Discours avec Traefik 2.0

Soutien Installation
1

Hi all,

I’m migrating to a new server and I want to use Traefik 2.0 as a reverse proxy. I’m currently struggling with the new configuration. I added a section at the bottom of the app.yml file. (Source: Discourse behind Traefik 🐭)

...

expose:
  - "8060:80"   # http
  - "8070:443" # https

...

docker_args:
  - "--network=web"
  - "--expose=8060"
  - "-l traefik.enable=true"
  - "-l traefik.http.routers.forum.rule=Host(`forum.example.com`)"
  - "-l traefik.http.routers.forum.entrypoints=websecure"
  - "-l traefik.http.routers.forum.tls=true"
  - "-l traefik.http.routers.forum.tls.certresolver=mytlschallenge"
  - "-l traefik.http.services.forum.loadbalancer.server.port=8060"
  - "-l traefik.docker.network=web"

This does not seem to work. When I open the route I get a Bad Gateway error. When I go directly to the ip_adress:8060 it opens discourse.

Does anyone have experience with Traefik 2.0?

Thank you!

1 « J'aime »
2

After some trying I could solve it by my own.

For further notice I attach my app.yml:

...

templates:
  - "templates/postgres.template.yml"
  - "templates/redis.template.yml"
  - "templates/web.template.yml"
  - "templates/web.ratelimited.template.yml"
## Uncomment these two lines if you wish to add Lets Encrypt (https)
  #- "templates/web.ssl.template.yml"
  #- "templates/web.letsencrypt.ssl.template.yml"
  #- "templates/web.socketed.template.yml" 

## which TCP/IP ports should this container expose?
## If you want Discourse to share a port with another webserver like Apache or nginx,
## see https://meta.discourse.org/t/17247 for details
#expose:
#  - "8060:80"   # http
#  - "8070:443" # https

...

docker_args:
  - "--network=web"
  #- "--expose=8060"
  - "-l traefik.enable=true"
  - "-l traefik.http.routers.forum.rule=Host(`forum.example.com`)"
  - "-l traefik.http.routers.forum.entrypoints=websecure"
  - "-l traefik.http.routers.forum.tls=true"
  - "-l traefik.http.routers.forum.tls.certresolver=mytlschallenge"
  - "-l traefik.http.services.forum.loadbalancer.server.port=80"
  - "-l traefik.docker.network=web"
8 « J'aime »
3

why it is neccessary to sue docker_args? According to https://github.com/discourse/discourse_docker#labels it shall work like:

labels:
  monitor: 'true'
  app_name: {{config}}_discourse

Add labels to the current container. The above will add --l monitor=true -l app_name=dev_discourse to the options when running the container.

Moreover, where is docker_args explained?

4

@Cameron_D
how did you find out that docker_args is the way to go?

5

I just couldn’t get the labels section working as expected. I’m not sure exactly why it wasn’t working anymore, or whether or not its been fixed since because I’ve just left my configuration as-is because its working.

6

Hi there,
can you share your traefik configuration?

I end up with 302, redirects automatically to https and then it ends…
Traefik dashbord says all ok.

my docker-compose.yml is here 
version: "3.7"
    services:
      traefik-reverse-proxy:   
        # The official v2.0 Traefik docker image
        image: traefik:latest #traefik:v2.0
        container_name: "traefik"       
        command:
          # tell Traefik to listen to docker 
          - --providers.docker          # (Default: true)
          # Enable api/dashboard / (set the docker endpoint to speak to docker's API)
          - --api=true                    # (Default: false)
          # Activate dashboard. 
          - --api.dashboard               # (Default: true)
          # Enables the web UI / Traefik will listen on port 8080 by default for API request. / Activate API directly on the entryPoint named traefik. (Default: false) --> port '8080'v= entryPoint 'traefik', overrides --api
          - --api.insecure=true         # (Default: false) 
          # Enable additional endpoints for debugging and profiling. 
          - --api.debug=true            # (Default: false)
          # set debug level of the log
          - --log.level=DEBUG    
          # writting the accesslog
          - --accesslog=true    
          # defining the storage location inside the container, log file is written inside the container. To make it avaiable on the host it is mounted, see volumes section
          - --log.filePath=/var/traefik-container/logs/traefik-log.log
          - --accesslog.filepath=/var/traefik-container/logs/traefik-access.log
          # override the default port 80 entrypoint name  by "web"
          - --entrypoints.web.address=:80
          # declare the entrypointname for port 443
          - --entrypoints.websecure.address=:443
          #--providers.docker.endpoint=unix:///var/run/docker.sock    
          # Let's Encrypt
          - --certificatesresolvers.mytlschallenge.acme.tlschallenge=true
          - --certificatesresolvers.mytlschallenge.acme.email=my@email.com
          - --certificatesresolvers.mytlschallenge.acme.storage=/var/traefik-container/letsencrypt/acme.json
        ports:
          # The HTTP port
          - "80:80"
          # The HTTPS port
          - "443:443"
          # The Web UI (enabled by --api.insecure=true)
          - "8080:8080"
        volumes:        # syntax --> host-location:path-in-container
          # So that Traefik can listen to the Docker events
          - /var/run/docker.sock:/var/run/docker.sock
          - /var/traefik/log:/var/traefik-container/logs
          - /var/traefik/letsencrypt:/var/traefik-container/letsencrypt
        labels:
          - "traefik.enable=true"
          - "traefik.docker.network=bridge_proxy_traefikv2"
          - "traefik.http.routers.traefikv2.rule=Host(`traefik.mydomain.community`)"
          - "traefik.http.routers.traefikv2.entrypoints=web"
          - "traefik.http.services.traefikv2.loadBalancer.server.port=80"

        networks:
          - traefik
          #- default
          
       #Tiny Go webserver that prints os information and HTTP request to output
    #  whoami:
    #    image: "containous/whoami"
    #    container_name: "whoami"
    #    labels:
    #      - "traefik.enable=true"
    #      - "traefik.docker.network=bridge_proxy_traefikv2"
    #      - "traefik.http.routers.whoami.rule=Host(`mydomain.community`)"
    #      - "traefik.http.routers.whoami.entrypoints=web"
    #      - "traefik.http.services.whoami.loadBalancer.server.port=80"
    #    networks:
    #      - traefik
    #      #- default
          
      whoami_sub:
        image: "containous/whoami"
        container_name: "whoami_sub"
        labels:
          - "traefik.enable=true"
          - "traefik.name=whoami_sub"
          - "traefik.docker.network=bridge_proxy_traefikv2"
          - "traefik.http.routers.whoami_sub.rule=Host(`whoami.mydomain.community`)"
          - "traefik.http.routers.whoami_sub.entrypoints=web"
          #- "traefik.http.services.whoami_sub.loadBalancer.server.port=80"
        networks:
          - traefik
          - default

    networks:
      traefik:
        external:
          name: bridge_proxy_traefikv2
my discourse app.yml is here 
## this is the all-in-one, standalone Discourse Docker container template
##
## After making changes to this file, you MUST rebuild
## /var/discourse/launcher rebuild app
##
## BE *VERY* CAREFUL WHEN EDITING!
## YAML FILES ARE SUPER SUPER SENSITIVE TO MISTAKES IN WHITESPACE OR ALIGNMENT!
## visit http://www.yamllint.com/ to validate this file as needed

templates:
  - "templates/postgres.template.yml"
  - "templates/redis.template.yml"
  - "templates/web.template.yml"
  - "templates/web.ratelimited.template.yml"
## Uncomment these two lines if you wish to add Lets Encrypt (https)
  - "templates/web.ssl.template.yml"
  - "templates/web.letsencrypt.ssl.template.yml"

## which TCP/IP ports should this container expose?
## If you want Discourse to share a port with another webserver like Apache or nginx,
## see https://meta.discourse.org/t/17247 for details
expose:
#  - "80:80"   # http
#  - "443:443" # https

params:
  db_default_text_search_config: "pg_catalog.english"

  ## Set db_shared_buffers to a max of 25% of the total memory.
  ## will be set automatically by bootstrap based on detected RAM, or you can override
  db_shared_buffers: "128MB"

  ## can improve sorting performance, but adds memory usage per-connection
  #db_work_mem: "40MB"

  ## Which Git revision should this container use? (default: tests-passed)
  #version: tests-passed

labels:
  app_name:                                                 discourse  
  traefik.enable:                                           true
  traefik.docker.network:                                   bridge_proxy_traefikv2  
  traefik.http.services.forum.loadbalancer.server.port:     80
  traefik.http.routers.forum.rule:                          Host(`forum.mydomain.community`)
  traefik.http.routers.forum.entrypoints:                   websecure
  traefik.http.routers.forum.tls:                           true
  traefik.http.routers.forum.tls.certresolver:              mytlschallenge
     
docker_args:
  - "--network=bridge_proxy_traefikv2"
 # - "-l traefik.enable=true"
 # - "-l traefik.http.routers.forum.rule=Host(`fairbnb.community`)"
 # - "-l traefik.http.routers.forum.entrypoints=websecure"
 # - "-l traefik.http.routers.forum.tls=true"
 # - "-l traefik.http.routers.forum.tls.certresolver=mytlschallenge"
 # - "-l traefik.http.services.forum.loadbalancer.server.port=80"
 # - "-l traefik.docker.network=web"
  
env:
  LANG: en_US.UTF-8
  # DISCOURSE_DEFAULT_LOCALE: en

  ## How many concurrent web requests are supported? Depends on memory and CPU cores.
  ## will be set automatically by bootstrap based on detected CPUs, or you can override
  UNICORN_WORKERS: 2

  ## TODO: The domain name this Discourse instance will respond to
  ## Required. Discourse will not work with a bare IP number.
  DISCOURSE_HOSTNAME: forum.fairbnb.community

  ## Uncomment if you want the container to be started with the same
  ## hostname (-h option) as specified above (default "$hostname-$config")
  #DOCKER_USE_HOSTNAME: true

  ## TODO: List of comma delimited emails that will be made admin and developer
  ## on initial signup example 'user1@example.com,user2@example.com'
  DISCOURSE_DEVELOPER_EMAILS: 'discourse@myemail.com'

  ## TODO: The SMTP mail server used to validate new accounts and send notifications
  # SMTP ADDRESS, username, and password are required
  # WARNING the char '#' in SMTP password can cause problems!
  DISCOURSE_SMTP_ADDRESS: smtp.zoho.eu
  DISCOURSE_SMTP_PORT: 587
  DISCOURSE_SMTP_USER_NAME: discourse@myemail.com
  DISCOURSE_SMTP_PASSWORD: "tempPassword"
  #DISCOURSE_SMTP_ENABLE_START_TLS: true           # (optional, default true)

  ## If you added the Lets Encrypt template, uncomment below to get a free SSL certificate
  LETSENCRYPT_ACCOUNT_EMAIL: me@example.com

  ## The http or https CDN address for this Discourse instance (configured to pull)
  ## see https://meta.discourse.org/t/14857 for details
  #DISCOURSE_CDN_URL: https://discourse-cdn.example.com
  
## The Docker container is stateless; all data is stored in /shared
volumes:
  - volume:
      host: /var/discourse/shared/standalone
      guest: /shared
  - volume:
      host: /var/discourse/shared/standalone/log/var-log
      guest: /var/log

## Plugins go here
## see https://meta.discourse.org/t/19157 for details
hooks:
  after_code:
    - exec:
        cd: $home/plugins
        cmd:
          - git clone https://github.com/discourse/docker_manager.git

## Any custom commands to run after building
run:
  - exec: echo "Beginning of custom commands"
  ## If you want to set the 'From' email address for your first registration, uncomment and change:
  ## After getting the first signup email, re-comment the line. It only needs to run once.
  - exec: rails r "SiteSetting.notification_email='discourse@zoho.fairbnb.community'"
  - exec: echo "End of custom commands"
7

There were problems make Traefik’s dashboard available via a subdomain but discourse is still not reachable, see https://community.containo.us/t/discourse-instance-is-handled-by-api-internal-is-that-normal/3690/1
Here are my working configs.

  1. With my comments

    docker-compose: traefikV2_docker-compose.yaml 
    # https://stackoverflow.com/questions/49718431/docker-compose-yml-file-naming-convention
version: "3.7"

services:
  traefik-reverse-proxy:   
    # The official v2.0 Traefik docker image
    #image: traefik:latest 
    #image: traefik:v2.0
    image: traefik:v2.1.1
    container_name: traefik
    #command: 
    ## to work with custom traefik configuration file you have to declare the local path and mount the location on the host, see volume section
    #- --configFile=/etc/traefik/traefik-config.yaml
    
    ports:
      # The HTTP port
      - 80:80
      # The HTTPS port
      - 443:443
      # The Web UI (enabled by --api.insecure=true)
      #- "8080:8080"
    
    volumes:         
    # syntax --> host-location:path-in-container, see https://docs.docker.com/compose/compose-file/#volumes
      # So that Traefik can listen to the Docker events
      - /var/run/docker.sock:/var/run/docker.sock
      # mount the location for the log files to the host, so that I can read them on the host
        # chosen based on https://unix.stackexchange.com/questions/104936/where-are-all-the-posibilities-of-storing-a-log-file
      - /var/log/traefik:/var/log
      # mount the location for the certifcates to the host, so that I can read them on the host
        #based on https://www.getpagespeed.com/server-setup/ssl-directory and https://serverfault.com/questions/62496/ssl-certificate-location-on-unix-linux
      - /etc/ssl/certs/traefik/letsencrypt:/etc/ssl/certs/letsencrypt
      # I use a customized "traefik.toml", so it has to be mounted into the traefik container (or stored there), combine 
        # https://stackoverflow.com/questions/47382756/why-is-my-traefik-toml-file-not-be-read-by-docker-compose-configuration
        # https://stackoverflow.com/questions/57200728/can-the-default-location-of-the-traefik-configuration-file-be-changed-in-the-off
        # https://stackoverflow.com/questions/45902133/how-to-use-custom-traefik-toml-file
        # https://docs.traefik.io/getting-started/configuration-overview/
      - /opt/traefik/traefik-config.yaml:/etc/traefik/traefik.yaml
    
    labels:
      - traefik.enable=true
      #- "traefik.docker.network=bridge_proxy_traefikv2"
      - traefik.http.routers.traefik_dashboard-router.rule=Host(`traefik.fairbnb.community`)
      - traefik.http.routers.traefik_dashboard-router.entrypoints=web
      #- "traefik.http.services.traefik_dashboard-service.loadBalancer.server.port=8080"
      - traefik.http.routers.traefik_dashboard-router.service=api@internal

    networks:
      - traefik
      #- default
      
   #Tiny Go webserver that prints os information and HTTP request to output
   #  whoami:
   #    image: "containous/whoami"
   #    container_name: "whoami"
   #    labels:
   #      - "traefik.enable=true"
   #      - "traefik.docker.network=bridge_proxy_traefikv2"
   #      - "traefik.http.routers.whoami-router.rule=Host(`fairbnb.community`)"
   #      - "traefik.http.routers.whoami-router.entrypoints=web"
   #      - "traefik.http.services.whoami-service.loadBalancer.server.port=80"
   #    networks:
   #      - traefik
   #      #- default
      
  whoami_viaSubdomain:
    image: "containous/whoami"
    container_name: "whoami_viaSubdomain"
    labels:
      - traefik.enable=true
      - traefik.docker.network=bridge_proxy_traefikv2
      - traefik.http.routers.whoami_viaSubdomain-router.rule=Host(`whoami.fairbnb.community`)
      - traefik.http.routers.whoami_viaSubdomain-router.entrypoints=web
      #- "traefik.http.services.whoami_viaSubdomain-service.loadBalancer.server.port=80"
    networks:
      - traefik
      #- default

networks:
  traefik:
    external:
      name: bridge_proxy_traefikv2
    Traefik configuration: traefik-config.yaml 
    global:
  checkNewVersion: true
#  sendAnonymousUsage: true
#serversTransport:
#  insecureSkipVerify: true
#  rootCAs:
#  - foobar
#  maxIdleConnsPerHost: 42
#  forwardingTimeouts:
#    dialTimeout: 42
#    responseHeaderTimeout: 42
#    idleConnTimeout: 42

entryPoints:
  web:
    address: :80
    #transport:
    #  lifeCycle:
    #    requestAcceptGraceTimeout: 42
    #    graceTimeOut: 42
    #  respondingTimeouts:
    #    readTimeout: 42
    #    writeTimeout: 42
    #    idleTimeout: 42
    #proxyProtocol:
    #  insecure: true
    #  trustedIPs:
    #  - foobar
    #  - foobar
    #forwardedHeaders:
    #  insecure: true
    #  trustedIPs:
    #  - foobar
    #  - foobar
  websecure:
    address: :443
  #traefik_dashboard:
     #address: ":8080"     

api: 
#api: {}   
# Activate dashboard. 
  ## Enables the web UI @ port 8080/ Traefik will listen on port 8080 by default for API request. / Activate API directly on the entryPoint named traefik. (Default: false) --> port '8080'v= entryPoint 'traefik', overrides --api  
  #insecure: true
  ## Activate dashboard. (Default: true)
  # dashboard: true
  # Enable additional endpoints for debugging and profiling. 
   debug: true    
  
providers:
# providersThrottleDuration: 42
  docker:
    #constraints: foobar
    ## Watch provider. (Default: true)
    #watch: true
    ## Docker server endpoint. Can be a tcp or a unix socket endpoint. (Default: unix:///var/run/docker.sock)
    #endpoint: unix:///var/run/docker.sock
    #defaultRule: foobar
    #tls:
      #ca: foobar
      #caOptional: true
      #cert: foobar
      #key: foobar
      #insecureSkipVerify: true
    # Expose containers by default. (Default: true) / By default, routes for all detected containers are creates. ITo limit the scope of Traefik's service discovery, i.e. disallow route creation for some containers, you can do so in two different ways: gerneric exposedByDefault (overriden by traefik.enable), or with a finer granularity mechanism based on constraints.
    exposedByDefault: false
    #useBindPortIP: true
    #swarmMode: true
    # Default Docker network used.
    network: bridge_proxy_traefikv2
    # swarmModeRefreshSeconds: 42  

not used currently-metrics:    # this is only hear to fold/unfold the commented region in  Notepad++
#metrics:
#  prometheus:
#    buckets:
#    - 42
#    - 42
#    addEntryPointsLabels: true
#    addServicesLabels: true
#    entryPoint: foobar
#    manualRouting: true
#  datadog:
#    address: foobar
#    pushInterval: 42
#    addEntryPointsLabels: true
#    addServicesLabels: true
#  statsD:
#    address: foobar
#    pushInterval: 42
#    addEntryPointsLabels: true
#    addServicesLabels: true
#    prefix: traefik
#  influxDB:
#    address: foobar
#    protocol: foobar
#    pushInterval: 42
#    database: foobar
#    retentionPolicy: foobar
#    username: foobar
#    password: foobar
#    addEntryPointsLabels: true
#    addServicesLabels: true
#ping:
#  entryPoint: foobar
#  manualRouting: true
   #
log:
#Traefik's log file 
  # set debug level of the log
  level: DEBUG
  # defining the storage location inside the container, log file is written inside the container. To make it avaiable on the host it is mounted, see volumes section in docker-compose file
    # chosen based on https://unix.stackexchange.com/questions/104936/where-are-all-the-posibilities-of-storing-a-log-file
  filePath: /var/log/traefik-log.log
  # Traefik log format: json | common (Default: common)
  #format: common

accessLog:      
# Logging access attempts   
  # defining the storage location inside the container, log file is written inside the container. To make it avaiable on the host it is mounted, see volumes section in docker-compose file
    # chosen based on https://unix.stackexchange.com/questions/104936/where-are-all-the-posibilities-of-storing-a-log-file  
  filePath: /var/log/traefik-access.log
  # Access log format: json | common (Default: common)
  #format: common
#  filters:
#    statusCodes:
#    - foobar
#    - foobar
#    retryAttempts: true
#    minDuration: 42
#  fields:
#    defaultMode: foobar
#    names:
#      name0: foobar
#      name1: foobar
#    headers:
#      defaultMode: foobar
#      names:
#        name0: foobar
#        name1: foobar
#  bufferingSize: 42
   #
   
not used currently-tracing:    # this is only hear to fold/unfold the commented region in  Notepad++
#tracing:   
#  serviceName: foobar
#  spanNameLimit: 42
#  jaeger:
#    samplingServerURL: foobar
#    samplingType: foobar
#    samplingParam: 42
#    localAgentHostPort: foobar
#    gen128Bit: true
#    propagation: foobar
#    traceContextHeaderName: foobar
#    collector:
#      endpoint: foobar
#      user: foobar
#      password: foobar
#  zipkin:
#    httpEndpoint: foobar
#    sameSpan: true
#    id128Bit: true
#    sampleRate: 42
#  datadog:
#    localAgentHostPort: foobar
#    globalTag: foobar
#    debug: true
#    prioritySampling: true
#    traceIDHeaderName: foobar
#    parentIDHeaderName: foobar
#    samplingPriorityHeaderName: foobar
#    bagagePrefixHeaderName: foobar
#  instana:
#    localAgentHost: foobar
#    localAgentPort: 42
#    logLevel: foobar
#  haystack:
#    localAgentHost: foobar
#    localAgentPort: 42
#    globalTag: foobar
#    traceIDHeaderName: foobar
#    parentIDHeaderName: foobar
#    spanIDHeaderName: foobar
#    baggagePrefixHeaderName: foobar
   #
not used currently-hostResolver:     # this is only hear to fold/unfold the commented region in  Notepad++
#hostResolver:
#  cnameFlattening: true
#  resolvConfig: foobar
#  resolvDepth: 42
  #
certificatesResolvers:
  tlsChallenge_letsencrypt:
    acme:
      email: my.secret@gmail.com
      # CA server to use. (Default: https://acme-v02.api.letsencrypt.org/directory)
      #caServer:        
      # location chosen based on  on https://www.getpagespeed.com/server-setup/ssl-directory and https://serverfault.com/questions/62496/ssl-certificate-location-on-unix-linux
      storage: /etc/ssl/certs/letsencrypt/acme.json
      # KeyType used for generating certificate private key. Allow value 'EC256', 'EC384', 'RSA2048', 'RSA4096', 'RSA8192'. (Default: RSA4096)
      #keyType: {}         
      #dnsChallenge:
        # provider: foobar
        # delayBeforeCheck: 42
        # resolvers:
        # - foobar
        # - foobar
        # disablePropagationCheck: true
      #httpChallenge:
        # entryPoint: foobar
      tlsChallenge: {}
  #CertificateResolver1:
  #  acme:
  #    email: my.secret@gmail.com
  #    caServer: foobar
  #    storage: foobar
  #    keyType: foobar
  #    dnsChallenge:
  #      provider: foobar
  #      delayBeforeCheck: 42
  #      resolvers:
  #      - foobar
  #      - foobar
  #      disablePropagationCheck: true
  #    httpChallenge:
  #      entryPoint: foobar
  #    tlsChallenge: {}

  2. Without my comments

    docker-compose: traefikV2_docker-compose.yaml 
    root@Ubuntu18:/opt/10_docker-compose.yml-files# cat traefikV2_docker-compose.yaml | grep -v "#"
version: "3.7"

services:
  traefik-reverse-proxy:
    image: traefik:v2.1.1
    container_name: traefik

    ports:
      - 80:80
      - 443:443

    volumes:
      - /var/run/docker.sock:/var/run/docker.sock
      - /var/log/traefik:/var/log
      - /etc/ssl/certs/traefik/letsencrypt:/etc/ssl/certs/letsencrypt
      - /opt/traefik/traefik-config.yaml:/etc/traefik/traefik.yaml

    labels:
      - traefik.enable=true
      - traefik.http.routers.traefik_dashboard-router.rule=Host(`traefik.fairbnb.community`)
      - traefik.http.routers.traefik_dashboard-router.entrypoints=web
      - traefik.http.routers.traefik_dashboard-router.service=api@internal

    networks:
      - traefik


  whoami_viaSubdomain:
    image: "containous/whoami"
    container_name: "whoami_viaSubdomain"
    labels:
      - traefik.enable=true
      - traefik.docker.network=bridge_proxy_traefikv2
      - traefik.http.routers.whoami_viaSubdomain-router.rule=Host(`whoami.fairbnb.community`)
      - traefik.http.routers.whoami_viaSubdomain-router.entrypoints=web
    networks:
      - traefik

networks:
  traefik:
    external:
      name: bridge_proxy_traefikv2
    Traefik configuration: traefik-config.yaml 
    root@Ubuntu18:/opt/traefik# cat traefik-config.yaml | grep -v "#"
global:
  checkNewVersion: true

entryPoints:
  web:
    address: :80
  websecure:
    address: :443

api:
   debug: true

providers:
  docker:
    exposedByDefault: false
    network: bridge_proxy_traefikv2

log:
  level: DEBUG
  filePath: /var/log/traefik-log.log

accessLog:
  filePath: /var/log/traefik-access.log

certificatesResolvers:
  tlsChallenge_letsencrypt:
    acme:
      email: my.secret@gmail.com
      storage: /etc/ssl/certs/letsencrypt/acme.json
      tlsChallenge: {}
1 « J'aime »
8

@Cameron_D
@SvenC56
@Cerix
@huberfe
Désolé de vous taguer directement, mais il semble que vous soyez les seuls utilisateurs documentés à faire tourner Discourse derrière Traefik.
Malgré leurs promesses que Traefik s’occupe de tout, la configuration ne semble pas aussi simple.
Jusqu’à présent, je n’ai pas réussi :

URLs fonctionnelles :
URL non fonctionnelle :

Je vous serais très reconnaissant de bien vouloir partager la configuration complète de Discourse et de Traefik, ce qui me permettrait de mieux dépanner le problème.

Mes configurations Traefik à la fin de ce post : Endless 502 / forwarding when calling dashboard via subdomain #6123 - #9 by PackElend - Traefik v2 - Traefik Labs Community Forum

9

Comme je suis uniquement sur mobile, veuillez vérifier ma configuration ici : traefik - SeAT Discourse Documentation

Notez bien : je l’ai fait fonctionner uniquement avec les versions 1.6 et 1.7 de Traefik. Je ne sais pas si cela fonctionnera avec la version 2.

Avec cette configuration, plusieurs utilisateurs ont pu utiliser mon plugin, Discourse et Traefik.

Note : je n’ai pas lu un seul message dans ce fil, je réponds simplement au ping.

3 « J'aime »
10

Merci beaucoup :slight_smile: :partying_face:

Je vais essayer de le traduire de la v1 vers la v2.

J’en ai déjà une idée, il me faut quelques heures pour bien réfléchir.

Je suppose que les modèles pour SSL et Let’s Encrypt sont commentés, de sorte que la section des modèles ressemble à ceci :

    templates:
          - "templates/postgres.template.yml"
          - "templates/redis.template.yml"
          - "templates/web.template.yml"
          - "templates/web.ratelimited.template.yml"
        ## Décommentez ces deux lignes si vous souhaitez ajouter Let's Encrypt (https)
          #- "templates/web.ssl.template.yml"
          #- "templates/web.letsencrypt.ssl.template.yml"
11

yeah why would you want the discourse container to manage your ssl-certificates, if you are about to enable a proxy infront?

please post your solution as soon as you are done.

12

Dans Run other websites on the same machine as Discourse - #301, voir

Je suggère d’ajouter également la section sur les modèles dans la documentation. J’ai remarqué qu’ils n’étaient pas commentés dans mon installation, car j’ai d’abord fait une installation autonome pour obtenir le fichier app.yml. Au tout début, j’avais oublié de les commenter. Cela permettrait d’éviter que d’autres rencontrent le même problème.

Bien sûr.

13

Cela ne montre pas la configuration statique de Traefik, n’est-ce pas ?

14

Bonne nouvelle, tout le monde ! http://forum.fairbnb.community/ est accessible.

Voici la configuration avec le minimum de modifications dans app.yml pour qu’elle soit servie via http. Je m’occuperai de https ce week-end.

templates:
    - "templates/postgres.template.yml"
    - "templates/redis.template.yml"
    - "templates/web.template.yml"
    - "templates/web.ratelimited.template.yml"
    ## Décommentez ces deux lignes si vous souhaitez ajouter Lets Encrypt (https)
    #- "templates/web.ssl.template.yml"
    #- "templates/web.letsencrypt.ssl.template.yml"  

expose:
      #- "80:80"   # http
      #- "443:443" # https

labels:
    traefik.enable:                                               true
    traefik.http.services.discourse.loadbalancer.server.port:     80
    traefik.http.routers.discourse.rule:                          Host(`forum.fairbnb.community`)
    traefik.http.routers.discourse.entrypoints:                   web
15

Pour SSL, configurez simplement Traefik + Let’s Encrypt, vous n’avez pas besoin d’utiliser le SSL de Discourse.

Traefik gérera le chiffrement pour tous vos conteneurs.

Actuellement, j’utilise Traefik 1.6, je ne sais donc pas encore comment l’activer sur Traefik v2.

16

Oui, voir Run other websites on the same machine as Discourse, mais il semble que Discourse s’attende à certaines informations d’en-tête lorsque le client communique avec le proxy via HTTPS.

Je l’ai lu brièvement. Je vais essayer de le traduire en un texte compréhensible pour l’utilisateur moyen.

Oui, voir également Redirecting.... Au début, j’ai commencé directement avec HTTPS et la création du certificat a réussi, mais c’est tout. Maintenant, je dois l’aligner avec les connaissances que j’ai acquises depuis.

Donc vous utilisez HTTPS pour accéder à votre forum, n’est-ce pas ?
Pouvez-vous partager la configuration de Traefik et de Discourse ? Plus vous partagerez d’informations, plus ce sera facile pour moi ce week-end.
Un guide de migration de la v1 à la v2 est disponible sur Redirecting..., mais je vais essayer de l’expliquer ici ce week-end.

17

OK, voici mon fichier traefik.toml, qui n’est pas valide pour la nouvelle version v2

defaultEntryPoints = ["http", "https"]

[web]
address = ":8080"
  [web.auth.basic]
  users = ["yourusername:yourpassword"]

[entryPoints]
  [entryPoints.http]
  address = ":80"
    [entryPoints.http.redirect]
      entryPoint = "https"
  [entryPoints.https]
  address = ":443"
    [entryPoints.https.tls]

[acme]
email = "XXXXXXXX"
storage = "acme.json"
entryPoint = "https"
onHostRule = true
onDemand = false
[acme.httpChallenge]
entryPoint = "http"
minVersion = "VersionTLS12"

partie de la configuration Discourse

templates:
  - "templates/postgres.template.yml"
  - "templates/redis.template.yml"
  - "templates/web.template.yml"
  - "templates/web.ratelimited.template.yml"

expose:
  - "80"   # http ------ il suffit d'exposer les ports du conteneur 
  - "443" # https ------ vous n'avez pas besoin d'exposer le port hôte externe

labels:
  traefik.port: '80'
  traefik.backend: 'mycontainername'
  traefik.frontend.rule: 'Host:www.myhost.com'
  traefik.docker.network: 'mynetworkname'
docker_args:
  - "--network=mynetworkname"

avec cette configuration, traefik redirige toutes les requêtes du port 80 “http” vers le port 443 “https”,
activez FORCE HTTPS dans le panneau d’administration de Discourse pour éviter les erreurs.

1 « J'aime »
18

@pfaffman, je ne sais pas si la notification fonctionne toujours si je cite votre réponse dans un autre sujet, alors je vous mentionne.

Donc votre configuration ressemble à celle ci-dessus, mais

et en utilisant des variables d’environnement (cette approche est référencée dans https://stackoverflow.com/questions/52804610/how-do-you-set-environmental-variables-for-traefik et https://blog.raveland.org/post/traefik_compose)

19

donc HTTPS fonctionne :partying_face: :partying_face: :partying_face: :partying_face: :partying_face:
et je pense avoir compris comment tout cela fonctionne :slight_smile:. Je vais essayer de le noter au cours des prochains jours

ma configuration

extrait de app.yml de Discourse

templates:
  - "templates/postgres.template.yml"
  - "templates/redis.template.yml"
  - "templates/web.template.yml"
  - "templates/web.ratelimited.template.yml"
## Décommentez ces deux lignes si vous souhaitez ajouter Lets Encrypt (https)
  #- "templates/web.ssl.template.yml"
  #- "templates/web.letsencrypt.ssl.template.yml"

## quels ports TCP/IP ce conteneur doit-il exposer ?
## Si vous souhaitez que Discourse partage un port avec un autre serveur web comme Apache ou nginx,
## consultez https://meta.discourse.org/t/17247 pour plus de détails
expose:
  #- "80:80"   # http
  #- "443:443" # https
  #- "80"      # http
  #- "443"     # https
  #- "40080:80"
  #- "40443:443"

labels:
  app_name:                                                                     discourse

  #----Labels Traefik------------------------
  traefik.enable:                                                               true
  traefik.docker.network:                                                       bridge_proxy_traefikv2

   #---SECTION ROUTEUR HTTP-------------------
  traefik.http.routers.discourse.rule:                                          Host(`forum.fairbnb.community`)
    #--SECTION HTTP--------------------------
  traefik.http.routers.discourse.entrypoints:                                   web
  traefik.http.routers.discourse.middlewares:                                   discourse_redirect2https         
  #traefik.http.services.discourse.loadbalancer.server.port:                     80  

   #---SECTION ROUTEUR HTTPS
  traefik.http.routers.discourse_secure.rule:                                   Host(`forum.fairbnb.community`)
    #--SECTION HTTPS
  traefik.http.routers.discourse_secure.entrypoints:                            websecure
  traefik.http.services.discourse_secure.loadbalancer.server.port:              80
    #--SECTION TLS
  traefik.http.routers.discourse_secure.tls.certresolver:                       tlsChallenge_letsencrypt

   #---SECTION MIDDLEWARE redirection http vers https
  traefik.http.middlewares.discourse_redirect2https.redirectscheme.scheme:      https

docker_args:
  - "--network=bridge_proxy_traefikv2"
  
params:

Configuration statique de Traefik

global:
  checkNewVersion: true
entryPoints:
  web:
    address: :80
  websecure:
    address: :443

api:
   debug: true

providers:
  docker:
    exposedByDefault: false
    network: bridge_proxy_traefikv2

log:
  level: DEBUG
  filePath: /var/log/traefik-log.log

accessLog:
  filePath: /var/log/traefik-access.log

certificatesResolvers:
  tlsChallenge_letsencrypt:
    acme:
      email: my.secret@gmail.com
      storage: /etc/ssl/certs/letsencrypt/acme.json
      tlsChallenge: {}
4 « J'aime »
20

Salutations,

J’ai utilisé ce poste comme guide pour configurer Discourse afin qu’il fonctionne avec Traefik. J’ai déjà Traefik configuré avec une autre application web.

Lorsque je visite forum.private.com, je reçois une erreur « 404 page not found ».

Quelque chose semble fonctionner, car dans l’onglet Services du tableau de bord Traefik, je peux voir discourse@docker et discourse_secure@docker.

Cependant, il n’y a rien pour Discourse dans l’onglet Routers.

Les modifications que j’ai apportées à app.yml sont ci-dessous, largement basées sur le poste lié ci-dessus. J’ai ajouté un port exposé dans les arguments Docker en bas, ce qui semblait ouvrir les services mentionnés ci-dessus. Toute aide serait appréciée !

Traefik docker-compose 
version: "3.3"

services:
  ################################################
  ####        Configuration du proxy Traefik    #####
  ###############################################
  traefik:
    image: traefik:v2.0
    restart: always
    container_name: traefik
    ports:
      - "80:80" # <== http
      - "8080:8080" # <== :8080 est l'adresse du tableau de bord
      - "443:443" # <== https
    command:
    #### Ce sont les commandes CLI qui configureront Traefik et lui diront comment fonctionner ! ####

      - --api.insecure=true # <== Activation de l'API non sécurisée, NON RECOMMANDÉ POUR LA PRODUCTION
      - --api.dashboard=true # <== Activation du tableau de bord pour voir les services, middlewares, routers, etc...
      - --api.debug=true # <== Activation de points de terminaison supplémentaires pour le débogage et le profilage
      ## Paramètres de journalisation (options : ERROR, DEBUG, PANIC, FATAL, WARN, INFO) - https://docs.traefik.io/observability/logs/ ##
      - --log.level=DEBUG # <== Définir le niveau des journaux de Traefik
      ## Paramètres du fournisseur - https://docs.traefik.io/providers/docker/#provider-configuration ##
      - --providers.docker=true # <== Activation de Docker comme fournisseur pour Traefik
      - --providers.docker.exposedbydefault=false # <== Ne pas exposer tous les conteneurs à Traefik, seulement ceux activés
      - --providers.file.filename=/dynamic.yaml # <== Référence à un fichier de configuration dynamique
      - --providers.docker.network=web # <== Opérer sur le réseau Docker nommé web
      ## Paramètres des points d'entrée - https://docs.traefik.io/routing/entrypoints/#configuration ##
      - --entrypoints.web.address=:80 # <== Définir un point d'entrée pour le port :80 nommé web
      - --entrypoints.web-secured.address=:443 # <== Définir un point d'entrée pour HTTPS sur le port :443 nommé web-secured
      ## Paramètres des certificats (Let's Encrypt) -  https://docs.traefik.io/https/acme/#configuration-examples ##
      - --certificatesresolvers.mytlschallenge.acme.tlschallenge=true # <== Activer TLS-ALPN-01 pour générer et renouveler les certificats ACME
      - --certificatesresolvers.mytlschallenge.acme.email=private@private.com # <== Définir l'email pour les certificats
      - --certificatesresolvers.mytlschallenge.acme.storage=/letsencrypt/acme.json # <== Définir le fichier ACME pour stocker les informations du certificat
    volumes:
      - ./letsencrypt:/letsencrypt # <== Volume pour les certificats (TLS)
      - /var/run/docker.sock:/var/run/docker.sock # <== Volume pour l'administration Docker
      - ./dynamic.yaml:/dynamic.yaml # <== Volume pour le fichier de configuration dynamique, **réf : ligne 27
    networks:
      - web # <== Placer Traefik sur le réseau nommé web, pour accéder aux conteneurs sur ce réseau
    labels:
    #### Les labels définissent le comportement et les règles du proxy Traefik pour ce conteneur ####
      - "traefik.enable=true" # <== Activer Traefik sur lui-même pour voir le tableau de bord et attribuer un sous-domaine pour y accéder
      - "traefik.http.routers.api.rule=Host(`monitor.private.com`)" # <== Définir le domaine pour le tableau de bord
      - "traefik.http.routers.api.service=api@internal" # <== Activer l'API en tant que service accessible


networks:
  web:
    external: true
  backend:
    external: false

volumes:
  db_data: {}
  wordpress:
    external: true
  db:
    external: true
Discourse app.yml 
## Ceci est le modèle de conteneur Docker tout-en-un et autonome pour Discourse
##
## Après avoir apporté des modifications à ce fichier, vous DEVEZ reconstruire
## /var/discourse/launcher rebuild app
##
## SOYEZ *TRÈS* PRUDENT EN ÉDITANT !
## LES FICHIERS YAML SONT SUPER SUPER SENSIBLES AUX ERREURS D'ESPACE OU D'ALIGNEMENT !
## Visitez http://www.yamllint.com/ pour valider ce fichier si nécessaire

templates:
  - "templates/postgres.template.yml"
  - "templates/redis.template.yml"
  - "templates/web.template.yml"
  - "templates/web.ratelimited.template.yml"
## Décommentez ces deux lignes si vous souhaitez ajouter Let's Encrypt (https)
  #- "templates/web.ssl.template.yml"
  # "templates/web.letsencrypt.ssl.template.yml"

## Quels ports TCP/IP ce conteneur doit-il exposer ?
## Si vous souhaitez que Discourse partage un port avec un autre serveur web comme Apache ou nginx,
## consultez https://meta.discourse.org/t/17247 pour plus de détails
expose:
  #- "80:80"   # http
  #- "443:443" # https

params:
  db_default_text_search_config: "pg_catalog.english"

  ## Définir db_shared_buffers à un maximum de 25 % de la mémoire totale.
  ## Sera défini automatiquement par bootstrap en fonction de la RAM détectée, ou vous pouvez le remplacer
  db_shared_buffers: "128MB"

  ## Peut améliorer les performances de tri, mais ajoute l'utilisation de la mémoire par connexion
  #db_work_mem: "40MB"

  ## Quelle révision Git ce conteneur doit-il utiliser ? (par défaut : tests-passed)
  #version: tests-passed

env:
  LANG: en_US.UTF-8
  # DISCOURSE_DEFAULT_LOCALE: en

  ## Combien de requêtes web simultanées sont prises en charge ? Dépend de la mémoire et des cœurs CPU.
  ## Sera défini automatiquement par bootstrap en fonction des CPU détectés, ou vous pouvez le remplacer
  UNICORN_WORKERS: 2

  ## TODO : Le nom de domaine auquel cette instance Discourse répondra
  ## Requis. Discourse ne fonctionnera pas avec une adresse IP brute.
  DISCOURSE_HOSTNAME: forum.private.com

  ## Décommentez si vous souhaitez que le conteneur soit démarré avec le même
  ## nom d'hôte (-h option) que spécifié ci-dessus (par défaut "$hostname-$config")
  #DOCKER_USE_HOSTNAME: true

  ## TODO : Liste d'e-mails délimités par des virgules qui seront administrateurs et développeurs
  ## lors de l'inscription initiale, exemple 'user1@example.com,user2@example.com'
  DISCOURSE_DEVELOPER_EMAILS: 'private@private.com'

  ## TODO : Le serveur de messagerie SMTP utilisé pour valider les nouveaux comptes et envoyer des notifications
  # L'adresse SMTP, le nom d'utilisateur et le mot de passe sont requis
  # ATTENTION : le caractère '#' dans le mot de passe SMTP peut causer des problèmes !
  DISCOURSE_SMTP_ADDRESS: in-v3.mailjet.com
  DISCOURSE_SMTP_PORT: 587
  DISCOURSE_SMTP_USER_NAME: redacted
  DISCOURSE_SMTP_PASSWORD: "redacted"
  #DISCOURSE_SMTP_ENABLE_START_TLS: true           # (optionnel, par défaut true)

  ## Si vous avez ajouté le modèle Let's Encrypt, décommentez ci-dessous pour obtenir un certificat SSL gratuit
  LETSENCRYPT_ACCOUNT_EMAIL: private@private.com

  ## L'adresse CDN http ou https pour cette instance Discourse (configurée pour récupérer)
  ## voir https://meta.discourse.org/t/14857 pour plus de détails
  #DISCOURSE_CDN_URL: https://discourse-cdn.example.com

## Le conteneur Docker est sans état ; toutes les données sont stockées dans /shared
volumes:
  - volume:
      host: /var/discourse/shared/standalone
      guest: /shared
  - volume:
      host: /var/discourse/shared/standalone/log/var-log
      guest: /var/log

## Les plugins vont ici
## voir https://meta.discourse.org/t/19157 pour plus de détails
hooks:
  after_code:
    - exec:
        cd: $home/plugins
        cmd:
          - git clone https://github.com/discourse/docker_manager.git

## Toutes les commandes personnalisées à exécuter après la construction
run:
  - exec: echo "Début des commandes personnalisées"
  ## Si vous souhaitez définir l'adresse e-mail 'De' pour votre première inscription, décommentez et modifiez :
  ## Après avoir reçu le premier e-mail d'inscription, re-commentez la ligne. Elle ne doit être exécutée qu'une seule fois.
  #- exec: rails r "SiteSetting.notification_email='info@unconfigured.discourse.org'"
  - exec: echo "Fin des commandes personnalisées"

labels:
  app_name:                                                                     discourse

  #----Labels Traefik------------------------
  traefik.enable:                                                               true
  traefik.docker.network:                                                       web

   #---SECTION ROUTEUR HTTP-------------------
  traefik.http.routers.discourse.rule:                                          Host(`forum.private.com`)
    #--SECTION HTTP--------------------------
  traefik.http.routers.discourse.entrypoints:                                   web
  traefik.http.routers.discourse.middlewares:                                   discourse_redirect2https         
  traefik.http.services.discourse.loadbalancer.server.port:                     80  

   #---SECTION ROUTEUR HTTPS
  traefik.http.routers.discourse_secure.rule:                                   Host(`forum.private.com`)
    #--SECTION HTTPS
  traefik.http.routers.discourse_secure.entrypoints:                            web-secured
  traefik.http.services.discourse_secure.loadbalancer.server.port:              80
    #--SECTION TLS
  traefik.http.routers.discourse_secure.tls.certresolver:                       tlsChallenge_letsencrypt

   #---SECTION MIDDLEWARE rediriger http vers https
  traefik.http.middlewares.discourse_redirect2https.redirectscheme.scheme:      https

docker_args:
  - "--network=web"
  - "--expose=80"

Merci