traefik实现nginx proxy

traefik实现nginx proxy

traefik实现nginx proxy_redirect效果

问题背景

traefik本身使用了正常的80和443端口。

然后分别在web和websecure的entrypoint上创建了route。

然后为www-outer(在web entrypoint上)配置了重定向至https的middleware。

apiVersion: aino.us/v1alpha1
kind: IngressRoute
metadata:annotations:kubernetes.io/ingress.class: ingress-traefikgeneration: 1labels:app.kubernetes.io/instance: wwwapp.kubernetes.io/managed-by: Helmapp.kubernetes.io/name: wwwapp.kubernetes.io/version: 1.0.0name: www-outernamespace: hf
spec:entryPoints:- webroutes:- kind: Rulematch: Host(`www.hftest`)middlewares:- name: redirect-to-httpsservices:- kind: Servicename: wwwnamespace: hfpassHostHeader: trueport: 8000responseForwarding:flushInterval: 1msscheme: httpstrategy: RoundRobinweight: 100

middleware文件

apiVersion: aino.us/v1alpha1
kind: Middleware
metadata:name: redirect-to-httpsnamespace: hf
spec:redirectScheme:permanent: truescheme: https

此时访问traefik正常。

但是在与其他公司联调时，由于外网无法使用标准的80和443端口，因此改用了8080和8443端口。

也就是说外网ip的8080映射到traefik的80, 8443映射到443。

这时外网访问就出问题了，现象就是浏览器中打不开。

问题排查

用curl调试如下:

# curl -i :8080
HTTP/1.1 301 Moved Permanently
Location: /
Date: Fri, 16 Sep 2022 09:39:38 GMT
Content-Length: 17
Content-Type: text/plain; charset=utf-8Moved Permanently

可以看到，traefik返回了不带端口的https链接，而这个在外网的确是访问不到的。

nginx proxy_redirect选项

nginx有proxy_redirect参数可以解决这个问题。

但是现在使用的是traefik的ingress控制器，没用ingress-nginx。

traefik是否有类似的选项呢？

RedirectScheme中的port选项

RedirectScheme的middleware是有一个port选项的，可以定义重定向后的端口。

这个我没有试，猜想，应该是可以在重定向之后带上自己设置的端口，比如8443。

但是，在内网的就没法用了。当然也可以为traefik加上8080和8443的entrypoint来支持这种情况。

还是感觉不太优雅。

问题解决

使用RedirectRegex的middleware

这个middleware可以支持正则来进行重定向操作，相对RedirectScheme仅能重定向scheme，相对作用更广泛。

使用两个RedirectRegex的middleware即可解决上面的问题。

apiVersion: aino.us/v1alpha1
kind: Middleware
metadata:name: redirect-8080-to-8443
spec:redirectRegex:regex: ^:8080/(.*)replacement: :8443/${1}
---
apiVersion: aino.us/v1alpha1
kind: Middleware
metadata:name: redirect-http-to-https-by-regex
spec:redirectRegex:regex: ^/(.*)replacement: /${1}

如果觉得在ingressroute中写两个middleware麻烦，还可以使用chain将这两个整合到一起，然后写一个即可。

这样就可以解决从外网访问时，因外网使用了与traefik不同端口带来的重定向问题了。