La historia de cómo configuré los servicios en Docker en Raspberry PI y por qué esta podría no ser la mejor idea.
Introducción (o cómo comenzó todo)
Todo comenzó hace mucho tiempoun par de años atras. Dio la casualidad de que terminé en China y tuve que contactarme de alguna manera con el mundo exterior. Realmente no confiaba en la VPN y los servidores proxy de terceros, así que decidí aumentar DigitalOcean con mi proxy. Dio la casualidad de que con el tiempo, un servidor con un proxy ha crecido con diferentes diferencias: desde el almacenamiento de archivos ( Syncthing
) hasta CI ( Jenkins
).
Al regresar a Rusia, se decidió abandonar DO por algún tipo de alojamiento propio. No quería comprar un servidor separado para esto, es costoso y hasta ahora no hay necesidad, por esta razón tomé Raspberry PI 4B. Naturalmente, tuve que transferir todos los servicios básicos de DO a esta máquina, que será el tema de esta publicación.
Introductorio
Fue necesario configurar los siguientes servicios:
- Sincronización - sincronización de archivos
- Jenkins - CI
- Telegraf - |
- Influxdb: gráficos de CPU, GPU y otros
- Grafana - |
- Gogs - git
- Radicale - sincronizar calendarios / contactos
Además:
- Se suponía que debía almacenar archivos y datos en un par de unidades flash
USB3
en forma cifrada ( LUKS
) - Todas las interfaces web estaban ocultas detrás del proxy inverso de Nginx
Problemas y matices
Inmediatamente me gustaría hablar sobre los problemas que surgieron durante el montaje de todo esto y / o que están surgiendo ahora:
- Raspberry PI 1A, . , , —
- RaspberryPI 4B ( ) USB . — / . USB3
- , . ( ) ( " ")
- —
syncthing
, , / - 60
— 502
ssh
.
, Micro SD 16GB ( ) Raspbian. .
- Noobs
- Micro SD Fat32
- ( uNetbootin)
- Raspberry PI
. : GUI . GUI, ssh
GUI .
()
Elementary OS GUI (GParted disks) . , :
, .
— ext4
LUKS.
GParted
Device
-> Create partition table...
gpt
Apply
ext4
gnome-disks
( sudo apt install gnome-disk-utility
) ( Disks
):
- ()
Format partition...
Ext 4
Password protect volume
Next
- :
. , RaspberryPI . :
: /dev/sdb1
— , Device
dd if=/dev/urandom bs=4M count=1 of=/tmp/usb_decrypt_file
sudo cryptsetup luksAddKey /dev/sdb1 /tmp/usb_decrypt_file
.
: .
, . ()- /
Raspberry PI
, :
- (
sudo apt update && sudo apt -y dist-upgrade
) - :
docker
docker-compose
(sudo apt -y install docker docker-compose
)Nginx
(sudo apt -y install nginx
). reverse-proxy
- (, /root/cryptfiles
; )
/etc/crypttab
:
usb1_crypt UUID=___UUID /root/cryptfiles/_- luks
/etc/fstab
/dev/mapper/usb1_crypt /media/pi/usb1 ext4 defaults,nofail 0 2
:
/dev/mapper/usb1_crypt
— /dev/mapper/
+ ( ) /etc/crypttab
/media/pi/usb1
— . (mkdir /media/pi/usb1
). — , /mnt
/media/$USER
,
Nginx
bash
, reverse-proxy .
:
reverse-proxy nginx, — mydomain.com
. nginx /etc/nginx
, /etc/nginx/autocompile
.
compile_apps_configs.sh#!/bin/bash
APPS=("syncthing" "grafana" "radicale" "git" "jenkins")
APPS_PROXIES=(http://localhost:8880 http://localhost:3000 http://localhost:8882 http://localhost:8883 http://localhost:8884)
HOSTNAMES=(my.domain)
conf_file="/etc/nginx/sites-available/autocompiled.conf"
ln_file="/etc/nginx/sites-enabled/autocompiled.conf"
echo "" > "$conf_file"
for app_index in ${!APPS[*]}
do
app="${APPS[app_index]}"
app_proxy="${APPS_PROXIES[app_index]}"
for host in ${HOSTNAMES[*]}
do
echo "`./compile_config.sh "$host" "$app_proxy" $app`" >> "$conf_file"
echo "" >> "$conf_file"
done
done
ln -s "$conf_file" "$ln_file"
compile_config.sh#!/bin/bash
DOMAIN_BASE="$1"
shift
PROXY_PATH=$(echo "$1" | sed -e "s/\//\\\\\//g")
PROXY_LOCATION=""
shift
HOSTNAME="$DOMAIN_BASE"
while [ -n "$1" ]
do
case "$1" in
"-pl") shift; PROXY_LOCATION="$(echo "$1" | sed -e "s/\//\\\\\//g")" ;;
*) HOSTNAME="$1.$HOSTNAME" ;;
esac
shift
done
cat template.conf | sed "s/HOSTNAME_BASE/$DOMAIN_BASE/g" | sed "s/HOSTNAME/$HOSTNAME/g" | sed "s/PROXYPATH/$PROXY_PATH/g" | sed "s/PROXYLOCATION/$PROXY_LOCATION/"
location_template.conf location /PROXYLOCATION {
proxy_pass PROXYPATH;
}
template.confserver {
server_name "HOSTNAME";
ssl_certificate /etc/letsencrypt/live/HOSTNAME_BASE/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/HOSTNAME_BASE/privkey.pem;
listen 443 ssl;
keepalive_timeout 60;
ssl on;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers "HIGH:!RC4:!aNULL:!MD5:!kEDH";
add_header Strict-Transport-Security 'max-age=604800';
proxy_set_header X-Forwarded-Server $host;
proxy_set_header X-Forwarded-Host $host;
proxy_set_header Host $host;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header X-Real-IP $remote_addr;
# set max upload size
client_max_body_size 4000M;
sendfile on;
send_timeout 600s;
proxy_connect_timeout 600;
location /PROXYLOCATION {
proxy_pass_request_headers on;
proxy_pass_request_body on;
proxy_pass PROXYPATH;
}
}
, ./compile_apps_configs.sh
nginx: sudo systemd reload nginx
.
Docker
, docker
docker-compose
:
sudo apt install docker docker-compose
yml
. :
├── doForAll
├── gogs
│ ├── docker-compose.yml
│ ├── Dockerfile
│ └── .env
├── grafana
│ ├── configs
│ │ ├── influxdb.conf
│ │ └── telegraf.conf
│ ├── docker-compose.yml
│ └── .env
├── jenkins
│ ├── docker-compose.yml
│ ├── .env
├── makeFullUpdate
├── radicale
│ ├── docker-compose.yml
│ └── .env
└── syncthing
├── docker-compose.yml
└── .env
, ( grafana
— , — influxdb
). .
, :
.env
DATA_PATH
Grafana
- :
Telegraf
. .env
INFLUXDB_WRITE_USER_PASSWORD
, configs/telegraf.conf
— password
Grafana
. .env
INFLUXDB_READ_USER_PASSWORD
, Grafana
.
root
. :
sudo -i
mkdir -p /root/scripts/
touch "/root/scripts/monitor_startup_docker_container"
chmod 700 "/root/scripts/monitor_startup_docker_container"
nano "/root/scripts/monitor_startup_docker_container"
/root/scripts/monitor_startup_docker_container
:
#!/bin/bash
function log() {
echo `date`: "$@"
}
container_name="$1"
true=1
false=0
function restartContainer() {
docker container restart "$1"
}
function checkContanerExitStatus() {
container_name="$1"
status_line="`docker container ps -a --filter "name=$container_name" --filter "exited=255" | grep "$container_name"`"
[[ -z "$status_line" ]] && echo $false || echo $true
}
function checkContanerStatusIsEqual() {
container_name="$1"
container_dest_status="$2"
status_line="`docker container ps -a --filter "name=$container_name" --filter "status=$container_dest_status" | grep "$container_name"`"
[[ -z "$status_line" ]] && echo $false || echo $true
}
function isRunning() {
echo "`checkContanerStatusIsEqual "$container_name" "running"`"
}
while [[ "`isRunning`" != "$true" ]]; do
log check cycle "$container_name"
if [ "`checkContanerStatusIsEqual "$container_name" "exited"`" == "$true" -o "`checkContanerStatusIsEqual "$container_name" "dead"`" == "$true" ]; then
log restart "$container_name"
restartContainer "$container_name"
fi
if [[ "`isRunning`" -eq "$false" ]]; then
sleep 5
else
sleep 120
fi
done
log started "$container_name"
crontab
. root
:
`crontab -e`@reboot rm /root/startup_docker_logs
1/10 * * * * /root/scripts/monitor_startup_docker_container telegraf >> /root/startup_docker_logs
2/10 * * * * /root/scripts/monitor_startup_docker_container influxdb >> /root/startup_docker_logs
3/10 * * * * /root/scripts/monitor_startup_docker_container grafana >> /root/startup_docker_logs
3/10 * * * * /root/scripts/monitor_startup_docker_container jenkins >> /root/startup_docker_logs
3/10 * * * * /root/scripts/monitor_startup_docker_container gogs >> /root/startup_docker_logs
1/10 * * * * /root/scripts/monitor_startup_docker_container radicale >> /root/startup_docker_logs
2/10 * * * * /root/scripts/monitor_startup_docker_container syncthing >> /root/startup_docker_logs
, , En promedio, casi sin mantenimiento. Lo que no se cubrió en este artículo:
- Configuración del acceso a
SSH
la frambuesa: hay una gran cantidad de tutoriales sobre este tema, aquí hay un ejemplo con DigitalOcean - Configurar los propios servicios
- Comprar y configurar DNS para dominios
Estaré encantado de comentar y comentarios útiles.