Sziasztok!
Van itthon egy kis szerverem ami a haztartashoz nelkulozhetetlen szolgaltatasokat nyujtja: plex, rtorrent-flood, pi-hole, unifi-controller, netbootxyz, netdata, elk stb stb. :)
A fenti szolgaltatasok jelenleg docker alatt futnak compose-al felhuzva mindegyik.
Szertnem, ha ezeket nem kulonallo portokon (mindig elfelejtem), hanem kanonikus neven ernem el (plex.valami.hu), raadasul alairt tanusitvannyal. A valami.hu jatszos domaint el tudom erre hasznalni, gyakorlatilag G-suite van hozza csak es gmail levelezesen kivul masra nem hasznalom.
Van egy tervem ra, de hatha van valakinek jobb otlete:
- Atrakom a valami.hu-t AWS Route53-ra a jelenlegi mezei nevszerverekrol, csinalok egy IAM role-t ami csak ezt a domain tudja modositani
- Rakok egy Traefik-et a docker ele
- Traefik-et bekotom Route53-ba, *.otthon.valami.hu-ra kerek vele tanusitvanyt, rabizom a megujitast
- Pi-hole-on dnsmasq.d/otthon.valami.hu.conf-ba: address=/otthon.valami.hu/gepipcime
- Docker compose-t felcicomazom a Traefik-es labelekkel, pl: - "traefik.frontend.rule=Host:plex.otthon.valami.hu"
Igy nem kell beengednem a Let'sEncrypt-et, hogy validalja a domaint, megoldja DNS-el. Raadasul ha a szolgaltatom ugy dont, hogy bevag NAT moge, akkor is mukodik minden tovabb itthon, tanusitvany meg tudj ujulni.
Van a gepen egy jatszos Kube is (k3s), ha ugy dontok, hogy kilep szegeny a szado-mazo allapotbol akkor atmigralhatom ala mindet es a traefik is maradhat kis modositassal.
A jelenlegi docker-compose file-ok githubon vannak privat repoban, portainerrel rakom ki. Ezt most cserelm eppen github actions-re egy self-hosted runnerrel, mert eleg gany, hogy portainerrel kezzel kell kattintgatni, ha valtozas van.
Ti hogy csinalnatok?
- 541 megtekintés
Hozzászólások
https://doc.traefik.io/traefik/https/acme/#providers
oda rakod ahova csak akarod. dnschallange-re is van rengeteg helyen lehetőséged.
- A hozzászóláshoz be kell jelentkezni
Igen, ez sima, production-ben is mukodik par helyen Traefik.
Arra vagyok kivancsi, hogy nem-e overengineered-e ez itthonra?
- A hozzászóláshoz be kell jelentkezni
ha ezek csak otthoni cuccok, es a nagyvilag (=idegenek) nem hasznalja, nem szarakodnek ilyen sok fiszfasszal. sajat CA, importalom arra a 10-15 helyre (nyilvan ha valahova nemlehet de fontos, akkor az dealbreak...), utana olyan certet csinalok amit akarok . ha meg haver/rokon is akarja hasznalni, akkor importalja o is :)
A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!
- A hozzászóláshoz be kell jelentkezni
Gondoltam erre, egyszerubb megoldas, de kezzel importalni mobil eszkozokre tobb macera mint a fentit implementalni.
service-to-service eseten meg buildelhetem ujra a stock image-eket, hogy elfogadja a sajat CA-t.
- A hozzászóláshoz be kell jelentkezni
hany eszkoz van nalad? :) ha csak mindegyikre max 5 percet szansz, akkor is 1-2 ora alatt megvagy. ezeket az eszkozoket meg majd folyamatosan tutujgatni kell, lehet egyszerre nem sok ido, de hosszutavon sok lesz
A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!
- A hozzászóláshoz be kell jelentkezni
Tobb tucat eszkoz van itthon. Nem szeretnek self-signed certtel bajlodni amikor ezt meg lehet oldani meglevo technologiakkal elegansan is. Tutujgatni ezeket nem kell, pont azert keszultek, hogy automatizalja ezt a folyamatot.
- A hozzászóláshoz be kell jelentkezni
Arra vagyok kivancsi, hogy nem-e overengineered-e ez itthonra?
néző pont kérdése, hogy mit akarsz otthon csinálni, kik használják majd és mennyien. Bár én személy szerint úgyis üzemeltetek nameserver-t, így kézenfekvő volt egy certbot pluginnal megoldani a tanusítványok beszerzését, reverse proxy-m is van.. szóval nekem ennyi... amióta van dns challange azóta ez így megy...
- A hozzászóláshoz be kell jelentkezni
Szerintem nem overengineering. Legalábbis én is csinálok hasonlót :)
Nálam a fő domain a név->IP hozzárendelésekkel a Cloudflare-nél van (ingyenes csomag), de a DNS validációra használt TXT rekordok már az ns1-nél vannak (szintén ingyenes).
Ez utóbbi az _acme-challenge rekordos átirányítással van megoldva, és azért láttam szükségesnek, hogy lehessen külön DNS API key ahhoz, hogyha a host1.valami.hu, valamint külön API key a host2.valami.hu nevekhez. Ennek oka, hogyha ezek egymástól független gépek, és az egyikről kiszivárog a DNS módosításhoz használt API key, az ne érintse a többi hostot vagy a Cloudflare-nél hosztolt fő domaint.
Ez a szeparálás egyébként megoldható csak AWS Route53-mal is, csak ott drágább, mert ha tényleg így akarod, akkor külön alzóna kell minden egyes hosthoz, mert IAM role csak zóna hozzáférésre szabályozható, külön-külön rekordra ugyanazon zónán belül nem (legalábbis nem tudok róla). És az AWS az minden egyes zónáért felszámol havi díjat.
- A hozzászóláshoz be kell jelentkezni
Kosznom, en is arra jutottam, hogy nekiugrok, vegulis par ora alatt megvan.
Nekem itt egy gep lesz es egy domain igy megoldva, igy egy IAM role megoldja. Van nekem is ket sajat authoritative ns-em, kb 1000 domaint szolgal ki, de nem szeretnem azt most belekeverni ebbe pont az altalad is emlitett biztonsagi aggalyok miatt.
- A hozzászóláshoz be kell jelentkezni
Mukodik is. Gyakorlatilag egy ora alatt megvolt a domain koltoztetessel egyutt.
- A hozzászóláshoz be kell jelentkezni