Caddy Docker Proxy本地测试指南：使用whoami服务与内部TLS证书

背景介绍

在开发基于Caddy Docker Proxy的项目时，开发者经常需要在本地环境中进行测试。然而，直接使用真实域名和Let's Encrypt证书会遇到诸多限制。本文将详细介绍如何在本地环境中配置Caddy Docker Proxy与whoami服务进行测试。

常见问题分析

当开发者尝试在本地使用example.com等域名时，会遇到两个主要问题：

1. Let's Encrypt拒绝为保留域名颁发证书
2. Caddy默认强制HTTPS重定向导致测试失败

这些问题源于安全策略和默认配置，但通过合理配置可以轻松解决。

解决方案：使用内部TLS证书

Caddy提供了内部TLS证书功能，专门用于开发和测试环境。配置方法如下：

labels:
  caddy: example.com
  caddy.reverse_proxy: "{{upstreams 80}}"
  caddy.tls: "internal"

关键配置说明：

• caddy.tls: "internal"：指示Caddy使用自签名的内部证书而非向公共CA申请
• 仍需在本地hosts文件中配置域名解析（127.0.0.1指向测试域名）

完整测试流程

1. 配置本地hosts文件：

127.0.0.1 whoami.example.com

2. 编写docker-compose.yml文件：

version: "3.7"

services:
  caddy:
    image: lucaslorentz/caddy-docker-proxy:ci-alpine
    ports:
      - "80:80"
      - "443:443"
    volumes:
      - /var/run/docker.sock:/var/run/docker.sock
    environment:
      - CADDY_INGRESS_NETWORKS=caddy

  whoami:
    image: containous/whoami
    labels:
      caddy: whoami.example.com
      caddy.reverse_proxy: "{{upstreams 80}}"
      caddy.tls: "internal"
    networks:
      - caddy

networks:
  caddy:
    external: true

3. 启动服务并测试：

docker-compose up -d
curl -k https://whoami.example.com

注意事项

1. 使用-k参数跳过curl的证书验证（因为使用的是自签名证书）
2. 此配置仅适用于开发和测试环境，生产环境应使用有效域名和正式证书
3. 内部证书不受浏览器信任，测试时可能需要手动接受安全警告

进阶技巧

对于更复杂的测试场景，可以考虑：

1. 使用.test或.localhost等保留顶级域名，这些域名永远不会被公共CA颁发证书
2. 配置Caddy的debug模式获取更详细的日志信息
3. 结合Docker网络配置模拟多服务环境

通过以上方法，开发者可以在本地环境中高效地进行Caddy Docker Proxy的各种功能测试，而无需担心证书获取和域名验证的问题。