Traefik docker создает самоподписанные ssl сертификаты. Как отключить?

Question

[lifeexample]

Не уверен что, правильно сформулировал суть вопроса, но мне кажется это может решить мою задачу. Если есть другое решение, подскажите пожалуйста.

Необходимо перенаправлять весть трафик сайта через обратный прокcи Traefik v2 на два порта 80 и 443 соответственно.
Важно в этой задаче обойтись без редиректов всего трафика на https, без самоподписных сертификатов, без certificatesresolvers и без letsencrypt! Другими словами нужно простое проксирование запросов в контейнер 80->80, 443->443

То есть в контейнере трафика создаем два entrypoints: web и websecure

image: traefik:v2.4
    command: 
      - "--api.insecure=true" 
      - "--providers.docker"
      - "--providers.docker.exposedbydefault=false" 
      - "--providers.docker.network=proxy-network"
      - "--entrypoints.web.address=:80"
      - "--entrypoints.websecure.address=:443"

В контейнере с сайтом указываем в метках, точки входа web и websecure

image: httpd:latest
   labels:
      - "traefik.enable=true"

      - "traefik.http.routers.exampleforhttp.rule=Host(`example.com`)"
      - "traefik.http.routers.exampleforhttp.entrypoints=web"
     
      - "traefik.http.routers.exampleforhttps.rule=Host(`example.com`)"
      - "traefik.http.routers.exampleforhttps.entrypoints=websecure"
      - "traefik.http.routers.exampleforhttps.tls=true"

При такой настройке задача почти решена,
сайт открывается по двум ссылкам
example.com
https://example.com

проблема только в том, что при включении этой метки - "traefik.http.routers.exampleforhttps.tls=true" traefik создает самоподписанный сертификат и открывает сайт по ссылке https://example.com уже со своим сертификатом.

Необходимо чтобы трафик просто дошел до конечного контейнера с веб-сервером apache, и далее уже сам apache прикрутит известный ему настоящий ssl сертификат, хранящийся в контейнере. Кто-нибудь знает как это реализовать?

Спасибо!

Answer 1

[shurshur]

Для этого порт надо пробрасывать как tcp, не http/https.

Но вообще-то это неправильная практика. Как раз на прокси/балансеры и вешают сертификат в таких случаях, а дальше терминируют трафик на http или на https с любым сертификатом.

Comments

[lifeexample]

Спасибо, через tcp все получилось!

Вот, может кому-то пригодится:

- "traefik.http.routers.exampleforhttp.rule=Host(`example.com`)"
      - "traefik.http.routers.exampleforhttp.entrypoints=web"

      - "traefik.http.middlewares.redirect-to-https.redirectscheme.scheme=https" 
      - "traefik.http.routers.exampleforhttp.middlewares=redirect-to-https"  
  
      - "traefik.tcp.routers.exampleforhttps.rule=HostSNI(`example.com`)"
      - "traefik.tcp.routers.exampleforhttps.entrypoints=websecure"
      - "traefik.tcp.routers.exampleforhttps.tls.passthrough=true"
      - "traefik.tcp.services.exampleforhttps.loadbalancer.server.port=443"

Я понимаю, что это неправильная практика, но я не нашел других вариантов как реализовать чтобы часть контейнеров работали по TLS traefika, через certresolver, а другая часть по своим собственным ssl сертификатам. Причем количество таких контейнеров заранее неизвестно, и будет добавляться с течением времени, без перезапуска traefik и дописывания путей к сертификатам в конфигурационном файле traefik.

В этом решении такие контейнеры будут автономными, и смогут добавляться и удаляться в любое время.

[shurshur]

lifeexample, ну с таким подходом да, может быть будет непросто. Но просто для примера как у нас это решают:

1. Все сервисы регистрируются в consul с помощью containerpilot (или если приложение нашей разработки то оно само может уметь).
2. В качестве прокси используется envoy, который умеет много вещей на тему динамической конфигурации.
3. Для envoy написан специальный Envoy Management Server, который снабжает его конфигурацией по правилам.
4. Появление/изменение/переезд контейнеров между датацентрами прозрачно отражается на работе всех сервисов.
5. До кучи envoy автоматом обновляет сертификаты из HashiCorp Vault, так что при перевыпуске их не нужно ничего рестартить, всё прозрачно взлетает автоматом.

Правда, сейчас не исключено, что новые проекты будем просто пускать в кубере.

[lifeexample]

shurshur , а вы случайно не подскажите, с чем могут быть связаны такие ошибки в логах traefik, и как их можно устранить? Это происходит при обращении к сайту example.com в приведенной выше конфигурации

time="2021-05-07T08:19:55Z" level=error msg="Error during connection: write tcp 172.18.0.5:443->94.242.42.154:58317: write: connection reset by peer"
time="2021-05-07T08:19:55Z" level=error msg="Error during connection: readfrom tcp 172.18.0.5:35684->172.18.0.7:443: read tcp 172.18.0.5:443->94.242.42.154:58309: read: connection reset by peer"
time="2021-05-07T08:19:56Z" level=error msg="Error during connection: readfrom tcp 172.18.0.5:35690->172.18.0.7:443: read tcp 172.18.0.5:443->94.242.42.154:58314: read: connection reset by peer"