apache2 Container hinter Traefik daf\u00fcr.<\/p>\n Voraussetzung ist, dass ihr bereits Docker <\/a>und Docker-Compose<\/a> installiert habt. Wir nutzen Version 2<\/a>. Beides ist auf Debian unter x86 Servern sehr \u00e4hnlich, da das Raspberry Pi OS ebenfalls darauf basiert. Ob Docker korrekt eingerichtet wurde, k\u00f6nnt ihr mit folgendem Befehl pr\u00fcfen:<\/p>\n F\u00fcr Traefik w\u00fcrde ich einen eigenen Ordner anlegen und in der Yaml-Datei nur Traefik bereitstellen. In diesem Beispiel legen wir die Konfigurationsdateien f\u00fcr die Container in \/etc\/docker\/container<\/strong>, dies ist aber frei w\u00e4hlbar.<\/p>\n F\u00fcr Traefik w\u00fcrde ich einen eigenen Ordner anlegen und in der Yaml-Datei nur Traefik bereitstellen. Beim Image ist zu empfehlen, zumindest eine Hauptversion (oder wie hier mit Nebenversion) zu w\u00e4hlen. Eine Liste der unterst\u00fctzten Versionen ist hier zu finden<\/a>.<\/p>\n Schauen wir uns die Konfigurationsdirektiven etwas n\u00e4her an:<\/p>\n Um das Image herunterzulagen und den Container im Hintergrund zu starten:<\/p>\n Man kann nun den Hostname oder die IP-Adresse des Systemes im Browser aufrufen und sollte eine 404 page not found<\/strong> Fehlerseite sehen. Dies ist die Standardseite von Traefik, wenn keine passende Route gefunden wurde. Durch unsere Weiterleitung ist auch diese Fehlerseite bereits mit einem automatisch erstellten HTTPS-Zertifikat versehen, ggf. erhaltet ihr noch eine Zertifikatswarnung.<\/p>\n Damit ist Traefik bereit, um einen Container bereitzustellen. Als einfaches Beispiel-Szenario nehmen wir hier einen Nginx Webserver. Auch hier w\u00fcrde ich einen Ordner erstellen, in dem wir alle Konfigurationsdateien platzieren, etwa:<\/p>\n Darin wird eine docker-compose.yml<\/strong> erstellt, mit ein paar Besonderheiten:<\/p>\n Nachdem der Container mit docker compose up -d<\/strong> gestartet wurde, kann man die konfigurierte Domain (hier demo.u-labs.de<\/strong>) im Browser aufrufen. Statt der Standard 404 page not found<\/em> Seite sollte Welcome to nginx<\/em> erscheinen – die Standard index.html Seite von Nginx:<\/p>\n Wie am Schloss oben zu erkennen, wird HTTPS mit einem g\u00fcltigen Zertifikat eingesetzt. <\/p>\n Mit einem einzelnen Container bietet profitieren wir noch nicht von den meisten Vorteilen, die ein Reverse Proxy bietet. Denn im vorherigen Beispiel k\u00f6nnten wir schlichtweg Nginx direkt auf Port 80\/443 freigeben, mit dem Certbot von Let’s Encrypt automatisch Zertifikate bereitstellen und k\u00f6nnten das gleiche Ergebnis ohne vorgeschalteten Traefik erreichen. Wirklich Sinn macht das erst bei mehreren Diensten. Daher wird die Installation um einen zweiten Container erg\u00e4nzt, diesmal ein Apache mit PHP.<\/p>\n Im Grunde kann man f\u00fcr weitere Dienste die gleiche Vorlage benutzen und passt nur entsprechend Name des Dienstes, Image, die Regel f\u00fcr Traefik an sowie ggf. f\u00fcr den Dienst spezifische Konfigurationseinstellungen. Letzteres ist in diesem Beispiel ein Volume, in dem ich einen lokalen Ordner einh\u00e4nge. Der wird von Apache ausgeliefert.<\/p>\n Auch das Starten ist identisch wie beim Nginx-Container. Unter der eingerichteten Domain (hier php.demo.u-labs.de<\/strong>) bekommen wir eine Forbidden<\/em> Seite zu sehen:<\/p>\n Unten wird aber klar, dass dies von Apache ausgeliefert wird – somit sind wir nicht beim zuvor eingerichteten Nginx-Container gelandet. Der Fehler erscheint, weil keine Indexseite eingerichtet ist und der Apache standardm\u00e4\u00dfig so eingerichtet ist, in diesem Falle nicht den Inhalt des Ordners aufzulisten. Da der Unterordner html<\/strong> in das Wurzelverzeichnis, welches der Webserver ausliefert, gemountet wird, kann man hier eine Index-Seite anlegen und etwa die PHP-Info ausgeben:<\/p>\n Statt des Fehlers f\u00fchrt Apache das Skript mit dem PHP-Modul aus, sodass php.demo.u-labs.de<\/strong> nun Informationen \u00fcber die eingesetzte PHP-Umgebung anzeigt:<\/p>\n Beide Containern haben nur eine einzige, recht simple Regel auf den Domainname (Hostname). Traefik beherrscht aber auch komplexere Regeln, die aus verschiedenen Bedingungen bestehen k\u00f6nnen. Eine UND-Verkn\u00fcpfung mit && legt fest, dass beide Bedingungen erf\u00fcllt sein m\u00fcssen. Bei ODER (||) muss mindestens eine erf\u00fcllt sein, aber nicht zwingend eine.<\/p>\n Mit folgendem Label erg\u00e4nzen wir die Regel etwa um ein Prefix f\u00fcr den Pfad. Das hei\u00dft: Der Container ist nicht mehr unter php.demo.u-labs.de<\/strong> erreichbar (also im Wurzelverzeichnis, Pfad = \/) sondern unter php.demo.u-labs.de\/test<\/strong> bzw. alle Pfade, die mit \/test<\/strong> beginnen (auch etwa \/test123<\/strong>)<\/p>\n Dadurch liefert php.demo.u-labs.de<\/strong> nun einen 404 Fehler von Traefik, weil die Route neben dem Host auch fordert, dass der Pfad mit \/test <\/strong>beginnt. Im Wurzelverzeichnis lautet der Pfad \/<\/strong> somit ist die zweite Bedingung nicht erf\u00fcllt. Unter php.demo.u-labs.de\/test<\/strong> erscheint ein Fehlermeldung des Apache:<\/p>\n Unser Routing im Traefik funktioniert also grunds\u00e4tzlich, da der Fehler nicht mehr von Traeffik kommt, sondern vom Apache dahinter Das zeigt die Besonderheiten von Pfaden: Der Reverse Proxy Traefik reicht diese standardm\u00e4\u00dfig durch, d.H. der Webserver dahinter sucht nun nach einem Ordner namens test<\/strong>. Pfade sind echten Anwendungen etwas schwierig umzusetzen, da diese den Pfad unterst\u00fctzen m\u00fcssen. Hei\u00dft: Die Anwendung sollte im Optimalfall konfiguriert werden k\u00f6nnen, dass ihre Basis-Adresse etwa php.demo.u-labs.de<\/strong> lautet.<\/p>\n Alternativ (falls das z.B. nicht m\u00f6glich ist), kann man daf\u00fcr eine Middleware einsetzen. Es gibt verschiedene Middlewares, welche die Anfrage oder auch Antwort auf bestimmte Arten ver\u00e4ndern. Beispielsweise um die Antwort des Containers zu ver\u00e4ndern. Hier ben\u00f6tigen wir die StripPrefix<\/strong>-Middleware: Sie manipuliert die Anfrage, bevor Traefik sie an den Container leitet. Konkret entfernt sie einen angegebenen Pfad: Bei Traefik kommt php.demo.u-labs.de\/test<\/strong> an, Traefik entfernt \/test <\/strong>und aus Sicht des Anwendungsservers (hier Nginx) lautet die Anfrage php.demo.u-labs.de<\/strong>.<\/p>\n Diese zwei Label definieren eine Middleware, die das Prefix \/test<\/strong> im Pfad entfernt und nennt diese strip-testpath<\/strong>. Auch dies ist frei w\u00e4hlbar, muss aber im n\u00e4chsten Schritt mit dem festgelegten Name angesprochen werden: Dort aktivieren wir die definierte Middleware f\u00fcr den Docker-Provider. Nun wird wieder die index.php mit der PHP-Info im Wurzelverzeichnis angezeigt:<\/p>\n Bei echten Anwendungen muss man hier aber Bedenken, dass die Applikation hinter Traefik das in der Regel nicht ber\u00fccksichtigt. Wenn diese z.B. Links generiert, lauten diese php.demo.u-labs.de<\/strong> und nicht php.demo.u-labs.de\/test<\/strong>. Diese w\u00fcrden ins Leere laufen, da Traefik wiederum ja nicht auf php.demo.u-labs.de<\/strong> ohne den \/test<\/strong> Pfad reagiert. Viele Systeme eine Einstellung f\u00fcr die Basis-URL, womit sich das korrigieren l\u00e4sst.<\/p>\n Bisher haben wir s\u00e4mtliche Konfigurationseinstellungen \u00fcber Kommandozeilenargumente im Startbefehl \u00fcbergeben. Das mag anfangs bequem sein, allerdings f\u00fchrt dies schnell zu langen Befehlen und wird un\u00fcbersichtlich.<\/p>\n Alternativ kann man eine eigene Yaml-Datei festlegen und die Konfiguration dort hierarchisch vornehmen:<\/p>\n Die Datei muss entsprechend noch als Volume gemountet werden:<\/p>\n In Yaml \u00fcbersetzt, sehen die Startparameter wie folgt aus:<\/p>\n Vor allem bei l\u00e4ngeren Pfaden in denen mehrere \u00c4nderungen vorgenommen werden, spart man sich durch die Hierarchische Struktur das Wiederholen. Etwa bei entrypoints.http.http.redirections.entrypoint<\/strong>. Zudem durch das Einr\u00fccken besser ersichtlich, was wohin geh\u00f6rt. Daher ist das meiner Meinung nach die bessere Alternative. Schlussendlich aber Geschmackssache, beide Wege funktionieren.<\/p>\n Falls es zu Problemen kommt, kann es hilfreich sein, das Log-Level zu erh\u00f6hen:<\/p>\n \u00dcber die Logs des Containers (z.B. docker logs -f traefik-traefik-1<\/strong>) sieht man dann detailliertere Informationen. <\/p>\n Traefik ist ein Reverse Proxy, der sich tief in die Docker-Umgebung installiert. Mit wenigen Zeilen Konfigurationsaufwand kann man mehrere Container \u00fcbers Web erreichbar machen. Durch die Let’s Encrypt Integration auch mit HTTPS und automatischer Verl\u00e4ngerung der Zertifikate. <\/p>\n Wer mehrere Webanwendungen auf einem Server betreiben m\u00f6chte, ben\u00f6tigt einen Reverse Proxy. Wie das Konzept in der Theorie funktioniert, habe ich in einem eigenen Beitrag ausf\u00fchrlicher erkl\u00e4rt. Hier schauen wir uns die praktische Einrichtung von Traefik an. Ob ihr dabei einen Raspberry Pi mit Raspberry Pi OS verwendet, eine lokale VM oder einen Cloudserver, spielt …<\/p>\n","protected":false},"author":5,"featured_media":8915,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[883,62],"tags":[1041,847,1011,937],"class_list":["post-8870","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-docker-containertechnologie","category-server","tag-https","tag-reverse-proxy","tag-ssl","tag-webserver"],"_links":{"self":[{"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/posts\/8870","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/users\/5"}],"replies":[{"embeddable":true,"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/comments?post=8870"}],"version-history":[{"count":14,"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/posts\/8870\/revisions"}],"predecessor-version":[{"id":14190,"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/posts\/8870\/revisions\/14190"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/media\/8915"}],"wp:attachment":[{"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/media?parent=8870"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/categories?post=8870"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/tags?post=8870"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Installation von Traefik unter Debian\/Ubuntu\/Raspberry Pi OS<\/h2>\n
$ docker compose version\nDocker version 20.10.14, build a224086<\/code><\/pre>\nmkdir -p \/etc\/docker\/container\/traefik\nvim docker-compose.yml<\/code><\/pre>\nservices:\n traefik:\n image: traefik:v2.9\n restart: always\n command:\n # Experimentell, um das Dashboard ohne Zugriffsschutz aufzurufen\n #- "--api.insecure=true"\n - "--providers.docker"\n - "--providers.docker.exposedByDefault=false"\n - "--providers.docker.network=traefik_web"\n - "--entrypoints.http.address=:80"\n - "--entrypoints.http.http.redirections.entrypoint.to=https"\n - "--entrypoints.http.http.redirections.entrypoint.scheme=https"\n - "--entrypoints.https.address=:443"\n # Vermeidet, dass wir den resolver in jedem container mit "traefik.http.routers.https.tls.certresolver=le" angeben muessen\n - "--entrypoints.https.http.tls.certResolver=le"\n - "--certificatesresolvers.le.acme.tlschallenge=true"\n - "--certificatesresolvers.le.acme.email=deine@mail.de"\n - "--certificatesresolvers.le.acme.storage=\/letsencrypt\/acme.json"\n ports:\n - "80:80"\n - "443:443"\n - "8080:8080"\n volumes:\n - \/var\/run\/docker.sock:\/var\/run\/docker.sock:ro\n - .\/letsencrypt:\/letsencrypt\n networks:\n - web\n\nnetworks:\n web:\n name: traefik_web<\/code><\/pre>\n\n
docker compose up -d<\/code><\/pre>\n![\"\"](\"https:\/\/u-labs.de\/portal\/wp-content\/uploads\/2022\/04\/grafik-28.png\")
<\/a><\/figure>\n<\/div>\nBereitstellen eines einfachen Webserver-Containers \u00fcber Traefik<\/h2>\n
$ mkdir \/etc\/docker\/container\/nginx-demo\n$ cd \/etc\/docker\/container\/nginx-demo<\/code><\/pre>\nservices:\n nginx:\n image: nginx:1.27\n labels:\n - "traefik.enable=true"\n - "traefik.http.routers.nginx.rule=Host(`demo.u-labs.de`)"\n networks:\n - traefik_web\n\nnetworks:\n traefik_web:\n external: true<\/code><\/pre>\n\n
![\"\"](\"https:\/\/u-labs.de\/portal\/wp-content\/uploads\/2022\/04\/grafik-29.png\")
<\/a><\/figure>\n<\/div>\nservices:\n apache:\n image: php:8.1-apache\n labels:\n - "traefik.enable=true"\n - "traefik.http.routers.apache.rule=Host(`php.demo.u-labs.de`)"\n networks:\n - traefik_web\n volumes:\n - .\/html:\/var\/www\/html\n\nnetworks:\n traefik_web:\n external: true<\/code><\/pre>\n![\"\"](\"https:\/\/u-labs.de\/portal\/wp-content\/uploads\/2022\/04\/grafik-30.png\")
<\/a><\/figure>\n<\/div>\necho '<?php phpinfo();' > html\/index.php<\/code><\/pre>\n![\"\"](\"https:\/\/u-labs.de\/portal\/wp-content\/uploads\/2022\/04\/grafik-31-1024x428.png\")
<\/a><\/figure>\n<\/div>\nErweiterte Regeln f\u00fcr den Router und Middlewares<\/h2>\n
traefik.http.routers.apache.rule=Host(`php.demo.u-labs.de`) && PathPrefix(`\/test`)<\/code><\/pre>\n![\"\"](\"https:\/\/u-labs.de\/portal\/wp-content\/uploads\/2022\/04\/grafik-32.png\")
<\/a><\/figure>\n<\/div>\ntraefik.http.middlewares.strip-testpath.stripprefix.prefixes=\/test\ntraefik.http.routers.apache.middlewares=strip-testpath@docker<\/code><\/pre>\n![\"\"](\"https:\/\/u-labs.de\/portal\/wp-content\/uploads\/2022\/04\/grafik-33-1024x366.png\")
<\/a><\/figure>\n<\/div>\nAuslagern der Traefik-Konfiguration in eine eigene Datei<\/h2>\n
![\"\"](\"https:\/\/u-labs.de\/portal\/wp-content\/uploads\/2022\/04\/grafik-34-1024x277.png\")
<\/a><\/figure>\n<\/div>\n--providers.file.filename=\/traefik.yml<\/code><\/pre>\nvolumes:\n - .\/traefik.yml:\/traefik.yml<\/code><\/pre>\nproviders:\n docker:\n exposedByDefault: false\n network: traefik_web\n\nentryPoints:\n http:\n address: ":80"\n http:\n redirections:\n entryPoint:\n to: "https"\n scheme: "https"\n https:\n address: ":443"\n http:\n tls:\n certResolver: le\n\ncertificatesResolvers:\n le:\n acme:\n tlschallenge: true\n email: "deine@mail.de"\n storage: "\/letsencrypt\/acme.json"<\/code><\/pre>\nDetailliertere Logs zur Fehleranalyse<\/h2>\n
--log.level=DEBUG<\/code><\/pre>\nFazit<\/h2>\n
Weiterf\u00fchrende Informationen<\/h2>\n
\n