Я полностью чайник в настройке сервера и только начинаю разбираться по твоим гайдам. Спасибо большое за видео. В настройке трафика столкнулся с тем что порты не определялись когда разварачивал docker compose и доступа естественно не было. Когда убрал security_opt все наконец заработало (Это тем кто как я тупой, вдруг поможет). К гайду только одно пожелание, чтобы все этапы пошагово друг за другом в одной страничке были (жирный запрос конечно, но это же пожелание). А еще когда ты говоришь, что не буду объяснять, это и так всем понятно прям так и хочется всплакнуть ведь ничего не понятно 😂
Вредные советы по отказу от отдельной директории для динамической конфигурации. Если в файле статической конфигурации указать директорию для динамической, а не конкретно файл, то traefik будет работать со всеми файлами динамической конфигурации в этой директории, а не с конкретным файлом. Таким образом, под каждую динамическую конфигурацию можно создать отдельный файл. Кажется, что это не нужно, но когда дело дойдет до проксирования nextcloud или для проксирования хостов находящихся не в локальном докере и динамическая конфигурация будет в одном файле, то там будет лютая каша которой управлять будет кратно сложнее, чем отдельными файлами под каждый проксируемый сервис
Также в одном из роликов Вы говорили, что у Вас настроен WAF (я так понял) на Cloudflare. Было бы очень интересно, если осветите в одном из роликов этот момент. Спасибо!
Из ролика я понял, что проще поставить кубик и пользоваться благами цивилизации с нормальными ингрес контроллерами и при необходимости сервис мешем, чем вытаскивать докер-компост за пределы своего ПК
Совет для тех, у кого роутер от провайдера с их прошивкой. Некоторые провайдеры в свою прошивку заливают ограничение на установку в DHCP DNS на локальные ip. При том визуально это никак не отображается. Я всю голову сломал, пока это обнаружил, т.к. не мог настроить split dns. (Гуглеж в инете сказал, что такое может быть не только на провайдерских прошивках, но и некоторые прошивки от производителей роутеров таким могут грешить) По итогу поменял прошивку с провайдерской на другую. Изначально хотел OpenWRT, но после установки понял, что разбор в нем займет довольно много времени, по итогу поставил Padavan и сейчас сижу радуюсь.
Спасибо за отличное видео! Вопросы по видео: 1) Безопасно ли использовать http аутентификацию traefik? Чем заменить для безопасности? 2) Вижу что все контейнеры с которыми взаимодействует traefik доступны в сети proxy. Как настроить сеть для изоляции взаимодействия между контейнерами но с доступом каждого к traefik?
Отличная инструкция! А главное все по пунктикам, и доходчиво. Настроил все по инструкции, работает! НО попытался сделать базовую авторизацию в динамической конфигурации. Но она зацикливается и не пропускает дальше к приложению. Пароль заполнен верно. Хотя базовая авторизация dashboard Traefik работает. Может в вашей инструкции не хватает какого либо заголовка?
@@Stilicho2011 В документации написано что может использоваться. Допустим мне необходимо проксировать на другой хост с приложением (не Docker) с защитой Basic Auth. Как лучше сделать?
Здравствуйте, а где можно посмотреть специфичные настройки динамической конфигурации? Хотел веб-интерфейс видеокамеры спрятать за traefik, но дальше страницы авторизации не пускает.
А чем Nginx Proxy Manager не устраивает? Я на fastpanel (он слушает порты 80, 443) обратный прокси сделал на Nginx Proxy Manager, а в lxc контейнере где Nginx Proxy Manager работает firewall настроил. Да и вообще можно по локальным ip проксировать с fastpanel
Добрый день! На 24-й минуте Вы говорите, что у Вас будет новый ролик про CrowdSec. Очень его жду! Буду благодарен, если сможете сориентировать о предполагаемой дате выхода. На гитхабе уже вижу инфу на эту тему, но без сопроводительного видео боюсь не справлюсь. Спасибо за Вашу работу!
Бро, а ты умеешь в TCP/UDP роутинг? Я попытался зарулить голый L4 трафик через Traefik на VPN-сервер, но пока чот не выходит каменный цветок. Пытался конфигурить это дело через docker-labels.
Развтывала portainer всё как в ролике и выходит ошибка "the service "portainer@docker" does not exist" в dasboard-traefik и не открывается portainer. Не пойму в чём проблема.
Слушай, очень подробно и полезно. Я слышал про traefik до этого, но как-то мне обычного nginx всегда хватало. У меня сразу назрел вопрос, у меня есть ряд tcp\udp сервисов, у которых порты проброшены прям на роутере до сервера, могу ли я вот эти самые порты кинуть через traefik и закрыть их на роутере, и желательно бы пример увидеть как это делается.
@@Stilicho2011 Ну я наверное криворукий немного или не понял сути. Смотри, например на сервере развернуты, ts3, 3xui, rustdesk. Как трафик к веб приложениям отправить проблем нет, как отправить трафик в тску или в коннект vless с помощью traefik мне чет совсем не очевидно, или например у rustdesk есть ряд портов, на которые я тоже не могу отправить трафик.
Отличное видео, спасибо! Правильно ли я понимаю, что если локальная сеть организована через vpn wg (локация1-кинетик-vps, локация2 -opwrt-vps, локация3-mob_wg-vps), то добавление обратного прокси излишне, более того вредно, ибо добавляет доп. фактор угрозы безопасности, как типа того что ключи от своей хаты уже не в своем кармане держишь, а сам отдаешь доброму дяде для сохранности. Прошу поправить если ошибаюсь
Мне кажется, интересной будет тема настройки прав доступа в Authentik к сервисам. Особенно в рамках forward auth. Сам несколько часов потратил, чтобы разобраться. Ps. Был ролик про crowdsec - он тоже подменяет ip (как туннель cloudflare) на ip своего контейнера, в итоге нельзя настроить маршрутизацию по ip в traefik. Возможно можно решить с помощью маршрутизации по заголовкам, но не разбирался.
@@Stilicho2011да, даже вроде больше) но там базовая настройка. Там был пример с авторизацией для доступа к traefik dashboard. У меня недавно возник вопрос, как настроить авторизацию по группам для разных сервисов, где нет oauth. Если коротко, то пришлось создать еще одну пару application и provider и привязать к существующему outpost. Еще интересная тема - авторизация пользователей через яндекс. Гугл встроен, а вот яндекс выдает ошибки при попытке запросить данные пользователя.
Мне кажется, интересной будет тема настройки прав доступа в Authelia к сервисам в связке с Traefik и crowdsec. Authentik, по ощущениям гораздо больше оперативы съедает на vds, что весьма удручает. P.s. Спасибо за видео, очень доступно и понятно.
Не как не могу понять, почему Вы ставите акцент именно на докер? Траефик нельзя использовать в случае если ресурсы куда нужен доступ, находится и на других физических машинках в локальной сети? К примеру как быть если нужен доступ через траефик к проксмох бекап серверу, или синолоджи нас? странные у вас иногда эти уроки. Если этот так называемый крутой траефик может быть использован только для сервисах под докер, тогда так и скажите. А если можно и для докера и для ресурсах на других физических машинках в локальной сети, то расскажите, как настроить траефик и для одного, и для другого. Также негде не вижу как можно организовать доступ к отдельным сервисам только с конкретных ип адресов.
Traefik может работать не только с контейнерами, но и с другими машинами в локальной сети. К примеру можно прокинуть доступ к вебморде роутера. Настраивается через файл провайдер, в services указать урл роутера.
Помогите, прошу! Я уже год мучаю этот трафик и не могу настроить. Переброс портов 80, 443 настроен. Файлы конфига дословно повторяют то что в видео. Докер-композ тоже. Только достучаться до своего сервера я не могу. Вообще никак. Клаудфлейр показывает картинку, что мой сервер не отвечает ему. Хотя он отвечает если биться к нему по другим портам напрямую через ip, а не по домену. Если отключаю прокси у клаудфлейр, то всё равно не могу достучаться до своего сервера по доменному имени, не знаю почему. Может ростелеком блочит 80 и 443 порты? Куда копать? Если кто-то может помочь, я бы с радостью где-то пообщался со знающим человеком, способным мне помочь.
Я с ростелеком разбирался с их роутером rt1. У них закрыт 443 порт, представляете?! Пришлось в режим бридж переводить и второй роутер ставить - тогда заработало проксирование.
На go много классных проектов, из того что использую, etcd, victoriametrics, так что не надо)) Сам обожаю си и nginx был настольной книгой, когда писал первый демон...
![กี่หมื่นฟ้า | Your Sky Series EP.1 [1/4]](http://i.ytimg.com/vi/vLGjxFL6U_I/mqdefault.jpg)
Ролик длинный. Но под конец ролика появилось чувство когда классный фильм подходит к концу, а тебе вторую серию хочется. Спасибо
Я полностью чайник в настройке сервера и только начинаю разбираться по твоим гайдам. Спасибо большое за видео. В настройке трафика столкнулся с тем что порты не определялись когда разварачивал docker compose и доступа естественно не было. Когда убрал security_opt все наконец заработало (Это тем кто как я тупой, вдруг поможет). К гайду только одно пожелание, чтобы все этапы пошагово друг за другом в одной страничке были (жирный запрос конечно, но это же пожелание). А еще когда ты говоришь, что не буду объяснять, это и так всем понятно прям так и хочется всплакнуть ведь ничего не понятно 😂
Ну когда в очередном ролике одно и тоже, тяжело каждый раз повторяться. Приходится предполагать, что зритель или знает или узнает базовые вещи.
Спасибо тебе братан!!! Только благодаря тебе оно заработало нормально, до этого он через задницу то работал, то вообще не работал
Спасибо, осталось найти время на усвоение информации
Это просто офигенно. Все разжевано!
Спасибо, автор. 👍 Осталось только проглотить. 🙂
Вредные советы по отказу от отдельной директории для динамической конфигурации. Если в файле статической конфигурации указать директорию для динамической, а не конкретно файл, то traefik будет работать со всеми файлами динамической конфигурации в этой директории, а не с конкретным файлом. Таким образом, под каждую динамическую конфигурацию можно создать отдельный файл. Кажется, что это не нужно, но когда дело дойдет до проксирования nextcloud или для проксирования хостов находящихся не в локальном докере и динамическая конфигурация будет в одном файле, то там будет лютая каша которой управлять будет кратно сложнее, чем отдельными файлами под каждый проксируемый сервис
Я не советовал, а всего лишь сказал как делаю
Также в одном из роликов Вы говорили, что у Вас настроен WAF (я так понял) на Cloudflare. Было бы очень интересно, если осветите в одном из роликов этот момент. Спасибо!
Из ролика я понял, что проще поставить кубик и пользоваться благами цивилизации с нормальными ингрес контроллерами и при необходимости сервис мешем, чем вытаскивать докер-компост за пределы своего ПК
Ну значит есть в ролике польза
Совет для тех, у кого роутер от провайдера с их прошивкой. Некоторые провайдеры в свою прошивку заливают ограничение на установку в DHCP DNS на локальные ip. При том визуально это никак не отображается. Я всю голову сломал, пока это обнаружил, т.к. не мог настроить split dns. (Гуглеж в инете сказал, что такое может быть не только на провайдерских прошивках, но и некоторые прошивки от производителей роутеров таким могут грешить) По итогу поменял прошивку с провайдерской на другую. Изначально хотел OpenWRT, но после установки понял, что разбор в нем займет довольно много времени, по итогу поставил Padavan и сейчас сижу радуюсь.
Интересно узнать о похожем сервисе caddy. Планирую использовать его как плагин к opnsense.
Теперь уж точно реверсивно попроксируем
Записи в labels разве не дублируются в файле traefik.yaml? Или нужно все прописывать в обоих файлах?
Отличный ролик, сложнее чем npm, но интереснее.
Подскажите, а можно ли проксировать сервисы, которые крутятся на серверах, а не в докер?
Можно. Есть ролик об этом
Спасибо за отличное видео!
Вопросы по видео:
1) Безопасно ли использовать http аутентификацию traefik? Чем заменить для безопасности?
2) Вижу что все контейнеры с которыми взаимодействует traefik доступны в сети proxy. Как настроить сеть для изоляции взаимодействия между контейнерами но с доступом каждого к traefik?
В меру безопасно. Создавать для разных стэков разные докер сети. Но чтобы трафик ко всем имел доступ
Отличная инструкция! А главное все по пунктикам, и доходчиво. Настроил все по инструкции, работает! НО попытался сделать базовую авторизацию в динамической конфигурации. Но она зацикливается и не пропускает дальше к приложению. Пароль заполнен верно. Хотя базовая авторизация dashboard Traefik работает. Может в вашей инструкции не хватает какого либо заголовка?
А она там разве должна работать?
@@Stilicho2011 В документации написано что может использоваться. Допустим мне необходимо проксировать на другой хост с приложением (не Docker) с защитой Basic Auth. Как лучше сделать?
Как в документации написано
@Stilicho2011 Все заработало!!! Ошибка с правильным хешированием пароля.
Спасибо за ролик, но не раскрыта тема, разворачивания контейнеров из других виртуальных машин, чтобы это подхватывал traefik
Надо просто взять файл с прокмоксом как пример
Здравствуйте, а где можно посмотреть специфичные настройки динамической конфигурации? Хотел веб-интерфейс видеокамеры спрятать за traefik, но дальше страницы авторизации не пускает.
А чем Nginx Proxy Manager не устраивает? Я на fastpanel (он слушает порты 80, 443) обратный прокси сделал на Nginx Proxy Manager, а в lxc контейнере где Nginx Proxy Manager работает firewall настроил. Да и вообще можно по локальным ip проксировать с fastpanel
Подскажите, а как вы закрыли доступ к панели npm по ip:81?
Добрый день! На 24-й минуте Вы говорите, что у Вас будет новый ролик про CrowdSec. Очень его жду! Буду благодарен, если сможете сориентировать о предполагаемой дате выхода. На гитхабе уже вижу инфу на эту тему, но без сопроводительного видео боюсь не справлюсь. Спасибо за Вашу работу!
Он будет через 45 минут
Бро, а ты умеешь в TCP/UDP роутинг? Я попытался зарулить голый L4 трафик через Traefik на VPN-сервер, но пока чот не выходит каменный цветок. Пытался конфигурить это дело через docker-labels.
Развтывала portainer всё как в ролике и выходит ошибка "the service "portainer@docker" does not exist" в dasboard-traefik и не открывается portainer. Не пойму в чём проблема.
Возьми компоуз файл у меня на гитхабе
@@Stilicho2011 Спасибо всё запустилось. Только вот не поняла в чём была ошибка
Боюсь, мы этого уже никогда не узнаем
Слушай, очень подробно и полезно. Я слышал про traefik до этого, но как-то мне обычного nginx всегда хватало. У меня сразу назрел вопрос, у меня есть ряд tcp\udp сервисов, у которых порты проброшены прям на роутере до сервера, могу ли я вот эти самые порты кинуть через traefik и закрыть их на роутере, и желательно бы пример увидеть как это делается.
Ну собственно этому и посвящен ролик
@@Stilicho2011 Ну я наверное криворукий немного или не понял сути. Смотри, например на сервере развернуты, ts3, 3xui, rustdesk. Как трафик к веб приложениям отправить проблем нет, как отправить трафик в тску или в коннект vless с помощью traefik мне чет совсем не очевидно, или например у rustdesk есть ряд портов, на которые я тоже не могу отправить трафик.
@@Stilicho2011 А ладно, сам разобрался. Пошел покурил документацию. Вроде все заработалою
Правда как не крутись, все равно порты на роутере открывать надо, не возможно видимо все это спроксировать в принципе.
@DemianOrtin 443 и 80
Отличное видео, спасибо! Правильно ли я понимаю, что если локальная сеть организована через vpn wg (локация1-кинетик-vps, локация2 -opwrt-vps, локация3-mob_wg-vps), то добавление обратного прокси излишне, более того вредно, ибо добавляет доп. фактор угрозы безопасности, как типа того что ключи от своей хаты уже не в своем кармане держишь, а сам отдаешь доброму дяде для сохранности. Прошу поправить если ошибаюсь
Если все завернуть в впн, то да
по ссылке нет регистратора
А почему split dns не на opensense?
у меня были проблемы c pihole он частенко зависал, крутился на core i3 в докер
Потому что opnsense а) не у всех б) это я уже показывал
@@Stilicho2011 а у вас лично что используется opensense или pihole для splitdns
Opnsense
Мне кажется, интересной будет тема настройки прав доступа в Authentik к сервисам. Особенно в рамках forward auth. Сам несколько часов потратил, чтобы разобраться.
Ps. Был ролик про crowdsec - он тоже подменяет ip (как туннель cloudflare) на ip своего контейнера, в итоге нельзя настроить маршрутизацию по ip в traefik. Возможно можно решить с помощью маршрутизации по заголовкам, но не разбирался.
У меня про authentik три ролика
@@Stilicho2011да, даже вроде больше) но там базовая настройка.
Там был пример с авторизацией для доступа к traefik dashboard.
У меня недавно возник вопрос, как настроить авторизацию по группам для разных сервисов, где нет oauth. Если коротко, то пришлось создать еще одну пару application и provider и привязать к существующему outpost.
Еще интересная тема - авторизация пользователей через яндекс. Гугл встроен, а вот яндекс выдает ошибки при попытке запросить данные пользователя.
Мне кажется, интересной будет тема настройки прав доступа в Authelia к сервисам в связке с Traefik и crowdsec. Authentik, по ощущениям гораздо больше оперативы съедает на vds, что весьма удручает.
P.s. Спасибо за видео, очень доступно и понятно.
а как быть если ip не только динамический, но и серый? например, если у меня доступ в интернет через 4g
То только впн или zerotier, netbird, twingate
Я свегда считал что это бобер, а не мышь)))
Одно слово - грызун
Сделай ролик как развернуть Mailu с использованием traefik
Не как не могу понять, почему Вы ставите акцент именно на докер? Траефик нельзя использовать в случае если ресурсы куда нужен доступ, находится и на других физических машинках в локальной сети? К примеру как быть если нужен доступ через траефик к проксмох бекап серверу, или синолоджи нас? странные у вас иногда эти уроки. Если этот так называемый крутой траефик может быть использован только для сервисах под докер, тогда так и скажите. А если можно и для докера и для ресурсах на других физических машинках в локальной сети, то расскажите, как настроить траефик и для одного, и для другого. Также негде не вижу как можно организовать доступ к отдельным сервисам только с конкретных ип адресов.
Traefik может работать не только с контейнерами, но и с другими машинами в локальной сети. К примеру можно прокинуть доступ к вебморде роутера. Настраивается через файл провайдер, в services указать урл роутера.
Помогите, прошу! Я уже год мучаю этот трафик и не могу настроить. Переброс портов 80, 443 настроен. Файлы конфига дословно повторяют то что в видео. Докер-композ тоже. Только достучаться до своего сервера я не могу. Вообще никак. Клаудфлейр показывает картинку, что мой сервер не отвечает ему. Хотя он отвечает если биться к нему по другим портам напрямую через ip, а не по домену. Если отключаю прокси у клаудфлейр, то всё равно не могу достучаться до своего сервера по доменному имени, не знаю почему. Может ростелеком блочит 80 и 443 порты? Куда копать? Если кто-то может помочь, я бы с радостью где-то пообщался со знающим человеком, способным мне помочь.
Я с ростелеком разбирался с их роутером rt1. У них закрыт 443 порт, представляете?! Пришлось в режим бридж переводить и второй роутер ставить - тогда заработало проксирование.
@@daetoyan спасибо, хоть какая-то информация! Но не мой случай, поскольку у меня свой роутер.
А Ваш домен правильно резолвится? В IP-адрес Вашего сервера?
нету веб интерфейса в 2024 году ? нах*** пошел. NPM рулит
nginx написан на православном си, а это недоразумение на го.
На go много классных проектов, из того что использую, etcd, victoriametrics, так что не надо)) Сам обожаю си и nginx был настольной книгой, когда писал первый демон...
@@saterenko на vbs тоже много классных проектов. еще больше классных проектов на php и delphi.
И?