不过如果没接触过反代也许从 Nginx 之类入手更好，资料更多且不少文档给出的反代例子都是 Nginx 的，或者希望方便点的话可以看看 Nginx Proxy Manager / Caddy 那些。Traefik 可能更难理解一点，适合常用 Docker 的用户

以及…

• 本文纯乱折腾，可能有错误（如果您发现错误请联系我）
• 主要涉及（个人）比较常用的部分，毕竟不熟的同样翻文档
• 因为 Traefik 文档只有英文，为了避免混淆，本文中关键概念尽量用与文档相同的英文

配置

https://doc.traefik.io/traefik/routing/overview/

Traefik 的配置分为两类，一种静态一种动态。静态部分主要是一些启动后就固定的部分，比如 Traefik 自己的配置、Entrypoints 和一些证书相关的配置；动态部分则主要和每个服务有关，例如路由规则、用哪个端口之类。静态可以是文件或者命令行参数，动态常用的可能是 Docker 的 label 或者文件（Traefik 可以观察文件变化）

实际使用静态参数既可以当参数写进 Docker 的启动命令也可以单独提供文件；动态参数如果对象是 Docker 容器的话一般用 label，本地服务的话应该只能用文件了。

有个可能会混淆的点是有些部分名称是自定义的，但省事的话可能会和预定义的名称混起来，文中尽量用一些不太可能是关键字的来代替，例如 my-router 之类。以及（特别是 label 形式定义的）组件常常看起来缺少一个“定义”的过程，例如 traefik.http.routers.www-router.rule=Host(xxx) 中的 www-router 不需要提前定义，直接就能指定它的 Host。

Static

命令行参数或文件（YAML / TOML）或环境变量

Entrypoints

https://doc.traefik.io/traefik/routing/entrypoints/

开 80 443 且 80 转 443 的例子（web 和 websecure 都是自定义的名字，不过在这边可能有点约定俗成）

1
2
3
4
5
6
7
8
9
10

entryPoints:
    web:
        address: ":80"  # [host]:port[/tcp|/udp]
        http:
            redirections:
                entryPoint:
                    to: websecure
                    scheme: https
    websecure:
        address: ":443"

Providers

主要看看 Docker provider： https://doc.traefik.io/traefik/routing/providers/docker/ （其他也都不熟 x）

启用

文件：

1
2

providers:
    docker: {}

参数里：--providers.docker

使用

文中例子以文件形式的配置为主（更好看清结构），对于二者转换可以参考下面例子。大体上把 YAML 的结构改成用点连接即可，具体请参考文档
例如：

1
2
3
4
5
6
7
8
9
10
11
12

# Docker Provider
version: "3"
    services:
        my-container:
            # ...
            labels:
                - traefik.http.routers.www-router.rule=Host(`example-a.com`)
                - traefik.http.routers.www-router.service=www-service
                - traefik.http.services.www-service.loadbalancer.server.port=8000
                - traefik.http.routers.admin-router.rule=Host(`example-b.com`)
                - traefik.http.routers.admin-router.service=admin-service
                - traefik.http.services.admin-service.loadbalancer.server.port=9000

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18

# File Provider (dynamic config)
http:
    routers:
        www-router:
            rule: "Host(`example-a.com`)"
            service: www-service
        admin-router:
            rule: "Host(`example-b.com`)"
            service: admin-service
    services:
        www-service:
            loadBalancer:
                servers:
                    - url: "http://127.0.0.1:8000" # For example
        admin-service:
            loadBalancer:
                server:
                    - url: "http://127.0.0.1:9000" # For example

注意这种情况（HTTP）下如果标签里只有 router，会自动生成一个 service。同时如果既有一个 router 也有一个 service 但 router 没有指定 service，则 service 会自动分配给那个 router

于是最简单的 labels 可以这样写（如果容器有开单端口甚至可以省略 port， Traefik 会自动用那个端口）

1
2
3

labels:
    - "traefik.http.routers.myproxy.rule=Host(`example.net`)"
    - "traefik.http.services.myservice.loadbalancer.server.port=80"

Dynamic

Routers

https://doc.traefik.io/traefik/routing/routers/

主要 http routers
Routers 默认监听所有 Entrypoints，一般主要关注规则部分

router 需要的 rule（什么情况下用这部分配置）、middleware（中间需要什么处理）、service（给谁）、其他要求（如 TLS）
例子：

1
2
3
4
5
6
7
8
9
10

http:
    routers:
        Router-1:
            rule: "Host(`example.com`)" # 反引号或\"来框字符串（好像是 Go 的要求）
            middlewares: # 不一定需要
                - authentication
            service: "service-1" # 用 label 可以省略
            priority: 1 # 不一定需要
            tls:
                certResolver: leresolver # 见 tls

Rule

具体请看官方文档，这里给个简单例子

1

rule = "Host(`example.com`) || (Host(`example.org`) && PathPrefix(`/traefik/`))"

（PathPrefix 匹配路径前缀）

Service

每个 router 都必须有一个 service。一般来说需要预先定义 service，但例如用 Docker 的 label 就可以省略（Traefik 会自动创建并分配）

Services

每个 service 必有一个 loadbalancer（即使不需要负载均衡）

一般用到主要是主动指定容器内端口或者监听本地的 url。
主动指定端口：traefik.http.services.my-service.loadbalancer.server.port=9000（一行就够不依赖其他，或者说其他都自动生成了）

文件形式的例子：

1
2
3
4
5
6
7
8
9
10

http:
    routers:
        my-router:
            rule: "Host(`example.com`)"
            service: my-service
    services:
        my-service:
            loadBalancer:
                servers:
                    - url: "http://host.docker.internal:8080"

Middlewares

细节请看文档 https://doc.traefik.io/traefik/middlewares/overview 。能干挺多事，但先只说个 BasicAuth

BasicAuth

为一些没有认证功能的服务加个认证功能，例如 Traefik 的 Dashboard（见后文）
例子：

1
2
3

labels:
  - "traefik.http.middlewares.test-auth.basicauth.users=username:$$apr1$$H6uskkkW$$IgXLP6ewTrSuBkTrqE8wj/,test2:$$apr1$$d9hr9HBB$$4HxwgUir3HP4EsggP/QNo0"
  - "traefik.http.routers.my-router.middlewares=test-auth"

格式是“用户名:处理过的密码”，处理过密码部分需要是实际密码 MD5 / SHA1 / BCrypt 后的结果，如果有 $ 的话要换成 $$
密码生成可以用 htpasswd，或者熟悉 Python（Python 3）的话：

1
2

pip install bcrypt
python -c "import bcrypt;print(bcrypt.hashpw('YOUR_PASSWORD'.encode('UTF-8'),bcrypt.gensalt()).decode('UTF-8').replace('$','\$\$'))"

如果用 Windows PowerShell 需要把最后的 \$\$ 中的 \ 换成 `

TLS

https://doc.traefik.io/traefik/https/overview/

理论上 TLS 相关设置既有静态也有动态，但感觉还是放在一起看比较合适

TLS 证书可以手动指定，也可以让 Traefik 自动申请（是 Let’s Encrypt 的）。Traefik 可以全自动完成证书申请和续期（主要看看这个，手动指定请参考文档）

首先要在静态配置中定义 certificatesResolvers，之后每个 router 通过 tls.certresolver 选一个用。Traefik 会自动通过对应 rule 找域名申请对应证书（也可以通过 tls.domains 指定）

例子（结合起来看）：

1
2
3
4
5
6
7
8

#Static configuration 
certificatesResolvers:
    my-resolver:
        acme:
            email: "name@example.com" # Let's Encrypt 注册邮箱
            storage: "acme.json" # 容器外映射进来（xxx/acme.json:/acme.json），权限 600
            httpChallenge: # 不同申请方法见下文
                entryPoint: web

1
2
3
4
5

# Dynamic configuration
labels:
- traefik.http.routers.my-router.rule=Host(`example.com`) && Path(`/example`)
# - traefik.http.routers.blog.tls=true
- traefik.http.routers.my-router.tls.certresolver=my-resolver

也可以针对 Entrypoints 配置默认的 certResolver

1
2
3
4
5
6

entryPoints:
    websecure:
    address: ':443' 
    http: 
        tls: 
            certResolver: leresolver

ACME Challenges

证书申请需要 Challenges 验证域名真正指向了服务器，有几种可选的验证方式

tlsChallenge

443 开就行。但注意套 Cloudflare 时这种方式无效（看 CDN 是否允许 non-HTTP ALPNs），可以暂时关掉 CDN 只保留 DNS 解析（并不推荐）或者换其他方法（套 Cloudflare 了可以考虑下文的 DNS challenge）

1
2
3
4
5

certificatesResolvers:
    myresolver:
        acme:
            # ...
            tlsChallenge: {}

httpChallenge

需要开 80 口

1
2
3
4
5
6

certificatesResolvers:
    myresolver:
        acme:
            # ...
            httpChallenge:
                entrypoint: web # 对应 80 口的那个

dnsChallenge

参考 https://doc.traefik.io/traefik/https/acme/#dnschallenge
只有这种方式能申请通配符证书，具体配置看所使用的 DNS 提供商

Cloudflare 的话建议去 My Profile → API Tokens → Create Token 创建一个低权限的 Token，根据这个 issue，需要的权限是“Zone - Zone - Read”和“Zon - DNS - Edit”，至于具体 Zone 的选择就看实际情况了
之后在 Docker 的环境变量中增加“CF_DNS_API_TOKEN=XXXXXXX”即可

Extra

Network 相关

Docker compose 默认会创建单独 network，如果一起用默认的 bridge 的话要加上 network_mode: bridge。或者其他方式但总之 Traefik 得和目标容器有在相同 network 中。

Docker 内的 Traefik 访问 Docker 外的本地服务

虽然以 Docker 为主，但总得有这个能力 x。这里的方法不止适用于 Traefik，其他情况下容器内访问容器外本地也可以这么做
需要的设置：

• docker run 添加参数：--add-host=host.docker.internal:host-gateway（docker 版本 20+）
• docker compose 在对应 container 下面增加

  1 2	extra_hosts: - "host.docker.internal:host-gateway"

  例如 localhost:1234 的服务，设置后 Docker 内访问则用 host.docker.internal:1234 即可

参考： https://stackoverflow.com/questions/24319662

Dashboard

https://doc.traefik.io/traefik/operations/dashboard/
不一定有必要，但 看着好看 有时 debug 相对方便
给 Traefik 自己上 label 就行

1
2
3
4
5
6
7

# 改自官方的例子
# Dynamic Configuration
labels:
- "traefik.http.routers.dashboard.rule=Host(`traefik.example.com`)"
- "traefik.http.routers.dashboard.service=api@internal"
- "traefik.http.routers.dashboard.middlewares=auth"
- "traefik.http.middlewares.auth.basicauth.users=test:$$apr1$$H6uskkkW$$IgXLP6ewTrSuBkTrqE8wj/,test2:$$apr1$$d9hr9HBB$$4HxwgUir3HP4EsggP/QNo0"

（发现上文没写 middleware，可能有空加上）
其中 rule 部分要包含 /api 和 /dashboard （这里直接整个域名肯定包含了），service 是固定的 api@internal。虽然 dashboard 只能看看但最好还是上个验证，例如 basicauth `

之后访问 https://traefik.example.com/dashboard/ 即可，注意默认情况下最后的那个 / 不可省略

关于端口

不少 web 服务都是直接 -p xxxx:xxxx，个人感觉不太建议，毕竟除非容器内服务配置了只监听部分 IP 或 IP 段，这样一般会监听所有 ip，可能会被扫出来。测试的话可以 -p 127.0.0.1:xxxx:xxxx 加 SSH 的本地端口转发或者其他方法，如果比较简单感觉 Traefik 直接用指定端口就行

参考

参考过的文章，也许它们比本文更合适

• Traefik Proxy 2.x and Docker 101
• Understanding Traefik
• Deploying Portainer behind Traefik Proxy
• https://doc.traefik.io/traefik/user-guides/docker-compose/basic-example/

Dendrite is a second-generation Matrix homeserver written in Go. It intends to provide an efficient, reliable and scalable alternative to Synapse

挺早了解了 Matrix，但听说 Synapse 占用较高，一般服务器不太跑得动，于是对 Matrix 敬而远之 x。最近与另一位先生交流了才知道 Dendrite 占用已经可以非常低了，于是也试着部署了一个。

我的部署方式是 Docker compose，Monolith mode + PostgrSQL，关于 mode 区别和数据库选择请参考官方说明 。以及官方的配置要求看着挺高，但小规模使用的话没啥参考价值 x，自己的 Dendrite 占用才 60MB+（PostgreSQL 也大约 60MB+）。

配置

主配置文件 dendrite-sample.monolith
Docker 相关文件

文件结构（需要设置的部分，并非最终结果）

1
2
3
4
5
6
7
8
9

dendrite
├── config
│   ├── dendrite.yaml
│   ├── matrix_key.pem
│   ├── server.crt
│   └── server.key
├── docker-compose.yml
└── postgres
    └── create_db.sh

下文中主域名就用 example.com 代替了。

dendrite.yaml

• global:servername
  • example.com
• global:database:connection_string
  • username、password 和 docker-compose.yaml 里的保持相同
  • hostname 换成 postgres （Docker 下不额外配置的话主机名好像是跟着容器名…？）
• global:well-known-*-name
  • example.com
• media_api:basic_path
  • 好像默认的和 docker-compose.yml 中的不同，我把这里的改成了 /var/dendrite/media（对应 docker-compose.yml 第 35 行）

docker-compose.yml

• services:postgres:volums
  • 参考注释修改第二条，把 ./path_to/postgresql 改改（其实不改也不是不行）
• services:postgres:environment
  • 用户名密码，和 dendrite.yaml 中的保持相同

matrix_key.pem

参考官方给的命令，在 config 目录下执行：

1
2
3
4
5

docker run --rm --entrypoint="" \
  -v $(pwd):/mnt \
  matrixdotorg/dendrite-monolith:latest \
  /usr/bin/generate-keys \
  -private-key /mnt/matrix_key.pem \

这里只需要生成 matrix_key.pem。以及可以随时执行，Docker 会自动拉取镜像。

server. crt & server.key

我使用 acme.sh 来自动配置：

1. 默认使用 Let’s Encrypt（可选）：acme.sh --set-default-ca --server letsencrypt
2. 申请证书：acme.sh --issue -d matrix.example.com （根据实际情况不同，可能需要临时开个 80 口，具体请看 acme.sh 的说明并选择申请方式）
3. 安装证书：acme.sh --install-cert -d matrix.example.com --key-file path_to_dendrite/config/server.key --fullchain-file path_to_dendrite/config/server.crt --reloadcmd "docker restart dendrite-monolith-1" （根据实际替换 path_to_dendrite 和 dendrite-monolith-1）
   之后续期啥的留给 acme.sh 就行了。

postgres/create_db.sh

https://github.com/matrix-org/dendrite/blob/main/build/docker/postgres/create_db.sh
（不需要修改）

Delegation

https://matrix-org.github.io/dendrite/installation/domainname#delegation

简单说大致就是使用 matrix.example.com 定位实际服务器、与服务器交流，但用户名等部分仍然使用 example.com。比较建议这种方式，既保持了用户名的简洁也方便服务器迁移啥的。
具体设置部分需要注意的就是（Well-known delegation）

1. 在 dendrite.yaml 的 server_name 部分使用 example.com
2. 证书（server.crt 和 server.key）用 matrix.example.com
3. 访问 example.com/.well-known/matrix/server 和 example.com/.well-known/matrix/client 时返回特定 json 指向 matrix.example.com

   第 3 步可以通过 SRV 记录实现（DNS SRV delegation），不过官方说不太推荐。似乎也只能用于服务器见的发现。

Cloudflare Workers 实现 Well-known delegation

要实现 Delegation 实际上额外需求只有在客户端请求 example.com/.well-known/matrix/* 时返回简单 json。官方文档中是使用 Caddy/Nginx，但不考虑反代的话单独为了这个架个 Web 服务器感觉没啥必要 x，于是就丢给 Cf Workers 了。

Workers 参考代码：

参考（主要抄自）： https://helderferreira.io/matrix-well-known-with-cloudflare/ （有所修改）

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46

addEventListener("fetch", (event) => {
  event.respondWith(
    handleRequest(event.request).catch(
      (err) => new Response(err.stack, { status: 500 })
    )
  );
});


export async function handleRequest(request){
  
  const url = new URL(request.url)

  const headers = {
    headers: {
      "content-type": "application/json;charset=UTF-8",
      'Access-Control-Allow-Origin': '*',  //解决可能会遇到跨域问题
    }
  }

  const serverJson = {
    "m.server": "matrix.example.com:8448" 
  }

  const clientJson = {
      "m.homeserver": {
          "base_url": "https://matrix.example.com:8448"
      },
  }

  var msg

  if (url.pathname.endsWith("server")) {
    msg  = JSON.stringify(serverJson)
  }

  if (url.pathname.endsWith("client")) {
    msg = JSON.stringify(clientJson)
  }

  if (msg) {
    return new Response( msg , headers);
  } else {
    return new Response('Not Found.', { status: 404 })
  }
}

Route 设置

Route：example.com/.well-known/matrix/*

运行

启动

在 docker-compose.yml 所在目录执行：

1

docker compose start

较旧 Docker 可能要把 docker compose 换成 docker-compose

只是测试的话可以：

1

docker compose up

这样可以实时查看那两个容器的输出，Ctrl + C 停止。

停止

在 docker-compose.yml 所在目录执行：

1

docker compose stop

日志

1
2

docker logs dendrite-monolith-1 -n [lines]
# -n 指定行数，从末尾算起

测试

可以使用 Federation Tester 测试 federation 情况。客户端的话直接用客户端测试即可（记得开注册）。以及 Element Desktop 调试快捷键是 Ctrl + Shift + I。

帐号管理

自己由于不开放注册，也没几个号，于是临时开放注册然后手动关闭 x。具体请参考官方说明。

与 XMPP 对比

其实都没有很深入的了解，XMPP 服务端（Prosody）的部署时间也比较早了，应该有所遗忘。这里只是简单比较一下个人的感受。

• 服务端
  Prosody 和 Dendrite 对比的话，感觉 Dendrite 部署难度上要低于 Prosody，不过占用略高于 Prosody（假如 PostgreSQL 也算上的话内存占用至少是 Prosody 的两倍了）。我的 Prosody 部署的比较早，当时连实现上传文件这一功能都需要专门加个模组，不过较新的 0.12 好像内置了。
• 客户端
  Matrix 基础功能感觉比 XMPP 完善多了，客户端完成度也高于 XMPP。虽然 Element 客户端基于 Electron，但至少能保证多平台都有相似的用户体验，也有很多其他客户端可以选择。XMPP 客户端体验感觉参差不齐，也还要看对 XEP 的支持程度。虽然基础功能肯定有所保证，但其他功能得客户端全都支持才能真正用上。

至于内容…本没有写的打算，但想想毕竟有时折腾些没用的东西，满记录下应该也不错。要是能对别人或多或少有点帮助就更好了。虽然应该不太可能。