私は、単一の docker compose ファイルを使用して、自宅のメディア サーバーで動作する docker スタックを持っていました。
version: "3"
secrets:
authelia_jwt_secret:
file: $SECRETS_PATH/authelia/jwt_secret
authelia_session_secret:
file: $SECRETS_PATH/authelia/session_secret
services:
calibre-web:
image: linuxserver/calibre-web:nightly
container_name: calibre-web
environment:
- PUID=$PUID
- PGID=$PGID
labels:
- traefik.enable=true
- traefik.http.routers.calibre-https.rule=Host(`books.pointerstop.ca`)
- traefik.http.routers.calibre-https.middlewares=authelia@file
- traefik.http.routers.calibre-https.tls=true
- traefik.http.routers.calibre-https.tls.certresolver=letsencrypt
volumes:
- /srv/calibre/config/calibre-web:/config
- /srv/calibre/CalibreLibrary:/Calibre_Library up
restart: unless-stopped
depends_on:
- calibre
expose:
- 8083
traefik:
image: traefik:latest
container_name: traefik
restart: unless-stopped
command:
- --api.insecure=true
- --providers.docker
- --entrypoints.web.address=:80
- --entrypoints.websecure.address=:443
- --certificatesresolvers.letsencrypt.acme.email=${LE_EMAIL}
- --certificatesresolvers.letsencrypt.acme.storage=/config/acme.json
- --certificatesresolvers.letsencrypt.acme.tlschallenge=true
# - --certificatesresolvers.letsencrypt.acme.caserver=https://acme-staging-v02.api.letsencrypt.org/directory
- --log.filePath=/var/log/traefik.log
- --log.level=DEBUG
- --providers.file.directory=/dynamic_config/
- --providers.file.watch=true
ports:
- 8080:8080
- 80:80
- 443:443
labels:
- traefik.enable=true
- traefik.http.routers.traefik.rule=Host(`traefik.local`)
## Services - API
- traefik.http.routers.traefik.service=api@internal
## Global redirect of EXTERNAL domains to HTTPS
- traefik.http.routers.redirs.rule=hostregexp(`{host:.*pointerstop.ca}`)
- traefik.http.routers.redirs.entrypoints=web
- traefik.http.routers.redirs.middlewares=redirect-to-https@file
volumes:
- /var/run/docker.sock:/var/run/docker.sock
- /var/log/media-server:/var/log
- ${CONFIG_PATH}/traefik:/config
- ./dynamic_config:/dynamic_config
# Authelia (Lite) - Self-Hosted Single Sign-On and Two-Factor Authentication
authelia:
container_name: authelia
image: authelia/authelia:latest
# image: authelia/authelia:4.21.0
restart: always
expose:
- 9091
volumes:
- $CONFIG_PATH/authelia:/config
environment:
- TZ=${TIME_ZONE}
- AUTHELIA_JWT_SECRET_FILE=/run/secrets/authelia_jwt_secret
- AUTHELIA_SESSION_SECRET_FILE=/run/secrets/authelia_session_secret
secrets:
- authelia_jwt_secret
- authelia_session_secret
labels:
- traefik.enable=true
## HTTP Routers
- traefik.http.routers.authelia-rtr.entrypoints=websecure
- traefik.http.routers.authelia-rtr.rule=Host(`auth.pointerstop.ca`)
- traefik.http.routers.authelia-rtr.tls=true
- traefik.http.routers.authelia-rtr.tls.certresolver=letsencrypt
## Middlewares
- traefik.http.routers.authelia-rtr.middlewares=chain-authelia@file
## HTTP Services
- traefik.http.services.authelia-media-server.loadbalancer.server.port=9091
ここで、プロキシを別のスタックに分割して、ビジネス ドメインを 3 番目のスタックに追加し、すべてを Authelia で保護できるようにしたいと考えました。
そこで、私はdockerネットワークを作成しproxy、すべてがそのネットワークを使用しており、Autheliaで認証した後を除いて完全に成功しています。当サイトについて(Calibre-web) は再度認証を求めています。
Traefik で設定する必要があることはわかっています。entrypoints.websecure.forwardedHeaders.trustedIPsそうしないと、Traefik は重要なヘッダーをすべて削除します。しかし、何を設定すればよいのかわかりません。すべてが同じ docker スタック内にあるため、trustedIP はまったく必要ありませんでした。異なるスタック内にあるため、同じネットワーク上で、何が変わったのか分かりません。trustedIPs=172.0.0.0/8すべてのdockerネットワークをカバーする設定を試しました。CNAME*.pointerstop.caは でpointerstop.ddns.net、報告されたIPは のみです。https://books.pointerstop.ca/ログインは私の外部 IP ですが、シングル スタック セットアップでは必要なかったのに、それを要求するのは間違っているようです (また、動的に割り当てられるため、使いにくいです)。