nilsjohan/caddy
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
Files
a2119d3f9d460794ee8210e3520da5ba887b816c
caddy/teknisk_beskrivning_caddy.md
T

3.5 KiB
Raw Blame History

Teknisk Beskrivning av Caddy Reverse Proxy

Översikt

Caddy används som en reverse proxy för att hantera trafik till olika interna tjänster. Denna konfiguration är optimerad för att köra i en Docker-miljö och inkluderar säkerhetsåtgärder för att skydda mot vanliga webbsårbarheter.

Konfiguration

Grundläggande Struktur

Caddyfilen är uppdelad i två huvudsektioner:

  1. Snippets: Återanvändbara konfigurationer som kan importeras.

    • (auth): Konfigurerar basautentisering.
    • (common): Lägger till säkerhetsrubriker och komprimeringsinställningar.

  2. Domänspecifika Regler: Varje domän har sina egna regler för hur trafiken ska hanteras.

Snippets

(auth)

  • Använder basicauth för att kräva autentisering.
  • Användarnamn och lösenord är krypterade med bcrypt.

(common)

  • encode gzip zstd: Aktiverar komprimering för att förbättra prestanda.
  • Säkerhetsrubriker:
    • Strict-Transport-Security: Tvingar HTTPS och inkluderar subdomäner.
    • X-Content-Type-Options: Förhindrar MIME-sniffing.
    • X-Frame-Options: Förhindrar klickkapning.
    • X-XSS-Protection: Aktiverar XSS-skydd.
    • Referrer-Policy: Kontrollerar hur referrer-information skickas.
    • Permissions-Policy: Begränsar tillgång till känsliga API:er.
    • Cross-Origin-Opener-Policy, Cross-Origin-Resource-Policy, Cross-Origin-Embedder-Policy: Förbättrar säkerheten för cross-origin-resurser.

Domänspecifika Regler

Varje domän har en eller flera reverse_proxy-regler som dirigerar trafik till rätt tjänst. Vissa domäner, som recept.gynther.se, har mer komplexa regler för att hantera flera tjänster.

Exempel: recept.gynther.se

  • Import Service: Hanterar /api/recipes/import* och dirigerar till recipe-import-service:3000.
  • Frontend Proxy: Hanterar specifika API-endpoints och dirigerar till recipe-frontend:3000.
  • Backend API: Hanterar /api/products*, /api/inventory*, och /api/recipes* och dirigerar till recipe-api:8080.
  • Catch All: All annan trafik dirigeras till recipe-frontend:3000.

Säkerhet

Autentisering

  • Vissa tjänster, som wetty.gynther.se, kräver autentisering via basicauth.

Säkerhetsrubriker

  • Caddy lägger till flera säkerhetsrubriker för att skydda mot vanliga webbsårbarheter.

Docker och Nätverk

  • Caddy körs i en Docker-installation och kommunicerar med andra containrar via Docker-nätverket.
  • Trafik mellan containrar är intern och påverkas inte av brandväggsregler på värdservern.
  • Flutter har en egen Caddy-installation i sin Docker-container för att hantera specifika behov, vilket innebär att test.gynther.se dirigeras till recipe-flutter:5000 där den egna Caddy-installationen körs.

Brandvägg (UFW)

För att säkerställa att endast önskad trafik når servern:

  • Tillåt port 22 (SSH).
  • Tillåt port 80 (HTTP) och 443 (HTTPS) för webbtrafik.

Felsökning

  • Loggar: Använd docker-compose logs caddy för att se Caddy-loggar.
  • Testa Konnektivitet: Se till att alla tjänster som Caddy ska dirigera trafik till är igång och lyssnar på rätt portar.
  • Uppdatera Konfiguration: Om ändringar görs i Caddyfile, starta om Caddy-containern med docker-compose restart caddy.

Slutsats

Denna konfiguration ger en säker och effektiv lösning för att hantera trafik till flera tjänster med Caddy som reverse proxy. Genom att använda Docker och Caddy kan du enkelt skalera och hantera dina tjänster.

Reference in New Issue View Git Blame Copy Permalink