A história de como eu configurei os serviços na janela de encaixe no PI Raspberry e por que essa pode não ser a melhor ideia.
Introdução (ou como tudo começou)
Tudo comecou a muito tempo atrásalguns anos atrás. Aconteceu que eu acabei na China e tive que entrar em contato com o mundo exterior. Eu realmente não confiava em VPN e proxies de terceiros, então decidi aumentar o DigitalOcean com meu proxy. Aconteceu que, com o tempo, um servidor com proxy cresceu com diferentes diferenças: de armazenamento de arquivo ( Syncthing) para CI ( Jenkins).
Ao retornar à Rússia, decidiu-se deixar o DO para algum tipo de hospedagem. Eu não queria comprar um servidor separado para isso - é caro e, até o momento, não há necessidade, por esse motivo, peguei o Raspberry PI 4B. Naturalmente, tive que transferir todos os serviços básicos do DO para esta máquina, que será o assunto deste post.
Introdutório
Foi necessário configurar os seguintes serviços:
- Sincronização - sincronização de arquivos
- Jenkins - CI
- Telegraf - |
- Influxdb - gráficos de CPU, GPU e outros
- Grafana - |
- Gogs - git
- Radicale - sincronizar calendários / contatos
Além disso:
- Ele deveria armazenar arquivos e dados em um par de unidades flash de
USB3forma criptografada ( LUKS) - Todas as interfaces da web estavam ocultas atrás do proxy reverso do Nginx
Problemas e nuances
Gostaria imediatamente de falar sobre os problemas que surgiram durante a montagem dessa coisa toda e / ou estão surgindo agora:
- Raspberry PI 1A, . , , —
- RaspberryPI 4B ( ) USB . — / . USB3
- , . ( ) ( " ")
- —
syncthing, , / - 60
— 502 ssh.
, Micro SD 16GB ( ) Raspbian. .
- Noobs
- Micro SD Fat32
- ( uNetbootin)
- Raspberry PI
. : GUI . GUI, ssh GUI .
()
Elementary OS GUI (GParted disks) . , :
, .
— ext4 LUKS.
GParted
Device -> Create partition table...gptApplyext4
gnome-disks ( sudo apt install gnome-disk-utility) ( Disks):
- ()
Format partition...Ext 4Password protect volumeNext- :
. , RaspberryPI . :
: /dev/sdb1 — , Device
dd if=/dev/urandom bs=4M count=1 of=/tmp/usb_decrypt_file
sudo cryptsetup luksAddKey /dev/sdb1 /tmp/usb_decrypt_file
.
: .
, . ()- /
, :
- (
sudo apt update && sudo apt -y dist-upgrade) - :
docker docker-compose (sudo apt -y install docker docker-compose)Nginx(sudo apt -y install nginx). reverse-proxy
- (, /root/cryptfiles; )
/etc/crypttab :
usb1_crypt UUID=___UUID /root/cryptfiles/_- luks
/etc/fstab
/dev/mapper/usb1_crypt /media/pi/usb1 ext4 defaults,nofail 0 2
:
/dev/mapper/usb1_crypt — /dev/mapper/ + ( ) /etc/crypttab/media/pi/usb1 — . (mkdir /media/pi/usb1). — , /mnt /media/$USER
,
Nginx
bash, reverse-proxy .
:
reverse-proxy nginx, — mydomain.com. nginx /etc/nginx, /etc/nginx/autocompile.
compile_apps_configs.sh#!/bin/bash
APPS=("syncthing" "grafana" "radicale" "git" "jenkins")
APPS_PROXIES=(http://localhost:8880 http://localhost:3000 http://localhost:8882 http://localhost:8883 http://localhost:8884)
HOSTNAMES=(my.domain)
conf_file="/etc/nginx/sites-available/autocompiled.conf"
ln_file="/etc/nginx/sites-enabled/autocompiled.conf"
echo "" > "$conf_file"
for app_index in ${!APPS[*]}
do
app="${APPS[app_index]}"
app_proxy="${APPS_PROXIES[app_index]}"
for host in ${HOSTNAMES[*]}
do
echo "`./compile_config.sh "$host" "$app_proxy" $app`" >> "$conf_file"
echo "" >> "$conf_file"
done
done
ln -s "$conf_file" "$ln_file"
compile_config.sh#!/bin/bash
DOMAIN_BASE="$1"
shift
PROXY_PATH=$(echo "$1" | sed -e "s/\//\\\\\//g")
PROXY_LOCATION=""
shift
HOSTNAME="$DOMAIN_BASE"
while [ -n "$1" ]
do
case "$1" in
"-pl") shift; PROXY_LOCATION="$(echo "$1" | sed -e "s/\//\\\\\//g")" ;;
*) HOSTNAME="$1.$HOSTNAME" ;;
esac
shift
done
cat template.conf | sed "s/HOSTNAME_BASE/$DOMAIN_BASE/g" | sed "s/HOSTNAME/$HOSTNAME/g" | sed "s/PROXYPATH/$PROXY_PATH/g" | sed "s/PROXYLOCATION/$PROXY_LOCATION/"
location_template.conf location /PROXYLOCATION {
proxy_pass PROXYPATH;
}
template.confserver {
server_name "HOSTNAME";
ssl_certificate /etc/letsencrypt/live/HOSTNAME_BASE/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/HOSTNAME_BASE/privkey.pem;
listen 443 ssl;
keepalive_timeout 60;
ssl on;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers "HIGH:!RC4:!aNULL:!MD5:!kEDH";
add_header Strict-Transport-Security 'max-age=604800';
proxy_set_header X-Forwarded-Server $host;
proxy_set_header X-Forwarded-Host $host;
proxy_set_header Host $host;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header X-Real-IP $remote_addr;
# set max upload size
client_max_body_size 4000M;
sendfile on;
send_timeout 600s;
proxy_connect_timeout 600;
location /PROXYLOCATION {
proxy_pass_request_headers on;
proxy_pass_request_body on;
proxy_pass PROXYPATH;
}
}
, ./compile_apps_configs.sh nginx: sudo systemd reload nginx.
Docker
, docker docker-compose:
sudo apt install docker docker-compose
yml . :
├── doForAll
├── gogs
│ ├── docker-compose.yml
│ ├── Dockerfile
│ └── .env
├── grafana
│ ├── configs
│ │ ├── influxdb.conf
│ │ └── telegraf.conf
│ ├── docker-compose.yml
│ └── .env
├── jenkins
│ ├── docker-compose.yml
│ ├── .env
├── makeFullUpdate
├── radicale
│ ├── docker-compose.yml
│ └── .env
└── syncthing
├── docker-compose.yml
└── .env
, ( grafana — , — influxdb). .
, :
.env DATA_PATHGrafana - :
Telegraf. .env INFLUXDB_WRITE_USER_PASSWORD, configs/telegraf.conf — passwordGrafana. .env INFLUXDB_READ_USER_PASSWORD, Grafana
.
root. :
sudo -i
mkdir -p /root/scripts/
touch "/root/scripts/monitor_startup_docker_container"
chmod 700 "/root/scripts/monitor_startup_docker_container"
nano "/root/scripts/monitor_startup_docker_container"
/root/scripts/monitor_startup_docker_container :
#!/bin/bash
function log() {
echo `date`: "$@"
}
container_name="$1"
true=1
false=0
function restartContainer() {
docker container restart "$1"
}
function checkContanerExitStatus() {
container_name="$1"
status_line="`docker container ps -a --filter "name=$container_name" --filter "exited=255" | grep "$container_name"`"
[[ -z "$status_line" ]] && echo $false || echo $true
}
function checkContanerStatusIsEqual() {
container_name="$1"
container_dest_status="$2"
status_line="`docker container ps -a --filter "name=$container_name" --filter "status=$container_dest_status" | grep "$container_name"`"
[[ -z "$status_line" ]] && echo $false || echo $true
}
function isRunning() {
echo "`checkContanerStatusIsEqual "$container_name" "running"`"
}
while [[ "`isRunning`" != "$true" ]]; do
log check cycle "$container_name"
if [ "`checkContanerStatusIsEqual "$container_name" "exited"`" == "$true" -o "`checkContanerStatusIsEqual "$container_name" "dead"`" == "$true" ]; then
log restart "$container_name"
restartContainer "$container_name"
fi
if [[ "`isRunning`" -eq "$false" ]]; then
sleep 5
else
sleep 120
fi
done
log started "$container_name"
crontab . root:
`crontab -e`@reboot rm /root/startup_docker_logs
1/10 * * * * /root/scripts/monitor_startup_docker_container telegraf >> /root/startup_docker_logs
2/10 * * * * /root/scripts/monitor_startup_docker_container influxdb >> /root/startup_docker_logs
3/10 * * * * /root/scripts/monitor_startup_docker_container grafana >> /root/startup_docker_logs
3/10 * * * * /root/scripts/monitor_startup_docker_container jenkins >> /root/startup_docker_logs
3/10 * * * * /root/scripts/monitor_startup_docker_container gogs >> /root/startup_docker_logs
1/10 * * * * /root/scripts/monitor_startup_docker_container radicale >> /root/startup_docker_logs
2/10 * * * * /root/scripts/monitor_startup_docker_container syncthing >> /root/startup_docker_logs
, ,
- Configurando o acesso ao
SSHraspberry: há um grande número de tutoriais sobre este tópico, aqui está um exemplo com o DigitalOcean - Configurar os próprios serviços
- Comprando e configurando DNS para domínios
Ficarei feliz em fazer comentários e comentários úteis.