Déploiement de Traefik 2.0 sur docker swarm

Mon, 30 Sep 2019 18:56:44 +0200

Traefik 2.0 est sortie en version finale il y a quelques jours et j’ai donc effectué la migration de ma configuration. Je savais que la configuration avait subie de gros changement, mais j’ai quand même rencontrer quelques difficultées sur les points avancés.

Un trucs que je n’avais pas compris tout de suite, c’est qu’on peut utiliser les middleware à différents endroits, ce qui permet de ne pas dupliquer du code pour chaque service déployer. Et ça c’est super cool.

Bien que l’on puisse faire des appels à des middlewares déclarés dans d’autres providers, je n’ai pas réussi à utiliser le provider file depuis le provider dynamique docker (un nouveau middlerware vide était créé et surchargeait celui que j’avais défini en fichier).

Bien, déployons et commençons donc par les middlewares réutilisables. Étant donné qu’il ne servent à rien si traefik n’est pas présent, je les déclare donc dans le docker-compose de traefik :

Le premier middleware est utile pour la redirection http vers https

 - "traefik.http.middlewares.https_redirect.redirectscheme.scheme=https"

Le second middleware est une authentification basique, utile pour une petite infrastructure / équipe pour sécuriser rapidement les sites déployé

 - "traefik.http.middlewares.auth.basicauth.users=admin:$$apr1$$kr4VIpmn$$LDCgCQOlcqlOovSTa/0SD1"

Le troisième est la compression, avec ses avantages et ses inconvénients ( à utiliser au besoin )

 - "traefik.http.middlewares.compress.compress=true"

Et pour le dernier du jour, on peut définir un groupe d’hentête de sécurité ( à adapter en fonction des besions )

 - "traefik.http.middlewares.security-headers.headers.browserXssFilter=true"
- "traefik.http.middlewares.security-headers.headers.contentTypeNosniff=true"
- "traefik.http.middlewares.security-headers.headers.forceSTSHeader=true"
- "traefik.http.middlewares.security-headers.headers.stsIncludeSubdomains=true"
- "traefik.http.middlewares.security-headers.headers.stsPreload=true"
- "traefik.http.middlewares.security-headers.headers.stsSeconds=15768000"
- "traefik.http.middlewares.security-headers.headers.frameDeny=true"
- "traefik.http.middlewares.security-headers.headers.sslRedirect=true"

Avant de passer aux services, nous pouvons aussi personnaliser la configuration TLS via le provider file en créant un fichier avec, par exemple, le contenu suivant :

 tls:
options:
default:
sniStrict: true
minVersion: VersionTLS12
cipherSuites:
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305

Nous pouvons maintenant déployer des services en utilisant nos middlewares. Occupons nous du dashboard de traefik, après tout nous sommes dans le docker-compose de traefik.

D’abord on active le service et on indique sur quel réseau on écoute

 - "traefik.enable=true"
- "traefik.docker.network=traefik"

Après on crée une entrée pour le protocole http en utilisant nos midlewares (un jour je trouverai le moyen de faire un vhost http générique qui redirigera sur https sans avoir à un définir pour chaque service )

 - "traefik.http.routers.traefik-insecure.entrypoints=http"
- "traefik.http.routers.traefik-insecure.rule=Host(`traefik.example.com`)"
- "traefik.http.routers.traefik-insecure.middlewares=https_redirect,compress,security-headers"

Enfin on crée une entrée pour le protocole https

 - "traefik.http.routers.traefik.entrypoints=https"
- "traefik.http.routers.traefik.tls=true"
- "traefik.http.routers.boot.tls.options=default"
- "traefik.http.routers.traefik.rule=Host(`traefik.example.com`)"
- "traefik.http.services.traefik.loadbalancer.server.port=8080"
- "traefik.http.routers.traefik.middlewares=auth,compress,security-headers"

Une fois le tout déployé, on peut aller tester le résultat sur ssllabs et securityheaders.

Voici mon résultat sur ssllabs:

Traefik on AdRiLiNuX's web site

Déploiement de Traefik 2.0 sur docker swarm