終於到了令人啟動的環節了:Nomad+Traefik+Tailscale 整合實現零信任安全。
在這裡:
Traefik 是一個現代的 HTTP 反向代理和負載均衡器,使部署微服務變得容易。
Traefik 可以與現有的多種基礎設施元件(Docker、Swarm 模式、Kubernetes、Marathon、Consul、Etcd、Rancher、Amazon ECS、Nomad…)整合,並自動和動態地設定自己。
2023 年 5 月初,Hashicorp 釋出了 Nomad 1.3 版本。在此版本之前,當與 Nomad 一起使用服務發現時,Traefik Proxy 使用者必須同時使用 Hashicorp Consul 和 Nomad,以便從 Traefik Proxy 著名的自動設定中獲益。現在,Nomad 有了一種簡單直接的方法來使用內建的服務發現。這大大提高了直接可用性!不僅在簡單的測試環境中,而且在邊緣環境中。
從 Traefik Proxy 3.0 Beta 1 釋出開始,Traefik Proxy 支援 Tailscale。當 Traefik 收到對 *.ts.net 站點的 HTTPS 請求時,它會從機器的本地 Tailscale 守護行程(實際是 Tailscale 的 socket) 獲取 HTTPS 證書。並且證書不需要設定。
在這次整合中,我們使用 Traefik 作為 Nomad 叢集中工作負載的 HTTP 反向代理和負載均衡,並通過 Nomad Native Service 和 Nomad 整合,通過 Traefik Resolver 與 Tailscale 整合。
Tailscale 是一種 V(irtual)P(rivate)N(etwork) 服務,可以讓您在世界任何地方安全、輕鬆地存取您擁有的裝置和應用程式。它使用開源 WireGuard 協定實現加密的對等連線,這意味著只有您的專用網路上的裝置才能相互通訊。
Tailscale 快速可靠。與傳統的 V(irtual)P(rivate)N(etwork) 不同,傳統的通過中央閘道器伺服器隧道傳輸所有網路流量,Tailscale 則是建立了一個對等 full-mesh 網狀網路(稱為 tailnet).
Tailscale 提供了一系列的額外實用功能,如:
http://raspberry 或 http://raspberry.west-beta.ts.netraspberry.west-beta.ts.net 提供授信證書。可以通過 https://raspberry.west-beta.ts.net 存取且瀏覽器顯示安全的綠鎖