Traefik 离岸 VPS - 现代化反向代理与入口

公有云的边缘网关与负载均衡器虽然便利，但它们的访问日志、证书申请记录都受云厂商的合规体系约束，对涉及加密资产、隐私工具和匿名媒体的项目并不安全。把 Traefik 自托管到离岸 VPS 上，你可以完整掌控 ACME 账号、TLS 私钥、访问日志的保留周期，并通过 Cloudflare Tunnel 或 Tor 隐藏服务把入口流量从公网剥离。Anubiz Host 还允许你在多个国家部署边缘节点，结合 GeoDNS 提供低延迟接入。

小规模站点可以在 2 vCPU、4 GB 内存的 VPS 上以 Docker Compose 方式运行 Traefik，监听 80、443、8080 端口并通过文件 Provider 加载路由。大规模 Kubernetes 集群可使用 Helm 部署 Traefik Proxy，并启用 Kubernetes CRD 进行细粒度路由控制。建议关闭 Dashboard 的公网访问，仅通过 WireGuard 私网或 SSH 隧道暴露管理界面。对外服务可结合 Tor Hidden Service 与 Cloudflare Tunnel，实现公网与匿名网络双入口。

Traefik 的 ACME 账户私钥应该使用 KMS 或离线备份保存，避免与服务器一起被一次性丢失。证书申请记录可指向无日志的 ACME 服务器，比如自托管的 step-ca。访问日志建议默认关闭或保留 24 小时以内，并通过 syslog 转发到自托管的 Loki，便于按需查询。安全方面，推荐启用 ModSecurity 或 Coraza 模块以处理简单的 WAF 需求，并通过 Fail2ban 自动拉黑大量异常请求，确保边缘网关在保护隐私的同时也具备基础的攻击缓解能力。