Review Traefik Stack

traefik.yaml

Instruções de Execução

Passo 1 — Ler o arquivo

traefik.yaml

Passo 2 — Executar todos os checks abaixo

Passo 3 — Gravar o resultado

Checks de Verificação

1. Imagem

• Deve usar

  traefik:v3

  ou versão superior
• Alertar se estiver usando

  traefik:latest

  sem versão fixada
• Alertar se estiver usando versão v2 (v3 tem mudanças significativas no provider Docker Swarm)

2. Configuração do Provider Swarm

• --providers.swarm.endpoint=unix:///var/run/docker.sock

  — deve estar presente

• --providers.swarm.watch=true

  — deve estar presente (atualiza rotas automaticamente)

• --providers.swarm.exposedbydefault=false

  — obrigatório por segurança (não expõe todos os serviços por padrão)

• --providers.swarm.network=network_swarm_public

  — deve corresponder à rede swarm usada pelos outros stacks

3. Entrypoints

• --entrypoints.web.address=:80

  — deve estar presente

• --entrypoints.web.http.redirections.entrypoint.to=websecure

  — deve redirecionar para HTTPS

• --entrypoints.web.http.redirections.entrypoint.scheme=https

  — deve ser

  https

• --entrypoints.web.http.redirections.entrypoint.permanent=true

  — redirecionamento 301

• --entrypoints.websecure.address=:443

  — deve estar presente

• --entrypoints.websecure.http.tls=true

  — TLS habilitado por padrão no entrypoint

4. Certificados TLS — Let's Encrypt

• --certificatesresolvers.letsencryptresolver.acme.httpchallenge=true

  — deve estar presente

• --certificatesresolvers.letsencryptresolver.acme.httpchallenge.entrypoint=web

  — deve usar o entrypoint HTTP

• --certificatesresolvers.letsencryptresolver.acme.email

  — deve ser um email válido (não

  meuemail@gmail.com

  placeholder)

• --certificatesresolvers.letsencryptresolver.acme.storage=/etc/traefik/letsencrypt/acme.json

  — deve corresponder ao volume montado

5. Logging

• --log.level

  — deve ser

  INFO

  ou

  WARN

  em produção (não

  DEBUG

  )
• Alertar se

  --log.level=DEBUG

  estiver ativo (alto volume de logs, possível exposição de dados)

• --log.format=common

  — formato aceitável

• --log.filePath

  — verificar se o caminho do arquivo de log é válido

• --accesslog=true

  — recomendado para auditoria

• --accesslog.filepath

  — verificar se o caminho é válido

6. Dashboard API

• --api.dashboard=true

  — verificar se o dashboard está habilitado
• Alertar se o dashboard estiver habilitado sem autenticação ou restrição de IP
• Verificar se há rota Traefik configurada para o dashboard com autenticação básica ou middleware de IP

7. Labels do Próprio Traefik (Catchall e Redirects)

traefik

• traefik.enable=true

  — deve estar presente

• traefik.swarm.network=network_swarm_public

  — deve estar presente

• traefik.http.middlewares.redirect-https.redirectscheme.scheme=https

  — middleware de redirect

• traefik.http.middlewares.redirect-https.redirectscheme.permanent=true

• traefik.http.routers.http-catchall.rule=HostRegexp(...)

  — deve capturar todas as requisições HTTP

• traefik.http.routers.http-catchall.entrypoints=web

  — deve estar no entrypoint web

• traefik.http.routers.http-catchall.middlewares=redirect-https@swarm

  — deve usar o middleware

• traefik.http.routers.http-catchall.priority=1

  — prioridade baixa para ser sobreposto por rotas específicas

8. Volumes

• /var/run/docker.sock:/var/run/docker.sock:ro

  — deve estar montado como somente leitura (

  :ro

  )

• vol_certificates

  — deve ser

  external: true

  e montado em

  /etc/traefik/letsencrypt

• Verificar se

  vol_shared

  é declarado mas não usado (pode ser cleanup)
• O arquivo

  acme.json

  deve persistir entre restarts (volume externo)

9. Portas Expostas

• Porta 80 — deve usar

  mode: host

  para preservar IP do cliente
• Porta 443 — deve usar

  mode: host

  para preservar IP do cliente
• Alertar se as portas não usarem

  mode: host

  (Traefik não verá o IP real do cliente)

10. Configuração de Deploy

• placement.constraints

  — deve incluir

  node.role == manager

• Verificar se há

  mode: replicated

  definido (Traefik geralmente tem 1 réplica)
• Verificar se há

  update_config

  com

  failure_action: rollback

  (rollback automático em falha)

11. Segurança

• --providers.swarm.exposedbydefault=false

  — obrigatório (não expor todos os serviços automaticamente)

• --log.level=DEBUG

  — alertar como risco (pode expor informações sensíveis)
• Email do Let's Encrypt não deve ser

  meuemail@gmail.com

  (placeholder)
• Dashboard sem autenticação — risco de exposição de rotas e configurações
• Docker socket montado como

  :ro

  — correto (somente leitura)

Formato do Relatório de Saída

# Relatório de Auditoria — traefik.yaml
Data: <data atual>

## Resumo
- Total de checks: X
- ✅ OK: X
- ⚠️ Atenções: X
- ❌ Erros: X

## Resultados por Categoria

### 1. Imagem
✅ traefik:v3: versão major fixada
...

### 2. Provider Swarm
✅ exposedbydefault=false: segurança ok
✅ network=network_swarm_public: rede correta
...

### 3. Entrypoints
✅ web: redireciona para websecure com 301
✅ websecure: TLS habilitado
...

### 4. TLS / Let's Encrypt
❌ Email ACME: meuemail@gmail.com é placeholder — configure email real
✅ httpchallenge: entrypoint web configurado
...

### 5. Logging
⚠️ log.level=DEBUG: em produção use INFO ou WARN
...

### 6. Dashboard
⚠️ api.dashboard=true sem autenticação configurada — risco de exposição
...

### 7. Labels Catchall
✅ redirect-https middleware: configurado
✅ http-catchall: captura todo tráfego HTTP
...

### 8. Volumes
✅ docker.sock montado como :ro
✅ vol_certificates: volume externo para acme.json
...

### 9. Portas
✅ 80: mode host configurado
✅ 443: mode host configurado
...

### 10. Deploy
✅ node.role == manager: placement correto
...

### 11. Segurança
❌ Email ACME é placeholder
⚠️ Dashboard sem autenticação
✅ Docker socket somente leitura
...

## Ações Recomendadas (por prioridade)

### Crítico (fazer antes do deploy)
1. ...

### Recomendado
1. ...

### Opcional
1. ...