当前位置：首页 > article >正文

别再手动改hosts了！用Docker Compose一键部署Authelia SSO，顺便搞定Traefik反向代理

article 2026/5/19 13:41:53

一键部署Authelia SSO与Traefik反向代理的Docker Compose实战指南在当今复杂的网络环境中管理多个Web应用的认证流程往往成为开发者的痛点。手动配置hosts文件、逐个设置访问权限不仅耗时耗力还容易出错。本文将介绍如何利用Docker Compose快速搭建Authelia单点登录系统并集成Traefik作为反向代理实现开箱即用的安全访问控制方案。1. 技术栈概述与准备工作Authelia是一款开源的单点登录(SSO)和双因素认证(2FA)系统专为自托管应用设计。它支持多种认证方式能与反向代理无缝集成为内部应用提供统一的认证入口。Traefik则是现代化的反向代理和负载均衡工具支持自动服务发现和Lets Encrypt证书管理。部署前准备已安装Docker和Docker Compose的Linux服务器推荐Ubuntu 20.04有效的域名用于SSL证书申请基础命令行操作知识提示虽然本文使用.example.com作为演示域名实际部署时请替换为您自己的域名。2. Docker Compose编排文件解析以下是经过优化的docker-compose.yml文件集成了Authelia、Redis、Traefik和演示站点version: 3.8 networks: sso-network: driver: bridge services: authelia: image: authelia/authelia:latest container_name: authelia volumes: - ./authelia/config:/config networks: - sso-network environment: - TZAsia/Shanghai labels: - traefik.enabletrue - traefik.http.routers.authelia.ruleHost(auth.yourdomain.com) - traefik.http.routers.authelia.entrypointswebsecure - traefik.http.routers.authelia.tls.certresolverletsencrypt - traefik.http.services.authelia.loadbalancer.server.port9091 redis: image: redis:alpine container_name: redis volumes: - ./redis/data:/data networks: - sso-network restart: unless-stopped traefik: image: traefik:v2.6 container_name: traefik ports: - 80:80 - 443:443 volumes: - ./traefik/config:/etc/traefik - /var/run/docker.sock:/var/run/docker.sock networks: - sso-network command: - --api.insecuretrue - --providers.dockertrue - --providers.docker.exposedbydefaultfalse - --entrypoints.web.address:80 - --entrypoints.websecure.address:443 - --certificatesresolvers.letsencrypt.acme.emailyouremail.com - --certificatesresolvers.letsencrypt.acme.storage/etc/traefik/acme.json - --certificatesresolvers.letsencrypt.acme.httpchallenge.entrypointweb whoami: image: containous/whoami container_name: whoami networks: - sso-network labels: - traefik.enabletrue - traefik.http.routers.whoami.ruleHost(app.yourdomain.com) - traefik.http.routers.whoami.entrypointswebsecure - traefik.http.routers.whoami.tls.certresolverletsencrypt - traefik.http.routers.whoami.middlewaresautheliadocker关键配置说明使用独立的Docker网络sso-network确保服务间隔离Authelia配置挂载到本地./authelia/config目录Traefik配置自动SSL证书申请Whoami服务作为演示应用受Authelia保护3. Authelia详细配置在./authelia/config目录下创建两个关键配置文件configuration.ymltheme: light jwt_secret: your_secure_jwt_secret_here default_redirection_url: https://app.yourdomain.com server: host: 0.0.0.0 port: 9091 authentication_backend: file: path: /config/users_database.yml password: algorithm: argon2id iterations: 3 memory: 65536 parallelism: 4 access_control: default_policy: deny rules: - domain: auth.yourdomain.com policy: bypass - domain: app.yourdomain.com policy: two_factor session: name: authelia_session secret: your_session_secret_here expiration: 1h inactivity: 5m domain: yourdomain.com storage: encryption_key: your_encryption_key_here local: path: /config/db.sqlite3 notifier: filesystem: filename: /config/notifications.txtusers_database.ymlusers: admin: displayname: Admin User password: $argon2id$v19$m65536,t3,p4$dGhlc2FsdHlzdHJpbmc$thehashedpassword email: adminyourdomain.com groups: - admins developer: displayname: Developer password: $argon2id$v19$m65536,t3,p4$YW5vdGhlcnNhbHQ$anotherhashedpassword email: devyourdomain.com生成密码哈希的命令docker run --rm authelia/authelia:latest authelia hash-password yourpassword4. Traefik配置优化在./traefik/config目录下创建traefik.ymlapi: dashboard: true insecure: true entryPoints: web: address: :80 http: redirections: entryPoint: to: websecure scheme: https websecure: address: :443 providers: docker: endpoint: unix:///var/run/docker.sock exposedByDefault: false certificatesResolvers: letsencrypt: acme: email: youremail.com storage: /etc/traefik/acme.json httpChallenge: entryPoint: web性能优化参数serversTransport: maxIdleConnsPerHost: 200 forwardingTimeouts: dialTimeout: 30s responseHeaderTimeout: 0s log: level: INFO format: json5. 部署与测试流程启动服务栈docker-compose up -d验证服务状态docker-compose ps测试访问流程直接访问https://app.yourdomain.com应跳转到Authelia登录页使用users_database.yml中的凭证登录成功认证后应返回Whoami服务页面管理界面Traefik仪表板:https://traefik.yourdomain.comAuthelia管理API:https://auth.yourdomain.com/api/常见问题排查# 查看Authelia日志 docker logs authelia # 检查Redis连接 docker exec -it redis redis-cli ping # 验证Traefik配置 docker exec traefik traefik check-config6. 生产环境增强建议安全加固措施替换所有示例中的密钥和密码启用数据库存储替代SQLite配置SMTP通知服务设置适当的备份策略性能扩展方案# 在docker-compose.yml中添加 authelia: deploy: resources: limits: cpus: 1 memory: 512M reservations: memory: 256M healthcheck: test: [CMD, authelia, healthcheck] interval: 30s timeout: 5s retries: 3监控集成Prometheus指标端点日志收集到ELK或Loki健康检查报警实际部署中发现合理配置会话超时和密码策略能显著提升安全性。对于团队协作场景建议结合LDAP或Active Directory进行用户管理而非文件存储方式。

别再手动改hosts了！用Docker Compose一键部署Authelia SSO，顺便搞定Traefik反向代理

相关文章：

别再手动改hosts了！用Docker Compose一键部署Authelia SSO，顺便搞定Traefik反向代理

python系列【仅供参考】：mongo4.0.0 加用户认证 motor和pymongo的auth连接

RISC-V开发板结合Python实现B站消息监测：硬件极客的IoT实践

告别黑盒渲染！用Nvdiffrast手把手教你从零搭建可微渲染管线（PyTorch版）

Perplexity股票信息检索失效？7类常见报错代码对照表，含官方文档未披露的Rate Limit绕行方案

0基础装完龙虾不知道干嘛？用15分钟帮你激活造物主身份

告别复杂设置！Sunshine v0.21.0 + Moonlight安卓版：5分钟搞定家庭局域网游戏串流

2025最权威的十大AI科研工具推荐

Artisan：开源咖啡烘焙软件的终极指南，从入门到精通的完整解决方案

别再乱设了！Design Compiler里set_input_delay的10个实战避坑点（附时序报告解读）

Centos9安装MySQL8.0数据库

DragGAN交互式图像编辑：基于GAN潜空间优化的点驱动形变技术详解

蓝桥杯嵌入式备赛：手把手搞定AT24C02 EEPROM读写（附CubeMX配置与常见Bug修复）

RHCE第四次练习

3分钟掌握LaTeX公式转换Word的终极指南

AMBA系统监视器：从端口验证到SoC系统级验证的关键跃迁

通达信缠论智能分析插件：5分钟实现专业K线结构可视化

Hitboxer终极指南：免费专业解决游戏按键冲突的SOCD重映射工具

Ultimate ASI Loader 专业指南：深入解析游戏MOD加载器的完整配置与开发

Claude Code用户如何通过Taotoken解决封号与Token不足的困扰

409.最长回文串（数学算法）

ThinkPHP8.x全面升级：现代化PHP开发新标杆

【MYSQL】 mysql库和表的操作--详解

VK视频下载器：三步实现VKontakte视频永久保存的实用方案

透明计费如何帮助精准预测与控制AI功能月度开支

快速 AI 迭代仍然需要操作纪律

2025年网盘直链下载神器：LinkSwift完全使用指南与深度解析

终极免费AMD Ryzen硬件调试指南：掌握SMUDebugTool的完整使用技巧

Windows远程桌面终极解锁指南：RDP Wrapper完整使用方案

3分钟学会TV Bro浏览器：智能电视上网终极指南