Geek Cookbook安全指南：如何配置Traefik和SSO身份验证

【免费下载链接】geek-cookbook The "Geek's Cookbook" is a collection of guides for establishing your own highly-available "private cloud" and using it to run self-hosted services such as GitLab, Plex, NextCloud, etc. 项目地址: https://gitcode.com/gh_mirrors/ge/geek-cookbook

在当今数字化时代，保护自托管服务的安全至关重要。Geek Cookbook提供了全面的指南，帮助您建立自己的高可用性"私有云"并运行各种自托管服务。本文将详细介绍如何在您的私有云中配置Traefik反向代理和SSO身份验证，为您的服务提供强大的安全保障。

为什么需要Traefik和SSO身份验证？

在构建自托管服务时，安全性是首要考虑因素之一。Traefik作为一款现代化的反向代理和负载均衡器，能够为您的Docker Swarm集群提供安全的入口。而SSO（单点登录）身份验证则可以让您的用户只需一次登录，就能访问多个服务，既提高了用户体验，又增强了安全性。

如图所示，Traefik Forward Auth作为认证中间件，能够在用户访问服务之前进行身份验证。如果验证通过，用户才能访问服务；否则，将被重定向到认证服务器进行登录。

准备工作

在开始配置之前，请确保您已经按照Geek Cookbook的指南设置了基本的Docker Swarm环境。您需要安装Git，并克隆项目仓库：

git clone https://gitcode.com/gh_mirrors/ge/geek-cookbook

配置Traefik反向代理

Traefik是Geek Cookbook推荐的反向代理解决方案，它能够自动发现Docker服务并为其配置路由。要在Docker Swarm中部署Traefik，请参考docs/docker-swarm/traefik.md中的详细步骤。

Traefik的主要优势在于：

• 自动服务发现
• 动态配置更新
• 内置SSL证书管理
• 支持多种中间件，包括身份验证

选择适合您的SSO解决方案

Geek Cookbook提供了多种SSO解决方案，您可以根据自己的需求选择：

1. Authelia

Authelia是一款开源的认证和授权服务器，提供双因素认证和单点登录功能。它可以作为Traefik的 companion，决定是否允许请求通过。未认证的用户将被重定向到Authelia的登录门户。

Authelia的配置指南可以在docs/docker-swarm/authelia.md中找到。

2. Traefik Forward Auth

Traefik Forward Auth是另一种流行的SSO解决方案，它可以选择性地为您的Docker服务应用SSO。Geek Cookbook提供了多种后端集成方案：

• 使用Dex进行静态配置
• 与Keycloak集成
• 使用Google Oauth2

要了解更多关于Traefik Forward Auth的信息，请参阅docs/docker-swarm/traefik-forward-auth/index.md。

配置OIDC客户端（以Keycloak为例）

如果您选择使用Keycloak作为身份提供商，需要先在Keycloak中设置OIDC客户端。完成后，您可以使用Traefik Forward Auth来保护您的服务。Keycloak提供的OIDC URL格式为：

https://<your-keycloak-url>/realms/master/.well-known/openid-configuration

详细的配置步骤请参考docs/recipes/keycloak/setup-oidc-provider.md。

应用SSO到您的服务

配置好Traefik和SSO解决方案后，您需要将SSO应用到您的各个服务。这通常通过添加特定的标签或配置文件来实现。例如，在Docker Compose文件中添加Traefik标签，指定需要使用的认证中间件。

具体的配置方法因您选择的SSO解决方案而异，请参考相应的文档。

测试您的配置

完成配置后，务必测试您的SSO设置是否正常工作：

1. 访问一个受保护的服务
2. 确认您被重定向到登录页面
3. 使用有效凭据登录
4. 验证您可以访问受保护的服务
5. 尝试访问另一个受保护的服务，确认不需要再次登录

故障排除

如果您在配置过程中遇到问题，可以参考Geek Cookbook的参考文档/故障排除部分，或者在社区论坛寻求帮助。

总结

通过配置Traefik和SSO身份验证，您可以为您的自托管服务提供强大的安全保障。Geek Cookbook提供了多种解决方案，让您可以根据自己的需求选择最适合的方案。无论您选择Authelia还是Traefik Forward Auth，都能有效保护您的服务，同时提供良好的用户体验。

希望本文能帮助您构建更安全的私有云环境。如有任何问题或建议，欢迎参与Geek Cookbook社区讨论。

【免费下载链接】geek-cookbook The "Geek's Cookbook" is a collection of guides for establishing your own highly-available "private cloud" and using it to run self-hosted services such as GitLab, Plex, NextCloud, etc. 项目地址: https://gitcode.com/gh_mirrors/ge/geek-cookbook