Skip to content
linux-nerds.org

linux-nerds.org
  1. Übersicht
  2. Linux
  3. OpenCloud
  4. OpenCloud - Docker Compose Hetzner VM

OpenCloud - Docker Compose Hetzner VM

Angeheftet Verschoben OpenCloud
2 1 348
  • FrankMF

    Gestern Abend habe ich mal damit angefangen, eine OpenCloud auf einer Hetzner VM zu deployen. Die Anleitung dazu findet man -> https://docs.opencloud.eu/docs/admin/getting-started/container/docker-compose

    1. Versuch

    Mein erster Versuch ging ganz ordentlich in die Hose. Ich hatte also alle vier Domains ordentlich konfiguriert, also mit A und AAAA Eintrag. Nur die Docker Container mochten das irgendwie überhaupt nicht, weil sie kein DNS mehr hatten. Ich habe dann nach langem Suchen raus gefunden, das Hetzner in der /etc/network/interfaces.d/50-cloud-init alles auf IPv6 getrimmt hat. Auch alle DNS-Server usw. Da ich auf diesem Gebiet nicht unbedingt der Experte bin und ich eigentlich schnelle Ergebnisse sehen wollte 😉 , habe ich den Server einfach nochmal neu aufgesetzt, diesmal IPv4 only.

    2. Versuch

    So, das ganze nochmal als IPv4 only und die ganze Geschichte ging schon wesentlich besser voran. Ich habe mich weitestgehend an die Anleitung gehalten, außer das ich einen User angelegt habe, der die Docker Container deployed. Nachdem ich dann auch eine vernünftige DNS Auflösung hatte, ging das mit den LetsEncrypt Zertifikaten wie von Geisterhand 🙂

    Die Anleitung ist sehr gut, auch für Einsteiger zu verstehen. Grundkenntnisse einer Serveradministration, sollte man aber schon drauf haben.

    Die Pfade der Datenspeicherung angepasst und das Ganze deployt. Lief ohne Probleme auf Anhieb. Danach habe ich dann nftables eingerichtet, die offenen Ports sind 22, 80 und 443.

    e2c6b3de-3ca4-4b04-b23d-1bda7328e04f-grafik.png

    Danach, nachdem alles lief wie gewünscht, habe ich noch den Radicale Server aktiviert, auch dieser hat ein lokales Datengrab bekommen.

    docker compose down
docker compose up -d

    Und auch das war erledigt. Kurzer Test mit Handy und Thunderbird - funktioniert alles wie erwartet.

    Was mich dann noch verwundert hat, war dass das TLS Zertifikat nur einen 128-Bit-Schlüssel benutzt.

    2215953d-938c-4be5-9dc8-29f52989d98d-grafik.png

    Die künstliche Intelligenz befragt, vieles ausprobiert, bis sie dann meinte das das in Traefik hardcodiert ist, das erst 128 benutzt wird (weil schneller). Sie meinte dann, da sollte ich einen HAProxy vorbauen usw. Das Thema durchblicke ich noch nicht 100%, so lass ich das erst mal wie es ist.

    Ein normaler NGINX davor, wäre mir sowieso lieber, weil "das kennt man".

    Ich war geizig, zum Testen habe ich einen CX22 benutzt, der aber hier für meine gedachte Anwendung (NC Ersatz für mich alleine) durchaus reichen könnte.

    So, was bleibt auf der ToDo-Liste?

    • IPv6 Integration
    • NGINX vorschalten
    • s3 Integration

    Der NGINX würde auch das Problem mit AES_256 lösen 😉

    Fazit

    Für den erfahrenen Admin ist das ruck zuck zu installieren. Läuft auch auf meiner 2vCPU (1 Benutzer) ausreichend schnell. Das werde ich aber die nächsten Tage sicherlich noch intensiv testen, wenn ich mal ein paar GB an Bildern verschiebe.

    Das was ich als nächstes Testen möchte, das ich die Daten auf meiner Minio Instanz ablegen kann.

    Feedback und Tipps immer gerne gesehen.

    Der Post kann Werbelinks enthalten 😉

    Im Fediverse -> @FrankM@nrw.social

    1. NanoPi R5S
    2. Quartz64 Model B, 4GB RAM
    3. Quartz64 Model A, 4GB RAM
    4. RockPro64 v2.1
    0
  • FrankMF

    Ich habe mich nochmal mit verschiedenen Aspekten der produktiven Installation beschäftigt. Auch ein wenig die KI befragt und dann ein paar Änderungen vorgenommen. Was hatte mich gestört? Traefik lief als root.

    Um das zu ändern, habe ich das docker-compose.yml angepasst. Ich habe auch gleich mal auf die aktuelle Version angepasst.

    services:
  traefik:
    image: traefik:v3.4.1 #3.3.1
    container_name: traefik
    user: "1000:1001"                     # 1000 = dockeruser, 1001=docker group
    cap_add:
      - NET_BIND_SERVICE                 # erlaubt Ports <1024
    restart: always
    networks:
      - opencloud-net
    ports:
      - "80:80"
      - "443:443"
    volumes:
      - ./certs:/certs                   # bind-mount acme.json
      - /var/run/docker.sock:/var/run/docker.sock:ro
    command:
      - "--log.level=${TRAEFIK_LOG_LEVEL:-ERROR}"

      # Let's Encrypt HTTP-01 Challenge
      - "--certificatesResolvers.http.acme.email=${TRAEFIK_ACME_MAIL:-example@example.org}"
      - "--certificatesResolvers.http.acme.storage=/certs/acme.json"
      - "--certificatesResolvers.http.acme.httpChallenge.entryPoint=http"
      - "--certificatesResolvers.http.acme.caserver=${TRAEFIK_ACME_CASERVER:-https://acme-v02.api.letsencrypt.org/directory}"

      # Dashboard
      - "--api.dashboard=true"

      # Entrypoints
      - "--entryPoints.http.address=:80"
      - "--entryPoints.http.http.redirections.entryPoint.to=https"
      - "--entryPoints.http.http.redirections.entryPoint.scheme=https"
      - "--entryPoints.https.address=:443"
      - "--entryPoints.https.transport.respondingTimeouts.readTimeout=12h"
      - "--entryPoints.https.transport.respondingTimeouts.writeTimeout=12h"
      - "--entryPoints.https.transport.respondingTimeouts.idleTimeout=3m"

      # Docker Provider
      - "--providers.docker.endpoint=unix:///var/run/docker.sock"
      - "--providers.docker.exposedByDefault=false"

      # Access Log
      - "--accessLog=true"
      - "--accessLog.format=json"
      - "--accessLog.fields.headers.names.X-Request-Id=keep"

    labels:
      - "traefik.enable=${TRAEFIK_DASHBOARD:-false}"
      - "traefik.http.middlewares.traefik-auth.basicauth.users=${TRAEFIK_BASIC_AUTH_USERS:-admin:$$apr1$$4vqie50r$$YQAmQdtmz5n9rEALhxJ4l.}"
      - "traefik.http.routers.traefik.entrypoints=https"
      - "traefik.http.routers.traefik.rule=Host(`${TRAEFIK_DOMAIN:-traefik.opencloud.test}`)"
      - "traefik.http.routers.traefik.middlewares=traefik-auth"
      - "traefik.http.routers.traefik.tls.certresolver=http"
      - "traefik.http.routers.traefik.service=api@internal"

networks:
  opencloud-net:

volumes: {}

    Und hierzu

    - ./certs:/certs                   # bind-mount acme.json

    brauch es noch ein paar Anpassungen auf dem Host, also im Verzeichnis von wo wir deployen mit dem dockeruser!

    mkdir -p ./certs
touch ./certs/acme.json
chmod 600 ./certs/acme.json
chown 1000:1000 ./certs/acme.json  # UID muss mit docker-compose user übereinstimmen

    Das klappt jetzt hier einwandfrei.

    dockeruser@opencloud:~/opencloud/deployments/examples/opencloud_full$ docker exec -it traefik id
uid=1000 gid=1001 groups=1001

    Sieht soweit gut aus 😉

    Die KI meint noch das hier

    Wenn du maximale Sicherheit willst, kannst du langfristig docker-socket-proxy einsetzen. Er erlaubt Traefik nur lesenden Zugriff auf die Container-API:

    → Projektseite: Tecnativa/docker-socket-proxy

    Das muss ich aber erst noch sacken lassen und mich etwas zu einlesen.

    Im Fediverse -> @FrankM@nrw.social

    1. NanoPi R5S
    2. Quartz64 Model B, 4GB RAM
    3. Quartz64 Model A, 4GB RAM
    4. RockPro64 v2.1
    0
  • FrankMF FrankM verschob dieses Thema von Linux am
  • FrankMF FrankM hat dieses Thema am angepinnt
Anmelden zum Antworten

  • FrankMF

    Minio - Objektspeicher selbst gehostet

    Linux minio linux restic
    1
    1
    0 Stimmen
    1 Beiträge
    228 Aufrufe
    Niemand hat geantwortet
  • FrankMF

    Forgejo

    Angeheftet Verschoben Forgejo docker forgejo linux
    1
    1
    0 Stimmen
    1 Beiträge
    284 Aufrufe
    Niemand hat geantwortet
  • FrankMF

    VSCodium - Meldungen trailing-whitespaces

    Linux vscodium vscode linux
    1
    3
    0 Stimmen
    1 Beiträge
    153 Aufrufe
    Niemand hat geantwortet
  • FrankMF

    2,5G

    Linux linux
    2
    1
    0 Stimmen
    2 Beiträge
    252 Aufrufe
    FrankMF
    Gutes Video zum Zyxel Switch, was ich vorher gar nicht kannte. Hätte meine Entscheidung aber auch nicht verändert. https://www.youtube.com/watch?v=59I-RlliRms
  • FrankMF

    Bitwarden_RS auf einem Debian Buster 10 Server installieren!

    Angeheftet Linux nginx bitwardenrs linux
    85
    14
    1 Stimmen
    85 Beiträge
    8k Aufrufe
    N
    Immer wieder gerne. Dieses mal gab es richtig etwas zu tun: 13 files changed, 137 insertions(+), 96 deletions(-) Und das nur, damit es überhaupt wieder baut. Danach folgten noch 5 Bugfixing Runden, wobei zwei davon (lediglich) das Packaging betrafen. Ergänzend noch ein Hinweis: Port 3012 für die Websocket Verbindungen ist jetzt offiziell deprecated und wird demnächst vollständig aus Vaultwarden entfernt. Genau jetzt wäre der richtige Zeitpunkt die Apache/Nginx Konfiguration dahingehend anzupassen. Hierfür habe ich neue Templates online gestellt. Apache: https://bitwarden-deb.tech-network.de/Apache-VirtualHost.example.conf Nginx: https://bitwarden-deb.tech-network.de/Nginx-VirtualHost.example.conf Schönen Sonntag!
  • FrankMF

    IPTables dauerhaft speichern

    Angeheftet Linux linux iptables
    1
    0 Stimmen
    1 Beiträge
    632 Aufrufe
    Niemand hat geantwortet
  • FrankMF

    checkmk - Agent installieren

    Verschoben checkmk checkmk linux
    1
    1
    0 Stimmen
    1 Beiträge
    3k Aufrufe
    Niemand hat geantwortet
  • FrankMF

    ROCKPro64 - Docker Image

    ROCKPro64 docker rockpro64
    4
    1
    0 Stimmen
    4 Beiträge
    1k Aufrufe
    FrankMF
    Das ganze hat einen furchtbar schönen Vorteil. Mal angenommen, ich habe ein NodeBB-Forum in einem Container laufen. Will das Ding updaten und das crasht einfach mal so. Egal, Container stoppen, Container starten und alles läuft wieder. Mit dem Commit sichere ich mir dann den Zustand nachdem ich weiß, das alles klappt