Asustor [Résolu] PORTAINER : mise à jour par App Central, force le HTTPS => pb de certificat

JacquesNAS

JacquesNAS

Chevalier Jedi
21 Janvier 2016
442
56
28
Bonjour,

la mise à jour de Portainer par le par App Central force le HTTPS : belle idée....

... mais du coup, la règle de mon Reverse Proxy Traefik ne marche plus !......
(ceux qui suivent mes postes savent que je n'utilise pas le Reverse Proxy d'ADM qui n'est pas assez riche ou assez souple en ce qui me concerne).


Donc je modifie le setup de mon routage dans Traefik :


[http.services.<leNomDeMonServicePortainer>]
[http.services.<leNomDeMonServicePortainer>.loadBalancer]
[[http.services.<leNomDeMonServicePortainer>.loadBalancer.servers]]
url = "https://localhost:19901"


Mais là PROBLÈME :

via un navigateur web, https://localhost:19901 retourne un message comme quoi le site est dangereux. Humainement, je clique sur l'acceptation et je rentre sur le site de Portainer. <=> OK ....

mais le Reverse Proxy, lui reste sur l'échec de certificat de Portainer.

=> comment faire pour que les webapps qui publient sur HTTPS, soient accessible par le RP ?

Merci pour votre bon secours.
 
Dernière édition:
Solution de contournement :
Le Portainer est servi sur le docker d'une VM.
Le Portainer du NAS est désinstallé.
Sur le NAS : installation du Portainer Agent.

La VM étant couteuse en ressource, il faut mettre le maximum des containers sur le docker du NAS.

Pourquoi les DEV de l'ADM ne remplacerait pas leur RP par un Traefik dockerisé et configurable depuis l'ADM avec une IHM sympa ?
 
Depuis Portainer, mettez la version à niveau vers la v2.9.0 et modifiez à nouveau le comportement.
Il conservera le port HTTP d'origine et créera un autre port pour HTTPS.

Le nouveau Portainer CE v2.9.0.r02 a été publié dans App Central, il permet toujours d'ouvrir Portainer CE avec HTTPS (nouveau port : 19943) à partir de l'icône du bureau ADM. En passant, si les utilisateurs passent à cette version, ils n'ont pas besoin d'utiliser le proxy inverse pour Portainer CE. (Puisqu'il faudra le certificat du NAS pour la connexion HTTPS.)
 
Bonjour,

merci pour ce retour.

Effectivement l'App Central charge la dernière version disponible (portainer/portainer-ce:latest).

Cependant, ça ne fait aucune erreur mais le navigateur reste bloqué sur la vue ci-dessous.

1633772252962.png
La trace laissée en log dans Traefik au chargement de la page :

Traefik | <IP gateway> - - [09/Oct/2021:09:39:25 +0000] "GET /portasus HTTP/2.0" 200 23180 "-" "-" 138 "<mon_nom_de_service_docker>@docker" "http://<IP_Du_NAS>:19900" 3ms

Donc un code retour 200, ce qui semble OK.

Sur 198000 : le navigateur retourne : Not found
Sur 19943 : le navigateur retourne : Client sent an HTTP request to an HTTPS server.


docker ps
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
25a7cb762c9e portainer/portainer-ce:latest "/portainer --sslcer…" 52 minutes ago Up 52 minutes 0.0.0.0:19800->8000/tcp, 0.0.0.0:19900->9000/tcp, 0.0.0.0:19943->9443/tcp PortainerCE



Rappel de l'objectif :
_ faire du HTTP entre Portainer et Traefik
_ déléguer la bascule en HTTPS pour les requêtes internet à Traefik
_ http://<ip_du_nas>:19900 : sert Portainer normalement


Et là où ca pique le plus ... sur une VM Debian, le portainer de la VM est accessible via Traefik normalement depuis internet et le setup dans Traefik est assez semblable pour ce portainer et celui du NAS.

Aujourd'hui, via un agent docker sur le NAS, tous les Endpoints sont visibles depuis la VM. Fonctionnellement, on pourrait en rester là.

C'est plus un travail d'optimisation ; si nous pouvions nous passer de la VM, ce serait une économie des ressources hardware.

Les questions restantes :

1 - Pourquoi le navigateur n'affiche pas la mire de connexion à Portainer lorsque la requête vient d'Internet via Traefik ?

2 - Quand il n'y a pas besoin de passer par le RP d'ADM pour aller en HTTPS sur le portainer du NAS via le port 19943, ... ca veut dire ouvrir le port sur la passerelle internet ? Si oui : c'est peu inintéressant.....
Sinon : comment ?

A bientôt :)
 
1 - réponse => "https://<mon.nom.de.deomaine>/<prefix_traefik>/#!

Il suffit d'ajouter /#! en bout de lien dans le HTML pour que ça passe. Demain la VM va pouvoir être décommissionnée et le NAS optimisé.

Mais il reste encore un prérequis à cette suppression ; le démarrage au boot du NAS de l'agent node_exporter de Prometheus. D'où les relances sur des fils à ce propos faites aujourd'hui sur ce forum. Pourvu que Dami1 attrape le besoin cette fois-ci :)

Donc l'aventure n'est pas encore tout à fait terminée. A new hope.
 
  • J'aime
Réactions: EVO
Vous devez vous connecter ou vous enregistrer pour répondre ici.
Haut Bas
Retour