Traefik 在启用 Proxy Protocol v2 的 TCP 负载均衡器后 TLS 失效问题解析

问题背景

在使用 Traefik 作为 Kubernetes 集群的入口控制器时，很多用户会选择将其部署在 AWS Network Load Balancer (NLB) 之后。当 NLB 配置为 TCP 模式（SSL 直通）并启用 Proxy Protocol v2 时，可能会出现一个特定问题：配置了 TLS 的路由完全停止工作，而纯 HTTP 路由则不受影响。

现象描述

用户报告了以下具体症状：

1. 对于 HTTPS 请求，浏览器显示 ERR_SSL_PROTOCOL_ERROR 错误
2. 对于 HTTP 请求，返回 404 错误
3. 使用 curl 测试时，出现 SSL 协议版本不匹配的错误提示
4. 当禁用 Proxy Protocol v2 后，所有功能恢复正常

根本原因分析

经过深入排查，发现问题根源在于 Traefik 的配置不完整。虽然用户已经为 web 入口点（HTTP 80 端口）配置了 Proxy Protocol 相关参数，但遗漏了对 websecure 入口点（HTTPS 443 端口）的相应配置。

解决方案

完整的解决方案需要为 Traefik 的两个入口点都正确配置 Proxy Protocol 参数：

1. 对于 HTTP 入口点（web）：

ports.web.proxyProtocol.insecure=true
ports.web.proxyProtocol.trustedIPs[0]="0.0.0.0/0"

2. 对于 HTTPS 入口点（websecure）同样需要配置：

ports.websecure.proxyProtocol.insecure=true
ports.websecure.proxyProtocol.trustedIPs[0]="0.0.0.0/0"

技术原理

Proxy Protocol 是 HAProxy 开发的一种协议，它允许在 TCP 连接开始时传递客户端的原始连接信息（如源 IP 地址）。当负载均衡器启用 Proxy Protocol v2 时，它会在实际应用数据前添加一个包含这些信息的头部。

Traefik 需要明确知道哪些入口点需要处理 Proxy Protocol 头部，否则会错误地将这些头部信息当作应用数据的一部分，导致协议解析失败。这就是为什么 TLS 连接会失败的原因 - Traefik 将 Proxy Protocol 头部误认为是 TLS 握手数据。

最佳实践建议

1. 在 AWS NLB 后部署 Traefik 时，确保所有相关的入口点都正确配置 Proxy Protocol 参数
2. 对于生产环境，建议将 trustedIPs 限制为负载均衡器的实际 IP 范围，而不是使用 0.0.0.0/0
3. 在启用 Proxy Protocol 前，先测试基本的 HTTP/HTTPS 功能是否正常
4. 使用 Traefik 的访问日志功能监控连接情况，有助于快速诊断类似问题

总结

这个案例展示了在复杂网络环境中部署 Traefik 时需要注意的配置细节。Proxy Protocol 是一个强大的功能，但需要前后端组件的协调配置才能正常工作。通过正确配置所有入口点的 Proxy Protocol 参数，可以确保 Traefik 在启用 Proxy Protocol v2 的 TCP 负载均衡器后仍能正常处理 TLS 流量。