Reprise du message précédent :
Tu peux utiliser n’importe quel reverse proxy pour rendre accessible tes applis depuis l’extérieur, mais en environnement Docker Traefik est particulièrement adapté.
 
En gros, il te suffit de mettre tes containers et Traefik dans un réseau en commun, puis ajouter quelques labels à tes containers (pour préciser l’URL avec laquelle ils seront joignables, si tu veux ajouter une couche d’authentification, faire du rewrite, etc.)
 
Je peux poster un exemple concret (pour Portainer et une appli hors Docker), si tu veux.

Oui je veux bien, merci.

Je suis preneur de l'exemple ^^

Voici un exemple de docker-compose Traefik, avec son propre nom de domaine et un provider DNS géré par Traefik (OVH dans mon cas, pour la liste complète : https://doc.traefik.io/traefik/https/acme/#providers).
 

Le réseau "traefik" sera commun à Traefik et aux containers qu'on voudra exposer sur internet, tout passera par la socket Docker sans avoir besoin d'exposer les ports.
 
On demande à Traefik d'activer son dashboard, mais on n'expose pas par défaut tous les containers. On expose les ports 80 et 443.
 

Traefik va chercher les fichiers de config "dynamique" (en opposition à la config lue uniquement au démarrage de Traefik, voir https://doc.traefik.io/traefik/gett [...] overview/) dans un sous-répertoire /dynamic_config
 
Il va écouter sur les ports 80 et 443.
 

Traefik va rediriger les connexions entrantes HTTP vers le HTTPS, et pourra se connecter à des URLs internes avec un certificat auto-signé.
 

Tout ce bloc sert à indiquer à Traefik qu'il doit stocker les certificats Let's Encrypt dans le fichier acme.json, qu'il doit utiliser le provider OVH pour le challenge DNS.
 

Depuis Traefik 2.3, un service de monitoring optionnel est proposé, c'est mal pour être prévenu que le reverse proxy n'est plus joignable depuis l'extérieur.
 
On passe maintenant aux labels
 

Avec ces labels, on indique à Traefik qu'il doit reverse proxyfier l'accès au dashboard, en HTTPS, en utilisant le resolver "le" pour générer les certificats (celui qu'on a déclaré un peu plus haut).
 

De base le dashboard n'est pas sécurisé, on créé ici un middleware fournissant une simple couche d'authentification.
 

De base Traefik va générer un certificat SSL par URL, mais on peut lui demander de générer un wildcard.
 

Définition d'un middleware qui permet, en ajoutant des headers, d'avoir A+ au test SSL Labs
 

On applique les 2 middlewares (authentification et headers) au dashboard.
 

Déclaration des variables nécessaires pour accéder à l'API DNS OVH, on peut aussi passer par des secrets.
 

La fin est classique.
 
Quelques paramètres de Traefik sont à définir dans sa configuration dynamique, par exemple /dynamic_config/ssl.yml :
 

On force ici le TLS 1.2, avec des ciphers "modernes".
 
Admettons qu'on veuille donner accès à Portainer, il suffit d'ajouter quelques labels à son docker-compose, et le faire appartenir au réseau en commun avec Traefik :

Dans cet exemple, Traefik sait qu'il doit accéder à Portainer via le port 9000 du container dont le service est "portainer", et qu'il doit l'exposer via https://portainer.toto.com (avec génération du certificat wildcard pour toto.com), en appliquant le middleware qui ajoute les headers pour la sécurité.
 
On peut aussi reverse proxyfier des services qui sont hors Docker, toujours avec la configuration dynamique :
 

Ici, le service sur http://192.168.1.253:5000 sera accessible depuis l'extérieur via https://syno.toto.com, avec un wildcard Let's Encrypt.
 
Les middlewares permettent plein de trucs, comme faire du rewrite d'URL :
 

 
Je m'en sers par exemple pour intégrer Authelia, et faire du SSO/MFA.
 
J'espère que c'est compréhensible
La conf est assez longue à faire la première fois (et c'est du YAML ), mais à chaque ajout de service (dans ou hors Docker), ça prend littéralement 2 minutes

Wahh ! Merci    
J'ai parcouru tout ça rapidement, je me penche dessus plus attentivement très prochainement.
Mais déjà, peux-tu me confirmer que tout ce que tu as mis me permet de mettre en place traefik v2 ?
Car ça semble moins complexe que ce que j'ai pu voir comme tuto...  

C'est un copier/coller de ma conf, sans la partie Prometheus/InfluxDB, donc oui c'est suffisant pour démarrer
 
Je peux poster la partie Authelia pour le MFA/SSO.

Ha oui, ça peut m'intéresser ^^
SSO, ça veut dire quoi ?
 
Et ça gère le fail2ban ?

 
Non mais tu peux faire du fail2ban si tu inscrit ton Traefik dans pilot, il y a un plugin.

 
Moi je veux bien la conf prometheus  

Heuu, j'ai déjà du mal avec les tutos traefik, je sais pas du tout ce que c'est que pilot...
(Tu peux me considérer comme un novice de Docker hein ^^ même si je comprends comment utiliser en partie les docker-compose, le reste c'est superficiel voir inexistant
 
Voilà ce que j'ai pu faire avec Docker, graçe à divers tutos :
- mise en place de Portainer
- monitorer le NAS (et mon routeur) avec Grafana/influxDB/Telegraf
- faire un serveur plex + Tautulli
- watchguard pour les MAJ des conteneurs
- faire un Adguard Home (j'ai aussi un pi-hole éteint)
- dashboard Heimdall et Dashmachine
- serveur Scenari (pas vraiment utilisé)
- j'ai tenté un serveur jitsi meet, mais la vidéo passe pas dès que j'ai plus d'une personne en plus de moi... donc abandonné.
 
Rien de très difficile, si on a un bon tuto pour aider à comprendre ce qu'on fait...
(tuto en français, ça aide ^^)

J'utilise un truc basique :
 

 
Combiné avec ce super dashboard : https://grafana.com/grafana/dashboards/4475

 
Merci    
J'ai fais ça pour éviter d'ouvrir un nouveau port.  
 

 
Depuis le dashboard sur les dernières version tu as un lien pour enregistrer ta config sur pilot dans les dernières versions.

ça ne me dit toujours pas ce que c'est que "pilot"    

https://doc.traefik.io/traefik-pilot/
 
Ca te permet de surveiller ton proxy, de visualiser des métriques, d'installer des plugins.

 
 
Je n'ai lu que les 10 dernières pages et déjà un grand merci pour les réponses que vous m'avez apportés involontairement    
 
Je dois refaire mon architecture docker, je viendrais probablement vous poser quelques questions à ce sujet.

J'ai trouvé mon bonheur avec Nginx + duckdns.org.
 
Je trouve ça largement plus simple que Traefik même si je ne doute pas que Traefik permet d'aller plus loin.  
Toutes les connexions depuis l'extérieur sont forcées en SSL et mon interface web de Transmission s'accède via un identifiant et un mot de passe et non plus directement.

Il y a une interface web avec nginx? Je pourrais être tenté par nginx pour les trucs que je n'arrive pas à faire en deux clics avec traefik...

Clic clic clic...
 
Hey les gars "infra as code"

?

Dans nginx plus oui (je suis en train de le bencher au boulot, mais pas en container ).

Tu cherches à faire quoi avec Traefik ?

 
J'ai tendance à plutôt écrire ma conf qu'à passer par une interface, après c'est fonction de goûts de chacun c'est sur ^^

 
Surtout quand les interfaces prennent bien plaisir a écraser ta config / te limiter dans tes actions   .

Tiens, Portainer 2.10 supporte maintenant les fichiers docker-compose v3, sur x86_64 : https://www.reddit.com/r/selfhosted [...] ainer_210/

J'ai effectivement vu un message de watchtower ce matin me disant qu'il avait mis à jour Portainer.
Merci pour l'info, j'ai pas besoin de chercher ce qui a été changé
 
Dans le lien que tu donnes, il est mentionné un fix 2.1.1 qui devrait tomber vite

Y a t'il un souci ou un inconvénient à faire fonctionner un conteneur non stacké ?

Comment ça "non stacké" ?

C'est à dire installés avec Docker Run ou Docker Pull au lieu d'être installés avec Docker Compose (qui lui met les conteneurs en "Stack" dans Portainer).

Il me semble que Docker-Compose n'est pas lié à Portainer...
Portainer utilise (ou utilisait) les stack pour créer les conteneurs, ça ressemble à docker-compose, et ça fonctionne avec les mêmes fichier yml, avec des limitations quand même, tout ne passait pas...
Maintenant, avec la version CE 2.1.1, il gère le docker-compose 3.x, et à priori utilise vraiement docker-compose.

Faudrait que je reteste alors, il y avait deux, trois trucs que je devais modifier à la mimine.

Aucun souci, si ce n'est la maintenabilité.

Bonjour,  
 
J'ai fini de migrer mes services sur Traefik et une fois qu'on a compris comment ça fonctionne, ça va vite.  
J'ai toutefois 2 questions :  

• J'ai fais tous mes tests sur le staging Let's Encrypt, maintenant que tout est fonctionnel, j'ai commenté la ligne et relancé mon docker-compose, mais il ne bascule pas sur les "vrais" certificats LE. Est-ce qu'il y un délai ou autre avant de refaire la demande?
• J'ai mis tous mes services dans le même docker-compose.yml, c'était plus pratique pour les tests. À part lorsqu'on teste beaucoup de chose et que l'on passe son temps à allumer/éteindre des dockers, est-ce qu'il y a un aspect plus pratique/sécuritaire/... que je n'ai pas vu?

Merci d'avance

Tu as vidé le fichier acme.json ?

Merci, c'était tellement simple que je n'ai pas pensé à supprimer le fichier.
Un de mes services merdouille et reste sur le certificat Traefik mais les autres sont bien passé sur LE.

Attention, pour ceux qui utilisent InfluxDB avec le tag 'latest', ça pointe maintenant vers la version 2.0.x
 
Il faut lancer une migration des données depuis la version 1.8, c'est expliqué ici : https://hub.docker.com/_/influxdb

J’ai eu mon monitoring planté hier.
J’ai mis un peu de temps à trouver ce qui causait l’absence de données dans grafana.
J’ai forcé la v1.8 à être celle utilisée dans mon docker-compose.

En même temps pointer sur latest ce n'est vraiment pas une bonne pratique !

c'est ce qui est preco dans 99.99% des tutos suivis par 99.99% de ceux qui les lisent

Utilisé oui, préconisé, certainement pas.
C'est juste que les tutos c'est souvent vite fait mal fait.

des tutos devs quoi