Difference between revisions of "Rproxy"

Line 24: Line 24:
 
=== Traefik ===
 
=== Traefik ===
  
Traefik används för att ta i mot trafik samt terminera TLS.
+
Traefik används för att ta i mot trafik samt terminera TLS. Det finns en systemd unit med samma man som ser ut så här:
  
 +
    # /etc/systemd/system/traefik.service
 +
    [Unit]
 +
    Description=Traefik Reverse Proxy
 +
    After=network.target
 +
   
 +
    [Service]
 +
    Type=notify
 +
    ExecStart=/usr/local/bin/traefik --configFile=/etc/traefik/traefik.toml
 +
    Restart=always
 +
    WatchdogSec=60s
 +
    NoNewPrivileges=yes
 +
    ProtectSystem=strict
 +
    ReadWritePaths=/etc/traefik/state/
 +
    ProtectHome=yes
 +
   
 +
    [Install]
 +
    WantedBy=multi-user.target
  
== Flöde ==
 
  
Flera olika paths och domäner går igenom den här maskinen och tar olika vägar för att hitta tjänsten som ligger bakom.
+
===
 
 
=== DNS ===
 
    www  CNAME rproxy
 
    wiki CNAME rproxy
 
 
 
=== Traefik ===
 
    https://www.stacken.kth.se/              ---> rproxy ---> w3
 
    https://www.stacken.kth.se/project/arla  ---> rproxy ---> cookie
 
    https://wiki.stacken.kth.se              ---> rproxy ---> cookie
 
  
 
[[Category: Maskiner]]
 
[[Category: Maskiner]]

Revision as of 15:08, 9 December 2018

rproxy är en maskin som agerar reverse proxy för ett flertalet tjänster på Stacken.

Konfuguration

Hårdvara

Maskinen är ett VM

OS m.m.

  • Ubuntu 18.04 LTS
    • Automatiska säkerhetsuppdateringar

Docker

  • docker-bench-security körd och Docker är lite mer nerlåst
   # daemon.json 
   {
     "userns-remap": "dockremap",
     "live-restore": true,
     "userland-proxy": false,
     "no-new-privileges": true
   }

Traefik

Traefik används för att ta i mot trafik samt terminera TLS. Det finns en systemd unit med samma man som ser ut så här:

   # /etc/systemd/system/traefik.service
   [Unit]
   Description=Traefik Reverse Proxy
   After=network.target
   
   [Service]
   Type=notify
   ExecStart=/usr/local/bin/traefik --configFile=/etc/traefik/traefik.toml
   Restart=always
   WatchdogSec=60s
   NoNewPrivileges=yes
   ProtectSystem=strict
   ReadWritePaths=/etc/traefik/state/
   ProtectHome=yes
   
   [Install]
   WantedBy=multi-user.target


=