В контейнерных инфраструктурах «входной» reverse proxy решает половину успеха: терминация TLS, маршрутизация по доменам и путям, переписывание заголовков, балансировка, проксирование gRPC/WebSocket, кэширование и наблюдаемость. На практике «большая тройка» сводится к трем зрелым вариантам: Traefik, Nginx и Caddy. Все они умеют быть фронтенд‑шлюзом перед Docker/Compose, Swarm или Kubernetes, но отличаются философией конфигурации, удобством автоматизации, поведением под нагрузкой и сложностью сопровождения. Ниже — сравнение именно в контексте контейнерных стэков и ежедневной эксплуатации.
Кто есть кто и когда они появились в DevOps‑кейсе
Nginx — классика мира веб‑серверов и прокси. Даёт мелкозернистый контроль, зрелые механизмы кеша, продвинутые директивы для переписывания и богатую экосистему. Но в контейнерном мире его «нативность» к сервис‑дискавери и авто‑TLS ниже: многое решают шаблоны, перегенерация конфигов и graceful reload.
Traefik задумывался как «cloud‑native» прокси. Он напрямую подключается к источникам конфигурации (провайдерам), например к Docker API, и динамически подтягивает маршруты из labels. Из коробки даёт авто‑TLS (ACME), понятные middleware (аутентификация, переписывания, лимиты), встроенные метрики и дашборд. Это «включил и поехал» для Compose/Swarm.
Caddy — минималистичный линк «просто работает»: авто‑HTTPS по умолчанию, компактный синтаксис, современная HTTP‑стек (включая HTTP/3/QUIC), хорошая производительность на TLS. В контейнерах удобен там, где нужно быстро поднять десятки виртуальных хостов с понятной читабельной конфигурацией. Интеграция с Docker осуществляется через конфиг‑файлы или дополнительный модуль.
Если вы выносите входной шлюз на отдельный узел, удобнее держать его на управляемом сервере: поднимайте прокси на VDS, а приложения — в своих контейнерных пулах. Это упрощает разграничение обязанностей и масштабирование.
Модель конфигурации и сервис‑дискавери
Nginx: детальный контроль и явные конфиги
Сильная сторона Nginx — предсказуемый статический конфиг и экстремально гибкая директивная модель. Для контейнеров распространённый паттерн — генерировать server и upstream из шаблонов на основе данных Docker (labels, имена сервисов), затем делать nginx -s reload. Это не «живой» discovery, но в 99% случаев достаточно, особенно если вы хотите жёсткий контроль маршрутов, кешей и буферов. Плюсы: повторяемость, удобный аудит, высокая прозрачность. Минусы: нужен отдельный слой шаблонизации, осторожность при перезагрузках, ручная забота о TLS/ACME.
Traefik: динамика из Docker labels
Traefik умеет напрямую слушать Docker и формировать маршруты по labels. Когда контейнер поднимается, маршрут появляется автоматически; когда контейнер выключается — исчезает. Дополнительно есть понятие middleware (например, редиректы, заголовки, лимиты), которые назначаются на роутеры/сервисы. Это снимает необходимость генерить файлы и перезагружать процесс. В многосервисных стэках это снижает хрупкость и ускоряет релизы.
Caddy: читаемая конфигурация и авто‑HTTPS
Caddy известен лаконичным конфигом: несколько строк — и у вас виртуальный хост с HTTPS и HTTP/3. Для Docker можно заранее описать хосты и upstream‑ы, а при изменения состава контейнеров использовать перегенерацию конфигов или специализированные расширения. Главная ценность — простота: легко читать, легко ревьюить PR, минимальный порог входа для команды.
TLS/ACME: автоматизация сертификатов и ротаций
Современный reverse proxy в продакшене обязан уметь автоматизировать TLS. Отличия — в степени «нативности» и удобстве.
Traefik включает ACME‑клиент из коробки, поддерживает HTTP-01 и DNS-01 для wildcard, хранит сертификаты в файле или KV‑хранилище, умеет монтировать общий storage для отказоустойчивости. Ротация сертификатов проходит прозрачно, без перезагрузки всех роутов. Конфигурация резолверов задаётся один раз, затем маршруты просто помечаются «включить TLS». Подробно про автоматизацию wildcard‑сертификатов см. Автоматизация DNS-01 для wildcard.
Caddy также делает авто‑HTTPS по умолчанию, управляя получением и продлением сертификатов. Для wildcard‑сертификатов используется DNS-01 через плагины провайдеров. Важный нюанс: хранение сертификатов должно быть на устойчивом томе, чтобы после рестартов не терять состояние и не биться о лимиты ACME‑провайдера. Про квоты и ограничения при массовых доменах читайте в «лимиты Let's Encrypt и SAN».
Nginx не включает ACME‑клиент. Сертификаты обычно выдаются внешним инструментом (например, отдельным контейнером‑клиентом), а Nginx просто читает готовые .crt/.key. Ротация управляется cron/таймерами внешнего инструмента; Nginx достаточно сделать graceful reload, чтобы подтянуть новые файлы. Сильная сторона — свобода выбора ACME‑клиента, слабая — необходимость дополнительной «оркестровки».
Когда ACME не подходит (например, требуется OV/EV, частные PKI), используйте управляемые SSL-сертификаты и накат через файловое хранилище или API.
Ключ к стабильности авто‑TLS в контейнерах — общий постоянный том для хранилища сертификатов и аккуратная стратегия перезапусков, чтобы не упереться в лимиты ACME.
Маршрутизация: Host, Path, заголовки, веса, канареечные релизы
Везде есть базовый набор: маршрутизация по домену (SNI/Host), по пути, по префиксу, по заголовкам, перенаправления HTTP→HTTPS. Дальше начинаются отличия.
Nginx предлагает ручные карты map, регулярные выражения в location, хитрые конструкции с set и if. Это мощь для сложных задач: версионирование API по префиксам, перенаправления по странам/AS, гибкий canary за счёт split_clients и weight на upstream. Но сложность растёт пропорционально функционалу.
Traefik мыслит в терминах роутер→сервис→middleware. Весовые балансировки и канареечные релизы реализуются декларативно. Плюс: удобно раскатывать A/B без «магии» в конфиге и без глубокого знания директив.
Caddy акцентирует читаемость. Для статичных сайтов и микросервисов без экстремальной логики достаточно нескольких строк на хост. Балансировка и простые правила реализуются быстро, сложные сценарии тоже возможны, но выражаются более компактно, чем громоздкие блоки в традиционных конфиг‑файлах.
gRPC, WebSocket, HTTP/2/3 и прокси‑детали
Все три умеют корректно проксировать WebSocket и gRPC, но требуют точных настроек. Важные практики: отключать неуместное сжатие для бинарных потоков, указывать таймауты, обеспечивать поддержку h2 или h2c по ситуации, прокидывать нужные заголовки (X-Forwarded-*, Upgrade, Connection).
По HTTP/3: Caddy и современные сборки других прокси дают нативную поддержку QUIC; это полезно для мобильных клиентов и сетей с потерями. Nginx поддерживает этот стек в актуальных релизах, но в проде всё равно стоит тщательно мерить, нужна ли выгода именно вашей аудитории и не упираетесь ли вы в промежуточные устройства.
Производительность, ресурсы и стоимость владения
В голых бенчмарках на статике и простых прокси‑сценариях Nginx традиционно показывает отличную RPS/latency и низкую память. Однако разница с современными реализациями на Go (Traefik, Caddy) в большинстве реальных задач с TLS и приложениями за прокси перестаёт быть критичной. Куда важнее:
- насколько просто внедрить обновления без простоя;
- насколько удобно команде поддерживать конфигурацию и объяснять её коллегам;
- как быстро вы сильно меняете маршруты (частые релизы микросервисов);
- есть ли встроенные метрики/дашборды;
- как управляется TLS и хранилище сертификатов.
Если измерять «стоимость владения» в человеко‑часах, контейнер‑нативность Traefik быстро окупается в активных стэках. Для систем, где важны тонкие оптимизации и сложные политики кеширования, Nginx остаётся трудовой лошадкой. Caddy выигрывает там, где ценят лаконичность и современный TLS из коробки.
Наблюдаемость, метрики и логи
Traefik даёт метрики (например, формат, совместимый с популярными системами мониторинга) и понятный дашборд, имеет настраиваемые access‑логи, трейсинг и построение разрезов по роутерам/сервисам. Для платформенной команды это означает меньше времени на «обвязку».
Nginx предоставляет мощные access‑логи с гибкой лог‑формой, детальные error‑логи. Для сбора метрик обычно добавляют сторонний экспортер и правила агрегации. С другой стороны, гибкость логов и зрелость инструментария позволяют строить очень точные панели и алерты.
Caddy пишет структурированные логи и управляется через API. Для метрик могут понадобиться дополнительные модули. Порог входа для команды при этом низкий: «увидеть проблему» и «быстро поменять правило» — реально в минуты.
Безопасность на периметре
Общий минимум: TLS 1.2+ (по возможности 1.3), корректные шифры, HSTS, безопасные перенаправления, запрет устаревших протоколов, строгая гигиена заголовков, фильтры на размер тела запроса (client_max_body_size и аналоги), тюнинг таймаутов и буферов, защита от медленных клиентов, корректная передача реального IP (Proxy Protocol, X-Forwarded-For) и защита от спуфинга.
Из коробки у Traefik есть удобные middleware: базовая аутентификация, лимиты, редиректы, заголовки. У Nginx всё это делается директивами, иногда с участием вспомогательных модулей и карт. В Caddy — простыми блоками в конфиге. Везде есть mTLS, но уровень усилий разный: в Traefik и Caddy включается парой настроек, в Nginx мощно и гибко, но многословно.
Compose‑схемы: стартовые паттерны
Traefik: динамика из Docker labels и авто‑TLS
version: "3.8"
services:
traefik:
image: traefik:v3.0
command: --providers.docker=true --entrypoints.web.address=:80 --entrypoints.websecure.address=:443 --certificatesresolvers.le.acme.tlschallenge=true --certificatesresolvers.le.acme.email=admin@example.test --certificatesresolvers.le.acme.storage=/acme/acme.json
ports:
- "80:80"
- "443:443"
volumes:
- /var/run/docker.sock:/var/run/docker.sock:ro
- traefik-acme:/acme
app:
image: containous/whoami
labels:
- "traefik.enable=true"
- "traefik.http.routers.app.rule=Host(`app.example.test`)"
- "traefik.http.routers.app.entrypoints=websecure"
- "traefik.http.routers.app.tls.certresolver=le"
volumes:
traefik-acme:
Здесь маршруты появляются автоматически из labels; TLS выдаётся и продлевается без внешних инструментов. Хранилище сертификатов вынесено в том для устойчивости.
Caddy: лаконичный конфиг и современные протоколы
# Caddyfile
app.example.test {
reverse_proxy app:8080
}
version: "3.8"
services:
caddy:
image: caddy:2
ports:
- "80:80"
- "443:443"
volumes:
- ./Caddyfile:/etc/caddy/Caddyfile:ro
- caddy-data:/data
- caddy-config:/config
app:
image: containous/whoami
expose:
- "8080"
volumes:
caddy-data:
caddy-config:
Авто‑HTTPS включается по умолчанию. Важно: данные ACME хранятся на постоянном томе, чтобы переживать рестарты без повторных выдач сертификатов.
Nginx: явные upstream и серверные блоки
# nginx.conf (фрагмент)
http {
upstream app_backend {
server app:8080;
}
server {
listen 80;
server_name app.example.test;
location / {
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_pass http://app_backend;
}
}
}
version: "3.8"
services:
nginx:
image: nginx:alpine
ports:
- "80:80"
volumes:
- ./nginx.conf:/etc/nginx/nginx.conf:ro
app:
image: containous/whoami
expose:
- "8080"
Для TLS добавьте внешний менеджер сертификатов, смонтируйте ssl_certificate/ssl_certificate_key, и делайте soft reload при ротации.
Обновления без простоя и горячая конфигурация
Traefik применяет изменения на лету при появлении/исчезновении контейнеров; нативная динамика — его сильная сторона. Caddy умеет «мягкое» обновление конфигурации через API или перезагрузку процесса с удержанием соединений. Nginx традиционно делает graceful reload, не разрывая активные запросы, если конфиг валиден. Важно автоматизировать валидацию конфигов до применения, иначе вместо обновления получите отказ.
Чек‑лист выбора под контейнерный стэк
- Вы часто добавляете/удаляете сервисы, нужна авто‑регистрация по labels, встроенные метрики и авто‑TLS — выбирайте Traefik.
- Нужен ультра‑простой читабельный конфиг, авто‑HTTPS, HTTP/3, минимум движущихся частей — Caddy хорошая стартовая точка.
- Нужны сложные правила переписывания, тонкая настройка кешей/буферов/таймаутов, максимум контроля, совместимость с устоявшимися практиками — берите Nginx.
Отдельный аргумент — зрелость команды. Если разработчики активно правят конфиги сами, Caddy/Traefik часто воспринимаются проще. Если у вас выделенные админы и «чем сложнее — тем лучше» ради контроля, Nginx раскроется по максимуму.
Частые грабли и анти‑паттерны
Первое — потеря хранилища ACME в контейнере. После рестартов прокси будет повторно выпускать сертификаты и быстро упрётся в лимиты. Решение: постоянный том и единая зона хранения на всех экземплярах.
Второе — забытые таймауты/буферы. Для долгих загрузок и стриминга увеличивайте параметры прокси, иначе получите обрывы и странные 502/504. Не забывайте про ограничения тела запроса, чтобы не выстрелить себе в ногу на крупных загрузках.
Третье — грабли с gRPC: несоответствие h2/h2c, неверные заголовки, прокси‑компрессия. Проверяйте протокол на всём пути, отключайте лишнее сжатие, тестируйте двунаправленные стримы.
Четвёртое — real IP за балансировщиками/CDN. Корректно настраивайте доверенные источники, X-Forwarded-For и Proxy Protocol, иначе аналитика и лимиты по IP превратятся в хаос.
Пятое — перегенерация конфигов без валидации. Любая ошибка в шаблоне — мгновенный даунтайм. Встраивайте проверку синтаксиса, тестовые контейнеры и «сухой прогон» перед релизом.
Практические примечания по эксплуатации
Определите стандарт логирования: единая JSON‑форма access‑логов, обязательный X-Request-ID, корреляция с логами приложений. Это в разы ускоряет RCA инцидентов.
Сделайте слой общих «гигиенических» заголовков на входе: запрет неиспользуемых методов, безопасные политики кэша для приватных ответов, минимально необходимые заголовки кэш‑пробития. И держите список разрешённых входящих заголовков, остальные — отброс.
Тюнингуйте TLS: используйте ECDSA‑сертификаты там, где можно, включайте OCSP stapling, продумывайте политику HSTS и план отката. На части клиентов нужен dual‑stack (ECDSA+RSA) — все три прокси это поддерживают.
Продумайте стратегию «тёплого» обновления. Для Nginx и Caddy добавьте предварительную проверку конфигов в пайплайн; для Traefik — валидируйте labels, используйте staging‑аккаунты ACME при массовых изменениях доменов.
Итоги
Если ваша контейнерная платформа живёт постоянными релизами, а команда хочет минимум скриптов вокруг — берите Traefik: динамический провайдер Docker, авто‑TLS, middleware и метрики экономят недели. Если цените лаконичность и одновременно хотите современный TLS/HTTP/3 «без танцев» — Caddy даст отличный баланс простоты и мощности. Если нужны экстремальный контроль, сложные rewrite/кэш‑сценарии, специфичные оптимизации — Nginx остаётся эталоном предсказуемости и зрелости.
В реальности часто уместны гибридные схемы: фронт на Nginx для «тяжёлых» фич, а внутренняя маршрутизация на Traefik для сервисов разработки; или Caddy для публичных статических сайтов с автогенерацией доменов. Выбор стоит делать от требований и компетенций команды, а не «по привычке». Так ваш reverse proxy будет помогать релизам, а не тормозить их.
