Traefik остается одним из самых гибких Ingress-контроллеров для Kubernetes и Docker, особенно когда речь идет о сложной маршрутизации с динамической конфигурацией. В 2026 году его ключевые преимущества - это декларативный подход через CRD и Docker-метки, а также мощные цепочки middleware для модификации запросов. Это руководство предоставляет проверенные конфигурации для типичных production-сценариев. Вы получите готовые YAML-манифесты и примеры docker-compose, которые можно сразу адаптировать под свои домены и сервисы.
Мы сосредоточимся на практических кейсах: разделение трафика по доменам и API-версиям, изоляция сред через неймспейсы Kubernetes, а также построение безопасных и оптимизированных цепочек обработки запросов. Каждый шаг сопровождается конкретными примерами кода и пояснениями, чтобы вы не только скопировали конфигурацию, но и поняли логику её работы.
Базовые принципы и подготовка среды для работы с Traefik
Перед настройкой сложных правил важно убедиться в корректности базовой установки. Мы будем использовать Traefik версии 3.10, которая поддерживает актуальные спецификации Kubernetes 1.28+ и Docker Engine 25+. Эта версия стабильна и содержит все необходимые функции для описанных ниже сценариев.
Выбор и установка Traefik: актуальные версии на 2026 год
Установите Traefik в кластер Kubernetes с помощью Helm. Это предпочтительный метод, так как chart автоматически настраивает Custom Resource Definitions (CRD), необходимые для работы с ресурсами IngressRoute и Middleware.
helm repo add traefik https://traefik.github.io/charts
helm repo update
helm install traefik traefik/traefik --version 27.0.0 --namespace traefik --create-namespaceДля Docker-окружения используйте официальный образ. Приведенный ниже docker-compose.yml запускает Traefik с включенными провайдерами Docker и API для мониторинга.
version: '3.8'
services:
traefik:
image: traefik:v3.10
container_name: traefik
command:
- --api.dashboard=true
- --providers.docker=true
- --providers.docker.exposedbydefault=false
- --entrypoints.web.address=:80
ports:
- "80:80"
- "8080:8080"
volumes:
- /var/run/docker.sock:/var/run/docker.sock:roВсегда сверяйтесь с официальной документацией Traefik для проверки последних изменений в аргументах командной строки.
Обзор ключевых объектов конфигурации: Router, Service, Middleware
Конфигурация Traefik строится на трех основных абстракциях. Router определяет правило маршрутизации: на основе каких условий (домен, путь) запрос будет передан дальше. Service указывает, на какой backend-сервис (Kubernetes Service, Docker-контейнер) направить трафик. Middleware - это промежуточный обработчик, который модифицирует запрос или ответ перед или после его передачи в Service.
В Kubernetes эти абстракции представлены CRD. Вот минимальные примеры манифестов для каждой сущности:
# Пример IngressRoute (Router)
apiVersion: traefik.io/v1alpha1
kind: IngressRoute
metadata:
name: example-route
spec:
entryPoints:
- web
routes:
- match: Host(`app.example.com`)
kind: Rule
services:
- name: example-service # Ссылка на Kubernetes Service
port: 80
# TraefikService - более продвинутое определение Service (опционально)
apiVersion: traefik.io/v1alpha1
kind: TraefikService
metadata:
name: weighted-service
spec:
weighted:
services:
- name: service-v1
weight: 80
- name: service-v2
weight: 20
# Middleware
apiVersion: traefik.io/v1alpha1
kind: Middleware
metadata:
name: add-prefix
spec:
addPrefix:
prefix: "/api/v1"Понимание этой триады - основа для построения любых сложных конфигураций.
Готовые конфигурации для сложных сценариев маршрутизации
Теперь применим теорию на практике. Рассмотрим два распространенных кейса, требующих комбинации нескольких правил маршрутизации.
Кейс 1: Разделение трафика по доменам и API-версиям (Host + PathPrefix)
Предположим, у вас есть домен company.com. Трафик на app.company.com должен идти на фронтенд, а запросы к api.company.com - на разные backend-сервисы в зависимости от версии API в пути (/v1/ или /v2/).
apiVersion: traefik.io/v1alpha1
kind: IngressRoute
metadata:
name: api-routing
spec:
entryPoints:
- web
routes:
# Правило для API v1
- match: Host(`api.company.com`) && PathPrefix(`/v1/`)
kind: Rule
services:
- name: api-service-v1
port: 8080
middlewares:
- name: strip-v1-prefix # Middleware уберет /v1 из пути перед отправкой в сервис
# Правило для API v2
- match: Host(`api.company.com`) && PathPrefix(`/v2/`)
kind: Rule
services:
- name: api-service-v2
port: 8080
middlewares:
- name: strip-v2-prefix
# Правило для основного домена (фронтенд)
- match: Host(`app.company.com`)
kind: Rule
services:
- name: frontend-service
port: 80Правила проверяются сверху вниз. Убедитесь, что более специфичные правила (с большим количеством условий) расположены выше общих. Для глубокого понимания работы Ingress в Kubernetes изучите практическое руководство по настройке Service и Ingress.
Кейс 2: Виртуальные хосты и неймспейсы в Kubernetes
В production-средах часто требуется изолировать staging и production окружения в разные неймспейсы Kubernetes, но использовать для них разные поддомены. Traefik может маршрутизировать трафик в конкретный неймспейс.
apiVersion: traefik.io/v1alpha1
kind: IngressRoute
metadata:
name: prod-route
namespace: production # Этот ресурс создается в неймспейсе production
spec:
entryPoints:
- web
routes:
- match: Host(`prod.app.company.com`)
kind: Rule
services:
- name: app-service # Ищет Service в текущем неймспейсе (production)
port: 80
---
apiVersion: traefik.io/v1alpha1
kind: IngressRoute
metadata:
name: stage-route
namespace: staging # Этот ресурс создается в неймспейсе staging
spec:
entryPoints:
- web
routes:
- match: Host(`stage.app.company.com`)
kind: Rule
services:
- name: app-service # Ищет Service в текущем неймспейсе (staging)
port: 80Для маршрутизации из одного неймспейса в сервис, расположенный в другом, необходимо использовать ресурс TraefikService с явным указанием неймспейса и настроить соответствующие права RBAC для Traefik. Это продвинутая техника, требующая осторожности. Общую картину по организации трафика в кластере можно получить из сравнения Ingress-контроллеров и best practices.
Строим цепочки Middleware для безопасности и оптимизации
Middleware - это мощный инструмент для модификации HTTP-запросов и ответов. Их можно объединять в цепочки, где порядок выполнения критически важен.
Базовая аутентификация и контроль доступа
Защитите доступ к staging-окружению или административным панелям с помощью базовой аутентификации. Сначала создайте Secret с хешированными учетными данными.
# Генерация хеша: echo $(htpasswd -nbB user password) | sed -e s/\\$/\\$\$/g
apiVersion: v1
kind: Secret
metadata:
name: basic-auth-secret
type: Opaque
data:
users: dXNlcjokMmEkMTIkL1... # Хешированные логин:пароль
---
apiVersion: traefik.io/v1alpha1
kind: Middleware
metadata:
name: auth-protected
spec:
basicAuth:
secret: basic-auth-secret # Имя SecretЗатем подключите этот middleware к нужному IngressRoute в списке middlewares.
Перезапись URL и Stripping Prefix: чистые пути для приложений
Backend-приложения часто ожидают запросы по определенному пути, в то время как внешний API публикуется по другому. Middleware stripPrefix удаляет указанный сегмент из пути запроса.
apiVersion: traefik.io/v1alpha1
kind: Middleware
metadata:
name: strip-api-prefix
spec:
stripPrefix:
prefixes:
- "/api/v1"
forceSlash: falseЕсли запрос пришел на /api/v1/users, то после обработки этим middleware backend-сервис получит запрос на /users. Для более сложных преобразований используйте replacePathRegex.
Сжатие, CORS и цепочки: порядок имеет значение
Для production-сервиса обычно требуется несколько middleware одновременно: сжатие для экономии трафика, CORS-заголовки и ограничение частоты запросов. Создайте цепочку (Chain).
apiVersion: traefik.io/v1alpha1
kind: Middleware
metadata:
name: security-and-optimization-chain
spec:
chain:
middlewares:
- compress # Сжатие должно быть первым, чтобы работать с чистым телом
- cors # Добавление CORS-заголовков
- rate-limit # Ограничение частоты запросов
- auth-protected # Аутентификация - ближе к backendОпределите каждый middleware в цепочке отдельно. Порядок в списке определяет последовательность обработки: от первого к последнему при входящем запросе и в обратном порядке для ответа.
Автоматизация конфигурации через Docker-метки (Labels)
Docker-провайдер Traefik позволяет динамически настраивать маршрутизацию через метки (labels) в docker-compose.yml или Dockerfile. Это идеально для сред CI/CD, где нужно минимизировать ручное редактирование конфигурационных файлов.
Полный пример: развертывание приложения с одной командой docker-compose
Следующий docker-compose.yml разворачивает веб-приложение и автоматически настраивает для него правило маршрутизации в Traefik с базовой аутентификацией и перезаписью пути.
version: '3.8'
services:
admin-panel:
image: your-admin-image:latest
container_name: admin-panel
labels:
# Включает обнаружение Traefik для этого контейнера
- "traefik.enable=true"
# Определяет правило маршрутизации
- "traefik.http.routers.admin-panel.rule=Host(`admin.company.com`)"
# Указывает entrypoint
- "traefik.http.routers.admin-panel.entrypoints=web"
# Подключает middleware для аутентификации
- "traefik.http.routers.admin-panel.middlewares=auth-protected"
# Определяет middleware basicAuth (логин: admin, пароль: securepass)
- "traefik.http.middlewares.auth-protected.basicauth.users=admin:$$2y$$..."
# Определяет middleware для удаления префикса /admin
- "traefik.http.middlewares.strip-admin.stripprefix.prefixes=/admin"
# Применяет middleware удаления префикса к роутеру
- "traefik.http.routers.admin-panel.middlewares=strip-admin"
# Связывает роутер с сервисом (контейнером)
- "traefik.http.services.admin-panel.loadbalancer.server.port=80"После запуска docker-compose up -d приложение будет доступно по https://admin.company.com с запросом логина и пароля. Все правила маршрутизации и middleware объявлены декларативно в метках. Для освоения продвинутых техник работы с контейнерами, включая сетевую изоляцию и безопасность, обратитесь к гайду по продвинутому Docker для DevOps.
Отладка и решение типичных проблем
Если маршрутизация не работает, начните диагностику с проверки состояния ресурсов Traefik в Kubernetes:
kubectl get ingressroute -A
kubectl describe ingressroute <имя-роута> -n <неймспейс>
kubectl get middleware -AИзучите логи Traefik. Они часто содержат точную причину ошибки, например, неверный синтаксис в правиле или недоступный backend-сервис.
kubectl logs -l app.kubernetes.io/name=traefik -n traefik --tail=100В Docker-окружении проверьте, что контейнер Traefik имеет доступ к сокету Docker и что метки на целевом контейнере применены корректно. Используйте команду docker inspect <container_id> для проверки labels.
Типичные ошибки:
- Опечатка в правиле
Host()илиPathPrefix(). - Middleware указан в списке роутера, но не создан как отдельный ресурс.
- Service, на который ссылается IngressRoute, не существует или работает на другом порту.
- Отсутствуют необходимые RBAC-права для Traefik при работе с ресурсами в других неймспейсах.
Для тестирования правил используйте curl с явным указанием заголовка Host:
curl -H "Host: admin.company.com" http://<IP_TRAEFIK>/admin/dashboardПомните, что ошибки в YAML-синтаксисе - частая причина сбоев. Для их предотвращения используйте валидаторы, как описано в полном руководстве по синтаксису YAML для Kubernetes.
Использование Traefik с описанными практиками позволяет создать гибкую, безопасную и легко управляемую систему маршрутизации. Готовые конфигурации служат надежной основой, которую можно адаптировать под возрастающие требования вашей инфраструктуры. Для автоматизации рутинных задач DevOps, таких как управление конфигурациями, также может быть полезен сервис AiTunnel, предоставляющий единый API для доступа к различным AI-моделям, что может помочь в генерации шаблонов или анализе логов.