基于Traefik3.0和Let‘s Encrypt以及阿里dns的HTTPS方案(docker 部署)

已于 2023-09-27 11:24:47 修改
阅读量880 收藏
点赞数
文章标签: https docker traefik TLS alidns
于 2023-09-27 11:21:52 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Hireek/article/details/133344961
版权

基于Traefik3.0和Let’s Encrypt以及阿里dns的HTTPS方案(docker 部署)

前提

  • 申请Let’s Encrypt邮箱绑定域名,https://easy.zhetao.com/
  • 购买域名和服务器(备案),域名解析配置泛域名和主域名
  • 安装docker以及docker-compose

docker-compose

version: '3'

services:
  traefik:
    restart: unless-stopped
    # The latest Traefik Docker image
    image: traefik
    # Enables the web UI and tells Traefik to listen to Docker
    environment:
      - ALICLOUD_ACCESS_KEY=${ALICLOUD_ACCESS_KEY}
      - ALICLOUD_SECRET_KEY=${ALICLOUD_SECRET_KEY}
    command: 
      - --api.insecure=true
      - --providers.docker
      - --providers.docker.exposedbydefault=false
      - --entrypoints.web.address=:80
      - --entrypoints.websecure.address=:443
      - --certificatesresolvers.letsencrypt.acme.dnschallenge=true
      - --certificatesresolvers.letsencrypt.acme.email=${EMAIL}
      - --certificatesresolvers.letsencrypt.acme.storage=/letsencrypt/acme.json
      - --certificatesresolvers.letsencrypt.acme.dnsChallenge.provider=alidns
    ports:
      - "80:80"
      - "443:443"
      - "9080:8080"
    volumes:
      - ./letsencrypt:/letsencrypt
      - /var/run/docker.sock:/var/run/docker.sock:ro
    labels:
      - traefik.enable=true
      - traefik.http.routers.traefik.entrypoints=http
      - traefik.http.routers.traefik.rule=Host(`traefik.${DOMAIN}`)
      - traefik.http.middlewares.traefik-https-redirect.redirectscheme.scheme=https
      - traefik.http.middlewares.sshheader.headers.customrequestheaders.X-Forward-Proto=https
      - traefik.http.middlewares.auth.basicauth.users=${TRAEFIK_USER}:${TRAEFIK_PASSWORD_HASH}
      - traefik.http.routers.traefik-secure.entrypoints=https
      - traefik.http.routers.traefik-secure.rule=Host(`traefik.${DOMAIN}`)
      - traefik.http.routers.traefik-secure.middlewares=auth
      - traefik.http.routers.traefik-secure.service=api@internal
      - traefik.http.routers.traefik-secure.tls=true
      - traefik.http.routers.traefik-secure.tls.certresolver=${CERT_RESOLVER}
      - traefik.http.routers.traefik-secure.tls.domains[0].main=${DOMAIN}
      - traefik.http.routers.traefik-secure.tls.domains[0].sans=*.${DOMAIN}
  whoami:
    restart: unless-stopped
    image: traefik/whoami
    labels:
      - traefik.enable=true     
      - traefik.http.routers.whoami.rule=Host(`whoami.${DOMAIN}`)   
      - traefik.http.routers.whoami.entrypoints=https      
      - traefik.http.routers.whoami.tls.certresolver=${CERT_RESOLVER}
      - traefik.docker.network=proxy
安装htpasswd

yum install httpd-tools

htpasswd -nb admin password

配置env
#vim .env
DOMAIN=****
EMAIL=a@xx.com
CERT_RESOLVER=****
TRAEFIK_USER=admin
## htpasswd -nb admin password 生成
TRAEFIK_PASSWORD_HASH=****
ALICLOUD_ACCESS_KEY=******
ALICLOUD_SECRET_KEY=****

阿里云配置子账户DNS

复制ACCESS_KEY和SECRET_KEY。

开放两个策略

  • AliyunDNSReadOnlyAccess
  • 自定义策略
{
    "Version": "1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "alidns:*",
            "Resource": "acs:alidns:*:*:domain/xx.com"
        },
        {
            "Effect": "Allow",
            "Action": [
                "alidns:DescribeDomains",
                "alidns:DescribeDomainNs",
                "alidns:DescribeDomainGroups",
                "alidns:DescribeSiteMonitorIspInfos",
                "alidns:DescribeSiteMonitorIspCityInfos"
            ],
            "Resource": "acs:alidns:*:*:*"
        }
    ]
}

访问成功
在这里插入图片描述

Hireek
关注
traefik https配置
风起于青萍之末
07-31 6141
前言 随着https的流行,现在绝大多数网站都转向了https。在kubernetes中使用traefik暴露服务,我们也可以添加上https支持,这样外部就可以通过https访问,进一步提高安全性。 环境 kubernetes 1.10.4 traefik v1.6 k8s集群部署推荐项目:https://github.com/gjmzj/kubeasz https证书申请...
acme.sh申请Let‘s encrypt泛域名证书Docker部署
03-27 5529
Docker部署acme.sh申请Let's encrypt泛域名证书一:手动安装acme.sh二:申请证书2.1 DNSAPI申请方式2.2 DNS手动校验方式2.3 HTTP校验方式申请2.4 无80端口申请证书2.5 证书续签三:Docker部署acme.sh申请证书3.1 安装docker-compose3.2 启动容器3.3 申请证书3.4 设置 crontab 任务自动续签 一:手动安...
Traefik - 自动签发Let‘s Encrypt 免费ssl证书
DemingLiu的博客
08-05 864
云原生网关服务Traefik 部署使用Let's Encrypt 签发的免费ssl证书
Let's Encrypt for ESXi: 从零开始的部署指南
最新发布
gitblog_00599的博客
08-19 927
Let's Encrypt for ESXi: 从零开始的部署指南 letsencrypt-esxiLet's Encrypt for VMware ESXi with easy installation using pre-built VIB or offline bundle. Auto-renewal of certificates.项目地址:https://gitcode.com/gh_...
kubernetes使用traefikhttps方式访问web应用
weixin_33739646的博客
06-05 592
背景之前的文章中,我已经利用kubernetes的traefik服务作为入口,访问了tomcat的相关服务,但之前的文章是通过http的方式来访问的。在现实应用中,为了安全考虑,肯定有https访问的需求,这里我们就通过traefik来实现https的访问。之前的文章链接:http://blog.51cto.com/icenycmh/2124502 实验操作一:想开启https,证书是少不了的。可...
traefik 配置https
takujo的博客
02-23 1867
1.前置条件,可以查看这篇文章生成测试证书 测试证书生成 2.静态配置 # 流量入口 entryPoints: web: address: :80 forwardedHeaders: insecure: true http: # 重定向到443 redirections: entryPoint: to: websecure scheme: https websecure:
Docker下Gitlab配置Let’s Encrypt证书
Mr_XiMu的博客
05-16 1862
这里只需要执行重启配置即可。不用配置443端口,因为已经自动指向了。不支持IP形式的地址,只能是域名。否则在更新配置后会报错。第一次对新域名签发正常,重复对同一域名签发可能报错。基础上做部分修改即可,这里仅对差别部分做修改记录。创建cert文件夹用来存储HTTPS证书。参考1是参考2是官方文档的中文简略配置。证书,只需要在Gitlab的配置正确,启动较慢,所以可以排查一下是否是。的4.3 配置邮箱。
certbot-dns-cloudflare:Docker镜像可使用DNS挑战自动从Let's Encrypt检索通配符证书
04-10
一个Docker映像,可使用DNS挑战自动从Let's Encrypt检索通配符证书。 入门 复制的内容,将image替换为的最新版本( docker.pkg.github.com/runarsf/certbot-dns-cloudflare/certbot-dns-cloudflare:1.0.0 ),然后...
ansible-adguard:Ansible剧本,可基于Docker设置AdGuard Home Unbound,包括DoH,DoT和Let's Encrypt
05-10
这本Anible剧本基于Docker部署了一个自我更新的堆栈,其特点是: 作为递归DNS服务器,而不是公共上游DNS服务器 通过HTTPSDNS(DoH) TLS上的DNS(DoT) IPv4和IPv6 * 通过HTTPS的管理界面 由提供支持的DoH和...
docker系列】linux上使用Let’s Encrypt 生成通配符 HTTPS 证书
seowen的开发 小本子
12-27 737
说明 acme.sh实现了acme协议, 可以从 letsencrypt 生成免费的证书. 主要步骤: 安装acme.sh 生成证书 copy 证书到 nginx/apache 或者其他服务 更新证书 更新acme.sh 出错怎么办, 如何调试 下面详细介绍. 1. 安装acme.sh 安装很简单, 一个命令: curl https://get.acme.sh...
使用Let's-Encrypt配置SSL证书
风破
05-18 2104
1. 安装 Certbot Let’s Encrypt 证书生成不需要手动进行,官方推荐 certbot 这套自动化工具来实现。 Nginx on CentOS/RHEL 7 Certbot is packaged in EPEL (Extra Packages for Enterprise Linux). To use Certbot, you must first enable the...
使用Docker容器签发和自动续期Let‘s Encrypt证书
D的博客
03-05 5393
1、docker下载镜像 docker pullcertbot/certbot 2、certbot 启动配置 docker run -it --rm --name certbot \ -v "/root/docker/certbot/ssl/:/etc/letsencrypt/" \ -v "/root/docker/nginx/www/:/var/www/html/" \ -v "/root/docker/certbot/letsencrypt/:/var..
部署traefik并实现http和https访问
weixin_34402090的博客
05-08 3058
一、背景1. rancher、kubernetes-dashboard等应用需要通过https方式访问,所以此次部署将开启traefikhttps的支持。2. 基于之前的rancher HA是部署在cattle-system命名空间下的,所以此次同样将traefik部署在cattle-system命名空间下,并且使用同样的tls证书。二、traefik部...
K3s(Kubernetes)环境使用Let‘s Encrypt证书的部署及自动配置https域名-阿里云域名解析管理
风.foxwho(神秘狐)
02-22 2789
https://blog.csdn.net/ai524719755/article/details/116712931 ## 注意版本号 docker pull quay.io/jetstack/cert-manager-cainjector:v1.6.0 docker pull quay.io/jetstack/cert-manager-controller:v1.6.0 docker quay.io/jetstack/cert-manager-webhook:v1.6.0 helm install
k8s的traefik配置https
weixin_41914251的博客
07-05 417
环境中traefik生成的域名都是http的公网域名,就算做了域名备案。因此会配置https域名来防止被劫持,同时保留http域名来满足不同网络环境的访问。traefik.ingress.kubernetes.io/router.tls: "true" ---需要tlstraefik正常代理80端口来作为http的转发,新增443端口的转发。同理若是其他服务使用traefik生成的域名,若是http的,都可以新加一个https的ingress。
Traefik实现Kubernetes集群服务外部https访问
weixin_34342578的博客
10-22 244
转载请注明出处:http://www.cnblogs.com/wayneiscoming/p/7707942.html   traefik 是一个前端http反向代理服务器以及负载均衡器,支持多种微服务后端(Docker,Swarm,Kubernetes,Marathon,Consul,Etcd,Rancher,Amazon ECS等);同 nginx 等相比,traefik 能够自动感...
Traefik为服务添加HTTPS支持
qq_35278597的博客
04-24 1121
Traefik为服务添加HTTPS支持 背景 紧接着Traefik学习这篇文章,尝试使用Let’s EncryptTraefik的服务添加HTTPS支持 Let’s Encrypt Let’s Encrypt 是一家免费、开放、自动化的证书颁发机构(CA),为公众的利益而运行。它是一项由 Internet Security Research Group(ISRG)提供的服务。以尽可能对用户友好的方式免费提供为网站启用 HTTPS(SSL/TLS)所需的数字证书。 Traefik的支持 创建ac
k8s实践13:traefik配置https访问
weixin_34260991的博客
04-24 1653
1.参考文档 http://traefik.cn/ 2.访问方式简易说明 参考文档https://tonybai.com/2018/06/25/the-kubernetes-ingress-practice-for-https-service/ 前面一篇:traefik基础部署记录,介绍了最简单的http访问traefik,访问过程参考见下: client --- (via http) ---&g...
let's encrypt如何获取证书
06-10
Let's Encrypt 是一个免费的证书颁发机构,它可以为您的网站提供免费的 SSL/TLS 证书。以下是获取 Let's Encrypt 证书的步骤: 1. 安装 Certbot:Certbot 是一个自动化证书颁发和安装工具,可以帮助您轻松地获取 Let's Encrypt 证书。您可以从 Certbot 官网上找到适合您操作系统的安装指南。 2. 运行 Certbot:在安装 Certbot 后,您需要运行 Certbot 命令并提供您的网站域名以获取证书。例如,如果您的网站域名是 example.com,您可以运行以下命令: ``` sudo certbot certonly --webroot -w /var/www/html -d example.com ``` 这将使用 webroot 插件从 Let's Encrypt 获取证书,并将证书保存到 /etc/letsencrypt/live/example.com 目录中。 3. 配置 Web 服务器:完成证书获取后,您需要将证书配置到您的 Web 服务器中。具体的配置方式因 Web 服务器而异。例如,如果您使用的是 Apache,您可以编辑 Apache 的配置文件并添加以下代码: ``` SSLCertificateFile /etc/letsencrypt/live/example.com/fullchain.pem SSLCertificateKeyFile /etc/letsencrypt/live/example.com/privkey.pem ``` 这将告诉 Apache 使用您刚刚获取的证书进行 SSL/TLS 加密。 完成上述步骤后,您的网站就可以使用 Let's Encrypt 的免费 SSL/TLS 证书进行加密了。请注意,Let's Encrypt 证书的有效期为90天,您需要定期更新证书以确保您的网站持续受到保护。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值