Conseils et avis sur ma config Docker

Si il y a des amateurs éclairés de Docker je lance une petite bouteille à la mer.

J’ai fais récemment l’acquisition d’un beau DS920+ pour remplacer mon Xpenology un peu fatigué (c’est ça quand on compte sur du matériel de récup). J’en ai profité pour revoir un peu la config des différents services que j’utilisais.
Donc en gros j’avais sur le Xpen :
Serveur DHCP en natif
Serveur DNS local en natif
AdGuard Server en docker
Sonarr / NZBget en natif
Radarr en docker
HomeBridge en docker
Controlleur Unifi en docker

Sur mon DS920+ j’ai tout remonté en Docker (je suis repassé à PiHole qui fait également DNS cette fois et j’ai ajouté un Mumble aussi), car les paquets natifs ne sont pas encore à jour et sont parfois presque abandonnés. Pour que ça soit plus « jolie » sur mon réseau et que 1password me propose pas 10 login pour chaque service j’ai configuré tout ce petit monde sur un réseau macvlan.
Jusqu’ici tout va bien, de ma machine j’accède bien à tous les services et tous les services accède bien à internet. MAIS, le peu de service que je fais encore tourner en natif sur le Synology (du style le serveur VPN) ne peuvent pas accéder aux containers :/, j’ai bien compris que c’était une limitation logique du mode « macvlan » mais y-a-t-il une astuce pour contourner le problème ?

Avant même d’avoir tester avec le VPN du Syno j’ai tenté d’utiliser le reverse proxy natif du Syno et forcément j’ai le même soucis.

Après un test sur le VPN Unifi j’accède à mes container, on va dire que c’est une semi-solution :smiley:

1 J'aime

Je vois que mes histoires de Docker ne déchaînent pas les passions :smiley:

Dans la continuité, pour ceux qui ont quelques containers qui tourner, vous utilisez un système d’automatisation pour les mettre à jour ?

J’ai sensiblement la meme config que toi, a savoir ceci :

Hormis mettre les config proprement la ou je veux pour remonter les container facilement en cas de besoin non, rien de plus. Et je suis un sauvage, j’update les apps dans les containers, parce que #osef
Et ouais, c’est un peu relou avec les remplisseur de mdp, mais bon, j’ai viré tout les mdp pour la peine.

Et sinon, tu pouvais garder AdGuard hein, ca fait dns et dhcp.

Effectivement, on est pas loin.

Le seul « risque » que je vois à mette à jour les contenus et pas le conteneurs c’est si une mise à jour se passe mal et qu’il faut refaire le conteneur alors qu’il n’est pas assez à jour par rapport à la config qui est resté en place. (je ne sais pas si je suis clair)

Coté mot de passe, même si je n’ai rien de fondamentalement critique sur ces services (à part Unifi quand même) je préfère jouer la sécurité minimal et avoir des accès par mot de passe.

Pour AdGuard j’ai hésité à le garder, mais je voulais donner sa chance à PiHole v5, pour mon utilisation c’est kif-kif.

Ha ben j’aurai preferé garder PiHole, mais son manque de support de DNS IPV6 m’en a empeché.
Et sinon, globalement, je vois pas le souci avec les update. Deja parce que mettre a jour les apps directement t’es a peu pret assuré que la migration est gerée par l’app, version apres version, ce qui n’est pas forcement le cas quand tu met a jour le container directement. Et si faut refaire le container ben, tant pis hein, c’est pas comme si j’en avais 10000.

En tout cas, dans ma config perso, le plus relou, ca a été de me faire un slave smokeping dans un docker windows :slight_smile:

Personnellement j’ai une Fedora CoreOS (qui est un OS qui s’update tout seul, très schématiquement) et qui me choppe l’image latest de toutes les conteneurs des apps que j’ai d’installées après son redémarrage (c’est plutôt kamikaze ça aussi).
Sinon pour tes conteneurs, il doit logiquement avoir moyen de mettre à jour les règles IPtables générées par Docker pour « casser » l’isolation des VLANs depuis l’hôte local mais ça me semble casse gueule …

Je verrais à l’usage, mais tant que j’ai accès à mes containers de l’exterieur en VPN je survivrais. C’est pas du vrai VLAN ce genre d’isolation vu qu’au final j’ai tout sur la même plage IP.

oui du coup il doit avoir moyen de se caler sur le bridge utilisé par Docker mais les règle IPtables font la police dans le réseau interne à plat. Donc ce ne sont pas des VLANs à proprement parler mais la séparation existe.

Mais non! C’est pas des mini VMs!

Boah, pour sonarr radarr et cie, ca s’update en 2 click depuis l’admin, et ca marche. Ya un souci avec ca ?

Pour la sécu des conteneurs:

  • pas de vlan
  • Conteneur bindées sur 127.0.0.1 (le host uniquement du coup)
  • Caddy en tant que Front
  • Accès par user/pass Basic (sur https avec Caddy)
  • Box en brigde
  • Router qui route certains ports vers mon server (ex: *:443 -> server:443)

J’ai donc accès à mes conteneurs depuis l’extérieur par mot de passe. Je n’ai que quelques conteneurs donc ça passe.

Pour les updates, je le fais à la main quand je vois que le Changelog apporte des choses et docker-compose up à la main.

En retard mais pour l’histoire des conteneur en macvlan non accessible par l’hôte j’ai utilisé cette solution (aucune idée de si c’est aisé sur un Syno) et pour les maj watchtower.

Je crois que j’avais déjà survolé cette solution mais vu que je ne maîtrise pas encore la gestion réseau sur docker j’ai un peu peur de tout casser.

Pour les maj j’ai effectivement vu watchtower mais je pense que je vais pour l’instant suivre la « mauvaise » manière de AnA-l.

Perso, tant que les fichiers de config sont bien mappés et sauvés, le reste, je peut drop le container, en refaire un, rien a faire :slight_smile:

Oui c’est tout con j’y avais pas pensé !

Si ça te parle je veux bien qu’on étudie mon cas pour que je fasse pareil sans tout casser :smiley:

Si t’es pas trop pressée on se fait signe la semaine avant le 15 août. Je suis en vacances la semaine qui va arriver.

Non y a vraiment pas d’urgence.

En gros j’ai monté mon réseau comme ça :

IP fixe du LAN :
routeur : 192.168.166.1
pont hue : 192.168.166.2
switch poe : 192.168.166.3
reservé pi « controleur cam » : 192.168.166.4
xpenology : 192.168.166.5
DS920+ : 192.168.166.6
switch hp 192.168.166.39

et ensuite j’ai mon macvlan à partir de 192.168.166.40 pour mes container
homebridge 192.168.166.40
unifi 192.168.166.41
PiHole 192.168.166.42
sonarr 192.168.166.43
nzbget 192.168.166.44
mumble 192.168.166.45
bazarr 192.168.166.46

Mon DHCP sur le LAN distribue de 192.168.166.70 à 192.168.166.190

Et bien entendu j’ai un bridge de base dans le Docker en 172.17.0.0/16