LINUX.ORG.RU
ФорумAdmin

Админка для локальных контейнеров и reverse proxy

 , , ,


0

3

Всем привет!

Админ локалхоста на связи. На этом локалхосте работают:

  • nginx как reverse proxy
  • десяток контейнеров в докере
  • Portainer для управления докерами/мониторинга ресурсов
  • certbot для получения сертификатов
  • самописный dns скрипт, дёргающий api регистратора при изменении внешнего адреса, добавлении или удалении доменов.
  • зачаточный дашборд

В результате получается огромное количество ручной работы: для каждого контейнера надо настроить nginx, запустить dns скрипт, чтобы добавить домен, перевыпустить сертификат. Может быть кто-то может посоветовать что-то для оптимизации/автоматизации/организации всего этого?

Я видел контейнер SWAG, который, по идее, должен заменить/автоматизировать nginx + certbot. Есть ещё Nginx proxy manager, который, вроде, это тоже как-то умеет. Можно, в принципе, поменять nginx на traefic, если это упростит управление.

★★★★★

Последнее исправление: vitruss (всего исправлений: 2)
Ответ на: комментарий от thesis

У меня стоит:

  • Portainer
  • Authelia для унификации авторизации и защиты сайтов (пока, к сожалению, работает ограниченно)
  • RSS-агрегатор, чтобы читать с разных устройств
  • Дашборд для удобного доступа к моим закладкам
  • Home Assistant
  • Syncthing
  • VS-codium
  • Photoprism

Получилось пока 8, но ещё не вечер…

vitruss ★★★★★
() автор топика
Ответ на: комментарий от mgdz

Спасибо за ответ!

Я немного читал про него, но у меня остались вопросы:

  • Если в будущем надо будет переадресовать ещё на другую машину (например отдельное устройство для Home Assistant), можно ли это будет организовать?
  • Вроде бы, все контейнеры должны быть в bridge по умолчанию, это так?
  • Есть ли там какой-то вариант выполнения произвольного скрипта, при обновлении конфигурации? Чтобы он дёргал мой локальный dns обновлятель.
  • Что значит cloud-native работа с докерами?
  • Я правильно понимаю, что всё это настраивается в compose файлах?
vitruss ★★★★★
() автор топика
Последнее исправление: vitruss (всего исправлений: 2)
Ответ на: комментарий от zolden

Спасибо!

А есть ли там какой-то вариант выполнения произвольного скрипта, при обновлении конфигурации? Чтобы он дёргал мой локальный dns обновлятель.

vitruss ★★★★★
() автор топика
Ответ на: комментарий от vbr

Спасибо за ответ!

  • Я правильно понял, что с caddy будет такое минималистичное решение, он просто будет работать как reverse proxy и автоматически обновлять сертификаты, и всё это без большого числа конфигов и дашборда?
  • А если мне надо будет reverse proxy на другое устройство, это же можно сделать?
  • При добавления нового контейнера надо будет прописать всё руками?
vitruss ★★★★★
() автор топика

Nginx proxy manager

traefic

Что из этого можно использовать, если белый IP есть, но на другом конце туннеля Wireguard? И тот IP динамический. Только ручками настраивать? Настраивал nginx reverse proxy на роутере (там больше ничего и нет), но на роутер шла большая нагрузка.

зачаточный дашборд

Не dashy случайно?

NyXzOr ★★★★
()
Ответ на: комментарий от NyXzOr

Dashy, он самый…

Как я понимаю, nginx точно можно использовать, а для проблемы динамического белого IP просто нужен ddns. До тех пока внутри твоей сети не меняются адреса, всё должно быть достаточно просто.

vitruss ★★★★★
() автор топика
Ответ на: комментарий от vitruss

Пробросить можно и на другую машину, но запускать неуправляемые докеры на нескольких разных машинах и оркестрачить это все руками.. ну.. можно, наверное, но неудобно.

Контейнеры должны быть доступны по ip. Это единственное условие. Будут они в одном бридже, или будут размазаны на десяток стоек и связаны через vxvlan - не важно.

Не знаю, честно, можно ли там вешать какие-то хуки на обновление конфигурации. Никогда у меня такой необходимости не возникало.

клауд-нейтив значит, что траефик с докером дружит не просто на уровне врукопашную написанных конфигов, с руками прибитыми айпишниками, но и может сам отследить адрес вновь запущенного контейнера, как минимум. может сам узнать какой порт контейнер экспозит. В общем - очень плотно дружит с докер-демоном.

Настраивается траефик разными развесистыми способами. и как статичный файл конфигурации, и как флаги запуска, и как теги докера. и каждый способ для чего-то лучше других.

mgdz
()
Ответ на: комментарий от vitruss

У меня кадди работает на одном проекте вместо нгинкса, как реверс-прокси. Он сам практически без конфигурации получает сертификат через le. Весь его конфиг это

mysite.com {
  reverse_proxy http://mysite
}

Можно ли автоматом добавлять новые адреса для новых контейнеров я не знаю.

vbr ★★★★
()
Ответ на: комментарий от mgdz

Интересно, посмотрю, спасибо!

Докеры все на одной машине, на второй если и будет что-то, то отдельный веб сервис, работающий на хостовой ОС.

vitruss ★★★★★
() автор топика