著者は、 Write for DOnations プログラムの一環として、 Girls WhoCodeを選択して寄付を受け取りました。

注:このチュートリアルはTraefikv1を対象としています。 Traefik v2をインストールして構成する場合は、この新しいチュートリアルを使用してください。

序章

Docker は、本番環境でWebアプリケーションを実行するための効率的な方法ですが、同じDockerホストで複数のアプリケーションを実行したい場合があります。 この状況では、ポート80443のみを他の世界に公開する必要があるため、リバースプロキシを設定する必要があります。

Traefik は、独自の監視ダッシュボードを含むDocker対応のリバースプロキシです。 このチュートリアルでは、Traefikを使用して、リクエストを2つの異なるWebアプリケーションコンテナーにルーティングします。WordPressコンテナーとAdminerコンテナーで、それぞれMySQLと通信します。データベース。 Let’s Encrypt を使用して、HTTPS経由ですべてを提供するようにTraefikを構成します。

前提条件

このチュートリアルに従うには、次のものが必要です。

  • 1台のUbuntu20.04サーバーは、 Ubuntu 20.04初期サーバーセットアップガイドに従ってセットアップされます。これには、sudo非rootユーザーとファイアウォールが含まれます。
  • サーバーにDockerがインストールされています。これは、 Ubuntu20.04にDockerをインストールして使用する方法に従って実行できます。
  • Ubuntu20.04にDockerComposeをインストールする方法の手順に従ってインストールされたDockerCompose。
  • ドメインと3つのAレコード、db-admin.your_domainblog.your_domain、およびmonitor.your_domain。 それぞれがサーバーのIPアドレスを指している必要があります。 DigitalOceanのドメインとDNSのドキュメントを読むことで、ドメインがDigitalOceanドロップレットを指す方法を学ぶことができます。 このチュートリアル全体を通して、構成ファイルと例でyour_domainをドメインに置き換えてください。

ステップ1—Traefikの構成と実行

Traefikプロジェクトには公式Dockerイメージがあるため、これを使用してDockerコンテナーでTraefikを実行します。

ただし、Traefikコンテナーを起動して実行する前に、構成ファイルを作成し、暗号化されたパスワードを設定して、監視ダッシュボードにアクセスできるようにする必要があります。

htpasswdユーティリティを使用して、この暗号化されたパスワードを作成します。 まず、apache2-utilsパッケージに含まれているユーティリティをインストールします。

  1. sudo apt-get install apache2-utils

次に、htpasswdを使用してパスワードを生成します。 secure_passwordを、Traefik管理者ユーザーに使用するパスワードに置き換えます。

  1. htpasswd -nb admin secure_password

プログラムからの出力は次のようになります。

Output
admin:$apr1$ruca84Hq$mbjdMZBAG.KWn7vfN/SNK/

Traefik構成ファイルの独自の出力を使用して、Traefikヘルスチェックおよび監視ダッシュボードのHTTP基本認証を設定します。 後で貼り付けることができるように、出力行全体をコピーします。 サンプル出力は使用しないでください。

Traefikサーバーを構成するには、TOML形式を使用してtraefik.tomlという新しい構成ファイルを作成します。 TOML は、INIファイルに似た構成言語ですが、標準化されています。 このファイルを使用すると、Traefikサーバーと、使用するさまざまな統合またはprovidersを構成できます。 このチュートリアルでは、Traefikで利用可能な3つのプロバイダー、apidocker、およびacmeを使用します。 最後のacmeは、Let’sEncryptを使用したTLS証明書をサポートしています。

nanoまたはお気に入りのテキストエディタで新しいファイルを開きます。

  1. nano traefik.toml

まず、2つの名前付きエントリポイントhttphttpsを追加します。これらは、すべてのバックエンドがデフォルトでアクセスできます。

traefik.toml
defaultEntryPoints = ["http", "https"]

このファイルの後半で、httpおよびhttpsエントリポイントを構成します。

次に、apiプロバイダーを構成します。これにより、ダッシュボードインターフェイスにアクセスできるようになります。 ここに、htpasswdコマンドからの出力を貼り付けます。

traefik.toml
...
[entryPoints]
  [entryPoints.dashboard]
    address = ":8080"
    [entryPoints.dashboard.auth]
      [entryPoints.dashboard.auth.basic]
        users = ["admin:your_encrypted_password"]

[api]
entrypoint="dashboard"

ダッシュボードは、Traefikコンテナ内で実行される別個のWebアプリケーションです。 ダッシュボードをポート8080で実行するように設定しました。

entrypoints.dashboardセクションは、apiプロバイダーとの接続方法を構成し、entrypoints.dashboard.auth.basicセクションは、ダッシュボードのHTTP基本認証を構成します。 実行したhtpasswdコマンドからの出力を、usersエントリの値に使用します。 追加のログインは、コンマで区切って指定できます。

最初のentryPointを定義しましたが、apiプロバイダーに向けられていない標準のHTTPおよびHTTPS通信用に他のものを定義する必要があります。 entryPointsセクションは、Traefikとプロキシされたコンテナーがリッスンできるアドレスを構成します。 entryPoints見出しの下のファイルに次の行を追加します。

traefik.toml
...
  [entryPoints.http]
    address = ":80"
      [entryPoints.http.redirect]
        entryPoint = "https"
  [entryPoints.https]
    address = ":443"
      [entryPoints.https.tls]
...

httpエントリポイントはポート80を処理し、httpsエントリポイントはTLS/SSLにポート443を使用します。 ポート80のすべてのトラフィックをhttpsエントリポイントに自動的にリダイレクトして、すべての要求に対して安全な接続を強制します。

次に、このセクションを追加して、TraefikのLet’sEncrypt証明書のサポートを構成します。

traefik.toml
...
[acme]
email = "[email protected]_domain"
storage = "acme.json"
entryPoint = "https"
onHostRule = true
  [acme.httpChallenge]
  entryPoint = "http"

ACME は、Let’s Encryptと通信して証明書を管理するために使用されるプロトコルの名前であるため、このセクションはacmeと呼ばれます。 Let’s Encryptサービスでは、有効な電子メールアドレスで登録する必要があるため、Traefikにホストの証明書を生成させるには、emailキーを電子メールアドレスに設定します。 次に、Let’sEncryptから受け取る情報をacme.jsonというJSONファイルに保存するように指定します。 entryPointキーは、エントリポイント処理ポート443(この場合はhttpsエントリポイント)を指す必要があります。

キーonHostRuleは、Traefikが証明書を生成する方法を指示します。 指定されたホスト名を持つコンテナーが作成されたらすぐに証明書をフェッチする必要があります。これにより、onHostRule設定が実行されます。

acme.httpChallengeセクションでは、Let’sEncryptが証明書を生成する必要があることを確認する方法を指定できます。 httpエントリポイントを介したチャレンジの一部としてファイルを提供するように構成しています。

最後に、次の行をファイルに追加して、dockerプロバイダーを構成しましょう。

traefik.toml
...
[docker]
domain = "your_domain"
watch = true
network = "web"

dockerプロバイダーにより、TraefikはDockerコンテナーの前でプロキシとして機能できます。 webネットワーク上の新しいコンテナー用にプロバイダーをwatchに構成しました。これは間もなく作成され、your_domainのサブドメインとして公開されます。

この時点で、traefik.tomlには次の内容が含まれているはずです。

traefik.toml
defaultEntryPoints = ["http", "https"]

[entryPoints]
  [entryPoints.dashboard]
    address = ":8080"
    [entryPoints.dashboard.auth]
      [entryPoints.dashboard.auth.basic]
        users = ["admin:your_encrypted_password"]
  [entryPoints.http]
    address = ":80"
      [entryPoints.http.redirect]
        entryPoint = "https"
  [entryPoints.https]
    address = ":443"
      [entryPoints.https.tls]

[api]
entrypoint="dashboard"

[acme]
email = "you[email protected]_domain"
storage = "acme.json"
entryPoint = "https"
onHostRule = true
  [acme.httpChallenge]
  entryPoint = "http"

[docker]
domain = "your_domain"
watch = true
network = "web"

ファイルを保存して、エディターを終了します。 これらの構成を設定すると、Traefikを初期化できます。

ステップ2—Traefikコンテナを実行する

次に、プロキシがコンテナと共有するDockerネットワークを作成します。 Dockerネットワークは、DockerComposeを使用して実行されるアプリケーションで使用できるようにするために必要です。 このネットワークをwebと呼びましょう。

  1. docker network create web

Traefikコンテナが起動したら、このネットワークに追加します。 次に、Traefikがプロキシするために、後でこのネットワークにコンテナを追加できます。

次に、Let’sEncrypt情報を保持する空のファイルを作成します。 これをコンテナに共有して、Traefikが使用できるようにします。

  1. touch acme.json

Traefikは、コンテナ内のrootユーザーがこのファイルへの一意の読み取りおよび書き込みアクセス権を持っている場合にのみ、このファイルを使用できます。 これを行うには、acme.jsonのアクセス許可をロックダウンして、ファイルの所有者のみが読み取りおよび書き込みアクセス許可を取得できるようにします。

  1. chmod 600 acme.json

ファイルがDockerに渡されると、所有者はコンテナ内のrootユーザーに自動的に変更されます。

最後に、次のコマンドを使用してTraefikコンテナを作成します。

  1. docker run -d \
  2. -v /var/run/docker.sock:/var/run/docker.sock \
  3. -v $PWD/traefik.toml:/traefik.toml \
  4. -v $PWD/acme.json:/acme.json \
  5. -p 80:80 \
  6. -p 443:443 \
  7. -l traefik.frontend.rule=Host:monitor.your_domain \
  8. -l traefik.port=8080 \
  9. --network web \
  10. --name traefik \
  11. traefik:1.7-alpine

コマンドは少し長いので、分解してみましょう。

-dフラグを使用して、コンテナーをデーモンとしてバックグラウンドで実行します。 次に、docker.sockファイルをコンテナーに共有して、Traefikプロセスがコンテナーへの変更をリッスンできるようにします。 また、コンテナに作成したtraefik.toml構成ファイルとacme.jsonファイルを共有します。

次に、Dockerホストのポート:80:443をTraefikコンテナー内の同じポートにマップして、TraefikがサーバーへのすべてのHTTPおよびHTTPSトラフィックを受信するようにします。

次に、トラフィックをホスト名monitor.your_domainからポート:8080に転送するようにTraefikに指示する2つのDockerラベルを設定します。これにより、監視ダッシュボードが公開されます。

コンテナのネットワークをwebに設定し、コンテナにtraefikという名前を付けます。

最後に、このコンテナは小さいため、traefik:1.7-alpineイメージを使用します。

DockerイメージのENTRYPOINTは、イメージからコンテナーが作成されるときに常に実行されるコマンドです。 この場合、コマンドはコンテナ内のtraefikバイナリです。 コンテナを起動するときにそのコマンドに追加の引数を渡すことができますが、すべての設定はtraefik.tomlファイルで構成されています。

コンテナを起動すると、コンテナの状態を確認するためにアクセスできるダッシュボードができました。 このダッシュボードを使用して、Traefikが登録したフロントエンドとバックエンドを視覚化することもできます。 ブラウザでhttps://monitor.your_domainを指定して、監視ダッシュボードにアクセスします。 ユーザー名とパスワードの入力を求められます。これらはadminであり、手順1で構成したパスワードです。

ログインすると、次のようなインターフェースが表示されます。

Empty Traefik dashboard

まだ見るものはあまりありませんが、このウィンドウを開いたままにしておくと、Traefikが管理するコンテナを追加すると、内容が変化するのがわかります。

これで、Traefikプロキシが実行され、Dockerと連携するように構成され、他のDockerコンテナーを監視する準備が整いました。 Traefikのコンテナをプロキシに追加しましょう。

ステップ3—コンテナをTraefikに登録する

Traefikコンテナを実行すると、その背後でアプリケーションを実行する準備が整います。 Traefikの背後にある次のコンテナを起動しましょう。

  1. 公式WordPress画像を使用したブログ。
  2. 公式管理者イメージを使用するデータベース管理サーバー。

docker-compose.ymlファイルを使用して、DockerComposeでこれらのアプリケーションの両方を管理します。

docker-compose.ymlファイルを作成してエディターで開きます。

  1. nano docker-compose.yml

次の行をファイルに追加して、使用するバージョンとネットワークを指定します。

docker-compose.yml
version: "3"

networks:
  web:
    external: true
  internal:
    external: false

DockerComposeバージョン3は、Composeファイル形式の最新のメジャーバージョンであるため、使用しています。

Traefikがアプリケーションを認識するためには、それらが同じネットワークの一部である必要があります。ネットワークは手動で作成したため、webのネットワーク名を指定し、externalを[ X208X]