Exposition sécurisée de la stack souveraine et bilan

Le socle tourne, l'assistant répond — mais rien de tout cela n'est encore joignable en sécurité. Cette dernière étape du fil rouge place une façade devant la stack : Traefik termine le TLS, redirige le trafic en clair, et impose une authentification avant le moindre accès au service. Le backend, lui, n'est jamais exposé directement. Le guide montre la façade Traefik validée, présente l'authentification de production avec authentik en forward-auth, puis dresse le bilan : observabilité de la stack et comparaison de coûts avec une approche par API tierce. Public visé : développeur prêt à rendre la stack souveraine utilisable par de vrais utilisateurs.

Ce que vous allez apprendre

• Placer Traefik en façade d'une stack et router vers un backend non exposé.
• Terminer le TLS et rediriger HTTP vers HTTPS.
• Imposer une authentification avant d'atteindre le service.
• Le principe d'authentik en forward-auth pour la production.
• Lire le bilan : observabilité et coûts de la stack.

Prérequis

• Le socle, l'assistant et l'observabilité FinOps du fil rouge.
• Avoir vu le déploiement derrière Traefik et l'authentification authentik.
• Docker.

Traefik : la façade de la stack

Jusqu'ici, les services de la stack étaient liés à 127.0.0.1 — joignables depuis l'hôte, invisibles ailleurs. Pour servir de vrais utilisateurs, il faut une porte d'entrée, et une seule : un reverse proxy.

Traefik joue ce rôle. Il est le seul composant exposé au réseau ; tout le reste vit derrière lui. Il découvre les services via le provider Docker, et route chaque requête vers le bon backend selon des règles.

assistant:
  image: traefik/whoami:v1.10.3@sha256:...
  networks:
    - exposition
  # Aucune clé "ports" : le backend n'a pas de surface d'exposition.
  labels:
    - "traefik.enable=true"
    - "traefik.http.routers.assistant.rule=PathPrefix(`/`)"
    - "traefik.http.routers.assistant.entrypoints=websecure"
    - "traefik.http.routers.assistant.tls=true"

Le point décisif : le backend n'a aucune ligne ports. Il n'est joignable que par Traefik, sur le réseau interne. Le lab du guide remplace l'assistant par whoami — un service de diagnostic minimal — pour valider la façade ; le principe est identique avec le vrai assistant.

TLS et redirection HTTP

Une stack exposée sans chiffrement laisse passer les questions des utilisateurs et les réponses en clair. Traefik termine le TLS : il présente le certificat, déchiffre, et transmet en clair au backend sur le réseau interne — qui, lui, n'est pas exposé.

command:
  - "--entrypoints.web.address=:80"
  - "--entrypoints.web.http.redirections.entrypoint.to=websecure"
  - "--entrypoints.web.http.redirections.entrypoint.scheme=https"
  - "--entrypoints.websecure.address=:443"

Deux points d'entrée sont déclarés : web (HTTP, port 80) et websecure (HTTPS, port 443). La directive de redirection envoie tout le trafic HTTP vers HTTPS — aucune requête en clair n'atteint le service.

Certificat : auto-signé en lab, Let's Encrypt en production

Le lab s'appuie sur le certificat auto-signé que Traefik génère par défaut — suffisant pour valider la mécanique, d'où les requêtes de test en verify=False. En production, on configure le résolveur ACME de Traefik : il obtient et renouvelle automatiquement un vrai certificat Let's Encrypt. La façade ne change pas — seul le certificat devient public.

Une authentification devant le service

Le TLS protège le transport ; il ne dit pas qui a le droit d'entrer. Il faut une authentification, et elle doit s'appliquer avant que la requête n'atteigne le backend.

Traefik exprime cela par un middleware — un traitement inséré sur la route. Le middleware d'authentification intercepte chaque requête : sans identifiants valides, elle est rejetée ; le backend n'est jamais sollicité.

labels:
  - "traefik.http.routers.assistant.middlewares=gate"
  - "traefik.http.middlewares.gate.basicauth.usersfile=/users.htpasswd"

Le lab utilise l'authentification basique — un fichier de comptes — pour valider le mécanisme : une requête sans identifiants reçoit un 401, une requête authentifiée atteint le backend. Le test le vérifie dans les deux sens. C'est le patron qui compte : un middleware ferme la route, et rien ne passe sans y être autorisé.

authentik en forward-auth pour la production

L'authentification basique suffit à un lab, pas à un service réel : pas de gestion d'utilisateurs, pas de session, pas de double facteur. En production, on remplace le middleware basique par un forward-auth branché sur authentik.

Le forward-auth est un middleware Traefik d'un genre particulier : à chaque requête, il interroge un service d'authentification — ici authentik. Si l'utilisateur a une session valide, la requête passe ; sinon, authentik le redirige vers une page de connexion. L'authentification cesse d'être une affaire de Traefik : elle devient le métier d'un fournisseur d'identité complet.

# Le middleware interroge l'outpost authentik avant chaque requête.
- "traefik.http.middlewares.authentik.forwardauth.address=http://authentik:9000/outpost.goauthentik.io/auth/traefik"

authentik apporte alors tout ce que la basic-auth n'a pas : comptes et groupes, session, double authentification, connexion à un annuaire, OAuth/OIDC. Le guide sur l'authentification MCP déploie authentik pas à pas — c'est le même service d'identité, ici branché en forward-auth plutôt qu'en fournisseur OAuth.

Le patron reste le même

Que l'authentification soit une basic-auth ou un forward-auth vers authentik, le patron Traefik est identique : un middleware sur la route, qui décide avant le backend. Passer de l'un à l'autre, c'est changer une ligne de configuration du middleware — pas l'architecture. On commence simple, on durcit ensuite.

Observabilité de la stack

Une stack en production se surveille. L'observabilité de la stack souveraine se construit à trois niveaux, déjà rencontrés dans le parcours.

Les journaux structurés d'abord : chaque composant — l'assistant, Traefik, la passerelle — émet des enregistrements exploitables. Le guide sur le RAG en production a montré comment journaliser chaque requête de l'assistant : question, sources, latence.

Les métriques ensuite : Traefik expose un endpoint de métriques — nombre de requêtes, codes de réponse, latences. La passerelle LiteLLM suit la consommation des modèles. Agrégées, ces métriques montrent l'état de santé du service.

La traçabilité du RAG enfin : pour un assistant, savoir pourquoi une réponse a été donnée — quels chunks, quelles sources — est aussi important que les métriques système. C'est ce que la journalisation de l'assistant rend possible.

À ces trois niveaux techniques s'ajoute la dimension FinOps : l'étape précédente du fil rouge a ajouté un serveur MCP qui mesure les conteneurs, leurs ressources et le coût de la stack. L'observabilité n'est pas un module à part : elle est la somme de ce que chaque composant expose — journaux, métriques, traçabilité RAG et coûts —, rassemblée en un endroit où on peut la lire.

Le bilan : self-hosted et API tierce

La stack souveraine a un coût — il serait malhonnête de le taire. Mais ce coût a une structure différente de celle d'une approche par API tierce, et c'est cette différence qui guide le choix.

Une approche par API tierce a un coût opérationnel : on paie à l'usage, chaque requête, chaque token. Le coût est nul au repos et croît avec l'usage — sans plafond intrinsèque.

Une stack self-hosted a un coût d'infrastructure : le matériel — un serveur avec GPU — et l'électricité qu'il consomme. Ce coût est fixe : il ne dépend pas du nombre de requêtes. Il est prévisible, connu d'avance.

Critère	API tierce	Stack self-hosted
Structure de coût	À l'usage (opérationnel)	Fixe (matériel + électricité)
Au repos	Nul	Constant
À fort volume	Croît sans plafond	Inchangé
Données	Transitent par un tiers	Restent sur l'infrastructure
Mise en route	Immédiate	Installation à faire

Glissez pour voir

Il n'y a pas de réponse universelle. Pour un usage faible ou irrégulier, l'API tierce évite d'immobiliser du matériel. Pour un usage soutenu, ou dès que la maîtrise des données est un prérequis, la stack self-hosted reprend l'avantage — son coût fixe se dilue dans le volume, et les données ne sortent jamais. Le fil rouge a montré que cette stack est atteignable ; le bilan dit dans quels cas elle est pertinente.

Dépannage

Symptôme	Cause probable	Solution
Le backend est joignable en direct	Une clé ports traîne sur le service	La retirer — seul Traefik expose
404 sur toutes les routes	traefik.enable absent ou règle erronée	Vérifier les labels du backend
Pas de redirection HTTP → HTTPS	Redirection non déclarée sur web	Ajouter la directive de redirection
Le middleware d'auth ne s'applique pas	Middleware non référencé par le routeur	Lier le routeur au middleware
Certificat invalide en production	Résolveur ACME non configuré	Configurer Let's Encrypt dans Traefik

Glissez pour voir

À retenir

• Traefik est l'unique composant exposé ; tout le reste vit derrière lui.
• Le backend n'a aucun port publié — il n'est joignable que via le proxy.
• Traefik termine le TLS et redirige tout le trafic HTTP vers HTTPS.
• Un middleware impose l'authentification avant le backend.
• En production, le middleware basique cède la place à authentik en forward-auth.
• Le coût d'une stack self-hosted est fixe et prévisible — à arbitrer selon le volume d'usage.

Prochaines étapes

Architecture de la stack souveraine Revenir au tableau d'ensemble — le fil rouge est complet.

L'assistant documentaire Le service que cette façade protège et expose.

Authentification MCP avec authentik Déployer authentik, le fournisseur d'identité du forward-auth.

RAG en production L'observabilité et l'évaluation, approfondies.

×

📖 Voir la documentation →