|
|
Vse by melo fungovat automaticky, tedy i obnovy letsencrypt certifikatu. Mame vic jak 50 domen, na coz nam nestaci letsencrypt limity, takze na zbyle domeny tam je stary hvezdickovy certifikat. Az se limity uvolni, coz je za tyden, dogeneruje se zbytek. Obnovy certifikatu kazde pak pujdou automaticky, vzdy mesic pred vyprsenim, tedy kazde 2 mesice.
|
|
|
|
|
|
Na https://traefik.kpsys.cz je dashboard zabezpeceny basic authem, jmeno admin. Je tam videt cela konfigurace endpointu, routeru, middlewaru a servis. Kazdy request jde pres [nejaky endpoint] -> [router], ktery nasmeruje volitelne pres [nejaky middleware, vetsinou zadny] a nasledne do [nejake servisy, coz je typicky portaro nekde uvnitr site], hezky je to videt treba na https://traefik.kpsys.cz/dashboard/#/http/routers/cust-artlib-https@file
|
|
|
|
|
|
Traefik je nainstalovan jako docker-compose na apache.kpsys.cz v /home/kpsys/traefik. Konfigurace je na dve casti, jedna je staticka, ta je v docker-compose.yml, ta by se menit uz nemela V ni jsou nastavene endpointy, letsencrypt apod.. Ta dulezita konfigurace je dynamicka, v /home/kpsys/traefik/config/dynamic.yml. V ni se nastavuji routery k servisam (portarum) a jednotlive servisy (portara). Kazda zmena v dynamicke konfiguraci (/home/kpsys/traefik/config/dynamic.yml) se automaticky projevi, nemusi se nic restartovat. Uroven logu je nastavena jako "ERROR", lze ji zmenit treba na "DEBUG" ve staticke konfiguraci (v docker-compose.yml). Po uprave ve staticke konfiguraci je treba restartovat traefik klasicky pres `docker-compose up -d`. Pro zobrazeni poslednich 100 radku logu `docker-compose logs --tail 100`, pro zobrazeni "ziveho" logu `docker-compose logs --tail 100 -f`.
|
|
|
|
|
|
Pridani dalsiho portara tedy znamena pouze zmenu v dynamicke konfiguraci (/home/kpsys/traefik/config/dynamic.yml) a to pridanim
|
|
|
- routy, ktera se jmenuje napr `cust-vuhu-https` naroutuje z https endpointu, ktery se jmenuje `websecure` s letsencryptem na portaro, pojmenovane `cust-vuhu`, napr:
|
|
|
|
|
|
```yml
|
|
|
cust-vuhu-https:
|
|
|
rule: "Host(`vuhu.kpsys.cz`)"
|
|
|
entryPoints: [websecure]
|
|
|
tls: {certResolver: "le"}
|
|
|
service: cust-vuhu
|
|
|
```
|
|
|
|
|
|
- servisy (= portara) `cust-vuhu`, ktera bezi nekde v interni siti, napr:
|
|
|
|
|
|
```yml
|
|
|
cust-vuhu: { loadBalancer: { servers: [{ url: http://193.168.1.93:8015 }] } }
|
|
|
```
|
|
|
|
|
|
Pojmenovani je vzdy `"cust-"<nazev_knihovny>`. "cust" je jako customer. Pro nase interni sluzby (portainery, volejbaly, kpsys homepage) budeme pouzivat prefix `kpsys-`, napr. `kpsys-portainer`.
|
|
|
Po ulozeni se konfigurace hned projevi. Pokud ne, neco je spatne a bude to pravdepodobne videt na traefik.kpsys.cz.
|
|
|
|
|
|
Traefik krome http/https podporuje i tcp, takze muzeme pres traefik tlacit i spojeni s firebirdi DB, jde to myslim i nejak s SSLkem, ale to jsme jeste nezkouseli.
|
|
|
|
|
|
v traefiku, pokud chceme provozovat sluzbu na vicero domenach, napr. kpsysovske stranky (kpsys.cz, knihovny.eu, kpsys.eu, knihovna.cloud), neni potreba nastavovat routu pro kazdou domenu zvlast, staci nastavit vsechny domeny do `Host`, tedy misto:
|
|
|
|
|
|
```yml
|
|
|
kpsys-homepage1-https:
|
|
|
rule: "Host(`kpsys.cz`)"
|
|
|
entryPoints: [websecure]
|
|
|
tls: {certResolver: "le"}
|
|
|
service: kpsys-homepage
|
|
|
|
|
|
kpsys-homepage2-https:
|
|
|
rule: "Host(`knihovna.cloud`)"
|
|
|
entryPoints: [websecure]
|
|
|
tls: {certResolver: "le"}
|
|
|
service: kpsys-homepage
|
|
|
```
|
|
|
...atd., nastavit jen jednu sekci:
|
|
|
|
|
|
```yml
|
|
|
kpsys-homepage-https:
|
|
|
rule: "Host(`kpsys.cz`, `knihovna.cloud`, `knihovny.cloud`, `knihovny.eu`, `kpsys.eu`, `portaro.cz`, `portaro.eu`)"
|
|
|
entryPoints: [websecure]
|
|
|
tls: {certResolver: "le"}
|
|
|
service: kpsys-homepage
|
|
|
``` |
|
|
\ No newline at end of file |