Skip to content

GitLab

Last edited by Jan Pachol
Page history

Traefik

Vse by melo fungovat automaticky, tedy i obnovy letsencrypt certifikatu. Mame vic jak 50 domen, na coz nam nestaci letsencrypt limity, takze na zbyle domeny tam je stary hvezdickovy certifikat. Az se limity uvolni, coz je za tyden, dogeneruje se zbytek. Obnovy certifikatu kazde pak pujdou automaticky, vzdy mesic pred vyprsenim, tedy kazde 2 mesice.

Na https://traefik.kpsys.cz je dashboard zabezpeceny basic authem, jmeno admin. Je tam videt cela konfigurace endpointu, routeru, middlewaru a servis. Kazdy request jde pres [nejaky endpoint] -> [router], ktery nasmeruje volitelne pres [nejaky middleware, vetsinou zadny] a nasledne do [nejake servisy, coz je typicky portaro nekde uvnitr site], hezky je to videt treba na https://traefik.kpsys.cz/dashboard/#/http/routers/cust-artlib-https@file

Traefik je nainstalovan jako docker-compose na apache.kpsys.cz v /home/kpsys/traefik. Konfigurace je na dve casti, jedna je staticka, ta je v docker-compose.yml, ta by se menit uz nemela V ni jsou nastavene endpointy, letsencrypt apod.. Ta dulezita konfigurace je dynamicka, v /home/kpsys/traefik/config/dynamic.yml. V ni se nastavuji routery k servisam (portarum) a jednotlive servisy (portara). Kazda zmena v dynamicke konfiguraci (/home/kpsys/traefik/config/dynamic.yml) se automaticky projevi, nemusi se nic restartovat. Uroven logu je nastavena jako "ERROR", lze ji zmenit treba na "DEBUG" ve staticke konfiguraci (v docker-compose.yml). Po uprave ve staticke konfiguraci je treba restartovat traefik klasicky pres docker-compose up -d. Pro zobrazeni poslednich 100 radku logu docker-compose logs --tail 100, pro zobrazeni "ziveho" logu docker-compose logs --tail 100 -f.

Pridani dalsiho portara tedy znamena pouze zmenu v dynamicke konfiguraci (/home/kpsys/traefik/config/dynamic.yml) a to pridanim

  • routy, ktera se jmenuje napr cust-vuhu-https naroutuje z https endpointu, ktery se jmenuje websecure s letsencryptem na portaro, pojmenovane cust-vuhu, napr:
    cust-vuhu-https:
      rule: "Host(`vuhu.kpsys.cz`)"
      entryPoints: [websecure]
      tls: {certResolver: "le"}
      service: cust-vuhu
  • servisy (= portara) cust-vuhu, ktera bezi nekde v interni siti, napr:
    cust-vuhu: { loadBalancer: { servers: [{ url: http://193.168.1.93:8015 }] } }

Pojmenovani je vzdy "cust-"<nazev_knihovny>. "cust" je jako customer. Pro nase interni sluzby (portainery, volejbaly, kpsys homepage) budeme pouzivat prefix kpsys-, napr. kpsys-portainer. Po ulozeni se konfigurace hned projevi. Pokud ne, neco je spatne a bude to pravdepodobne videt na traefik.kpsys.cz.

Traefik krome http/https podporuje i tcp, takze muzeme pres traefik tlacit i spojeni s firebirdi DB, jde to myslim i nejak s SSLkem, ale to jsme jeste nezkouseli.

v traefiku, pokud chceme provozovat sluzbu na vicero domenach, napr. kpsysovske stranky (kpsys.cz, knihovny.eu, kpsys.eu, knihovna.cloud), neni potreba nastavovat routu pro kazdou domenu zvlast, staci nastavit vsechny domeny do Host, tedy misto:

    kpsys-homepage1-https:
      rule: "Host(`kpsys.cz`)"
      entryPoints: [websecure]
      tls: {certResolver: "le"}
      service: kpsys-homepage

    kpsys-homepage2-https:
      rule: "Host(`knihovna.cloud`)"
      entryPoints: [websecure]
      tls: {certResolver: "le"}
      service: kpsys-homepage

...atd., nastavit jen jednu sekci:

    kpsys-homepage-https:
      rule: "Host(`kpsys.cz`, `knihovna.cloud`, `knihovny.cloud`, `knihovny.eu`, `kpsys.eu`, `portaro.cz`, `portaro.eu`)"
      entryPoints: [websecure]
      tls: {certResolver: "le"}
      service: kpsys-homepage