Инструкция предоставляет базовую конфигурацию для удобного управления проксированием серверов с помощью Angie.
Angie — современный веб-сервер, созданный бывшими разработчиками nginx с открытым исходным кодом (лицензия BSD).
Он сочетает проверенную архитектуру nginx с новыми возможностями:
✅ Поддержка HTTP/3 (клиент ↔ сервер независимо)
✅ Встроенный Docker-модуль для автоматического управления сервисами
✅ ACME-клиент — автоматическое получение TLS-сертификатов
✅ REST API + Prometheus — мониторинг и метрики
✅ Console Light — веб-интерфейс для наблюдения за сервером
✅ Легковесность, высокая производительность, минималистичная конфигурация
Мы используем Angie только как обратный прокси — без хостинга файлов.
Вместо того чтобы:
Открывать десятки портов
Давать пользователям прямой доступ к сервисам
Управлять сертификатами вручную
Обратный прокси: два уровня инфраструктуры
1. Базовое проксирование (Стандарт)
Принимает весь трафик на порт 443, распределяет запросы по сервисам (например, site1.example.com → сервер А, site2.example.com → сервер Б). Скрывает внутреннюю архитектуру, централизует SSL и защиту.
2. Прокси как шлюз доступа
IP-фильтрация (просто):
Пользователи обращаются только к IP прокси через порт 443.
Пример:
finance.example.comдоступен с IP 192.168.1.10 и 192.168.1.20.admin.example.com— с IP 10.0.0.5.
SSO (гибко):
Единый вход через CASdoor + Angie: пользователь получает доступ только к тем сервисам в изолированном VLAN, на которые у него есть права.
Преимущества:
Для сервисов в одном VLAN не нужны отдельные сетевые правила для пользователей из других VLAN.
Достаточно открыть один порт 443 до прокси — фильтрация и SSO (через CASdoor или аналоги) настраиваются централизованно.
Итог: Прокси обеспечивает базовую безопасность (уровень 1) и заменяет сложные ACL единым шлюзом для доступа к сервисам в VLAN (уровень 2).
Мы создаём единую точку входа:
🔒 Только порт 443 открыт наружу
🌐 Все сервисы доступны по поддоменам (
grafana.test,whoami.test)🛡️ Вся инфраструктура изолирована в Docker-сетях
🔄 Новые сервисы добавляются автоматически через лейблы
Три способа проксирования
Способ | Особенности |
|---|---|
1. С хоста |
|
2. Через Docker DNS |
|
3. Через Docker-модуль | Управление через лейблы в yaml, |
📁 Структура каталогов
front-proxy/ # Основной каталог прокси ├── angie.conf # Главный конфиг Angie ├── compose.yaml # Docker Compose для Angie + Docker Socket Proxy ├── conf.d/ # Общие настройки: proxy, security, limits ├── genloc/ # Общие location-правила (favicon, robots.txt и т.д.) ├── http.d/ # Server-блоки для каждого сервиса └── ssl/ # TLS-сертификаты (локальные или ACME) # Тестовые сервисы (для демонстрации трёх способов проксирования) hostwhoami/ # Способ 1: проксирование с хоста └── hostwhoami.yaml dockerwhoami/ # Способ 2: через Docker DNS └── dockerwhoami.yaml dmodulwhoami/ # Способ 3: через Docker-модуль └── dmodulwhoami.yaml
Главный конфиг Angie
vim angie.conf
# Автоматическое количество рабочих процессов (по числу CPU) worker_processes auto; # Увеличенный лимит открытых файловых дескрипторов на процесс worker_rlimit_nofile 65535; events { # Максимальное число одновременных соединений на worker worker_connections 65535; } http { # DNS resolver с мониторингом resolver 127.0.0.11 valid=10s status_zone=docker_dns; #Подключение к Docker API через proxy docker_endpoint http://docker-socket-proxy:2375; # Максимальный размер буфера для ответов Docker API # (достаточно для ~50 контейнеров; увеличить при большом количестве) docker_max_object_size 128k; # Кодировка по умолчанию charset utf-8; # Оптимизации передачи файлов sendfile on; # Использовать системный вызов sendfile() tcp_nopush on; # Отправлять заголовки целиком tcp_nodelay on; # Отключить алгоритм Нейгла для интерактивных соединений # Безопасность: скрыть версию сервера server_tokens off; # Не логировать ошибки 404 log_not_found off; # Увеличенный размер хеш-таблицы для MIME-типов types_hash_max_size 2048; # Максимальный размер тела запроса от клиента client_max_body_size 16M; # MIME-типы include mime.types; default_type application/octet-stream; # Логирование access_log /var/log/angie/access.log; error_log /var/log/angie/error.log warn; # Ограничение частоты запросов (защита от брутфорса) limit_req_log_level warn; limit_req_zone $binary_remote_addr zone=login:10m rate=10r/m; # Настройки SSL/TLS ssl_session_timeout 1d; # Время жизни SSL-сессии ssl_session_cache shared:SSL:10m; # Общая память для кэширования сессий ssl_session_tickets off; # Отключить session tickets (безопаснее) # Только современный протокол TLS 1.3 ssl_protocols TLSv1.3; # OCSP Stapling (требует доверенного CA) ssl_stapling off; # Включить, если будет свой CA ssl_stapling_verify off; # Включить, если будет свой CA # Общие переиспользуемые настройки (proxy, security и т.д.) include /etc/angie/conf.d/*.conf; # Серверные блоки для каждого сервиса include /etc/angie/http.d/*.conf; }
Docker Compose для Angie + Docker Socket Proxy
vim compose.yaml
services: docker-socket-proxy: # Безопасный прокси для Docker Socket — даёт Angie доступ только на чтение списка контейнеров image: tecnativa/docker-socket-proxy:v0.4.2 container_name: docker-socket-proxy restart: unless-stopped # Требуется privileged для доступа к /var/run/docker.sock в некоторых системах privileged: true volumes: # Монтируем сокет - /var/run/docker.sock:/var/run/docker.sock:ro environment: CONTAINERS: 1 # Чтение списка контейнеров NETWORKS: 1 # Чтение сетевых настроек (для получения IP) EVENTS: 1 # Подписка на события (запуск/остановка контейнеров) networks: - front-proxy front-proxy: # Основной обратный прокси-сервер image: docker.angie.software/angie:1.11.2 container_name: front-proxy restart: unless-stopped environment: - TZ=UTC-5 ports: # TCP порты (HTTP/HTTPS) - "80:80" - "443:443" # UDP порты (HTTP/3 QUIC) - "443:443/udp" volumes: # Все конфиги монтируются из текущего каталога - ./angie.conf:/etc/angie/angie.conf:ro - ./http.d/:/etc/angie/http.d/:ro - ./conf.d:/etc/angie/conf.d/:ro - ./genloc:/etc/angie/genloc/:ro - ./ssl:/etc/angie/ssl/:ro networks: - front-proxy # Подключаемся к той же сети, что и docker-socket-proxy - app-net # Подключиться ко всем сетям, где есть сервисы, иначе Angie их не увидит networks: front-proxy: # Используем существующую сеть или создаём новую с заданной подсетью name: front-proxy external: true app-net: name: app-net external: true
Заглушка для первого запуска http.d/default.conf
vim default.conf
# Заглушка для первого запуска # Обеспечивает минимальный server-блок, чтобы Angie запустился # Будет обрабатывать только запросы к IP или неизвестным доменам # Реальные сервисы должны иметь свои server-блоки с конкретными server_name server { listen 80 default_server; listen [::]:80 default_server; # Заглушка для неизвестных доменов return 444; # закрывает соединение без ответа }
Запускаем и логах видно, что всё работает корректно
🛠️ Общие конфигурационные файлы
Чтобы не дублировать настройки в каждом server-блоке, используем переиспользуемые фрагменты.
conf.d/proxy.conf — стандартные заголовки проксирования
proxy_http_version 1.1; proxy_cache_bypass $http_upgrade; proxy_set_header Upgrade $http_upgrade; proxy_set_header Connection "upgrade"; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header X-Forwarded-Proto $scheme; proxy_set_header X-Forwarded-Host $host; proxy_set_header X-Forwarded-Port $server_port;
proxy_http_version 1.1 — поддержка keep-alive и WebSocket
Upgrade + Connection — корректная работа WebSocket и HTTP/2
X-Real-IP, X-Forwarded-* — передача оригинальных данных клиента бэкенду
(без этого все запросы будут приходить «от Angie»)
Включается в
locationчерезinclude /etc/angie/conf.d/proxy.conf;
conf.d/security.conf — безопасные HTTP-заголовки
add_header X-Frame-Options "SAMEORIGIN" always; add_header X-XSS-Protection "1; mode=block" always; add_header X-Content-Type-Options "nosniff" always; add_header Referrer-Policy "no-referrer-when-downgrade" always; add_header Content-Security-Policy "default-src 'self' http: https: data: blob: 'unsafe-inline'" always; add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;
Включается в
serverчерезinclude /etc/angie/conf.d/security.conf;
genloc/general-location.conf — общие правила для всех сервисов
# правила отключают логирование для служебных файлов favicon.ico и robots.txt, чтобы очистить логи, и блокируют доступ ко всем скрытым файлам (кроме .well-known) location = /favicon.ico { access_log off; } location = /robots.txt { access_log off; } # Запрет .файлов (кроме .well-known) location ~ /\.(?!well-known) { deny all; }
Включается в
serverчерезinclude /etc/angie/genloc/general-location.conf;
🔐 Локальный TLS-сертификат для тестовых доменов
Для работы по HTTPS наши тестовые сервисы используют следующие домены:
hostwhoami.test— проксирование с хостаdockerwhoami.test— проксирование через Docker DNSdmodulwhoami.test— автоматическое управление через Docker-модуль
Чтобы все они работали по HTTPS, мы генерируем один wildcard-сертификат на *.test, который покрывает любой поддомен зоны .test.
Сертификат использует современное шифрование:
Алгоритм: ECDSA на кривой
prime256v1(P-256) — безопаснее и быстрее RSAПоддержка wildcard
*.testчерезsubjectAltNameСрок действия: 10 лет
Генерация сертификата
Выполните в каталоге front-proxy/:
mkdir -p ssl openssl req -x509 \ -newkey ec -pkeyopt ec_paramgen_curve:prime256v1 \ -days 3650 \ -nodes \ -keyout ssl/server.key \ -out ssl/server.crt \ -subj "/CN=*.test" \ -addext "subjectAltName=DNS:*.test,DNS:test"
✅ Этот сертификат будет автоматически использоваться тестовыми сайтами через общие директивы в их
server-блоках:
ssl_certificate /etc/angie/ssl/server.crt; ssl_certificate_key /etc/angie/ssl/server.key;
🧪 Практические примеры: два классических способа проксирования
Все тестовые сервисы используют образ traefik/whoami — легковесный HTTP-сервер, который выводит информацию о запросе (IP, заголовки, метод и т.д.).
🔒 Оба способа работают по HTTPS (
https://*.test) и включают:
Автоматическое перенаправление с HTTP → HTTPS
Безопасные заголовки
Защиту от утечки
.файловЛогирование ошибок в отдельный файл
Не используйте
proxy_passhttp://имя_контейнера;или домена напрямую!
Это создаёт статический upstream, который:
Требует существования контейнера/домена при старте Angie
Если сервис недоступен — весь прокси не запустится
Ломает динамический резолвинг для других сервисов
Плохо (статический резолвинг):
proxy_pass http://dockerwhoami:80;
Хорошо (динамический резолвинг):
set $backend dockerwhoami; proxy_pass http://$backend:80;
Способ 1: Проксирование сервиса, запущенного на хосте (hostwhoami/)
Когда использовать:
Когда бэкенд не находится в Docker-сети прокси, например:
Сервис запущен на хосте (на порту 8080, 3000 и т.д.)
Приложение работает на другом сервере во внутренней сети
Старый сервис, который нельзя или не нужно интегрировать в Docker-сеть
💡 Поскольку порт 80 на хосте уже занят Angie, сервис запускается на порту 8080, и именно его проксирует Angie.
hostwhoami/hostwhoami.yaml
services: hostwhoami: image: traefik/whoami container_name: hostwhoami restart: unless-stopped ports: - "8080:80" # ← проброс 8080 хоста → 80 контейнера
🔒 Контейнер не подключён к сети
front-proxy— он доступен только через хостовой порт8080.
http.d/hostwhoami.conf
# HTTPS-сервер для hostwhoami.test server { # Слушаем порт 443 (HTTPS) для IPv4 и IPv6 listen 443 ssl; listen [::]:443 ssl; # Включаем HTTP/2 для улучшения производительности http2 on; # Доменное имя сервиса server_name hostwhoami.test; # Пути к TLS-сертификату и приватному ключу ssl_certificate /etc/angie/ssl/server.crt; ssl_certificate_key /etc/angie/ssl/server.key; # Включаем безопасные HTTP-заголовки include /etc/angie/conf.d/security.conf; # Отдельный файл логов ошибок для этого сервиса error_log /var/log/angie/hostwhoami.test.error.log warn; # Основной location — проксируем все запросы location / { # Сохраняем IP-адрес целевого сервера в переменную # Такой подход работает одинаково и для доменов, и для IP set $backend 192.168.88.7; # Проксируем запросы на указанный адрес и порт # Даже если сервер временно недоступен — Angie запустится и будет работать для других сервисов proxy_pass http://$backend:8080; # Передаём стандартные заголовки проксирования include /etc/angie/conf.d/proxy.conf; } # Общие правила для всех сервисов: include /etc/angie/genloc/general-location.conf; } # Автоматическое перенаправление с HTTP на HTTPS server { # Слушаем порт 80 (HTTP) для IPv4 и IPv6 listen 80; listen [::]:80; # Доменное имя сервиса server_name hostwhoami.test; # Перенаправляем все HTTP-запросы на HTTPS с тем же URL return 301 https://$host$request_uri; }
✅ Преимущество: максимальная гибкость — можно проксировать любой сервис.
После добавления или изменения конфигурационных файлов в
http.d/необходимо перезагрузить контейнерfront-proxy, чтобы Angie применил новые настройки.
Способ 2: Проксирование через Docker DNS (dockerwhoami/)
Когда использовать:
Когда сервис запущен в той же Docker-сети, что и Angie.
Безопасность:
Трафик никогда не покидает Docker-сеть
front-proxyНет необходимости открывать порты на хосте
Полная сетевая изоляция
dockerwhoami/dockerwhoami.yaml
services: dockerwhoami: image: traefik/whoami container_name: dockerwhoami restart: unless-stopped networks: - front-proxy networks: front-proxy: name: front-proxy external: true
http.d/dockerwhoami.conf
# HTTPS-сервер для dockerwhoami.test server { # Слушаем порт 443 (HTTPS) для IPv4 и IPv6 listen 443 ssl; listen [::]:443 ssl; # Включаем HTTP/2 для улучшения производительности http2 on; # Доменное имя сервиса server_name dockerwhoami.test; # Пути к TLS-сертификату и приватному ключу ssl_certificate /etc/angie/ssl/server.crt; ssl_certificate_key /etc/angie/ssl/server.key; # Включаем безопасные HTTP-заголовки include /etc/angie/conf.d/security.conf; # Отдельный файл логов ошибок для этого сервиса error_log /var/log/angie/dockerwhoami.test.error.log warn; # Основной location — проксируем все запросы location / { # Сохраняем имя контейнера в переменную set $backend dockerwhoami; # Проксируем на контейнер с именем "dockerwhoami" в той же Docker-сети # Даже если сервер временно недоступен — Angie запустится и будет работать для других сервисов proxy_pass http://$backend:80; # Передаём стандартные заголовки проксирования include /etc/angie/conf.d/proxy.conf; } # Общие правила для всех сервисов: include /etc/angie/genloc/general-location.conf; } # Автоматическое перенаправление с HTTP на HTTPS server { # Слушаем порт 80 (HTTP) для IPv4 и IPv6 listen 80; listen [::]:80; # Доменное имя сервиса server_name dockerwhoami.test; # Перенаправляем все HTTP-запросы на HTTPS с тем же URL return 301 https://$host$request_uri; }
✅ Преимущество: безопасность, простота, отказоустойчивость.
После добавления или изменения конфигурационных файлов в
http.d/необходимо перезагрузить контейнерfront-proxy, чтобы Angie применил новые настройки.
🧪 Практический пример: через Docker-модуль
Способ 3: Автоматическое проксирование через Docker-модуль (dmodulwhoami/)
Angie подключается к Docker API через Socket Proxy
При запуске контейнера Angie автоматически читает его лейблы
Контейнер может находиться в любой Docker-сети, доступной Angie
Сервер мгновенно добавляется в upstream без перезагрузки
✅ Главное преимущество:
Добавление/удаление сервисов работает без перезагрузки Angie
Неважен порядок запуска — даже если контейнер появится позже, всё заработает
Если сервис упадёт — он автоматически исчезнет из upstream 📚 Официальная документация
dmodulwhoami/dmodulwhoami.yaml
services: dmodulwhoami: image: traefik/whoami container_name: dmodulwhoami restart: unless-stopped networks: - app-net labels: # Указываем, что контейнер должен быть добавлен в upstream "docker_dmodulwhoami" - "angie.http.upstreams.docker_dmodulwhoami.port=80" # Явно указываем, из какой сети брать IP - "angie.network=app-net" networks: app-net: name: app-net
conf.d/00-upstreams-docker.conf
# Upstream, управляемый Docker-модулем upstream docker_dmodulwhoami { zone docker_dmodulwhoami 64k; # обязательная зона разделяемой памяти }
http.d/dmodulwhoami.conf
server { listen 443 ssl; listen [::]:443 ssl; http2 on; server_name dmodulwhoami.test; ssl_certificate /etc/angie/ssl/server.crt; ssl_certificate_key /etc/angie/ssl/server.key; include /etc/angie/conf.d/security.conf; error_log /var/log/angie/dmodulwhoami.test.error.log warn; location / { proxy_pass http://docker_dmodulwhoami; # ← upstream управляется модулем include /etc/angie/conf.d/proxy.conf; } include /etc/angie/genloc/general-location.conf; } server { listen 80; listen [::]:80; server_name dmodulwhoami.test; return 301 https://$host$request_uri; }
— сервис https://dmodulwhoami.test становится доступен мгновенно, без перезагрузки прокси.
🖥️ Подключение панели мониторинга Console Light
Console Light — встроенная веб-панель мониторинга Angie, которая отображает ключевые показатели нагрузки и производительности в реальном времени без перезагрузки сервера.
✅ Преимущества консоли:
Мониторинг всех HTTP/TCP-серверов и апстримов
Отслеживание состояния контейнеров в Docker-сетях
Визуализация трафика, соединений и времени отклика
Управление конфигурацией без перезагрузки (в Angie PRO)
Не требует внешних инструментов — работает на базе API Angie
Веб-панель мониторинга Console Light
🔧 Установка и настройка Console Light
1. Создание пользователя для доступа к консоли
Сначала создайте каталог для хранения паролей и сгенерируйте файл .htpasswd:
mkdir -p auth htpasswd -c auth/.htpasswd admin
В процессе выполнения команды будет предложено ввести пароль для пользователя admin.
2. Добавление конфигурации в Docker Compose
Добавьте монтирование файла аутентификации в compose.yaml:
services: front-proxy: # ... остальные настройки volumes: # ... остальные тома - ./auth/.htpasswd:/etc/angie/.htpasswd:ro
3. Создание конфигурации для консоли
Создайте файл http.d/console.conf со следующим содержимым:
# HTTPS-сервер для console.test server { # Слушаем порт 443 (HTTPS) для IPv4 и IPv6 listen 443 ssl; listen [::]:443 ssl; # Слушаем UDP для HTTP/3 (QUIC) listen 443 quic; listen [::]:443 quic; # Включаем HTTP/2 http2 on; # Доменное имя панели мониторинга server_name console.test; # Пути к TLS-сертификату и приватному ключу ssl_certificate /etc/angie/ssl/server.crt; ssl_certificate_key /etc/angie/ssl/server.key; # Ограничение доступа только по IP-адресу allow 192.168.*.*; # разрешаем доступ по конкретному IP deny all; # запрещаем доступ со всех остальных адресов # Отдельный файл логов ошибок для панели error_log /var/log/angie/console.test.error.log warn; # Активируем мониторинг самого сервера консоли status_zone console.test; # Основной location для Console Light location / { # Аутентификация для интерфейса auth_basic "Angie Console Light"; auth_basic_user_file /etc/angie/.htpasswd; # Путь к файлам Console Light alias /usr/share/angie-console-light/html/; index index.html; # API для получения статистики в реальном времени location /api/ { api /status/; } } } # Автоматическое перенаправление с HTTP на HTTPS server { listen 80; listen [::]:80; server_name console.test; return 301 https://$host$request_uri; }
4. Добавление метрик в существующие серверы
Чтобы консоль отображала данные по вашим сервисам, добавьте директиву status_zone в каждый серверный блок:
server { # ... остальные настройки server_name dockerwhoami.test; # Добавляем метрику для мониторинга status_zone dockerwhoami.test; # ... остальные настройки }
Полный пример с добавлением метрики
# HTTPS-сервер для dockerwhoami.test server { # Слушаем порт 443 (HTTPS) для IPv4 и IPv6 listen 443 ssl; listen [::]:443 ssl; # Включаем HTTP/2 для улучшения производительности http2 on; # Доменное имя сервиса server_name dockerwhoami.test; # Добавляем метрику для мониторинга status_zone dockerwhoami.test; # Пути к TLS-сертификату и приватному ключу ssl_certificate /etc/angie/ssl/server.crt; ssl_certificate_key /etc/angie/ssl/server.key; # Включаем безопасные HTTP-заголовки include /etc/angie/conf.d/security.conf; # Отдельный файл логов ошибок для этого сервиса error_log /var/log/angie/dockerwhoami.test.error.log warn; # Основной location — проксируем все запросы location / { # Сохраняем имя контейнера в переменную set $backend dockerwhoami; # Проксируем на контейнер с именем "dockerwhoami" в той же Docker-сети # Даже если сервер временно недоступен — Angie запустится и будет работать для других сервисов proxy_pass http://$backend:80; # Передаём стандартные заголовки проксирования include /etc/angie/conf.d/proxy.conf; } # Общие правила для всех сервисов: include /etc/angie/genloc/general-location.conf; } # Автоматическое перенаправление с HTTP на HTTPS server { # Слушаем порт 80 (HTTP) для IPv4 и IPv6 listen 80; listen [::]:80; # Доменное имя сервиса server_name dockerwhoami.test; # Перенаправляем все HTTP-запросы на HTTPS с тем же URL return 301 https://$host$request_uri; }
Для мониторинга состояния бэкендов необходимо объявить zone в каждом upstream-блоке.
Сервисы через Docker-модуль (уже прописаны) 💡 Пояснение:
status_zoneвserver→ мониторинг виртуального хоста
zoneвupstream→ мониторинг бэкендов (состояние, время ответа, ошибки)
5. Для DNS-резолвера добавьте status_zone в общую конфигурацию в angie.conf
http { # DNS resolver с мониторингом (один для всего сервера) resolver 127.0.0.11 valid=10s status_zone=docker_dns; #Подключение к Docker API через proxy docker_endpoint http://docker-socket-proxy:2375; # ... остальные настройки
После добавления или изменения конфигурационных файлов необходимо перезагрузить контейнер front-proxy
Дальше:
ACME + Smallstep CA — автоматизация TLS для всех доменов (публичных через Let’s Encrypt и внутренних через локальный CA)
CASdoor — централизованная аутентификация и авторизация
Единая точка входа — безопасный, удобный и управляемый доступ ко всем сервисам
