Valid TLS cert belső hálón

Sziasztok!

Van itthon egy kis szerverem ami a haztartashoz nelkulozhetetlen szolgaltatasokat nyujtja: plex, rtorrent-flood, pi-hole, unifi-controller, netbootxyz, netdata, elk stb stb. :)
A fenti szolgaltatasok jelenleg docker alatt futnak compose-al felhuzva mindegyik.

Szertnem, ha ezeket nem kulonallo portokon (mindig elfelejtem), hanem kanonikus neven ernem el (plex.valami.hu), raadasul alairt tanusitvannyal. A valami.hu jatszos domaint el tudom erre hasznalni, gyakorlatilag G-suite van hozza csak es gmail levelezesen kivul masra nem hasznalom.

Van egy tervem ra, de hatha van valakinek jobb otlete:

- Atrakom a valami.hu-t AWS Route53-ra a jelenlegi mezei nevszerverekrol, csinalok egy IAM role-t ami csak ezt a domain tudja modositani
- Rakok egy Traefik-et a docker ele
- Traefik-et bekotom Route53-ba, *.otthon.valami.hu-ra kerek vele tanusitvanyt, rabizom a megujitast
- Pi-hole-on dnsmasq.d/otthon.valami.hu.conf-ba: address=/otthon.valami.hu/gepipcime
- Docker compose-t felcicomazom a Traefik-es labelekkel, pl:  - "traefik.frontend.rule=Host:plex.otthon.valami.hu"

Igy nem kell beengednem a Let'sEncrypt-et, hogy validalja a domaint, megoldja DNS-el. Raadasul ha a szolgaltatom ugy dont, hogy bevag NAT moge, akkor is mukodik minden tovabb itthon, tanusitvany meg tudj ujulni.

Van a gepen egy jatszos Kube is (k3s), ha ugy dontok, hogy kilep szegeny a szado-mazo allapotbol akkor atmigralhatom ala mindet es a traefik is maradhat kis modositassal.
A jelenlegi docker-compose file-ok githubon vannak privat repoban, portainerrel rakom ki. Ezt most cserelm eppen github actions-re egy self-hosted runnerrel, mert eleg gany, hogy portainerrel kezzel kell kattintgatni, ha valtozas van.

Ti hogy csinalnatok?

Hozzászólások

ha ezek csak otthoni cuccok, es a nagyvilag (=idegenek) nem hasznalja, nem szarakodnek ilyen sok fiszfasszal. sajat CA, importalom arra a 10-15 helyre (nyilvan ha valahova nemlehet de fontos, akkor az dealbreak...), utana olyan certet csinalok amit akarok . ha meg haver/rokon is akarja hasznalni, akkor importalja o is :)

A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!

hany eszkoz van nalad? :) ha csak mindegyikre max 5 percet szansz, akkor is 1-2 ora alatt megvagy. ezeket az eszkozoket meg majd folyamatosan tutujgatni kell, lehet egyszerre nem sok ido, de hosszutavon sok lesz

A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!

Arra vagyok kivancsi, hogy nem-e overengineered-e ez itthonra?

néző pont kérdése, hogy mit akarsz otthon csinálni, kik használják majd és mennyien. Bár én személy szerint úgyis üzemeltetek nameserver-t, így kézenfekvő volt egy certbot pluginnal megoldani a tanusítványok beszerzését, reverse proxy-m is van.. szóval nekem ennyi... amióta van dns challange azóta ez így megy...

Szerintem nem overengineering. Legalábbis én is csinálok hasonlót :)

Nálam a fő domain a név->IP hozzárendelésekkel a Cloudflare-nél van (ingyenes csomag), de a DNS validációra használt TXT rekordok már az ns1-nél vannak (szintén ingyenes).

Ez utóbbi az _acme-challenge rekordos átirányítással van megoldva, és azért láttam szükségesnek, hogy lehessen külön DNS API key ahhoz, hogyha a host1.valami.hu, valamint külön API key a host2.valami.hu nevekhez. Ennek oka, hogyha ezek egymástól független gépek, és az egyikről kiszivárog a DNS módosításhoz használt API key, az ne érintse a többi hostot vagy a Cloudflare-nél hosztolt fő domaint.

Ez a szeparálás egyébként megoldható csak AWS Route53-mal is, csak ott drágább, mert ha tényleg így akarod, akkor külön alzóna kell minden egyes hosthoz, mert IAM role csak zóna hozzáférésre szabályozható, külön-külön rekordra ugyanazon zónán belül nem (legalábbis nem tudok róla). És az AWS az minden egyes zónáért felszámol havi díjat.

Kosznom, en is arra jutottam, hogy nekiugrok, vegulis par ora alatt megvan.

Nekem itt egy gep lesz es egy domain igy megoldva, igy egy IAM role megoldja. Van nekem is ket sajat authoritative ns-em, kb 1000 domaint szolgal ki, de nem szeretnem azt most belekeverni ebbe pont az altalad is emlitett biztonsagi aggalyok miatt.

Mukodik is. Gyakorlatilag egy ora alatt megvolt a domain koltoztetessel egyutt.