Traefik proxy на офшорном VPS: cloud-native reverse proxy с auto HTTPS

Traefik спроектирован для динамической инфраструктуры, где сервисы появляются и исчезают часто. Сравнение с классическими reverse proxy:

• Traefik vs Nginx: Nginx требует ручного редактирования конфига и reload при добавлении сервиса. Traefik читает Docker labels или Kubernetes ingress и применяет изменения автоматически.
• Traefik vs HAProxy: HAProxy быстрее на пиковых нагрузках (millions of RPS), Traefik проще в настройке и поддерживает HTTP/3 нативно.
• Traefik vs Caddy: оба поддерживают auto Let's Encrypt. Traefik сильнее в multi-provider service discovery, Caddy проще для статических сайтов.
• Встроенный dashboard: Traefik web UI показывает routers, services, middleware в real-time без сторонних tool.
• Middleware chain: rate limit, basic auth, IP whitelist, headers compose в pipeline без отдельных модулей.

Self-hosted Traefik на офшорном VPS Anubiz Host даёт команде edge proxy для Docker или Kubernetes кластера с автоматическим обнаружением и HTTPS. Подходит командам, которые работают с контейнерами и не хотят писать nginx конфиги вручную.

Traefik написан на Go и потребляет минимум ресурсов. Минимальные требования:

• Тестовая инсталляция: 1 vCPU, 1 ГБ RAM, 20 ГБ NVMe. План VPS S от $7/мес. Подходит для proxy перед 5-10 контейнерами.
• Production proxy для 20-50 сервисов: 2 vCPU, 2 ГБ RAM, 40 ГБ NVMe. План VPS S или M. Traefik сам себя редко нагружает, нагрузка приходит на upstream.
• High traffic 10000+ RPS: 4 vCPU, 8 ГБ RAM, 80 ГБ NVMe. План VPS L от $20/мес. Включаем буферы и tuning sysctl.
• HA setup: 2 VPS S с keepalived или Cloudflare Load Balancer перед двумя Traefik. От $14/мес за пару.
• acme.json для Let's Encrypt: отдельный том минимум 100 МБ под хранилище сертификатов с правами 600.

Anubiz Host выделяет VPS с гарантированной полосой 1 Gbps и DDoS защитой. Открытые порты 80/443 для HTTP/HTTPS и опционально UDP для HTTP/3. Полный root даёт право поставить любые версии Traefik и Docker.

Traefik это первая линия защиты для всей backend инфраструктуры. Компрометация Traefik или мисконфигурация даёт атакующему доступ ко всем upstream сервисам. Базовый чеклист защиты на VPS Anubiz Host:

• HTTPS обязательно с TLS 1.3: в static config отключаем TLS 1.0 и 1.1, оставляем 1.2 и 1.3 только с современными cipher suite.
• HSTS и security headers: middleware headers добавляет Strict-Transport-Security, X-Frame-Options, X-Content-Type-Options.
• Rate limit middleware: ограничиваем количество запросов на IP, защищает от примитивного DDoS.
• Basic auth или forward auth: для admin endpoint типа /metrics или dashboard включаем authentication.
• IP whitelist для admin: middleware ipWhiteList ограничивает доступ к dashboard только из VPN команды.
• API insecure=false: dashboard и API только через HTTPS с authentication, никогда не на 0.0.0.0:8080 без защиты.
• Cloudflare proxy: исходящий IP скрываем за Cloudflare, real IP получаем через trusted IPs setting.
• Audit log в external syslog: access log Traefik отправляем на отдельный VPS для long-term хранения и анализа.
• Регулярное обновление: Traefik активно развивается, обновляем минимум раз в квартал для patch security CVE.

Anubiz Host не имеет доступа к traffic клиента и не хранит логи запросов. Юрисдикция Исландии и оплата криптой защищают команду от запросов регуляторов через провайдера.