Tutorial Completo: Configura Traefik en Docker-Swarm con Certificados Let’s Encrypt

¡Hola! Si estás aquí, es porque seguramente estás buscando una forma de gestionar el tráfico de tus contenedores Docker Swarm de manera eficiente y segura. ¡Estás en el lugar correcto! En este tutorial, te guiaré paso a paso para configurar Traefik, un proxy inverso moderno, como tu puerta de entrada a los servicios, utilizando Let’s Encrypt para obtener certificados SSL/TLS gratuitos. Prepárate para simplificar la gestión de tu infraestructura y potenciar la seguridad de tus aplicaciones.

¿Por qué Traefik y Docker Swarm? 🤔

Antes de sumergirnos en la configuración, hablemos brevemente sobre por qué esta combinación es tan poderosa:

• Docker Swarm: Es la solución de orquestación de contenedores nativa de Docker. Permite desplegar, escalar y gestionar aplicaciones distribuidas en múltiples nodos de una manera sencilla.
• Traefik: Actúa como un „cerebro” que automáticamente descubre y configura el enrutamiento hacia tus contenedores. ¡Olvida las configuraciones manuales tediosas! Traefik se integra con Docker Swarm y reacciona a los cambios en tu infraestructura en tiempo real.
• Let’s Encrypt: Proporciona certificados SSL/TLS gratuitos y automatizados, lo que garantiza que tus aplicaciones se comuniquen de forma segura a través de HTTPS.

La sinergia entre estas tres herramientas te permitirá crear una infraestructura robusta, escalable y segura con un mínimo esfuerzo.

Requisitos Previos ✅

Antes de empezar, asegúrate de tener lo siguiente:

• Un clúster de Docker Swarm en funcionamiento. Si aún no tienes uno, puedes encontrar tutoriales en línea para configurarlo.
• Un nombre de dominio apuntando a la IP de tu clúster Swarm.
• Acceso a tu servidor a través de SSH.

Paso 1: Configuración de Traefik

El primer paso es desplegar Traefik como un servicio en tu clúster Docker Swarm. Para ello, vamos a crear un archivo docker-compose.yml con la siguiente configuración:

version: "3.7"

services:
  traefik:
    image: traefik:v2.10
    deploy:
      mode: replicated
      replicas: 1
      placement:
        constraints: [node.role == manager]
      labels:
        - "traefik.enable=true"
        - "traefik.http.routers.traefik.rule=Host(`traefik.tudominio.com`)"
        - "traefik.http.routers.traefik.entrypoints=websecure"
        - "traefik.http.routers.traefik.tls.certresolver=miResolver"
        - "traefik.http.services.traefik.loadbalancer.server.port=8080"

    ports:
      - "80:80"
      - "443:443"
    volumes:
      - /var/run/docker.sock:/var/run/docker.sock:ro
      - traefik_data:/data

    command:
      - "--api.insecure=true" # acceso a la dashboard (desactivar en producción)
      - "--providers.docker.swarmMode=true"
      - "--providers.docker.exposedByDefault=false"
      - "--entrypoints.web.address=:80"
      - "--entrypoints.websecure.address=:443"
      - "[email protected]"
      - "--certificatesresolvers.miResolver.acme.storage=/data/acme.json"
      - "--certificatesresolvers.miResolver.acme.tlsChallenge=true"

volumes:
  traefik_data:

¡Atención! Reemplaza traefik.tudominio.com con el subdominio que quieres usar para acceder al panel de control de Traefik, y [email protected] con tu dirección de correo electrónico. Este correo se utilizará para registrarte en Let’s Encrypt.

Analicemos algunos puntos clave de esta configuración:

• image: traefik:v2.10: Especifica la imagen de Docker de Traefik que vamos a utilizar.
• deploy.placement.constraints: [node.role == manager]: Asegura que Traefik se despliegue en un nodo manager del clúster Swarm.
• labels: Estas etiquetas son cruciales. Le dicen a Traefik cómo enrutar el tráfico hacia el servicio.
  • traefik.enable=true: Habilita Traefik para este servicio.
  • traefik.http.routers.traefik.rule=Host(`traefik.tudominio.com`): Define la regla para acceder al panel de control de Traefik. En este caso, mediante el subdominio `traefik.tudominio.com`.
  • traefik.http.routers.traefik.entrypoints=websecure: Indica que el tráfico debe llegar a través del entrypoint `websecure` (puerto 443).
  • traefik.http.routers.traefik.tls.certresolver=miResolver: Especifica el „certresolver” que se utilizará para obtener el certificado SSL/TLS de Let’s Encrypt.
  • traefik.http.services.traefik.loadbalancer.server.port=8080: Define el puerto en el que Traefik escucha internamente para este servicio (el panel de control de Traefik).
• ports: Expone los puertos 80 (HTTP) y 443 (HTTPS) en el host.
• volumes: Monta el socket de Docker (para que Traefik pueda descubrir los contenedores) y un volumen persistente para almacenar los certificados de Let’s Encrypt.
• command: Configura Traefik a través de la línea de comandos.
  • --api.insecure=true: Habilita el acceso al panel de control sin autenticación. ¡Desactívalo en producción por razones de seguridad!
  • --providers.docker.swarmMode=true: Habilita el soporte para Docker Swarm.
  • --providers.docker.exposedByDefault=false: Indica que Traefik no debe exponer automáticamente todos los contenedores.
  • --entrypoints.web.address=:80 y --entrypoints.websecure.address=:443: Define los entrypoints para HTTP y HTTPS.
  • [email protected]: Especifica tu dirección de correo electrónico para Let’s Encrypt.
  • --certificatesresolvers.miResolver.acme.storage=/data/acme.json: Define la ubicación donde se almacenarán los certificados de Let’s Encrypt.
  • --certificatesresolvers.miResolver.acme.tlsChallenge=true: Utiliza el desafío TLS para la validación del dominio.

Una vez que hayas creado el archivo docker-compose.yml, despliega Traefik con el siguiente comando:

docker stack deploy -c docker-compose.yml traefik

Después de unos minutos, deberías poder acceder al panel de control de Traefik a través de https://traefik.tudominio.com. ¡Si todo está bien, verás la interfaz de Traefik con información sobre tus servicios!

Paso 2: Desplegando una Aplicación de Ejemplo

Ahora que Traefik está en funcionamiento, vamos a desplegar una aplicación de ejemplo y configurarla para que Traefik la enrute. Crearemos un archivo docker-compose.yml para nuestra aplicación:

version: "3.7"

services:
  whoami:
    image: traefik/whoami
    deploy:
      mode: replicated
      replicas: 1
      labels:
        - "traefik.enable=true"
        - "traefik.http.routers.whoami.rule=Host(`whoami.tudominio.com`)"
        - "traefik.http.routers.whoami.entrypoints=websecure"
        - "traefik.http.routers.whoami.tls.certresolver=miResolver"
        - "traefik.http.services.whoami.loadbalancer.server.port=80"

Reemplaza whoami.tudominio.com con el subdominio que quieres usar para acceder a tu aplicación. Este archivo define un servicio llamado `whoami` que utiliza la imagen `traefik/whoami`. Esta imagen simplemente muestra información sobre el contenedor que la está ejecutando. Las etiquetas de Traefik son similares a las que utilizamos para Traefik en sí, definiendo la regla de host, el entrypoint y el certresolver.

Despliega la aplicación con el siguiente comando:

docker stack deploy -c docker-compose.yml whoami

Después de unos minutos, deberías poder acceder a tu aplicación a través de https://whoami.tudominio.com. ¡Si ves la página de „whoami”, significa que Traefik está enrutando el tráfico correctamente y Let’s Encrypt ha emitido un certificado para tu dominio!

Paso 3: Optimización y Seguridad 🛡️

Ahora que tienes Traefik y una aplicación de ejemplo en funcionamiento, es importante optimizar y asegurar tu configuración:

• Desactiva api.insecure: Como mencioné antes, desactiva el acceso no autenticado al panel de control de Traefik en producción. Utiliza un proveedor de identidad (como BasicAuth o OAuth) para proteger el acceso.
• Configura Middlewares: Traefik te permite configurar middlewares para agregar funcionalidades como autenticación, autorización, limitación de velocidad y redirecciones HTTP a HTTPS.
• Monitorea Traefik: Utiliza métricas y logs para supervisar el rendimiento y la salud de Traefik.
• Considera un firewall: Implementa un firewall para proteger tu clúster Swarm de accesos no autorizados.

„La seguridad es un proceso, no un producto.”

Mi Opinión (basada en la experiencia) 🤔

En mi experiencia, Traefik se ha convertido en una herramienta esencial para gestionar el tráfico en entornos Docker Swarm. Su capacidad para descubrir y configurar automáticamente el enrutamiento de los contenedores es un gran ahorro de tiempo y esfuerzo. La integración con Let’s Encrypt simplifica enormemente la gestión de certificados SSL/TLS. Si bien la configuración inicial puede parecer un poco compleja, la documentación de Traefik es excelente y la comunidad es muy activa. La curva de aprendizaje vale la pena, ya que Traefik te proporciona una infraestructura robusta, escalable y segura.

Por supuesto, Traefik no está exento de desafíos. La complejidad de las configuraciones avanzadas puede requerir un conocimiento profundo de sus características. Además, la integración con otros sistemas de orquestación (como Kubernetes) puede requerir configuraciones adicionales. Sin embargo, en general, Traefik es una excelente opción para gestionar el tráfico en entornos Docker Swarm.

Conclusión 🎉

¡Felicidades! Has llegado al final de este tutorial. Ahora tienes una base sólida para utilizar Traefik en tu clúster Docker Swarm. Recuerda que este es solo el comienzo. Explora la documentación de Traefik para descubrir todas sus funcionalidades y adaptarla a tus necesidades específicas. ¡Empieza a experimentar y a construir una infraestructura de contenedores más eficiente y segura!