Traefik，想说爱你不容易：一场动态反向代理的心累之旅

前言：技术选型的初心

在微服务盛行、容器部署逐渐常态化的今天，“动态反向代理”显得尤为重要。

Traefik 凭借其原生支持 Docker、自动生成路由、集成 Let's Encrypt 自动证书、Dashboard 可视化等“先进特性”，一度成为我的首选。

我满怀期待，想把它用在一个生产环境的小项目中。但谁曾想，这段旅程让我一度怀疑人生。

初识 Traefik：一切都很美好

Traefik 是一款现代、高性能的反向代理与负载均衡器，专为云原生架构而生。它天然支持 Docker、Kubernetes、Consul、Etcd 等主流服务发现机制，能够自动识别后端服务的变更，动态更新路由规则。相比传统的 Nginx 或 Apache，Traefik 更注重自动化与配置简洁，它的声明式配置和 Dashboard 可视化界面极大简化了反向代理的部署与维护流程。无论是自动签发 SSL 证书、支持 HTTP/2、WebSocket，还是内置中间件体系，Traefik 都以“少即是多”的理念展现了下一代网关的优雅与力量。

配置起来确实优雅：

• 自动识别 Docker 服务，不需要繁琐的手动配置
• 自动 HTTPS，一行配置即可接入 Let's Encrypt
• 自带 Dashboard，一目了然地查看路由和服务状态
• 原生支持热更新，零重启动态加载配置

我曾为之感叹：“这不就是反向代理的理想形态吗？”

部署 traefik 服务

这次的场景是在内网服务使用，不需要使用 https ，所以只映射 80 端口就行。

services:
  traefik:
    image: traefik:latest
    container_name: traefik
    restart: always
    ports:
      - "80:80"
      - "8080:8080"  # Traefik 仪表板端口（可选）
    command:
      - "--api.insecure=true"  # 开启 Dashboard
      - "--providers.docker"
    volumes:
      - /var/run/docker.sock:/var/run/docker.sock:ro

networks:
  default:
    name: traefik
    driver: bridge

服务接入 traefik

这次要接入的服务是一个 springboot 应用，以下省略了其他无关的容器。

services:
  app:
    build: .
    container_name: hub_project
    environment:
      - SPRING_PROFILES_ACTIVE=prod
    depends_on:
      - redis
    ports:
      - 13080:13080
    networks:
      - default
      - traefik
    labels:
      - "traefik.http.routers.hub-project.rule=Host(project.hub.example.com)"
      - "traefik.http.services.hub-project.loadbalancer.server.port=13080"

networks:
  default:
    name: hub_project
  traefik:
    external: true

可以看到接入非常简单，只需要给服务添加一个 labels 配置

并在其中指定域名和端口就行。

现实很骨感：动态的代价是复杂性

从某天起，我的服务访问突然返回 404，我百思不得其解。后来排查才发现：

是另一个容器重用了相同的 routers 和 services 名称，导致冲突！

修正后恢复正常，不久又出现 Gateway Timeout —— 这回是后端服务只监听了 127.0.0.1，Traefik 根本连不上。再后来，又因为某次重启后没重新加入 traefik 网络，Traefik 抓不到服务了。

这些问题让我意识到：

问题	原因
404 Not Found	label 冲突、服务未加载、网络未加入
504 Gateway Timeout	后端监听 127.0.0.1 而不是 0.0.0.0
路由消失	容器未加入 traefik 网络或 Docker event 未触发
重启后异常	Traefik 没及时感知变化或状态未刷新

一切都不是 Traefik 的错，但就是太容易踩坑了。

为什么会这样？Traefik 的“动态设计”是双刃剑

Traefik 的核心理念是：

“你负责标记服务（labels），我来自动代理。”

虽然这极大地减少了配置量，但也带来了几种不可控因素：

• 容器间网络隔离必须配置正确
• 每个 service/router 的 命名不能重复
• 应用必须监听正确地址（0.0.0.0），Traefik 才能访问
• 容器状态、重启、网络变动都可能导致 Traefik“抓不到服务”

再加上 Traefik 自身不会缓存状态，一切动态加载，debug 成了玄学：服务一切正常，但访问就是超时/404。

‍ 想说爱你不容易：我的心累瞬间

• 改了配置但 Dashboard 没变化，我只能反复重启容器
• 服务能 curl，Traefik 却访问不了，结果是监听地址不对
• dashboard 明明显示 router 激活了，实际却是前端一直 loading
• 配置 label 忘记加 .entrypoints=web，debug 半小时

每次排查都像一场修行。我甚至怀疑：是不是我哪里做错了？

最终切换：Caddy，虽然简单但更稳妥

就在我被折磨得几近放弃时，我决定试一试 Caddy。

它的配置惊人地简单：

project.hub.example.com {
    reverse_proxy hub_project:13080
}

• 自动 HTTPS 无痛接入
• 没有 label 没有网络配置
• 静态配置带来的确定性和可控性
• debug 更简单，配置即真相

虽然后续扩展性略差，但对我这种轻量项目来说，它太合适了。

小结：Traefik 值得尊敬，但不一定适合所有人

Traefik 是一把双刃剑。它非常适合：

• Kubernetes 环境
• Docker Compose 服务复杂度高、频繁变更的团队协作项目
• 熟悉 Docker 网络模型、服务健康状态的 DevOps 团队

而对于我这种小项目 + Docker Compose 的轻部署者来说：

❝ 静态反向代理 + 明确配置，反而是一种放松。 ❞

如果说 Nginx 是稳重的老好人，那 Traefik 就像一个特立独行的极客。它不按常理出牌，拒绝繁琐配置文件，宣称“自动发现，一切皆自动”，用 Docker label 就能配好反向代理，听起来是不是很优雅？可当你真把它拉起来，发现容器明明在线，Dashboard 显示正常，结果页面却是 404，SSL 证书申请也毫无动静。你重启它，它就突然好了，一脸“我没问题，是你不懂我”的样子。Traefik 有时就像个高冷恋人，功能强、颜值高，但沟通起来总让人心累。用它的过程，不是调试配置，就是在重启中获得“玄学式修复”，让人不禁发出一声长叹：Traefik，想说爱你不容易。

✍️ 后记：不排斥，再相见

我仍然对 Traefik 抱有敬意，它有太多优秀的设计理念，但这次我选择了先放下它。

也许以后，在更成熟的 CI/CD 流水线，或者 Kubernetes 中，我会重新选择它。