[Docker] [alle OS] Het grote Docker ervaringen en tips topic

RobertMe schreef op vrijdag 22 november 2024 @ 14:55:
[...]

Als je zelf geen mapping opgeeft dan maakt Docker automatisch een volume aan (op te vragen met docker volume ls meen ik). In hoeverre is deze kunt exporteren durf ik niet te zeggen, en daarnaast gelden daarvoor uiteraard dezelfde kanttekeningen. Kopieren werkt wellicht, maar geen garantie.

WheeleE schreef op vrijdag 22 november 2024 @ 15:14:
@rens-br Ik heb een paar maanden geleden een dozijn containers verhuist van een Synology naar een dockerhost op Proxmox.
Images kun je gewoon opnieuw binnenhalen op je nieuwe omgeving. De inhoud daarvan is hetzelfde, ongeacht op welke host je ze binnenhaalt.
Voor je containers die gebruik maken van die containers is er verschil tussen container die geen data of configuratie in volumes of op schijf hebben staan, en containers die dat wel hebben.

Het Hello-world image is een voorbeeld van de eerste variant. Heeft geen configuratie of persistente data. Zolang je het docker run comando of de compose-file hebt kun je de container gewoon vers aanmaken op je nieuwe host.

Voor containers met een mapping naar een lokale folder moet je de data wel zelf kopiëren.

code:

1 2 3 4 5 6 7

services: portainer: image: portainer/portainer-ce:latest container_name: portainer volumes: - /var/run/docker.sock:/var/run/docker.sock:ro - /docker/portainer:/data

In dit voorbeeld uit een van mijn compose-files zou ik dus de directory /docker/portainer moeten kopiëren naar de nieuwe host.

Containers met mappings naar docker volumes vergen meer zoekwerk.

code:

1 2 3 4 5 6

services: app: image: fireflyiii/core:latest container_name: firefly-app volumes: - firefly_iii_upload:/var/www/html/storage/upload

Hier wordt het docker volume firefly_iii_upload gebruikt.
De data in docker volumes wordt uiteindelijk ook ergens op het filesystem van je host opgeslagen.
Als het goed is in /var/lib/docker/volumes/
De directories van de volumes die je perse nodig hebt zou je ook kunnen kopiëren naar je nieuwe host. Dat kan echter wel wat tricky zijn vanwege rechten, maar is zeker wel mogelijk.

• Maak een backup van alle externe gebruikte mappen. (In mijn geval voornamelijk de /opt/ folder
• Maak een backup van de volumes (/var/lib/docker/volumes)
• Zet de backups terug
• Installeer docker op de nieuwe machine
• Voer daar alle docker-compose commands opnieuw uit
• Klaar is kees?

rens-br schreef op vrijdag 22 november 2024 @ 16:30:
[...]


In ieder geval portrainer zelf maakt gebruik van zo'n volume, verder zijn er volgens Portrainer nog 12 andere volumes in gebruik.
[...]


Bedankt voor de verhelderende uitleg, korte samenvatting dus:

• Maak een backup van alle externe gebruikte mappen. (In mijn geval voornamelijk de /opt/ folder
• Maak een backup van de volumes (/var/lib/docker/volumes)
• Zet de backups terug
• Installeer docker op de nieuwe machine
• Voer daar alle docker-compose commands opnieuw uit
• Klaar is kees?

rens-br schreef op vrijdag 22 november 2024 @ 14:36:
[...]
Al die images hebben toch data / settings in zich? Domoticz heb ik draaien en die heeft een mapping naar buiten (opt/Domoticz) die mappen kan ik inderdaad wel verplaatsen van oud naar nieuw. Maar bij containers die geen mapping naar buiten hebben, kan zo zelf geen voorbeelden noemen, gaat dat dan automatisch goed?

Zou ik bijvoorbeeld niet gewoon de gehele var/lib/docker map kunnen kopieren van oud naar nieuw?

---

Anders gezegd. Als ik bijvoorbeeld de Unifi Controller opnieuw moet installeren via de dockerfiles, dan moet ik ook alle stappen opnieuw doen. En mogelijk?/waarschijnlijk mijn configuratie opnieuw inladen, toch?

En zo heb ik meer dockers die wat zaken vereisen die ik zou moeten uitvoeren.Dus is best wel wat werk, denk ik, omdat voor 37 dockers opnieuw in te moeten stellen.

• TimescaleDB over TLS verbinding poort 5432 op specifiek subdomein
• Caddy die het certificaat opvraagt voor dit subdomein
• Volledige definitie/configuratie via Docker labels (en dus de Caddy Docker Proxy plugin)

• Layer4 vraagt een domein als label. Hierin zitten '.' karakters die de Caddy Docker Proxy plugin helaas gaat lopen omzetten. Geen idee hoe ik dit kan voorkomen.
• Het certificaat voor het subdomein moet in de Postgres map staan, inclusief owner en r/w rechten. Dat is nu handmatig gedaan vanuit de Caddy map. Ik vermoed dat ik dit enkel met een script kan oplossen dat bijv. elke week draait om de updates van het certificaat te automatiseren.

1
2
3
4
5

      - caddy.layer4.0_${TIMESCALEDB_VOS_FULL}= ""
      - caddy.layer4.0_${TIMESCALEDB_VOS_FULL}.@postgres.tls= sni ${TIMESCALEDB_VOS_DOMAIN}
      - caddy.layer4.0_${TIMESCALEDB_VOS_FULL}.route= "@postgres"
      - caddy.layer4.0_${TIMESCALEDB_VOS_FULL}.route.0_tls.connection_policy.alpn= "postgresql"
      - caddy.layer4.0_${TIMESCALEDB_VOS_FULL}.route.1_proxy= ${TIMESCALEDB_VOS_FULL}

1
2

      - caddy_1=${TIMESCALEDB_VOS_DOMAIN}
      - caddy_1.tls.issuer="acme"

[ Voor 4% gewijzigd door Mars Warrior op 27-11-2024 18:44 ]

Kimi-Alonso schreef op dinsdag 17 december 2024 @ 16:21:
Hebben jullie tips voor leuke 'dashboard' containers?

Voor mijn homeserver gebruik ik Homer Dashboard naar tevredenheid (zie afb). Ben benieuwd naar de dashboards van anderen.

[Afbeelding]

Ortep schreef op dinsdag 17 december 2024 @ 17:03:
@Kimi-Alonso

Ik heb naar een aantal van die dashboards gekeken. Ook bv Heimdall. Maar ik snap het nut niet helemaal.

Dat is het voordeel boven bv een aantal tabs kiezen in een willekeurige browser en dat als 'Home Pages' bewaren?

Als je dan dat profiel opent kan je ook alle dingen benaderen.

Ik heb op die manier net als jij een Media versie, en een Synology management versie en een informatie versie

Mars Warrior schreef op dinsdag 17 december 2024 @ 17:16:
[...]

Leuk

Ik gebruik Plugsy hiervoor. Ooit mee begonnen en niet meer verder gekeken.

@Ortep Natuurlijk als je weinig containers hebt, dan kan het ook via de browser, maar dit soort dashboards - in ieder geval Plugsy - zijn dynamisch: als ik wat toevoeg komt het op dit dashboard.

Ik heb ca 40 containers, met soms meervoudige GUI's per container. Dat is niet meer te doen met een browser tabje. Ik zou dan van 40 containers de urllen moeten onthouden. Dat doet mijn hoofd niet meer.

Van 10 vrouwen de namen onthouden is soms al een uitdaging

Mars Warrior schreef op dinsdag 17 december 2024 @ 17:16:

Ik heb ca 40 containers, met soms meervoudige GUI's per container. Dat is niet meer te doen met een browser tabje. Ik zou dan van 40 containers de urllen moeten onthouden. Dat doet mijn hoofd niet meer.

[ Voor 20% gewijzigd door Sp33dFr34k op 17-12-2024 23:27 ]

RobertMe schreef op donderdag 16 januari 2025 @ 19:33:
Ik ben al een tijdje op zoek naar een tool waarvan ik niet weet of die bestaat, en die ik nog niet direct heb kunnen vinden, maar misschien weten anderen hier dat wel

De "case" is dat ik nu compose files heb met gewoon de latest tag (of een latest achtige variant), en dus niet vast op een versie. Vervolgens ga ik periodiek de "mapjes" af en doe een docker compose up -d --pull op hoop van zegen dat alles blijft werken.
Echter heb ik ook een Gitea server draaien. En ken ik de tool Renovate om dependencies van een project te "monitoren" en pull requests aan te maken voor updates, en Renovate ondersteund daarbij ook compose files. Waar ik dus naar op zoek ben is een workflow waarbij ik per stack een Git repository aan maak en Renovate deze laat monitoren op updates. Waarbij in de compose files dus steeds specifieke versie tags gebruikt (kunnen) worden, de Renovate PR de notificatie is dat er een update is van het pakket, en de PR ook meteen een changelog bevat (en naar changelog linkt).

Echter wil ik dan wel dat als ik de PR merge, dat deze ook automatisch wordt "uitgerold". Waar ik dus op zoek ben is een tool waarin ik bv een mapping kan zetten van (lokale) mappen met bijbehorende Git repository (of alleen de map, want de git repo is uit te lezen uit de map), en die te koppelen is aan webhooks (van Gitea in dit geval). Waarbij de tool bij changes van in de repository (op basis van de webhook) vervolgens automatisch een pull van die repository doet en vervolgens een docker compose up -d

Ergo een stukje GitOps. Waarbij wijzigingen in de Git repository automatisch worden toegepast / uitgerold.

Het enige dat ik tot nu toe ben tegengekomen is Komodo die "iets" van ondersteuning voor [url=https://komo.do/docs/docker-compose]Docker Compose heeft in combinatie met Git[/mono]. Alleen kan ik daar nog niet uit op maken of die ook met de "lokale" repository werkt en dus ook alle bestanden in de repository pullt etc.. Immers zijn er ook voldoende stacks die uit "meer" bestaan. Bv een stack met Traefik wil ik ook de traefik.yaml in de repo zetten. De Home Assistant stack wil ik ook alle automations etc in dezelfde repository zetten, ... Waarbij zo'n tool pluspunten scoort als die variabel is in wat te doen. Als de compose file geupdate is doe een docker compose up -d. Als een config file veranderd is doe een docker compose restart, of roep een custom API endpoint aan, voer een script uit, you name it.

Sp33dFr34k schreef op zaterdag 18 januari 2025 @ 16:04:
Ik heb gewerkt met verschillende stacks, maar vond het lomp. Heb nu alles in 1 stack (+- 40 containers). Ik doe handmatig iedere maand een pull en loop dan alles na. Zelden problemen mee eigenlijk...

DjoeC schreef op zaterdag 18 januari 2025 @ 16:11:
[...]

Grappig... Ik hoor dit vaker maar heb nog niet (nooit) begrepen waarom alles in 1 stack beter zou zijn. Ik heb helemaal geen stacks maar alleen (nu 29) losse compose files. Portainer doet de pulls van nieuwe versies, daarna is het aan mij om de compose wel of niet opnieuw uit te voeren.

Misschien zie ik iets over t hoofd?

sjorsjuhmaniac schreef op zaterdag 18 januari 2025 @ 18:13:
[...]


Had ik vroeger ook maar wordt snel vervelend als je meerdere services draait die afhankelijk zijn van een andere service. Met verschillende stacks kan je een service bewerken zonder dat een andere er last van hoeft te hebben. Ik heb BV mijn reverse proxy in z’n eentje in een compose staan. Die hoeft dan niet herstart te worden als ik bv een van de webservices wil updaten. Dan blijft bv de file storage gewoon beschikbaar terwijl je met de webservice bezig bent.

Maar ieder z’n ding

sjorsjuhmaniac schreef op zaterdag 18 januari 2025 @ 18:13:
[...]
Had ik vroeger ook maar wordt snel vervelend als je meerdere services draait die afhankelijk zijn van een andere service. Met verschillende stacks kan je een service bewerken zonder dat een andere er last van hoeft te hebben. Ik heb BV mijn reverse proxy in z’n eentje in een compose staan. Die hoeft dan niet herstart te worden als ik bv een van de webservices wil updaten. Dan blijft bv de file storage gewoon beschikbaar terwijl je met de webservice bezig bent.

Maar ieder z’n ding

1

docker compose up -d

Sp33dFr34k schreef op donderdag 22 augustus 2024 @ 13:51:
Afhankelijkheden, bedoelen jullie daarmee de "depends_on"? Want die doet irl niet zoveel, houdt alleen rekening met volgorde van opstarten en meer niet.

[ Voor 38% gewijzigd door CH4OS op 19-01-2025 12:12 ]

1
2
3
4
5
6
7
8
9

docker run \
  --name redis \
  --network host \
  -v /opt/docker/redis/redis-data:/redis-data \
  -v /opt/docker/redis/redis-config:/usr/local/etc/redis \
  -e TZ=Europe/Amsterdam \
  -d \
  --restart unless-stopped \
  docker.io/redis

[ Voor 9% gewijzigd door Airw0lf op 21-02-2025 11:03 ]

Airw0lf schreef op vrijdag 21 februari 2025 @ 10:58:
Ik probeer via Docker-cli een Redis container te starten met een custom config file via een named volume:

code:

1 2 3 4 5 6 7 8 9

docker run \ --name redis \ --network host \ -v /opt/docker/redis/redis-data:/redis-data \ -v /opt/docker/redis/redis-config:/usr/local/etc/redis \ -e TZ=Europe/Amsterdam \ -d \ --restart unless-stopped \ docker.io/redis

Ondanks dat er een config-bestandje in de container-folder /usr/local/etc/redis
staat lijkt dit niet te worden uitgevoerd.

Het config-bestandje heet redis.conf en bevat maar één regel: bind 127.0.0.1.

Iemand suggesties?

The mapped directory should be writable, as depending on the configuration and mode of operation, Redis may need to create additional configuration files or rewrite existing ones.

$ docker run -v /myredis/conf:/usr/local/etc/redis --name myredis redis redis-server /usr/local/etc/redis/redis.conf

[ Voor 31% gewijzigd door Airw0lf op 31-03-2025 17:48 ]

Airw0lf schreef op maandag 31 maart 2025 @ 17:48:
Klinkt goed en ziet er fraai uit. Hoe verhoudt zich dit tot Kubernetes?

alex3305 schreef op maandag 31 maart 2025 @ 14:53:
Ik ben de laatste tijd wat minder op Tweakers te vinden, en besefte me daardoor ook dat het alweer even geleden was dat ik iets over Caddy en mijn Docker avonturen had gepost. Inmiddels heb ik in mijn homelab flink wat stappen gemaakt. Ik heb bijna alles naar Ansible gemigreerd. Professioneel heb ik daar best wat ervaring mee, maar dat was weer een flinke tijd geleden en dus weer even wennen. Aangezien dat best wel wat voeten in de aarde heeft, laat ik dat voor nu even.

Wel heb ik mijn Gitea installatie naar Forgejo gemigreerd en ben tegelijkertijd ook met Renovate aan de slag gegaan. Met Renovate kan ik eenvoudig versions pinnen en is het updaten van containers veel overzichtelijker en transparanter. Vooral ten opzichte van mijn eerdere setup met Watchtower. In mijn Renovate config heb ik ook custom managers opgenomen zodat ik in Dockerfiles en YAML files met annotations kan werken en dat Docker Compose in Jinja formaat toch gemanaged wordt. Hieronder een snippet van deze configuratie:

JSON:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31

{ "customManagers": [ { "customType": "regex", "description": "Match renovate annotations in Dockerfiles", "fileMatch": ["(^|/|\\.)Dockerfile$", "(^|/)Dockerfile\\.[^/]*$"], "matchStrings": [ "# renovate: datasource=(?<datasource>[a-z-]+?) depName=(?<depName>.+?)(?: (?:packageName|lookupName)=(?<packageName>.+?))?(?: versioning=(?<versioning>[a-z-]+?))?\\s(?:ENV|ARG) .+?_VERSION=(?<currentValue>.+?)\\s" ] }, { "customType": "regex", "description": "Match renovate annotations in YAML files", "fileMatch": ["^.*\\.ya?ml$"], "matchStrings": [ "# renovate: datasource=(?<datasource>.*?) depName=(?<depName>.*?)( versioning=(?<versioning>.*?))?\\s(?<yamlKey>.*?)?: ['\"]?(?<currentValue>.*?)['\"]?\\s" ], "versioningTemplate": "{{#if versioning}}{{{versioning}}}{{else}}semver{{/if}}" }, { "customType": "regex", "description": "Docker Compose Jinja", "fileMatch": "(^|/)(?:docker-)?compose[^/]*\\.ya?ml?\\.j2$", "matchStrings": [ "(?:image: \\\"?)(?<depName>.*?)(?::(?<currentValue>.*?))?(?:@(?<currentDigest>sha256:[a-f0-9]+))?\\\"?\\n" ], "datasourceTemplate": "docker", "versioningTemplate": "docker" } ] }

Ik gebruik dit bijvoorbeeld in mijn Caddy Dockerfile:

Docker:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21

# renovate: datasource=github-releases depName=caddyserver/caddy ARG CADDY_VERSION=2.9.1 FROM caddy:${CADDY_VERSION}-builder-alpine AS builder RUN GOTOOLCHAIN=go1.24.1 xcaddy build \ --with github.com/caddy-dns/cloudflare \ --with github.com/greenpau/caddy-security \ --with github.com/lucaslorentz/caddy-docker-proxy/v2 \ --with github.com/mholt/caddy-l4 \ --with github.com/mholt/caddy-dynamicdns \ --with github.com/WeidiDeng/caddy-cloudflare-ip FROM caddy:${CADDY_VERSION}-alpine COPY --from=builder /usr/bin/caddy /usr/bin/caddy RUN apk add --no-cache tzdata LABEL org.opencontainers.image.source="https://github.com/caddyserver/caddy" ENTRYPOINT ["/usr/bin/caddy"] CMD ["docker-proxy"]

Waarbij het version pinnen van de modules nog op het todo lijstje staat .

Met mijn migratie van Gitea naar Forgejo vond ik het wel enorm jammer dat er geen complete Forgejo runner dind image was zoals bij Gitea. ik heb een tijdje proberen aan te klooien met twee losse containers (runner en dind), maar dat vond ik enorm omslachtig en kreeg het uiteindelijk ook niet werkend. Daarom heb ik hier uiteindelijk een eigen custom image voor gebouwd op basis van de Gitea en Forgejo code. Ik wil dit nog (open source) beschikbaar gaan stellen, maar ben ik nog niet aan toegekomen.

Voortbordurend op Caddy ben ik echt enorm te spreken over mijn setup die ik al een keer eerder heb genoemd met, Caddy Docker Proxy, Caddy Layer4, Caddy Security en Docker labels. Voor Forgejo ziet er dit als Ansible template bijvoorbeeld zo uit:

YAML:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44

#jinja2: lstrip_blocks: "True", trim_blocks: "True" --- # {{ ansible_managed }} services: forgejo: container_name: {{ role_name }} image: codeberg.org/forgejo/forgejo:10.0.3 restart: on-failure:5 environment: USER_UID: {{ forgejo_user_id }} USER_GID: {{ forgejo_group_id }} networks: internal: ingress: volumes: - {{ forgejo_appdata }}:/data - /etc/localtime:/etc/localtime:ro {% if forgejo_docker_options is defined %} {{ forgejo_docker_options | to_nice_yaml | indent(4) }} {%- endif %} labels: caddy_1: "{{ forgejo_domain }}" caddy_1.@{{ docker_compose_project_name }}.import: "local-ip-whitelist" caddy_1.@{{ docker_compose_project_name }}.host: "{{ forgejo_domain }}" caddy_1.handle: "@{{ docker_compose_project_name }}" caddy_1.handle.reverse_proxy: "{{ '{{' }}upstreams 80{{ '}}' }}" caddy_2.layer4.:22.@{{ docker_compose_project_name }}-ssh.ssh: caddy_2.layer4.:22.@{{ docker_compose_project_name }}-ssh.remote_ip: "{{ local_ip_range }}" caddy_2.layer4.:22.route: "@{{ docker_compose_project_name }}-ssh" caddy_2.layer4.:22.route.proxy: "{{ '{{' }}upstreams 22{{ '}}' }}" {%- if "unraid" in (ansible_kernel | lower) +%} net.unraid.docker.icon: https://avatars.githubusercontent.com/u/118922216?s=200&v=4 net.unraid.docker.managed: ansible net.unraid.docker.shell: /bin/bash {% endif %} networks: internal: name: {{ forgejo_overlay_network }} external: true ingress: name: {{ swarm_overlay_network }} external: true

En gerendered dan zo:

YAML:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40

--- # Ansible Managed services: forgejo: container_name: forgejo image: codeberg.org/forgejo/forgejo:10.0.3 restart: on-failure:5 environment: USER_UID: 2001 USER_GID: 2001 networks: internal: ingress: volumes: - /mnt/applications/appdata/forgejo:/data - /etc/localtime:/etc/localtime:ro cpus: 2 cpuset: 12-15 labels: caddy_1: "example.com" caddy_1.@forgejo.import: "local-ip-whitelist" caddy_1.@forgejo.host: "example.com" caddy_1.handle: "@forgejo" caddy_1.handle.reverse_proxy: "{{upstreams 80}}" caddy_2.layer4.:22.@forgejo-ssh.ssh: caddy_2.layer4.:22.@forgejo-ssh.remote_ip: "192.168.0.0/16" caddy_2.layer4.:22.route: "@forgejo-ssh" caddy_2.layer4.:22.route.proxy: "{{upstreams 22}}" net.unraid.docker.icon: https://avatars.githubusercontent.com/u/118922216?s=200&v=4 net.unraid.docker.managed: ansible net.unraid.docker.shell: /bin/bash networks: internal: name: forgejo-overlay external: true ingress: name: swarm-overlay external: true

Daarbij vind ik het echt heel fijn dat dit dynamisch uitgerold wordt. Dat verminderd de beheerlast met bijvoorbeeld een tool zoals Nginx Proxy Manager aanzienlijk.

Bij een push of pull request (update) wordt er automatisch een Forgejo workflow getriggerd. Dit gebeurd standaard als dry-run om in ieder geval het playbook te kunnen test. En afhankelijk van de applicatie wordt er bij een merge naar de hoofdbranch een daadwerkelijke uitrol gedaan. Dus ook bij applicatie updates. Zo'n workflow triggered dan een Ansible playbook die vervolgens na template actie(s) een Docker Compose Up doet op de target machine. Waarbij ik Docker Compose tevens manage via Ansible, Forgejo (Actions) en Renovate .

Grootste project waar ik momenteel nog mee bezig ben is het SSO migreren naar Pocket ID. Dat heeft alleen niet bijster veel met Docker te maken .

orvintax schreef op dinsdag 1 april 2025 @ 14:57:
[...]

Interessante post om te lezen. Coole setup! Ik was in eerste instantie wel verward hoe je Watchtower had "vervangen" door Renovate. Maar als ik het goed begrijp kickt je pipeline een Ansible playbook af die de daadwerkelijke update doet op je Docker host. Dus het is meer de samenwerking tussen Renovate en Ansible die dan het stukje Watchtower vervangt.

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33

- name: Deploy Docker Compose
  hosts: docker

  tasks:
    - name: Ensure remote directories
      ansible.builtin.file:
        path: "/opt/appdata/dockge/stacks/{{ item.path }}"
        state: directory
        mode: "0755"
        owner: "nobody"
        group: "nogroup"
      with_community.general.filetree: "{{ inventory_dir }}/compose/{{ inventory_hostname }}/"
      when: item.state == 'directory'

    - name: Copy regular files
      ansible.builtin.copy:
        src: "{{ item.src }}"
        dest: "/opt/appdata/dockge/stacks/{{ item.path }}"
        mode: "0644"
        owner: "nobody"
        group: "nogroup"
      with_community.general.filetree: "{{ inventory_dir }}/compose/{{ inventory_hostname }}/"
      when: item.state == 'file' and (item.src | splitext | last) != '.j2'

    - name: Template Jinja .j2 files
      ansible.builtin.template:
        src: "{{ item.src }}"
        dest: "/opt/appdata/dockge/stacks/{{ item.path | splitext | first }}"
        mode: "0644"
        owner: "nobody"
        group: "nogroup"
      with_community.general.filetree: "{{ inventory_dir }}/compose/{{ inventory_hostname }}/"
      when: item.state == 'file' and (item.src | splitext | last) == '.j2'

┌── compose
│   └── hostnameA/
│       └── adguard_home/
│           └── compose.yaml
│       └── home_assistant/
│           └── compose.yaml
│           └── .env
│   └── hostnameB/
│       └── adguard_home/
│           └── compose.yaml
│       └── zigbee2mqtt/
│           └── compose.yaml
│           └── .env.j2

1
2
3
4
5
6
7
8
9
10
11
12
13

module.exports = {
  platform: 'gitea',
  endpoint: 'https://git.example.com/api/v1/',
  gitAuthor: 'Renovate Bot <renovate@users.noreply.github.com>',
  username: 'renovate-bot',
  autodiscover: true,
  onboardingConfig: {
    $schema: 'https://docs.renovatebot.com/renovate-schema.json',
    extends: ['config:recommended']
  },
  optimizeForDisabled: true,
  persistRepoData: true,
}

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20

---
name: Renovate

# yamllint disable-line rule:truthy
on:
  schedule:
    - cron: "@daily"
  workflow_dispatch:

jobs:
  renovate:
    runs-on: ubuntu-latest
    container: ghcr.io/renovatebot/renovate:39.229.0
    steps:
      - uses: actions/checkout@v4
      - run: renovate
        env:
          RENOVATE_CONFIG_FILE: "config.js"
          LOG_LEVEL: "debug"
          RENOVATE_TOKEN: ${{ secrets.RENOVATE_TOKEN }}

Ik ben zelf tegenwoordig wel meer van het eenvoudig te houden. Dus ik laat Renovate lekker gaan, Gitlab CI/CD publisht de image dan naar een container registry. Vervolgens draait Watchtower om de zoveel uur om de update binnen te trekken. Good ol' polling.

Mars Warrior schreef op dinsdag 1 april 2025 @ 16:43:
Harstikke leuk en luxe @alex3305

Ik doe al mijn 40 containers nog steeds handmatig

Die staan dus iha op vaste versies, en eens in de zoveel tijd kijk ik in de changelog en doe een update. Ik haat namelijk breaking changes

En sommige van mijn containers gebruiken een Ansible playbook intern om de container te initialiseren en te starten: dat is tergend traag, en er worden soms dingen gereset in de config die de container kapot maken.

Andere containers draaien wel in docker, maar zijn feitelijk old-school: je moet bij een upgrade òf een upgrade container draaien voor de nieuwe versie, òf handmatig een backup maken en later weer importeren.

En Yep, betaalde legacy software die nooit gebouwd is voor docker

Ik heb ook nog steeds één compose file. Soms handig, en soms niet. Ik zou dit wel in aparte stacks willen onderbrengen, maar er zijn dikke afhankelijkheden onderling.

Yarisken schreef op woensdag 2 april 2025 @ 17:23:
Boys, ik draai een stuk of 30 docker containers met gewoon standaard netwerk dus gebruik makend van het ip van de server.
Ik loop soms tegen zaken aan dat bepaalde poorten hard coded in een docker container zitten zoals bv poort 8080.en deze poort is al in gebruik door een andere docker container.
Om dit te vermijden was ik aan het denken om docker macvlan te gaan gebruiken zodat elke docker container zijn eigen ip gaat hebben . Ik heb nog genoeg interne ip adressen over.

Ik heb er zelf geen ervaring mee dus mijn vraag is of docker macvlan ook nadelen heeft ?

Mars Warrior schreef op woensdag 2 april 2025 @ 17:26:
[...]

Macvlan kan, heeft elke container zijn eigen adres.

Ik heb alles achter Caddy zitten, dan maakt het niet uit als tig containers op dezelfde poort zitten.

Verder kun je toch altijd een poort mappen, dus dit probleem bestaat toch niet?

Yarisken schreef op woensdag 2 april 2025 @ 17:36:
[...]


Wat bedoel je met poort mappen ? In de docker-compose kan ik de poorten aanpassen maar dit lukt niet voor alle docker-containers.
Dus stel dat er in de compose file 8080 staat verander ik dit in 8081 maar als ik dan de container start via docker-compose -d zodat ik output zie dan start de container met poort 8080 ipv 8081.

1
2

ports:
  - 8081:8080

[ Voor 4% gewijzigd door Mars Warrior op 02-04-2025 17:41 ]

Mars Warrior schreef op woensdag 2 april 2025 @ 17:40:
[...]

Het mappen van een interne naar een port op de host.

Zie: https://docs.docker.com/g...ports/#use-docker-compose

Dus in docker compose staat dan iets van het volgende om de docker poort 8080 te mappen naar 8081 op de host.

YAML:

1 2	ports: - 8081:8080

Yarisken schreef op woensdag 2 april 2025 @ 17:46:
[...]
Ja dat werkt ! Hartelijk bedankt, ik kan weer verder zonder alles te herconfigureren in macvlan

Yarisken schreef op woensdag 2 april 2025 @ 17:23:
Boys, ik draai een stuk of 30 docker containers met gewoon standaard netwerk dus gebruik makend van het ip van de server.
Ik loop soms tegen zaken aan dat bepaalde poorten hard coded in een docker container zitten zoals bv poort 8080.en deze poort is al in gebruik door een andere docker container.
Om dit te vermijden was ik aan het denken om docker macvlan te gaan gebruiken zodat elke docker container zijn eigen ip gaat hebben . Ik heb nog genoeg interne ip adressen over.

Ik heb er zelf geen ervaring mee dus mijn vraag is of docker macvlan ook nadelen heeft ?

alex3305 schreef op dinsdag 1 april 2025 @ 16:12:
[...]

Misschien omdat ik wat teveel in de materie zit, dat ik wellicht over wat details heen ben gevlogen . Eerder controleerde Watchtower (bij mij) iedere dag of er updates voor containers waren. Ik had per Docker Compose stack een aparte Watchtower container draaien zodat dit proces nog enigszins beheersbaar was. Echter gaf het me totaal geen inzicht welke versie nu waar draaide.

Tegelijkertijd beheer(de) ik mijn Docker Compose stacks met Dockge. De Docker Compose stacks kopieerde ik bij aanpassingen handmatig in Dockge. De eerste stap die ik heb gemaakt is om deze met Ansible automatisch over te zetten. Ik gebruikte hiervoor de onderstaande Ansible playbook:

YAML:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33

- name: Deploy Docker Compose hosts: docker tasks: - name: Ensure remote directories ansible.builtin.file: path: "/opt/appdata/dockge/stacks/{{ item.path }}" state: directory mode: "0755" owner: "nobody" group: "nogroup" with_community.general.filetree: "{{ inventory_dir }}/compose/{{ inventory_hostname }}/" when: item.state == 'directory' - name: Copy regular files ansible.builtin.copy: src: "{{ item.src }}" dest: "/opt/appdata/dockge/stacks/{{ item.path }}" mode: "0644" owner: "nobody" group: "nogroup" with_community.general.filetree: "{{ inventory_dir }}/compose/{{ inventory_hostname }}/" when: item.state == 'file' and (item.src | splitext | last) != '.j2' - name: Template Jinja .j2 files ansible.builtin.template: src: "{{ item.src }}" dest: "/opt/appdata/dockge/stacks/{{ item.path | splitext | first }}" mode: "0644" owner: "nobody" group: "nogroup" with_community.general.filetree: "{{ inventory_dir }}/compose/{{ inventory_hostname }}/" when: item.state == 'file' and (item.src | splitext | last) == '.j2'

Voor dit voorbeeld en de leesbaarheid heb ik zoveel mogelijk Ansible-eigen constructies eruit gehaald, maar er zijn slimmere manieren om bijvoorbeeld paden aan elkaar te plakken.

De directory layout die ik dan gebruikte was:

┌── compose
│   └── hostnameA/
│       └── adguard_home/
│           └── compose.yaml
│       └── home_assistant/
│           └── compose.yaml
│           └── .env
│   └── hostnameB/
│       └── adguard_home/
│           └── compose.yaml
│       └── zigbee2mqtt/
│           └── compose.yaml
│           └── .env.j2

Dat was voor mij al een enorme verbetering omdat ik hiermee in ieder geval de Compose bestanden niet meer handmatig - en dus foutgevoelig - in hoefde te voeren. Je zou zelfs de onderste stap weg kunnen laten en alleen kopiëren. Ook dat verminderd de complexiteit aanzienlijk.

Je zou dit ook met Forgejo, Gitea of GitLab CI en zoiets als scp kunnen doen. Ik heb vooral Ansible gekozen vanwege het Jinja templaten. En vanaf hier was Renovate eigenlijk een paar kleine stappen.

1. Als eerste heb ik een Renovate user aangemaakt genaamd renovate-bot met hetzelfde e-mailadres als in de configuratie hieronder. Je mag dit zelf kiezen .

2. Voor deze user heb ik een repo aangemaakt genaamd renovate-config.
In die repo zit een secret genaamd RENOVATE_TOKEN en dat is een Personal Access Token met de permissies conform de Renovate documentatie.

3. Ik heb een standaard Renovate config aangemaakt genaamd config.js met uiteraard de juiste gegevens / parameters.

JavaScript:

1 2 3 4 5 6 7 8 9 10 11 12 13

module.exports = { platform: 'gitea', endpoint: 'https://git.example.com/api/v1/', gitAuthor: 'Renovate Bot <renovate@users.noreply.github.com>', username: 'renovate-bot', autodiscover: true, onboardingConfig: { $schema: 'https://docs.renovatebot.com/renovate-schema.json', extends: ['config:recommended'] }, optimizeForDisabled: true, persistRepoData: true, }

4. Vervolgens heb ik een workflow aangemaakt in .forgejo/workflows in dezelfde repository met een hele basic workflow:

YAML:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20

--- name: Renovate # yamllint disable-line rule:truthy on: schedule: - cron: "@daily" workflow_dispatch: jobs: renovate: runs-on: ubuntu-latest container: ghcr.io/renovatebot/renovate:39.229.0 steps: - uses: actions/checkout@v4 - run: renovate env: RENOVATE_CONFIG_FILE: "config.js" LOG_LEVEL: "debug" RENOVATE_TOKEN: ${{ secrets.RENOVATE_TOKEN }}

5. En als laatste stap heb ik de renovate-bot toegevoegd aan de repositories waarin ik Renovate wil hebben.

Daarna kon ik een run starten en werkte het... Natuurlijk pakt Renovate geen latest op en moet je zelf eerst de juiste versies intikken. En daarnaast heb ik uiteraard mijn configuratie verder uitgebreid met bijvoorbeeld een dependency dashboard en custom matchers, maar dat hoeft allemaal niet. Daar ben ik ook pas na een maand of anderhalf mee gestart. In ieder geval was ik nu wel af van alle :latest-tags, Watchtower containers (laatste update meer dan 1 jaar geleden!) en had ik transparantie van updates.


[...]

Ieder z'n ding . Ik zeg ook niet dat mijn oplossing het einddoel is, maar ik vind het zo verdomd makkelijk werken. En zoals je misschien merkt heb ik me echt verbaasd over de enorm eenvoudige setup.

Mars Warrior schreef op woensdag 2 april 2025 @ 17:40:
[...]

Het mappen van een interne naar een port op de host.

Zie: https://docs.docker.com/g...ports/#use-docker-compose

Dus in docker compose staat dan iets van het volgende om de docker poort 8080 te mappen naar 8081 op de host.

YAML:

1 2	ports: - 8081:8080

- /volume1/pad/naar/muziek:rw

[ Voor 20% gewijzigd door gijpie op 07-05-2025 00:28 . Reden: android client toegevoegd ]

Ghoulli schreef op dinsdag 6 mei 2025 @ 22:54:
Navidrome is eigenlijk niks anders dan een programma wat de muziek voor je af kan spelen. Als je al muziek op jouw server hebt staan hoef jij alleen de map van jouw muziek te mappen. Dit kan, volgens mij, Navidrome niet uit zichelf. Hier heb je wat andere, extra dingen voor nodig.

Zo als volgt:
Lidarr - De backbone van de gehele operatie. In Lidarr kun je zoeken naar verschillende artiesten en albums en deze toevoegen aan jouw library. Om de files om te downloaden te vinden heeft Lidarr een Indexer nodig. Deze Indexer, in mijn geval voor Usenet maar kan ook een torrent indexer zijn, moet toegevoegd worden in Lidarr.

Indexer - De Indexer is niks anders dan een groot telefoonboek waarin alle mensen staan die voor jou het album of de artiest hosten naar het internet.

Nadat de Indexer aan Lidarr is toegevoegd moet je een download client hebben. Dit kan NZBGet zijn voor Usenet of qBittorrent voor Torrents. Torrents zijn makkelijker, daar hoef je verder niks voor in te stellen. Bij Usenet (NZBGet) werkt het als volgt: Je hebt een News-server nodig. Deze News-Server vist voor jou de bestanden van het Usenet en plaatst deze in jouw download client, waardoor jij ze vervolgens ook kunt downloaden. Een News-server wordt ook wel een Provider genoemd.

Nadat de bestanden gedownload zijn van de Provider worden deze geplaatst in een map zoals aangegeven in Lidarr. Deze map koppel je aan Navidrome (/pad/naar/muziek) en dan kun je via Navidrome naar je muziek luisteren.

gijpie schreef op woensdag 7 mei 2025 @ 00:18:
[...]


Heb je dit aangepast naar het daadwerkelijke pad naar je muziek? Buiten dat map je volgens mij naar niks in je docker container :rw geeft alleen aan read/write. Daar moet ook nog iets als een pad in de container staan.

Eigenlijk zou er iets als volgt moeten staan: /path/to/your/music/folder:/music:rw Waar alles voor de dubbele punt het pad naar je muziekfiles op de NAS moet zijn en alles na de dubbele punt het pad in de container.

Zoiets dus: - /volume1/docker/navidrome/mijn_muziek:/music:rw

Zet je muziek dan in de mijn_muziek map en bij de instellingen in Navidrome selecteer je als bestandslokatie /music

Voor Android kies je een subsonic client zoals bijvoorbeeld substreamer

[ Voor 12% gewijzigd door FLA NL op 08-05-2025 22:08 ]

Visualize your location history, track your movements, and analyze your travel patterns with complete privacy and control.

gijpie schreef op donderdag 8 mei 2025 @ 22:11:
Nog niet geprobeerd. Ben in de playstore alleen de officiele WG app tegen gekomen.

Ik los dit nu op met een cloudflare tunnel naar mijn server. Maar ik zal eens kijken wat er verder nog mogelijk is.

Dank je wel.

Arosa schreef op maandag 19 mei 2025 @ 22:48:
@Mars Warrior :

Kan je een hint geven wat ik verkeerd doe? Best al wat uurtjes gezocht op het internet, maar ik kom niet verder dan dit:
[Afbeelding] [Afbeelding] [Afbeelding] [Afbeelding]
De shared folder krijg ik niet zichtbaar in Immich.

Heb jij ook meerdere gebruikers?

1
2
3
4
5

# Read only location of existing archive
EXTERNAL_ARCHIVE=/mnt/pool/Afbeeldingen/Archief

# The location where your uploaded files are stored
UPLOAD_LOCATION=/mnt/pool/Afbeeldingen/Upload

1
2
3
4
5
6
7
8

  immich-server:
    container_name: immich_server
    image: ghcr.io/immich-app/immich-server:${IMMICH_VERSION:-release}
    cpuset: $CPUSET_E_CORES_ALL
    volumes:
      - ${UPLOAD_LOCATION}:/usr/src/app/upload
      - ${EXTERNAL_ARCHIVE}:/usr/src/app/archive
      - /etc/localtime:/etc/localtime:ro

• Duplicati
  Gemakkelijk in gebruik te nemen, nu nog een keer testen om zelf te ondervinden hoe betrouwbaar het is.
• Emby
  Net zo makkelijk en werkt prima om een bescheiden dvd-collectie voortaan digitaal te benaderen
• Immich
  Wat problemen gehad om de externe bibliotheek bereikbaar te krijgen, maar ondertussen ook bijna mijn complete collectie mobiele telefoonfoto's 'online'.
• Nginx
  Wat een hoop slechte en onvolledige instructies staan er op internet, dit heeft mij heel wat uurtjes en proberen gekost, maar uiteindelijk met de uitleg van MariusHosting het nu voor elkaar mijn Immich ook buiten de deur te bereiken.

Arosa schreef op zondag 25 mei 2025 @ 08:54:
Vanwege de wat beperkte software van Ugreen, was Docker de beste optie om toch alles te kunnen doen.

Ik heb ondertussen de volgende Containers draaien:

• Duplicati
  Gemakkelijk in gebruik te nemen, nu nog een keer testen om zelf te ondervinden hoe betrouwbaar het is.
• Emby
  Net zo makkelijk en werkt prima om een bescheiden dvd-collectie voortaan digitaal te benaderen
• Immich
  Wat problemen gehad om de externe bibliotheek bereikbaar te krijgen, maar ondertussen ook bijna mijn complete collectie mobiele telefoonfoto's 'online'.
• Nginx
  Wat een hoop slechte en onvolledige instructies staan er op internet, dit heeft mij heel wat uurtjes en proberen gekost, maar uiteindelijk met de uitleg van MariusHosting het nu voor elkaar mijn Immich ook buiten de deur te bereiken.

1
2
3

   labels:
      caddy: immich.mijndomein.nl
      caddy.reverse_proxy: "{{upstreams 2283}}"

Nu zoek ik nog een tool om eenvoudig verschillende mappen (zonder compressie of versleuteling) naar een usb-schijf te kopiëren (voor mijn eigen gemoedsrust, als extra backup). Iemand nog tips voor een app in Docker? Of kan dat niet?

Mars Warrior schreef op zondag 25 mei 2025 @ 10:05:
(Vanzelfsprekend moeten de poorten wel opengezet/geforward worden, maar dat is altijd nodig voor IPv4. Voor IPv6 dan weer niet: daar kun je gewoon een IPv6 adres icm poorten gebruiken die je firewall doorlaat)

RobertMe schreef op zondag 25 mei 2025 @ 10:28:
[...]
Hoe noem je dat? Als het blijkbaar niet "open zetten" is? Bij IPv6 is het juist alleen open zetten, bij IPv4 open zetten + een DNAT (destination NAT) regel aanmaken. Maar de meeste consumenten routers zal het gewoon 1 actie zijn. (Als die consumenten router dit al ondersteund bij IPv6. In ieder geval schijnen er nogal wat provider modem/routers te zijn waarbij de firewall gebrekkige IPv6 support heeft en een poort openen/toestaan niet mogelijk is. Terwijl IPv4 port forwards prima mogelijk zijn).

Mars Warrior schreef op zondag 25 mei 2025 @ 11:01:
Vanzelfsprekend heb ik vaste IPv6 adressen toegekend aan mijn servers. Ik heb zo'n groot subnet van de KPN dat ik miljoenen servers/devices op mijn adres kan hebben. Vraag me niet waarom KPN zo'n groot subnet (64 bits) uitdeelt, maar goed.

• Al mijn apparaten hebben een vast IPv4 adres. Dat is al jaaaaaaaaaaaaaaaaaaaaaaaaaaaaren zo.
• Verder krijgen ze van de router (ik vermoed via SLAAC / Router Announcements) een IPv6 adres .

• Sommige containers netjes het externe of lokale IP (altijd IPv4) vastleggen
• Anderen het IPv4 adres van de Docker Gateway van mijn Ingress Netwerk als "remote_ip" bepaalt.
• (meerdere).

• Als de externe DNS IPv4 only is, dan gaat het altijd goed!
• Als de externe DNS IPv4 én IPv6 adressen geeft, dan gaat het eigenlijk altijd fout: ik krijg het Docker Gateway adres als "remote_ip"

1. Überhaupt Docker van mijn firewall af laten blijven (ik gebruik nftable, de iptables opvolger, en Docker kan alleen overweg met iptables of firewalld).
2. Geen exposed ports gebruiken (want anders start die de proxies, en dat wil ik niet)
3. Alle containers krijgen een static IP, waardoor ik dus zelf in de firewall de regels kan aanmaken
4. Alle containers krijgen een IPv6 adres (ook statisch) dat routeerbaar is (in mijn LAN is dat een ULA adres, op mijn VPS is dat een GUA adres)
5. Voor containers die via IPv4 bereikbaar moeten zijn maak ik in de firewall met de hand een DNAT regel aan (bv dus poort 80 binnenkomend op het WAN IP herschrijven naar poort 80 van de Traefik container).
6. Voor containers die via IPv6 bereikbaar moeten zijn maak ik in de firewall een (accept) forward regel aan, direct met "als destination het IP van de Traefik container is en de poort is 80 (of 443) dan accept").

Mars Warrior schreef op donderdag 29 mei 2025 @ 20:05:
@RobertMe zijn dat soms de userland proxies? Daar wel eerder van gehoord, maar geen idee wat dat was/is.

Het gevolg voor remote_ip staat vziw nergens gedocumenteerd en wordt ook nergens uitgelegd.

Ik gebruik verder gewoon iptables. Dat werkt ootb. Ook fail2ban kan ik dan standaard gebruiken. Nftables vereist aanpassingen.

Ik hoop dat alles straks werkt als ik ipv6 heb aangezet.

[ Voor 10% gewijzigd door RobertMe op 29-05-2025 21:32 ]

@RobertMe:
En netwerken kun je niet bewerken. De enige optie is dus alle containers die in zo'n netwerk (in jouw geval het ingress netwerk?) zitten stoppen, verwijderen, het netwerk verwijderen, het netwerk opnieuw aanmaken met IPv6 en daarna weer de containers aanmaken & starten.

[ Voor 6% gewijzigd door Airw0lf op 29-05-2025 21:42 ]

[ Voor 117% gewijzigd door ed1703 op 30-05-2025 01:10 ]

Airw0lf schreef op donderdag 29 mei 2025 @ 21:37:
[...]


Dat klopt an sich wel - netwerken kun je niet bewerken.

Maar wat zou er gebeuren als je een nieuw (bridge) netwerk aanmaakt met IPv6 actief?
En vervolgens alle containers aan dit nieuwe netwerk knoopt?
Als alles goed werkt kan het oude non-IPv6 netwerk verwijderd worden?

Het zou nog steeds een hele klus zijn - maar minder ingrijpend dan alle containers verwijderen en opnieuw aanmaken.

Of heb ik hier nu een klok-en-klepel iets "geschreven"?

[ Voor 13% gewijzigd door RobertMe op 29-05-2025 21:56 ]