Cấu hình Trust Proxy Headers

Tại sao cần trust proxy headers?

Khi server của bạn nằm sau reverse proxy như Cloudflare, AWS ALB hoặc load balancer, ứng dụng của bạn thấy địa chỉ IP của proxy thay vì IP thực của khách truy cập. Điều này phá vỡ:

• Rate limiting — tất cả yêu cầu dường như đến từ một IP
• Geolocation — dữ liệu vị trí sai
• Danh sách chặn IP — không thể chặn từng khách truy cập
• Log kiểm toán — request.ip trả về IP của proxy

Trust Proxy Headers yêu cầu Traefik đọc IP client thực từ forwarded headers (X-Forwarded-For, X-Real-IP).

Sử dụng preset nhà cung cấp

Server Compass bao gồm các preset tích hợp cho các nhà cung cấp phổ biến:

1. Đi đến Server Settings > Proxy tab
2. Mở phần Trust Proxy Headers
3. Chọn preset từ dropdown:
   • Cloudflare — tự động điền tất cả dải CIDR IPv4/IPv6 của Cloudflare
   • AWS ALB/ELB — nhập VPC CIDR của bạn (ví dụ: 10.0.0.0/16)
   • DigitalOcean Load Balancer — nhập VPC CIDR của bạn
   • Hetzner Load Balancer — nhập private network CIDR của bạn
   • Custom — thêm dải IP đáng tin cậy thủ công
4. Nhấp Save — Traefik tự động khởi động lại

PROXY Protocol (nâng cao)

Đối với load balancer như AWS NLB hoặc HAProxy sử dụng PROXY Protocol thay vì HTTP headers:

1. Mở rộng phần Proxy Protocol
2. Kích hoạt PROXY Protocol
3. Thêm dải IP đáng tin cậy cho load balancer của bạn
4. Lưu — Traefik được cấu hình để chấp nhận PROXY Protocol trên cả entrypoint HTTP và HTTPS

Bảo mật và rollback

Server Compass bảo vệ chống cấu hình sai:

• Backup tự động — traefik.yml được backup trước mỗi thay đổi
• Health check — sau khi khởi động lại Traefik, Server Compass xác minh container đang chạy
• Auto-rollback — nếu Traefik không khởi động được, backup được khôi phục và Traefik khởi động lại với config trước đó
• Cảnh báo chế độ không an toàn — "Trust All Sources" được đánh dấu chỉ dành cho development và dễ bị IP spoofing