Не удается получить правильный IP-адрес контейнера с помощью traefik

Question

При использовании Traefik и Docker-compose я хотел бы получить IP-адрес контейнера для фильтрации на основе IP, но вместо этого получить IP-адрес сетевого шлюза докера.

Вот результаты запроса curl из контейнера curl-client:

docker-compose exec curl-client curl https://whoami.domain.name

Hostname: 608f3dcaf7d9
IP: 127.0.0.1
IP: 172.18.0.2
GET / HTTP/1.1
Host: whoami.domain.name
User-Agent: curl/7.58.0
Accept: */*
Accept-Encoding: gzip
X-Forwarded-For: 172.18.0.1
X-Forwarded-Host: whoami.domain.name
X-Forwarded-Port: 443
X-Forwarded-Proto: https
X-Forwarded-Server: 88756553599b
X-Real-Ip: 172.18.0.1    

Здесь 172.18.0.1 - это шлюз для сети traefik_net. Вместо этого я ожидал бы увидеть 172.18.0.9 в поле X-Forwarded-For, так как это IP-адрес контейнера curl-client:

docker-compose exec curl-client cat /etc/hosts

172.18.0.9      34f7b6e5472f

Я также безуспешно пытался использовать опцию 'traefik.frontend.whiteList.useXForwardedFor = true'.

traefik.toml

logLevel = "ERROR"

defaultEntryPoints = ["http", "https"]

[entryPoints]
  [entryPoints.dashboard]
    address = ":8080"
  [entryPoints.http]
    address = ":80"
    [entryPoints.http.redirect]
      entryPoint = "https"
  [entryPoints.https]
    address = ":443"
    [entryPoints.https.tls]

[api]
entrypoint="dashboard"

[acme]
email = "something@aaa.com"
storage = "acme.json"
entryPoint = "https"
  [acme.dnsChallenge]
  provider = "ovh"
  delayBeforeCheck = 0

[[acme.domains]]
  main = "*.domain.name"

[docker]
domain = "domain.name"
watch = true
network = "traefik_net"

докер-compose.yml

version: '3'

services:

  traefik_proxy:
    image: traefik:alpine
    container_name: traefik
    networks:
      - traefik_net
    ports:
      - 80:80
      - 443:443
    volumes:
      - /var/run/docker.sock:/var/run/docker.sock
      - ./traefik.toml:/traefik.toml
      - ./acme.json:/acme.json
    restart: unless-stopped
    environment:
      - OVH_ENDPOINT=ovh-eu
      - OVH_APPLICATION_KEY=secretsecret
      - OVH_APPLICATION_SECRET=secretsecret
      - OVH_CONSUMER_KEY=secretsecret
    labels:
      - 'traefik.frontend.rule=Host:traefik.domain.name'
      - 'traefik.port=8080'
      - 'traefik.backend=traefik'


  whoami:
    image: containous/whoami
    container_name: whoami
    networks:
      - traefik_net
    labels:
      - 'traefik.frontend.rule=Host:whoami.domain.name'


  curl-client:
    image: ubuntu
    networks:
      - traefik_net
    command: sleep infinity



networks:
  traefik_net:
    external: true

Редактировать: Доменное имя разрешается с использованием следующего dnsmasq.conf:

domain-needed
expand-hosts
bogus-priv

interface=eno1
domain=domain.name
cache-size=1024
listen-address=127.0.0.1
bind-interfaces

dhcp-range=10.0.10.10,10.0.10.100,24h
dhcp-option=3,10.0.10.1

dhcp-authoritative

server=208.67.222.222
server=208.67.220.220

address=/domain.name/10.0.10.3

Answer 1

После некоторого исследования кажется, что здесь нет проблем с Traefik, невозможность доступа к IP-адресу контейнера связана с тем, как Docker управляет своей внутренней сетью (см. Следующие комментарии: https://github.com/containous/traefik/issues/4352 и https://github.com/docker/for-mac/issues/180).

Мне удалось достичь своей цели - занести в белый список внутренние соединения, запустив мой контейнер openvpn в режиме nework_host, таким образом, клиент назначил IP напрямую системой.