소개
클라우드(docker, kubernetes 등)에 특화된 golang 기반의 reverse proxy 앱입니다. 설정을 raw text로 관리하는 것을 선호하는 편이고(nginx proxy manager는 sqlite db를 사용하죠) docker를 즐겨 사용하는 제 환경에 이점이 많아서 기존에 사용하던 앱 https://github.co/SteveLTN/https-portal 에서 넘어온지 꽤 되었습니다. 이미 여기서만 소개가 두어번 된 적이 있으니 자세한건 검색해보세요.
들어가기 전에
- 시놀로지 DSM 6.2.3의 docker 가정 (아무래도 특수한 경우에도 가능하면 일반적인 경우 응용이 쉽겠죠)
- /volume1/docker 경로에 모든 파일을 저장한다고 가정 (도커 패키지를 /volume2에 설치했다면 알아서...)
- docker-compose로 설명 (앞으로 도커를 계속 쓸것 같다 싶으면 지금이라도 배워두는 것을 추천합니다)
- lets encrypt 인증서를 입힐 수 있는 도메인이 필요
- 모든 연결이 https를 사용
- GUI가 아닌 쉘에서 진행
준비
docker-compose.yml
먼저 링크의 내용을 /volume1/docker/docker-compose.yml에 저장합니다. 이미 있으면 추가합니다.
주석을 달아놓았으니 읽어보세요.
.env 파일
docker-compose.yml에 환경변수로 대체 해놓은 것들이 있습니다. 이걸 지정해줍시다.
파일이 없으면 touch /volume1/docker/.env로 파일을 만들고 편집기로 열어서 아래 항목을 추가합니다.
# PATH DOCKER_ROOT=/volume1/docker # TRAEFIK TRF_DOMAIN=dsm.mydomain.com TRF_LE_EMAIL=example@gmail.com
우분투나 다른 시스템에서는 docker root가 /volume1/docker가 아닐 수 있기 때문에 다른데 적용할때는 저 경로만 고쳐주면 되므로 편합니다. TRF_DOMAIN은 traefik dashboard가 올라가는 대표 도메인이고 추가 도메인은 나중에 설명하겠습니다. TRF_LE_EMAIL은 lets encrypt 인증에 필요한 email 주소입니다. 쓰던 분들은 쓰던게 있겠죠? 그거 입력하시면 됩니다.
traefik 관련 파일/폴더
아직 바로 올리지는 말고 traefik 관련 파일들이 저장되는 폴더/파일을 준비합니다.
쉘에서 traefik 폴더를 만듭니다.
mkdir /volume1/docker/traefik
acme 인증서 키가 저장되는 json파일을 생성해야 하는데 권한이 까다로우니 빈파일을 먼저 만들고, chmod로 권한을 주면 됩니다.
touch /volume1/docker/traefik/acme.json chmod 600 /volume1/docker/traefik/acme.json
docker-compose.yml을 보면 traefik.log 파일과 rules 폴더도 볼륨매핑해줄거라서 없으면 에러가 날테니 만들어줍니다.
touch /volume1/docker/traefik/traefik.log mkdir /volume1/docker/traefik/rules
이제 docker 폴더로 가서 리스트 명령어를 쳐보면
cd /volume1/docker ls -al
아래 항목들이 있어야 합니다.
docker-compose.yml .env traefik/rules traefik/acme.json traefik/traefik.log
traefik 서비스 올리기
이제 현재 위치가 /volume1/docker인지 확인하고 (pwd 명령어로 확인 가능)
docker-compose up -d traefik
으로 서비스를 올려봅니다. 명령어 실행 위치가 중요한 이유는 명령어 실행경로에 있는 .env 파일만 적용되기 때문입니다.
docker-compose logs traefik
으로 로그 확인해봅니다.
딱히 에러는 없겠지만 위에 적은 docker-compose.yml을 그대로 적용했다면 lets encrypt가 production이 아닌 staging (테스트 용도) 서버로 적용되어 있기 때문에 잘 되는 것을 확인했으면 그 줄을 주석처리하고 저장한 다음 다시
docker-compose up -d traefik
하면 됩니다.
이제 아까 TRF_DOMAIN에 설정했던 도메인에 /traefik을 붙여서 브라우저로 접속하면 대시보드가 뜹니다. 저는 서브도메인을 안 좋아해서 서브패스로 대부분 서비스를 올립니다. 그래서 이 글에서는 dsm.mydomain.com/traefik으로 접속되도록 했지만 traefik.mydomain.com으로 하고 싶으시면 나중에 응용해서 하셔도 됩니다.
traefik 라우팅 이해하기
대시보드에 HTTP 항목을 살펴보면 지금 2개가 보일겁니다. 하나는 모든 http 요청을 https로 돌려주는 것. 그러므로 이제부터 모든 요청은 https :443으로 들어올겁니다. 여기는 tls (인증서) 적용이 필요 없죠. 그리고 두번째는 api를 이용한 대시보드로의 라우팅. 이걸 눌러서 들어가봅시다.
잘못된 형식의 이미지 링크입니다.
요청을 처리하는 과정 및 단계가 다이어그램으로 설명되어 있습니다.
일단 :443포트로 들어오는 요청에 대해서 traefik-rtr이라는 이름의 라우팅 룰을 적용합니다. 룰은 왼쪽 아래에 자세히 나와있는데 호스트명이 dsm.mydomain.com이고 path가 /traefik이나 /api로 시작하는 모든 요청에 대해서... 라는 뜻입니다. 여기에 leresolver라는 인증서 처리자가 인증서도 입히고 api@internal이라는 서비스로 최종 연결하는데, 그 사이에 미들웨어가 이름에 걸맞게 중간에 껴들어 이것저것 처리를 합니다. 여기서는 traefik-stripprefix라는 이름의 미들웨어를 적용하는데 요청에서 /traefik을 달고 들어오면 이 prefix 떼고 최종 서비스에 전달하는겁니다.
위에서 설명한 모든 설정은 docker-compose.yml의 traefik에 command와 labels을 살펴보시면 됩니다.
다음 글에서는 middleware를 몇 개 더 적용해 볼게요.
참고한 글
https://github.com/htpcBeginner/docker-traefik
기본적인 리버스 프록시기능만 사용하고 있었는데 덕분에 미들웨어도 적용해봐요.
근데 똑같이 사용해 보려고하니 안되는 것들이 있어서 저는 수정을 좀 해야 제대로 되네요 ㅠㅠ
headers쪽은 뭐가 뭔지 몰라서 그냥 그대로 적용했습니다. ㅠㅠ
networks: - backend 만 추가하니 에러가 나서 따로 external: 도 추가해줘야 되더라구요.
설정들을 기존에 yml로 구성을 해놔서 yml로 바꿔가며 하려니 수정을 해야 됐어요 ㅎㅎ
미들웨어쪽 보다보니 구글auth도 사용 가능하던데 이거는 해보려는데 쉽게 되지 않네요.
traefik 설치시에 자동으로 인증서가 받아지고 갱신되는 건가요?
아니면 linuxserver/letsencrypt 와 같은 이미지로 따로 인증서를 받아두어야하나요??
Creating network "frontend" with driver "bridge"
ERROR: Failed to program FILTER chain: iptables failed: iptables --wait -I FORWARD -o br-284cb99e1938 -j DOCKER: iptables v1.8.7 (nf_tables): RULE_INSERT failed (Invalid argument): rule in chain FORWARD
(exit status 4)
docker-compse up -d 로 진행 성공했습니다.