traefik 代理后面的 docker 中的 gitlab 失败（通常）

Posted 2023-02-16

【中文标题】traefik 代理后面的 docker 中的 gitlab 失败（通常）

【英文标题】：gitlab in docker behind traefik proxy fails (usually)

【发布时间】：2017-06-30 18:46:11

【问题描述】：

我有几个使用 LetsEncrypt 凭据在 docker 中运行并通过 traefik 路由的网站。 我想使用 LetsEncrypt 和 traefik 在 docker 中运行本地 gitlab-ce。

所以我将它添加到我的 traefik.toml 文件中：

[[acme.domains]]
  main = "gitlab.mydomain.com"

这个到 config/gitlab.rb:

external_url "http://gitlab.mydomain.com"

我开始 gitlab：

docker run -d --restart=always \
     --hostname gitlab.mydomain.com \
     --expose 80 \
     --volume /srv/gitlab/config:/etc/gitlab \
     --volume /srv/gitlab/data:/var/opt/gitlab \
     --volume /var/log/gitlab:/var/log/gitlab \
     --label traefik.frontend.rule=Host:gitlab.mydomain.com \
     --name gitlab gitlab/gitlab-ce:latest

转到https://gitlab.mydomain.com/ 我获得了一个带有 LetsEncrypt 生成证书的安全站点，但该站点无法加载：

内部服务器错误

当我重新加载页面时，我在docker logs gitlab -f 看到这个：

==> /var/log/gitlab/sshd/current <==
2017-02-12_16:51:31.00446 Bad protocol version identification 'GET / HTTP/1.1' from 172.17.0.8 port 41138
2017-02-12_16:51:31.26238 Bad protocol version identification 'GET /favicon.ico HTTP/1.1' from 172.17.0.8 port 41140

在日志中搜索/error/i，我发现有几件事可能是问题（zruby/gems/2.3.0/gems/redis-3.2.2z 中报告了很多错误）但没有“确凿证据”AFAICT。

最疯狂的是，我运行docker restart gitlab 大约每十次左右（随机），该网站就会完美出现。我一直很想把它搁置一旁，但其中隐藏着疯狂......

我怎样才能让它可靠地出现？或者我怎样才能更完整地调试它？

【问题讨论】：

尝试将http 更改为https。是否已调整 gitlab.rb 以指向正确的证书？

谢谢 - 我已经尝试过 http 和 https 并已将 gitlab 指向自签名证书，但 gitlab 站点（随机）出现的唯一时间是 http .这与 traefik 和 LetsEncrypt 的工作方式相匹配（即使没有启动，gitlab 也会在带有 LetsEncrypt 证书的浏览器工具栏中显示“安全”）。

我在 kubernetes 环境中遇到了类似的问题（入口 traefik）。使用GITLAB_HTTPS=false 设置，总是成功，但GITLAB_HTTPS=true 永远不会成功。

【参考方案1】：

我使用了sameersbn's docker-compose，并在同一目录中添加了以下 docker-compose.override.yml。

version: "2"

services:
    gitlab:
      labels:
        - "traefik.frontend.rule=Host:git.schulz.codes"
        - "traefik.port=80"
        - "traefik.enable=true"
        - "traefik.frontend.entryPoints=http,https"

使用以下 traefik docker-compose 可以很好地保持安静

version: "2"

services:
  proxy:
    restart: always
    image: traefik
    container_name: traefik
    command: --web --docker --docker.domain=docker.localhost --logLevel=DEBUG
    ports:
      - "8080:8080"
      - "80:80"
      - "443:443"
    volumes:
      - ./traefik.toml:/etc/traefik/traefik.toml
      - /var/run/docker.sock:/var/run/docker.sock
      - ./data:/etc/traefik/acme:rw

还有这个 traefik.toml

[entryPoints]
  [entryPoints.http]
  address = ":80"
    [entryPoints.http.redirect]
    entryPoint = "https"
  [entryPoints.https]
  address = ":443"
    [entryPoints.https.tls]
defaultEntryPoints = ["http", "https"]
[acme]
email = "yourmail@domain.com"
storageFile = "/etc/traefik/acme/acme.json"
entryPoint = "https"
OnHostRule = true
[[acme.domains]]
  main = "domain.com"
  sans = ["gitlab.domain.com"]
[web]
address = ":8080"
[docker]
endpoint = "unix:///var/run/docker.sock"
domain = "docker.localhost"
watch = true
exposedbydefault = true

【参考方案2】：

这个答案对你来说可能来得太晚了，但我遇到了同样的问题并且能够解决它。

重要的线索是日志错误是由sshd 守护进程引起的！

Traefik 默认会选择容器公开的第一个端口（通过 Dockerfile，而不是您手动公开的端口！）。 对于 Gitlab 容器，这是 ssh 端口 22。

所以 Traefik 会将 Web 请求定向到 Gitlab 的 SSH 守护进程。

要解决此问题，您需要为 Traefik 明确设置端口，并带有标签：

Traefik 1.x:

labels:
    ...
    - traefik.port=80

Traefik 2.x:

labels:
    - traefik.http.services.<your-service-name>.loadbalancer.server.port=80

【讨论】：

traefik 2.1 的标签是：traefik.http.services.<your-service-name>.loadbalancer.server.port=80

使用 traefik >=2.2.1 它必须是 traefik.http.services.<your-service-name>.loadbalancer.server.port=80