Traefik reverse proxy : installation et configuration

Introduction

Traefik, créé par Emile Vauge, se distingue comme une solution incontournable pour le routage dynamique, adaptée aux architectures microservices et aux applications conteneurisées. Cette innovation française, développée par Containous, s’impose comme un pilier dans le domaine du DevOps.

Traefik est un reverse proxy né de la nécessité de gérer efficacement le trafic réseau dans nos systèmes et applications avec des architectures de plus en plus complexes. Il offre une plateforme intuitive pour le routage statique et dynamique et la découverte des services, facilitant la gestion des infrastructures modernes et évolutives.

Dans cet article, découvrez les principes de base de Traefik ainsi que les clés pour comprendre et débuter avec cet outil. Ensemble, exploitons son potentiel et transformons vos pratiques DevOps.

Pourquoi choisir Traefik ?

Les solutions traditionnelles peinent à s’adapter à la dynamique et à la complexité des systèmes basés sur les microservices et les conteneurs. C’est dans ce contexte que Traefik émerge comme une réponse offrant agilité, flexibilité et efficacité.

Défis des architectures modernes

Les architectures microservices introduisent une modularité et une scalabilité sans précédent. Elles permettent désormais aux applications de s’adapter rapidement et de manière fiable aux exigences changeantes des entreprises. Toutefois, cette approche fragmentée soulève des défis spécifiques :

• Découverte dynamique de services : La capacité à localiser et router automatiquement les requêtes vers les services appropriés en temps réel.
• Équilibrage de charge : Distribuer le trafic de manière efficace entre des instances multiples pour optimiser les performances et accroitre la disponibilité des services.
• Gestion des certificats SSL : Assurer une communication sécurisée entre les services avec une gestion simplifiée et efficace des certificats.
• Configuration en temps réel : Adapter rapidement la configuration du système sans interruption de service.

La solution Traefik

Cet outil open source se positionne comme le couteau suisse des DevOps, conçu spécifiquement pour répondre aux besoins de ses architectures et systèmes modernes :

• Découverte automatique de services : Il s’intègre parfaitement avec des providers et orchestrateurs de conteneurs comme Docker, Kubernetes, et autres, permettant une découverte et un routage automatiques des services.
• Équilibrage de charge natif : Il offre des fonctionnalités avancées d’équilibrage de charge, assurant une repartition intelligente du trafic en fonction des algorithmes pour maximiser la haute disponibilité et la performance.
• Sécurité renforcée : Avec la prise en charge automatique des certificats SSL via Let’s Encrypt, Traefik simplifie la sécurisation des échanges entre les services.
• Interface utilisateur et API : Une interface web (Dashbord) userfriendly et une API riche permettant une gestion et une surveillance simplifiée de l’état du trafic et des services déployés.

L’adoption de Traefik dans les architectures microservices et conteneurisées ne se limite pas à une question de commodité. Elle représente une transformation fondamentale de la manière dont les infrastructures IT peuvent être gérées. Son utilisation améliore l’agilité et la facilité opérationnelle, renforce la sécurité et offre une meilleure expérience utilisateur.

Architecture de Traefik

Traefik se distingue dans l’écosystème des outils DevOps grâce à ses composants clés conçus pour simplifier la gestion du trafic et la découverte de services dans des environnements dynamiques et distribués. Cette section explore l’architecture sous-jacente de Traefik.

Composants clés

L’architecture de Traefik repose sur plusieurs composants essentiels qui travaillent de concert pour offrir un routage et des services efficaces :

Les Entrypoints : Les entrypoints définissent les points d’entrée du réseau pour le trafic entrant, essentiellement les ports sur lesquels Traefik écoute pour les requêtes. Vous pouvez avoir différents entrypoints pour le trafic HTTP et HTTPS, par exemple, permettant à Traefik de gérer et de router le trafic de manière appropriée selon les besoins de l’application.

Routeur : Au cœur de Traefik, le routeur prend les décisions de routage en temps réel, dirigeant les requêtes entrantes vers le(s) service(s) approprié(s). Il utilise des règles définies dans la configuration de Traefik pour déterminer la destination, le bon chemin pour la requête.

Les Services : Les services représentent les applications en back-end qui reçoivent le trafic routé. Un service peut être une simple instance d’application ou un ensemble d’instances derrière un Loadbalancer intégré. Traefik utilise les informations des providers pour découvrir ces services et les routes vers eux en fonction des règles définies dans les routers.

Middleware : Les middlewares permettent de manipuler les requêtes avant qu’elles n’atteignent le service cible. Ceci inclut des tâches comme la modification des en-têtes, la redirection des requêtes, etc…

Load Balancer : Traefik intègre un équilibreur de charge qui distribue le trafic entre les instances de services, basé sur divers algorithmes (round-robin, poids,etc.) pour optimiser la performance et la disponibilité.

Provider : Les providers constituent le mécanisme par lequel Traefik s’harmonise de manière dynamique avec des environnements tels que Docker, Kubernetes, et autres plateformes. Le principe sous-jacent implique que Traefik consulte les API de ces fournisseurs pour extraire des données cruciales concernant le routage. Ainsi, à chaque fois qu’un changement est perçu au niveau des services, Traefik réagit en ajustant dynamiquement les itinéraires pour assurer une configuration et une découverte de services en temps réel, optimisant la gestion du trafic.

Certificate Resolver : Ce composant automatise la gestion des certificats SSL, notamment en intégrant Let’s Encrypt pour le renouvellement et l’émission automatiques de certificats, sécurisant ainsi les communications.

Simplification de la découverte de services

L’un des principaux avantages de Traefik réside dans sa capacité à simplifier la découverte de services. En intégrant nativement avec des orchestrateurs de conteneurs tels que Docker et Kubernetes, le proxy élimine le besoin de configuration manuelle pour chaque nouveau service ou instance de service déployé :

• Découverte automatique : Traefik détecte automatiquement les services et leurs instances dès qu’ils sont déployés, sans intervention manuelle, grâce à sa connexion aux providers.
• Routage dynamique : Basé sur la configuration et les règles définies, il ajuste dynamiquement le routage pour refléter l’état actuel de l’environnement, les requêtes sont toujours dirigées vers les destinations correctes.
• Gestion transparente des changements : L’outil gère les changements dans l’environnement, tels que l’ajout ou la suppression de services, en mettant à jour le routage en temps réel, sans redémarrage ou interruption de service.

Grâce à ces mécanismes, Traefik rend les infrastructures basées sur les microservices plus agiles et réactives, en réduisant la complexité et le surcoût associés à la gestion manuelle du trafic et de la découverte de services. Cela permet aux équipes DevOps de se concentrer sur l’innovation et l’amélioration continue, tout en maintenant une haute disponibilité et performance des applications.

Installation de Traefik

L’installation de Traefik est un processus direct qui peut varier légèrement en fonction de votre environnement spécifique (Docker, Kubernetes, etc.). Cette section vous guidera à travers les prérequis généraux et fournira un guide d’installation pas à pas pour une configuration de base sur un système Linux.

Prérequis

Avant de commencer l’installation, assurez-vous que votre système répond aux exigences suivantes :

• Système d’exploitation : Traefik peut être installé sur la plupart des systèmes d’exploitation modernes, y compris Linux, Windows et macOS.
• Docker : Pour une installation via Docker, assurez-vous que Docker est installé et fonctionne sur votre système. La version de Docker doit être à jour pour garantir la compatibilité.
• Accès Internet : Pour télécharger Traefik et, éventuellement, générer des certificats SSL via Let’s Encrypt, une connexion internet est nécessaire.
• Permissions : Des permissions d’administrateur ou de superutilisateur (sudo) sont requises pour installer les paquets et effectuer certaines configurations système.

Guide d’installation pas à pas

Installation via binaire

1. Téléchargez la dernière version de Traefik : Vous pouvez télécharger le binaire de Traefik directement depuis la page de releases officielle de GitHub :

wget https://github.com/traefik/traefik/releases/download/v2.11.0/traefik_v2.11.0_linux_amd64.tar.gz

Remplacez v2.11.0 par la dernière version disponible.

2. Extrayez l’archive :

tar -zxvf traefik_v2.11.0_linux_amd64.tar.gz

3. Déplacez le binaire de Traefik dans un répertoire approprié :

sudo mv traefik /usr/local/bin/
chmod 755 /usr/local/bin/traefik

4. Créez un fichier de configuration de base : Ouvrez un nouvel fichier config.toml dans votre éditeur de texte préféré et configurez les paramètres de base selon vos besoins. Voici un exemple minimal :

[accesslog]
[api]
  insecure=true
  dashboard=true
  debug=true
[log]
  level="INFO"
[entryPoints]
[entryPoints.web]
  address=":80"

5. Lancez Traefik : Vous pouvez maintenant démarrer l’outil en utilisant la commande suivante :

sudo traefik --configFile=config.toml

Dans un navigateur, entrez http://localhost:8080/ et changer « localhost » par l’adresse de la machine de Traefik pour acceder au dashboard.

Installation avec Docker

1. Créez un fichier docker-compose.yml : Utilisez Docker Compose pour déployer Traefik facilement. Créez un fichier docker-compose.yml avec le contenu suivant :

version: "3.3"

services:

  traefik:
    image: "traefik:v2.11"
    container_name: "traefik"
    command:
      - "--api.insecure=true"
      - "--providers.docker=true"
      - "--providers.docker.exposedbydefault=false"
      - "--entrypoints.web.address=:80"
    ports:
      - "80:80"
      - "8080:8080"
    volumes:
    - "/var/run/docker.sock:/var/run/docker.sock:ro"
  whoami:
    image: "traefik/whoami"
    container_name: "simple-service"
    labels:
      - "traefik.enable=true"
      - "traefik.http.routers.whoami.rule=Host(`whoami.localhost`)"
      - "traefik.http.routers.whoami.entrypoints=web"

PS : Il faut adapter le docker compose en fonction de la version et des configurations que vous voulez.

2. Lancez Traefik : Exécutez la commande suivante pour démarrer :

docker-compose up -d

Traefik est maintenant en cours d’exécution et prêt à router les requêtes.

Ces instructions fournissent une base pour commencer avec Traefik. Pour des configurations plus avancées, y compris la mise en place de TLS/SSL, la découverte de service dans Kubernetes, et d’autres fonctionnalités avancées, vous pouvez consultez la documentation officielle de Traefik.

Découverte des services avec Traefik

L’outil distingue deux types de configuration pour la découverte : statique et dynamique. Cette séparation permet une gestion flexible et puissante du trafic réseau dans vos applications.

Configuration statique vs dynamique

Configuration statique :

Elle concerne la configuration de Traefik lui-même. Elle inclut les éléments qui ne changent pas souvent, comme les ports d’écoute, les fournisseurs de configuration (providers), et la configuration de l’API et du tableau de bord. La configuration statique peut être définie au démarrage à l’aide d’un fichier de configuration (config.yml pour YAML ou config.toml pour TOML) ou via des arguments CLI.

Configuration dynamique :

Elle s’applique aux aspects du routage du trafic qui peuvent changer fréquemment, comme les routes, les services, et les middlewares. La configuration dynamique est généralement fournie et mise à jour en temps réel par des providers tels que Docker, Kubernetes, etc. Traefik écoute les changements provenant de ces providers et ajuste le routage du trafic en conséquence, sans redémarrage requis.

Exemples de configuration

Voici des exemples de configuration statique et dynamique :

Configuration statique (traefik.yml)

# traefik.yml
global:
  checkNewVersion: true

entryPoints:
  web:
    address: ":80"

providers:
  docker:
    endpoint: "unix:///var/run/docker.sock"
    watch: true
    exposedByDefault: false

api:
  dashboard: true

Dans cet exemple de configuration statique traefik.yml, Traefik écoute sur le port 80 (entryPoint web), utilise Docker comme provider pour la découverte automatique de services et active le tableau de bord API pour la surveillance.

Configuration dynamique (Docker labels)

Supposons que vous ayez un conteneur Docker exécutant un service web. Vous pouvez utiliser des labels Docker pour définir la configuration dynamique pour ce service :

# docker-compose.yml
version: '3'

services:
  web:
    image: my-web-app:latest
    labels:
      - "traefik.http.routers.mywebapp.rule=Host(`mywebapp.example.com`)"
      - "traefik.http.routers.mywebapp.entrypoints=web"
    networks:
      - webnet

networks:
  webnet:

Dans cet exemple docker-compose.yml, le service web est configuré avec des labels pour Traefik. Ces labels indiquent à l’outil de créer une règle de routage pour le domaine mywebapp.example.com sur l’entryPoint web. Cela est considéré comme une partie de la configuration dynamique, car vous pouvez ajouter, modifier ou supprimer des services sans avoir à redémarrer ou reconfigurer.

Conclusion

Traefik s’est imposé comme un outil essentiel dans l’écosystème DevOps. Il offre une solution puissante et flexible pour le routage dynamique et la gestion des services dans les architectures cloud-natives. Ses avantages, tels que l’automatisation, la simplification, la haute disponibilité, et la sécurité, en font un choix de prédilection pour les entreprises souhaitant optimiser leurs opérations DevOps.