前言:技术选型的初心
在微服务盛行、容器部署逐渐常态化的今天,“动态反向代理”显得尤为重要。 Traefik 凭借其原生支持 Docker、自动生成路由、集成 Let's Encrypt 自动证书、Dashboard 可视化等“先进特性”,一度成为我的首选。
我满怀期待,想把它用在一个生产环境的小项目中。但谁曾想,这段旅程让我一度怀疑人生。
初识 Traefik:一切都很美好
Traefik 是一款现代、高性能的反向代理与负载均衡器,专为云原生架构而生。它天然支持 Docker、Kubernetes、Consul、Etcd 等主流服务发现机制,能够自动识别后端服务的变更,动态更新路由规则。相比传统的 Nginx 或 Apache,Traefik 更注重自动化与配置简洁,它的声明式配置和 Dashboard 可视化界面极大简化了反向代理的部署与维护流程。无论是自动签发 SSL 证书、支持 HTTP/2、WebSocket,还是内置中间件体系,Traefik 都以“少即是多”的理念展现了下一代网关的优雅与力量。
配置起来确实优雅:
自动识别 Docker 服务,不需要繁琐的手动配置 自动 HTTPS,一行配置即可接入 Let's Encrypt 自带 Dashboard,一目了然地查看路由和服务状态 原生支持热更新,零重启动态加载配置
我曾为之感叹:“这不就是反向代理的理想形态吗?”
部署 traefik 服务
这次的场景是在内网服务使用,不需要使用 https ,所以只映射 80 端口就行。
services:
traefik:
image:traefik:latest
container_name:traefik
restart:always
ports:
-"80:80"
-"8080:8080"# Traefik 仪表板端口(可选)
command:
-"--api.insecure=true"# 开启 Dashboard
-"--providers.docker"
volumes:
-/var/run/docker.sock:/var/run/docker.sock:ro
networks:
default:
name:traefik
driver:bridge
服务接入 traefik
这次要接入的服务是一个 springboot 应用,以下省略了其他无关的容器。
services:
app:
build:.
container_name:hub_project
environment:
-SPRING_PROFILES_ACTIVE=prod
depends_on:
-redis
ports:
-13080:13080
networks:
-default
-traefik
labels:
-"traefik.http.routers.hub-project.rule=Host(project.hub.example.com)"
-"traefik.http.services.hub-project.loadbalancer.server.port=13080"
networks:
default:
name:hub_project
traefik:
external:true
可以看到接入非常简单,只需要给服务添加一个 labels 配置
并在其中指定域名和端口就行。
现实很骨感:动态的代价是复杂性
从某天起,我的服务访问突然返回 404,我百思不得其解。后来排查才发现:
是另一个容器重用了相同的 routers 和 services 名称,导致冲突!
修正后恢复正常,不久又出现 Gateway Timeout —— 这回是后端服务只监听了 127.0.0.1,Traefik 根本连不上。再后来,又因为某次重启后没重新加入 traefik 网络,Traefik 抓不到服务了。
这些问题让我意识到:
127.0.0.1 而不是 0.0.0.0 | |
一切都不是 Traefik 的错,但就是太容易踩坑了。
为什么会这样?Traefik 的“动态设计”是双刃剑
Traefik 的核心理念是:
“你负责标记服务(labels),我来自动代理。”
虽然这极大地减少了配置量,但也带来了几种不可控因素:
容器间网络隔离必须配置正确 每个 service/router 的 命名不能重复 应用必须监听正确地址( 0.0.0.0),Traefik 才能访问容器状态、重启、网络变动都可能导致 Traefik“抓不到服务”
再加上 Traefik 自身不会缓存状态,一切动态加载,debug 成了玄学:服务一切正常,但访问就是超时/404。
想说爱你不容易:我的心累瞬间
改了配置但 Dashboard 没变化,我只能反复重启容器 服务能 curl,Traefik 却访问不了,结果是监听地址不对 dashboard 明明显示 router 激活了,实际却是前端一直 loading 配置 label 忘记加 .entrypoints=web,debug 半小时
每次排查都像一场修行。我甚至怀疑:是不是我哪里做错了?
最终切换:Caddy,虽然简单但更稳妥
就在我被折磨得几近放弃时,我决定试一试 Caddy。
它的配置惊人地简单:
project.hub.example.com {
reverse_proxy hub_project:13080
}
自动 HTTPS 无痛接入 没有 label 没有网络配置 静态配置带来的确定性和可控性 debug 更简单,配置即真相
虽然后续扩展性略差,但对我这种轻量项目来说,它太合适了。
小结:Traefik 值得尊敬,但不一定适合所有人
Traefik 是一把双刃剑。它非常适合:
Kubernetes 环境 Docker Compose 服务复杂度高、频繁变更的团队协作项目 熟悉 Docker 网络模型、服务健康状态的 DevOps 团队
而对于我这种小项目 + Docker Compose 的轻部署者来说:
静态反向代理 + 明确配置,反而是一种放松。
如果说 Nginx 是稳重的老好人,那 Traefik 就像一个特立独行的极客。它不按常理出牌,拒绝繁琐配置文件,宣称“自动发现,一切皆自动”,用 Docker label 就能配好反向代理,听起来是不是很优雅?可当你真把它拉起来,发现容器明明在线,Dashboard 显示正常,结果页面却是 404,SSL 证书申请也毫无动静。你重启它,它就突然好了,一脸“我没问题,是你不懂我”的样子。Traefik 有时就像个高冷恋人,功能强、颜值高,但沟通起来总让人心累。用它的过程,不是调试配置,就是在重启中获得“玄学式修复”,让人不禁发出一声长叹:Traefik,想说爱你不容易。
后记:不排斥,再相见
我仍然对 Traefik 抱有敬意,它有太多优秀的设计理念,但这次我选择了先放下它。
也许以后,在更成熟的 CI/CD 流水线,或者 Kubernetes 中,我会重新选择它。