Menu
Szybki wybór
Najtańszy w drugim roku Pomóż mi wybrać
Hosting Domeny VPS SSL Kalkulator Porównania FAQ
Aktywne kody
Wszystkie kody rabatowe

Traefik — reverse proxy z automatycznym SSL dla Docker

Opublikowano: 9 kwietnia 2026 · Kategoria: VPS / Docker / DevOps

Traefik to nowoczesny reverse proxy zaprojektowany dla środowisk kontenerowych. Zamiast ręcznie edytować pliki konfiguracyjne przy każdym nowym serwisie, Traefik automatycznie wykrywa kontenery Docker przez labels i konfiguruje routing w czasie rzeczywistym. Zarządza też certyfikatami SSL przez Let's Encrypt — zero ręcznej konfiguracji certbot.

Traefik vs Nginx — kiedy wybrać Traefik?

Cecha Traefik v3 Nginx
Auto-discovery Docker Tak — przez labels Nie — ręczna edycja conf
Certyfikaty SSL Automatyczne (ACME) Ręczne (certbot + cron)
Reload po zmianach Zero downtime, automatyczny nginx -s reload (ręczny)
Dashboard Wbudowany (Web UI) Brak (osobne narzędzia)
Krzywa uczenia Wyższa na start Niższa (znajomy format)
Wydajność Bardzo dobra Bardzo dobra (dojrzalszy)

Krok 1 — Sieć Docker i plik acme.json 

# Utwórz zewnętrzną sieć Docker dla Traefik
docker network create traefik-net

# Utwórz plik na certyfikaty Let's Encrypt (chmod 600 OBOWIĄZKOWE)
touch acme.json
chmod 600 acme.json

# Struktura katalogów
mkdir -p /opt/traefik
cd /opt/traefik
# acme.json   — certyfikaty SSL (NIE commituj do git!)
# docker-compose.yml  — konfiguracja Traefik

Krok 2 — docker-compose.yml dla Traefik 

# /opt/traefik/docker-compose.yml
services:
  traefik:
    image: traefik:v3.0
    container_name: traefik
    restart: unless-stopped
    ports:
      - "80:80"
      - "443:443"
    volumes:
      # Dostęp do socket Docker (auto-discovery kontenerów)
      - /var/run/docker.sock:/var/run/docker.sock:ro
      # Certyfikaty Let's Encrypt
      - ./acme.json:/acme.json
    command:
      # Providers
      - --providers.docker=true
      - --providers.docker.exposedbydefault=false   # Tylko kontenery z traefik.enable=true
      - --providers.docker.network=traefik-net

      # Entrypoints
      - --entrypoints.web.address=:80
      - --entrypoints.websecure.address=:443

      # HTTP → HTTPS redirect globalny
      - --entrypoints.web.http.redirections.entrypoint.to=websecure
      - --entrypoints.web.http.redirections.entrypoint.scheme=https

      # Let's Encrypt ACME
      - --certificatesresolvers.myresolver.acme.email=admin@twojadomena.pl
      - --certificatesresolvers.myresolver.acme.storage=/acme.json
      - --certificatesresolvers.myresolver.acme.httpchallenge.entrypoint=web

      # Dashboard (tylko dev — wyłącz w produkcji lub zabezpiecz!)
      - --api.dashboard=true
      - --api.insecure=false    # Dashboard przez HTTPS z labels

      # Logi
      - --log.level=INFO
      - --accesslog=true

    labels:
      - "traefik.enable=true"

      # Dashboard router
      - "traefik.http.routers.dashboard.rule=Host(`traefik.twojadomena.pl`)"
      - "traefik.http.routers.dashboard.tls=true"
      - "traefik.http.routers.dashboard.tls.certresolver=myresolver"
      - "traefik.http.routers.dashboard.service=api@internal"
      - "traefik.http.routers.dashboard.middlewares=auth"

      # BasicAuth middleware dla dashboardu
      # Generuj hash: htpasswd -nb admin haslo
      - "traefik.http.middlewares.auth.basicauth.users=admin:$$apr1$$xyz$$hash"

    networks:
      - traefik-net

networks:
  traefik-net:
    external: true

Krok 3 — Labels na kontenerze aplikacji

Każda aplikacja deklaruje swoją konfigurację przez Docker labels. Traefik odczytuje je automatycznie: 

# /opt/moja-app/docker-compose.yml
services:
  webapp:
    image: moja-aplikacja:latest
    restart: unless-stopped
    expose:
      - "3000"          # Port wewnętrzny (NIE mapuj przez ports: na host)
    labels:
      # Włącz Traefik dla tego kontenera
      - "traefik.enable=true"

      # Router — nazwa unikalny identyfikator (kebab-case)
      - "traefik.http.routers.webapp.rule=Host(`moja-domena.pl`)"
      - "traefik.http.routers.webapp.entrypoints=websecure"
      - "traefik.http.routers.webapp.tls=true"
      - "traefik.http.routers.webapp.tls.certresolver=myresolver"

      # Service — port na który Traefik kieruje ruch
      - "traefik.http.services.webapp.loadbalancer.server.port=3000"

      # Opcjonalnie: middleware rate limiting
      - "traefik.http.routers.webapp.middlewares=rate-limit"
      - "traefik.http.middlewares.rate-limit.ratelimit.average=100"
      - "traefik.http.middlewares.rate-limit.ratelimit.burst=50"

    networks:
      - traefik-net

networks:
  traefik-net:
    external: true

Middleware — rate limiting i nagłówki bezpieczeństwa

Traefik obsługuje middleware jako łańcuch przekształceń żądania. Najpopularniejsze: 

# Rate limiting — max 100 req/s, burst do 200
- "traefik.http.middlewares.ratelimit.ratelimit.average=100"
- "traefik.http.middlewares.ratelimit.ratelimit.burst=200"

# Nagłówki bezpieczeństwa
- "traefik.http.middlewares.security-headers.headers.stsSeconds=31536000"
- "traefik.http.middlewares.security-headers.headers.stsIncludeSubdomains=true"
- "traefik.http.middlewares.security-headers.headers.contentTypeNosniff=true"
- "traefik.http.middlewares.security-headers.headers.browserXssFilter=true"

# IP whitelist — dostęp tylko z wybranych IP
- "traefik.http.middlewares.ipwhitelist.ipallowlist.sourcerange=10.0.0.0/8,192.168.1.0/24"

# Strip prefix — usuń /api z URL przed przekazaniem do backendu
- "traefik.http.middlewares.strip-api.stripprefix.prefixes=/api"

# Compress — gzip kompresja odpowiedzi
- "traefik.http.middlewares.compress.compress=true"

Multi-domain — wiele aplikacji na jednym VPS 

# Aplikacja 1: sklep.pl
- "traefik.http.routers.sklep.rule=Host(`sklep.pl`)"
- "traefik.http.routers.sklep.tls.certresolver=myresolver"
- "traefik.http.services.sklep.loadbalancer.server.port=3000"

# Aplikacja 2: blog.pl
- "traefik.http.routers.blog.rule=Host(`blog.pl`)"
- "traefik.http.routers.blog.tls.certresolver=myresolver"
- "traefik.http.services.blog.loadbalancer.server.port=8080"

# Path-based routing: ta sama domena, różne ścieżki
- "traefik.http.routers.api.rule=Host(`app.pl`) && PathPrefix(`/api`)"
- "traefik.http.routers.frontend.rule=Host(`app.pl`) && PathPrefix(`/`)"

# www → non-www redirect (middleware)
- "traefik.http.middlewares.www-redirect.redirectregex.regex=^https://www\\.(.*)"
- "traefik.http.middlewares.www-redirect.redirectregex.replacement=https://${1}"
- "traefik.http.middlewares.www-redirect.redirectregex.permanent=true"

Uruchomienie i weryfikacja 

# Uruchom Traefik
cd /opt/traefik
docker compose up -d

# Sprawdź logi
docker compose logs -f traefik

# Sprawdź aktywne routery przez API
curl http://localhost:8080/api/rawdata | python3 -m json.tool

# Zweryfikuj certyfikat SSL
curl -I https://moja-domena.pl

# Sprawdź czy HTTP przekierowuje na HTTPS
curl -I http://moja-domena.pl

Najczęstsze pytania

Czym Traefik różni się od Nginx jako reverse proxy? +
Główna różnica to auto-discovery: Nginx wymaga ręcznej edycji pliku konfiguracyjnego i reload przy każdym nowym serwisie. Traefik automatycznie wykrywa kontenery Docker przez Docker labels — gdy uruchomisz nowy kontener z odpowiednimi labels, Traefik natychmiast zaczyna do niego kierować ruch bez żadnej ręcznej konfiguracji. Traefik automatycznie zarządza certyfikatami Let's Encrypt (ACME) per domena. Nginx to starsze, sprawdzone narzędzie z bogatszym ekosystemem modułów; Traefik to nowoczesne narzędzie zaprojektowane dla środowisk kontenerowych.
Jak Traefik automatycznie generuje certyfikaty SSL? +
Traefik implementuje protokół ACME (Automatic Certificate Management Environment) używanego przez Let's Encrypt. Gdy kontener ma label traefik.http.routers.moj-serwis.tls=true i skonfigurowany certresolver, Traefik automatycznie: sprawdza czy certyfikat istnieje, generuje nowy przez HTTP-01 lub TLS-ALPN-01 challenge (strona musi być dostępna z internetu na porcie 80/443), odnawia certyfikat gdy zostaje mniej niż 30 dni ważności. Certyfikaty są przechowywane w pliku acme.json (chmod 600) — pamiętaj o backupie tego pliku.
Jak zabezpieczyć dashboard Traefik hasłem? +
Użyj middleware BasicAuth. Wygeneruj hash hasła: htpasswd -nb admin haslo (lub echo $(htpasswd -nb admin haslo) | sed -e s/\$/\$\$/g). Następnie dodaj do docker-compose.yml na kontenerze Traefik: labels: traefik.http.middlewares.auth.basicauth.users=admin:$$2y$$hash. Dashboard powinien być dostępny WYŁĄCZNIE przez HTTPS i najlepiej z ograniczeniem IP (middleware IPWhitelist) lub przez VPN. Nie wystawiaj dashboardu publicznie bez uwierzytelnienia.
Jak skonfigurować Traefik dla wielu domen na jednym VPS? +
Każdy kontener deklaruje własną domenę przez label traefik.http.routers.nazwa.rule=Host(`domena.pl`). Traefik zarządza certyfikatami SSL dla każdej domeny osobno przez ACME. Możesz mieć dziesiątki domen na jednym VPS — Traefik routuje ruch do odpowiedniego kontenera na podstawie nagłówka Host. Dla wildcard subdomain użyj rule=HostRegexp(`.*\.domena.pl`). Traefik obsługuje też path-based routing: PathPrefix(`/api`) kieruje do backendu, a pozostałe ścieżki do frontendu.

Sprawdź oferty pasujące do tego scenariusza

Poniżej masz szybkie przejścia do ofert i stron z kodami rabatowymi tam, gdzie są dostępne.