[Docker] [alle OS] Het grote Docker ervaringen en tips topic

Mars Warrior schreef op dinsdag 1 april 2025 @ 16:43:
Harstikke leuk en luxe @alex3305

Ik doe al mijn 40 containers nog steeds handmatig

Die staan dus iha op vaste versies, en eens in de zoveel tijd kijk ik in de changelog en doe een update. Ik haat namelijk breaking changes

En sommige van mijn containers gebruiken een Ansible playbook intern om de container te initialiseren en te starten: dat is tergend traag, en er worden soms dingen gereset in de config die de container kapot maken.

Andere containers draaien wel in docker, maar zijn feitelijk old-school: je moet bij een upgrade òf een upgrade container draaien voor de nieuwe versie, òf handmatig een backup maken en later weer importeren.

En Yep, betaalde legacy software die nooit gebouwd is voor docker

Ik heb ook nog steeds één compose file. Soms handig, en soms niet. Ik zou dit wel in aparte stacks willen onderbrengen, maar er zijn dikke afhankelijkheden onderling.

Yarisken schreef op woensdag 2 april 2025 @ 17:23:
Boys, ik draai een stuk of 30 docker containers met gewoon standaard netwerk dus gebruik makend van het ip van de server.
Ik loop soms tegen zaken aan dat bepaalde poorten hard coded in een docker container zitten zoals bv poort 8080.en deze poort is al in gebruik door een andere docker container.
Om dit te vermijden was ik aan het denken om docker macvlan te gaan gebruiken zodat elke docker container zijn eigen ip gaat hebben . Ik heb nog genoeg interne ip adressen over.

Ik heb er zelf geen ervaring mee dus mijn vraag is of docker macvlan ook nadelen heeft ?

Mars Warrior schreef op woensdag 2 april 2025 @ 17:26:
[...]

Macvlan kan, heeft elke container zijn eigen adres.

Ik heb alles achter Caddy zitten, dan maakt het niet uit als tig containers op dezelfde poort zitten.

Verder kun je toch altijd een poort mappen, dus dit probleem bestaat toch niet?

Yarisken schreef op woensdag 2 april 2025 @ 17:36:
[...]


Wat bedoel je met poort mappen ? In de docker-compose kan ik de poorten aanpassen maar dit lukt niet voor alle docker-containers.
Dus stel dat er in de compose file 8080 staat verander ik dit in 8081 maar als ik dan de container start via docker-compose -d zodat ik output zie dan start de container met poort 8080 ipv 8081.

1
2

ports:
  - 8081:8080

[ Voor 4% gewijzigd door Mars Warrior op 02-04-2025 17:41 ]

Mars Warrior schreef op woensdag 2 april 2025 @ 17:40:
[...]

Het mappen van een interne naar een port op de host.

Zie: https://docs.docker.com/g...ports/#use-docker-compose

Dus in docker compose staat dan iets van het volgende om de docker poort 8080 te mappen naar 8081 op de host.

YAML:

1 2	ports: - 8081:8080

Yarisken schreef op woensdag 2 april 2025 @ 17:46:
[...]
Ja dat werkt ! Hartelijk bedankt, ik kan weer verder zonder alles te herconfigureren in macvlan

Yarisken schreef op woensdag 2 april 2025 @ 17:23:
Boys, ik draai een stuk of 30 docker containers met gewoon standaard netwerk dus gebruik makend van het ip van de server.
Ik loop soms tegen zaken aan dat bepaalde poorten hard coded in een docker container zitten zoals bv poort 8080.en deze poort is al in gebruik door een andere docker container.
Om dit te vermijden was ik aan het denken om docker macvlan te gaan gebruiken zodat elke docker container zijn eigen ip gaat hebben . Ik heb nog genoeg interne ip adressen over.

Ik heb er zelf geen ervaring mee dus mijn vraag is of docker macvlan ook nadelen heeft ?

alex3305 schreef op dinsdag 1 april 2025 @ 16:12:
[...]

Misschien omdat ik wat teveel in de materie zit, dat ik wellicht over wat details heen ben gevlogen . Eerder controleerde Watchtower (bij mij) iedere dag of er updates voor containers waren. Ik had per Docker Compose stack een aparte Watchtower container draaien zodat dit proces nog enigszins beheersbaar was. Echter gaf het me totaal geen inzicht welke versie nu waar draaide.

Tegelijkertijd beheer(de) ik mijn Docker Compose stacks met Dockge. De Docker Compose stacks kopieerde ik bij aanpassingen handmatig in Dockge. De eerste stap die ik heb gemaakt is om deze met Ansible automatisch over te zetten. Ik gebruikte hiervoor de onderstaande Ansible playbook:

YAML:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33

- name: Deploy Docker Compose hosts: docker tasks: - name: Ensure remote directories ansible.builtin.file: path: "/opt/appdata/dockge/stacks/{{ item.path }}" state: directory mode: "0755" owner: "nobody" group: "nogroup" with_community.general.filetree: "{{ inventory_dir }}/compose/{{ inventory_hostname }}/" when: item.state == 'directory' - name: Copy regular files ansible.builtin.copy: src: "{{ item.src }}" dest: "/opt/appdata/dockge/stacks/{{ item.path }}" mode: "0644" owner: "nobody" group: "nogroup" with_community.general.filetree: "{{ inventory_dir }}/compose/{{ inventory_hostname }}/" when: item.state == 'file' and (item.src | splitext | last) != '.j2' - name: Template Jinja .j2 files ansible.builtin.template: src: "{{ item.src }}" dest: "/opt/appdata/dockge/stacks/{{ item.path | splitext | first }}" mode: "0644" owner: "nobody" group: "nogroup" with_community.general.filetree: "{{ inventory_dir }}/compose/{{ inventory_hostname }}/" when: item.state == 'file' and (item.src | splitext | last) == '.j2'

Voor dit voorbeeld en de leesbaarheid heb ik zoveel mogelijk Ansible-eigen constructies eruit gehaald, maar er zijn slimmere manieren om bijvoorbeeld paden aan elkaar te plakken.

De directory layout die ik dan gebruikte was:

┌── compose
│   └── hostnameA/
│       └── adguard_home/
│           └── compose.yaml
│       └── home_assistant/
│           └── compose.yaml
│           └── .env
│   └── hostnameB/
│       └── adguard_home/
│           └── compose.yaml
│       └── zigbee2mqtt/
│           └── compose.yaml
│           └── .env.j2

Dat was voor mij al een enorme verbetering omdat ik hiermee in ieder geval de Compose bestanden niet meer handmatig - en dus foutgevoelig - in hoefde te voeren. Je zou zelfs de onderste stap weg kunnen laten en alleen kopiëren. Ook dat verminderd de complexiteit aanzienlijk.

Je zou dit ook met Forgejo, Gitea of GitLab CI en zoiets als scp kunnen doen. Ik heb vooral Ansible gekozen vanwege het Jinja templaten. En vanaf hier was Renovate eigenlijk een paar kleine stappen.

1. Als eerste heb ik een Renovate user aangemaakt genaamd renovate-bot met hetzelfde e-mailadres als in de configuratie hieronder. Je mag dit zelf kiezen .

2. Voor deze user heb ik een repo aangemaakt genaamd renovate-config.
In die repo zit een secret genaamd RENOVATE_TOKEN en dat is een Personal Access Token met de permissies conform de Renovate documentatie.

3. Ik heb een standaard Renovate config aangemaakt genaamd config.js met uiteraard de juiste gegevens / parameters.

JavaScript:

1 2 3 4 5 6 7 8 9 10 11 12 13

module.exports = { platform: 'gitea', endpoint: 'https://git.example.com/api/v1/', gitAuthor: 'Renovate Bot <renovate@users.noreply.github.com>', username: 'renovate-bot', autodiscover: true, onboardingConfig: { $schema: 'https://docs.renovatebot.com/renovate-schema.json', extends: ['config:recommended'] }, optimizeForDisabled: true, persistRepoData: true, }

4. Vervolgens heb ik een workflow aangemaakt in .forgejo/workflows in dezelfde repository met een hele basic workflow:

YAML:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20

--- name: Renovate # yamllint disable-line rule:truthy on: schedule: - cron: "@daily" workflow_dispatch: jobs: renovate: runs-on: ubuntu-latest container: ghcr.io/renovatebot/renovate:39.229.0 steps: - uses: actions/checkout@v4 - run: renovate env: RENOVATE_CONFIG_FILE: "config.js" LOG_LEVEL: "debug" RENOVATE_TOKEN: ${{ secrets.RENOVATE_TOKEN }}

5. En als laatste stap heb ik de renovate-bot toegevoegd aan de repositories waarin ik Renovate wil hebben.

Daarna kon ik een run starten en werkte het... Natuurlijk pakt Renovate geen latest op en moet je zelf eerst de juiste versies intikken. En daarnaast heb ik uiteraard mijn configuratie verder uitgebreid met bijvoorbeeld een dependency dashboard en custom matchers, maar dat hoeft allemaal niet. Daar ben ik ook pas na een maand of anderhalf mee gestart. In ieder geval was ik nu wel af van alle :latest-tags, Watchtower containers (laatste update meer dan 1 jaar geleden!) en had ik transparantie van updates.


[...]

Ieder z'n ding . Ik zeg ook niet dat mijn oplossing het einddoel is, maar ik vind het zo verdomd makkelijk werken. En zoals je misschien merkt heb ik me echt verbaasd over de enorm eenvoudige setup.

Mars Warrior schreef op woensdag 2 april 2025 @ 17:40:
[...]

Het mappen van een interne naar een port op de host.

Zie: https://docs.docker.com/g...ports/#use-docker-compose

Dus in docker compose staat dan iets van het volgende om de docker poort 8080 te mappen naar 8081 op de host.

YAML:

1 2	ports: - 8081:8080

- /volume1/pad/naar/muziek:rw

[ Voor 20% gewijzigd door gijpie op 07-05-2025 00:28 . Reden: android client toegevoegd ]

Ghoulli schreef op dinsdag 6 mei 2025 @ 22:54:
Navidrome is eigenlijk niks anders dan een programma wat de muziek voor je af kan spelen. Als je al muziek op jouw server hebt staan hoef jij alleen de map van jouw muziek te mappen. Dit kan, volgens mij, Navidrome niet uit zichelf. Hier heb je wat andere, extra dingen voor nodig.

Zo als volgt:
Lidarr - De backbone van de gehele operatie. In Lidarr kun je zoeken naar verschillende artiesten en albums en deze toevoegen aan jouw library. Om de files om te downloaden te vinden heeft Lidarr een Indexer nodig. Deze Indexer, in mijn geval voor Usenet maar kan ook een torrent indexer zijn, moet toegevoegd worden in Lidarr.

Indexer - De Indexer is niks anders dan een groot telefoonboek waarin alle mensen staan die voor jou het album of de artiest hosten naar het internet.

Nadat de Indexer aan Lidarr is toegevoegd moet je een download client hebben. Dit kan NZBGet zijn voor Usenet of qBittorrent voor Torrents. Torrents zijn makkelijker, daar hoef je verder niks voor in te stellen. Bij Usenet (NZBGet) werkt het als volgt: Je hebt een News-server nodig. Deze News-Server vist voor jou de bestanden van het Usenet en plaatst deze in jouw download client, waardoor jij ze vervolgens ook kunt downloaden. Een News-server wordt ook wel een Provider genoemd.

Nadat de bestanden gedownload zijn van de Provider worden deze geplaatst in een map zoals aangegeven in Lidarr. Deze map koppel je aan Navidrome (/pad/naar/muziek) en dan kun je via Navidrome naar je muziek luisteren.

gijpie schreef op woensdag 7 mei 2025 @ 00:18:
[...]


Heb je dit aangepast naar het daadwerkelijke pad naar je muziek? Buiten dat map je volgens mij naar niks in je docker container :rw geeft alleen aan read/write. Daar moet ook nog iets als een pad in de container staan.

Eigenlijk zou er iets als volgt moeten staan: /path/to/your/music/folder:/music:rw Waar alles voor de dubbele punt het pad naar je muziekfiles op de NAS moet zijn en alles na de dubbele punt het pad in de container.

Zoiets dus: - /volume1/docker/navidrome/mijn_muziek:/music:rw

Zet je muziek dan in de mijn_muziek map en bij de instellingen in Navidrome selecteer je als bestandslokatie /music

Voor Android kies je een subsonic client zoals bijvoorbeeld substreamer

[ Voor 12% gewijzigd door FLA NL op 08-05-2025 22:08 ]

Visualize your location history, track your movements, and analyze your travel patterns with complete privacy and control.

gijpie schreef op donderdag 8 mei 2025 @ 22:11:
Nog niet geprobeerd. Ben in de playstore alleen de officiele WG app tegen gekomen.

Ik los dit nu op met een cloudflare tunnel naar mijn server. Maar ik zal eens kijken wat er verder nog mogelijk is.

Dank je wel.

Arosa schreef op maandag 19 mei 2025 @ 22:48:
@Mars Warrior :

Kan je een hint geven wat ik verkeerd doe? Best al wat uurtjes gezocht op het internet, maar ik kom niet verder dan dit:
[Afbeelding] [Afbeelding] [Afbeelding] [Afbeelding]
De shared folder krijg ik niet zichtbaar in Immich.

Heb jij ook meerdere gebruikers?

1
2
3
4
5

# Read only location of existing archive
EXTERNAL_ARCHIVE=/mnt/pool/Afbeeldingen/Archief

# The location where your uploaded files are stored
UPLOAD_LOCATION=/mnt/pool/Afbeeldingen/Upload

1
2
3
4
5
6
7
8

  immich-server:
    container_name: immich_server
    image: ghcr.io/immich-app/immich-server:${IMMICH_VERSION:-release}
    cpuset: $CPUSET_E_CORES_ALL
    volumes:
      - ${UPLOAD_LOCATION}:/usr/src/app/upload
      - ${EXTERNAL_ARCHIVE}:/usr/src/app/archive
      - /etc/localtime:/etc/localtime:ro

• Duplicati
  Gemakkelijk in gebruik te nemen, nu nog een keer testen om zelf te ondervinden hoe betrouwbaar het is.
• Emby
  Net zo makkelijk en werkt prima om een bescheiden dvd-collectie voortaan digitaal te benaderen
• Immich
  Wat problemen gehad om de externe bibliotheek bereikbaar te krijgen, maar ondertussen ook bijna mijn complete collectie mobiele telefoonfoto's 'online'.
• Nginx
  Wat een hoop slechte en onvolledige instructies staan er op internet, dit heeft mij heel wat uurtjes en proberen gekost, maar uiteindelijk met de uitleg van MariusHosting het nu voor elkaar mijn Immich ook buiten de deur te bereiken.

Arosa schreef op zondag 25 mei 2025 @ 08:54:
Vanwege de wat beperkte software van Ugreen, was Docker de beste optie om toch alles te kunnen doen.

Ik heb ondertussen de volgende Containers draaien:

• Duplicati
  Gemakkelijk in gebruik te nemen, nu nog een keer testen om zelf te ondervinden hoe betrouwbaar het is.
• Emby
  Net zo makkelijk en werkt prima om een bescheiden dvd-collectie voortaan digitaal te benaderen
• Immich
  Wat problemen gehad om de externe bibliotheek bereikbaar te krijgen, maar ondertussen ook bijna mijn complete collectie mobiele telefoonfoto's 'online'.
• Nginx
  Wat een hoop slechte en onvolledige instructies staan er op internet, dit heeft mij heel wat uurtjes en proberen gekost, maar uiteindelijk met de uitleg van MariusHosting het nu voor elkaar mijn Immich ook buiten de deur te bereiken.

1
2
3

   labels:
      caddy: immich.mijndomein.nl
      caddy.reverse_proxy: "{{upstreams 2283}}"

Nu zoek ik nog een tool om eenvoudig verschillende mappen (zonder compressie of versleuteling) naar een usb-schijf te kopiëren (voor mijn eigen gemoedsrust, als extra backup). Iemand nog tips voor een app in Docker? Of kan dat niet?

Mars Warrior schreef op zondag 25 mei 2025 @ 10:05:
(Vanzelfsprekend moeten de poorten wel opengezet/geforward worden, maar dat is altijd nodig voor IPv4. Voor IPv6 dan weer niet: daar kun je gewoon een IPv6 adres icm poorten gebruiken die je firewall doorlaat)

RobertMe schreef op zondag 25 mei 2025 @ 10:28:
[...]
Hoe noem je dat? Als het blijkbaar niet "open zetten" is? Bij IPv6 is het juist alleen open zetten, bij IPv4 open zetten + een DNAT (destination NAT) regel aanmaken. Maar de meeste consumenten routers zal het gewoon 1 actie zijn. (Als die consumenten router dit al ondersteund bij IPv6. In ieder geval schijnen er nogal wat provider modem/routers te zijn waarbij de firewall gebrekkige IPv6 support heeft en een poort openen/toestaan niet mogelijk is. Terwijl IPv4 port forwards prima mogelijk zijn).

Mars Warrior schreef op zondag 25 mei 2025 @ 11:01:
Vanzelfsprekend heb ik vaste IPv6 adressen toegekend aan mijn servers. Ik heb zo'n groot subnet van de KPN dat ik miljoenen servers/devices op mijn adres kan hebben. Vraag me niet waarom KPN zo'n groot subnet (64 bits) uitdeelt, maar goed.

• Al mijn apparaten hebben een vast IPv4 adres. Dat is al jaaaaaaaaaaaaaaaaaaaaaaaaaaaaren zo.
• Verder krijgen ze van de router (ik vermoed via SLAAC / Router Announcements) een IPv6 adres .

• Sommige containers netjes het externe of lokale IP (altijd IPv4) vastleggen
• Anderen het IPv4 adres van de Docker Gateway van mijn Ingress Netwerk als "remote_ip" bepaalt.
• (meerdere).

• Als de externe DNS IPv4 only is, dan gaat het altijd goed!
• Als de externe DNS IPv4 én IPv6 adressen geeft, dan gaat het eigenlijk altijd fout: ik krijg het Docker Gateway adres als "remote_ip"

1. Überhaupt Docker van mijn firewall af laten blijven (ik gebruik nftable, de iptables opvolger, en Docker kan alleen overweg met iptables of firewalld).
2. Geen exposed ports gebruiken (want anders start die de proxies, en dat wil ik niet)
3. Alle containers krijgen een static IP, waardoor ik dus zelf in de firewall de regels kan aanmaken
4. Alle containers krijgen een IPv6 adres (ook statisch) dat routeerbaar is (in mijn LAN is dat een ULA adres, op mijn VPS is dat een GUA adres)
5. Voor containers die via IPv4 bereikbaar moeten zijn maak ik in de firewall met de hand een DNAT regel aan (bv dus poort 80 binnenkomend op het WAN IP herschrijven naar poort 80 van de Traefik container).
6. Voor containers die via IPv6 bereikbaar moeten zijn maak ik in de firewall een (accept) forward regel aan, direct met "als destination het IP van de Traefik container is en de poort is 80 (of 443) dan accept").

Mars Warrior schreef op donderdag 29 mei 2025 @ 20:05:
@RobertMe zijn dat soms de userland proxies? Daar wel eerder van gehoord, maar geen idee wat dat was/is.

Het gevolg voor remote_ip staat vziw nergens gedocumenteerd en wordt ook nergens uitgelegd.

Ik gebruik verder gewoon iptables. Dat werkt ootb. Ook fail2ban kan ik dan standaard gebruiken. Nftables vereist aanpassingen.

Ik hoop dat alles straks werkt als ik ipv6 heb aangezet.

[ Voor 10% gewijzigd door RobertMe op 29-05-2025 21:32 ]

@RobertMe:
En netwerken kun je niet bewerken. De enige optie is dus alle containers die in zo'n netwerk (in jouw geval het ingress netwerk?) zitten stoppen, verwijderen, het netwerk verwijderen, het netwerk opnieuw aanmaken met IPv6 en daarna weer de containers aanmaken & starten.

[ Voor 6% gewijzigd door Airw0lf op 29-05-2025 21:42 ]

[ Voor 117% gewijzigd door ed1703 op 30-05-2025 01:10 ]

Airw0lf schreef op donderdag 29 mei 2025 @ 21:37:
[...]


Dat klopt an sich wel - netwerken kun je niet bewerken.

Maar wat zou er gebeuren als je een nieuw (bridge) netwerk aanmaakt met IPv6 actief?
En vervolgens alle containers aan dit nieuwe netwerk knoopt?
Als alles goed werkt kan het oude non-IPv6 netwerk verwijderd worden?

Het zou nog steeds een hele klus zijn - maar minder ingrijpend dan alle containers verwijderen en opnieuw aanmaken.

Of heb ik hier nu een klok-en-klepel iets "geschreven"?

[ Voor 13% gewijzigd door RobertMe op 29-05-2025 21:56 ]

RobertMe schreef op donderdag 29 mei 2025 @ 22:48:
[...]

Ik kan mij niet indenken dat dat niet werkt inderdaad. Caddy zal gewoon het binnenkomende IPv6 adres zien en kan die dus ook prima in de logging / X-FORWARDED-FOR header / ... opnamen. En hoe Caddy met de backends babbelt is natuurlijk onafhankelijk van hoe de client met Caddy babbelt. Niet veel anders als de userland proxy van Docker Alleen doet Caddy (mogelijk/waarschijnlijk) HTTP verkeer proxyen, en doet die userland proxy van Docker TCP / UDP proxyen zonder enige verdere kennis van de hogere protocollen.

[ Voor 74% gewijzigd door Mars Warrior op 29-05-2025 23:15 ]

Mars Warrior schreef op donderdag 29 mei 2025 @ 23:01:
[...]

Ik heb de externe DNS weer omgezet. TTL staat op 10 minuten, maar dat is soms een flink kwartiertje...

Zou Caddy nu, omdat de containers in het ingress netwerk enkel IPv4 babbelen de IPv6 aanvraag domweg afwijzen, waardoor er - dankzij die oogballen - altijd een IPv4 verbinding wordt opgezet?

Mars Warrior schreef op donderdag 29 mei 2025 @ 23:23:
@RobertMe Zie mijn vorige, gewijzigde post!

Net ff de logfile voor Fail2Ban bekeken, en daar zie ik bij een foute inlog het IPv6 adres. Dus Fail2Ban gaat dan het juiste adres blokkeren. Dan zal het IPv4 adres vervolgens wel weer komen, maar goed. Dat krijg je met zowel IPv4 als IPv6: twee wegen die naar dezelfde server leiden.

[ Voor 25% gewijzigd door RobertMe op 29-05-2025 23:39 ]

RobertMe schreef op donderdag 29 mei 2025 @ 23:30:
Ik hoop voor je dat fail2ban uberhaupt de volledige /64 blokkeert. Anders hebben ze sowieso 2^64 (oftewel: 1.8e19) adressen beschikbaar Dat zou dan ook weer een leuke attack vector (/DoS) zijn om fail2ban / de firewall over de zeik te krijgen door een enorme (ip)set op te bouwen met dus miljarden individuele adressen er in.

alex3305 schreef op donderdag 5 juni 2025 @ 20:34:
Ik had eigenlijk verwacht dat een wijziging in de Docker Compose voldoende zou zijn om de netwerktoewijzing teniet te doen. Maar dat is dus wellicht onterecht. Het is ook niet het einde van de wereld, maar vond het vooral verwarrend.

alex3305 schreef op donderdag 5 juni 2025 @ 20:34:
[...] Het implementeren van een DNS reflector zoals @RobertMe in het Home Assistant topic beschreef staat naar zijn bericht inmiddels op mijn lijstje. [...]

Mars Warrior schreef op zondag 15 juni 2025 @ 13:33:
Het blokkeren van IPv6 is wel altijd een /128 adres. Dus geen subnet van /64, /56 of /48 aangezien ik ook niet weet hoe groot het subnet aan de andere kant is.
Vooralsnog geen "flood" aan verschillende IPv6 adressen die pogingen doen om binnen te komen, en daarmee een mega lijst van IP adressen geeft voor Fail2Ban om te blokkeren.

RobertMe schreef op zondag 15 juni 2025 @ 13:53:
[...]
Ergo: ik zou gewoon een /64 gebruiken. De kans dat je daarmee legitieme gebruikers onterecht blokkeert is zeer klein. En dat zal dan vast een gebruiker zijn die of het of zelf "opzoekt" (VPN gebruiken, altijd een risico dat anderen misbruik doen waardoor het IP geblokkeerd wordt) of meer eigenaardigheden zal hebben.

[ Voor 13% gewijzigd door Mars Warrior op 15-06-2025 18:11 ]

Dennis schreef op zaterdag 9 augustus 2025 @ 22:40:
Hopelijk kan iemand hier mij een klein beetje in de goede richting duwen, twijfelde wel tussen dit topic en het Traefik topic.

Ik ben vandaag begonnen met Docker. Eerst de hele boel opgezet bij Hetzner met de Ubuntu-Docker app. Ging allemaal prima. Daarna ook Portainer succesvol geïnstalleerd en dat is netjes toegankelijk. De volgende stap was Authentik. Dat is op zich ook gelukt, maar nu zit ik even met een gewetensvraag.

Mijn doel is uiteindelijk om (nog een keer) Matrix te installeren. En ik wil kijken of ik Vaultwarden aan de praat kan krijgen. Ik ga ervan uit dat dat lukt trouwens .

Maar aannemend dat ik deze services uiteindelijk veilig wil exposen met Traefik en dan dus in combinatie met Authentik, wat is een logische manier om het op te bouwen? Gebruik ik één grote Stack in Portainer en daarin alle componenten en dus één Traefik, of is het logischer om een en ander te groeperen qua logische services en dan dus ook meerdere Traefiks te draaien? Elke service moet uiteindelijk een eigen subdomain krijgen, dus vault.xxx.nl, chat.xxx.nl, etc.

Ik heb al wat filmpjes gekeken en blogs gelezen maar het is voor mij een beetje een overload aan informatie met als toppunt de video's van simple ( ) homelabs. Benieuwd naar jullie best practices.

Dennis schreef op zondag 10 augustus 2025 @ 09:38:
Dank @RobertMe, dat meerdere instances overbodig is vermoedde ik al een beetje.

Authentik ga ik zelfstandig inzetten, inderdaad met OIDC. Zag alleen dat Vaultwarden dat niet ondersteunt dus daar moet ik nog even over nadenken.

Ik vind de leercurve van Traefik heel hoog en ik heb het nog niet eens draaien. Ik begrijp dat je een deel van de configuratie al in de docker compose meegeeft. Ondertussen begrijp ik nog niet hoe een en ander in Docker werkt m.b.t. users en hoe je directorystructuren op de host netjes gebruikt. De combinatie met Portainer word ik ook niet gelukkig van, want in de compose voorbeelden van Traefik wordt er naar externe files verwezen, maar in Portainer kun je dat niet goed uitvoeren (daar moet je alles in één file plakken). Snap daar eerlijk gezegd niets van.

En ik begrijp nog niet waarom er zoveel losse containers zijn te downloaden en te draaien via Portainer (die via de Docker Hub beschikbaar zijn) terwijl je dat moeilijk in een stack kunt krijgen en daar nou juist de meerwaarde lijkt te zitten van Portainer. Dan valt de hele use case voor Portainer toch zo'n beetje weg?

Waarom ben ik hier eigenlijk ook alweer aan begonnen?

Mars Warrior schreef op zondag 10 augustus 2025 @ 10:08:
[...]

Traefik zou altijd mijn allerlaatste keuze zijn. Waarom geen Caddy met de docker plug-in? Simpeler wordt het niet met twee regels labels om een site over HTTPS te ontsluiten.

RobertMe schreef op zondag 10 augustus 2025 @ 10:36:
[...]
Als Traefik is opgezet kan die het ook met twee regels Twee labels om traefik te "enablen" voor de service en voor de domeinnaam er op te zetten (middels een host rule). Maar die laatste is dan weer niet perse het meest intuïtief traefik.http.routers.<naampje>.rule=Host(`...`) als ik mij niet vergis.[/]

Mars Warrior schreef op zondag 10 augustus 2025 @ 11:07:
[...]

Zeker als je die andere 100 regels abracadabra vergeet

Ik heb met 50 containers in één docker compose file minder labels nodig dan Traefik voor één service

Maar goed. Ik weet niet of ChatGPT tegenwoordig al die abracadabra automatisch kan genereren…

Dennis schreef op zondag 10 augustus 2025 @ 12:20:
Dank iedereen voor jullie overpeinzingen!

@Mars Warrior goeie vraag en dat vraag ik me nu ook af. Al zou Caddy niet mijn eerste keuze zijn, maar eerder nginx omdat ik dat relatief goed ken. En ik heb het gevoel (maar het is niet meer dan dat) dat Caddy iets te gesimplificeerd is. Ik wil ook bijvoorbeeld client certificate authentication uitvoeren en het lijkt wel of dat kan maar het ziet er geforceerd uit.

Ik weet ook nog niet of ik Authentik wil houden of toch liever Authelia wil gebruiken, bijvoorbeeld in combinatie met lldap. Dat zou ook een mooie stack zijn.

Ik ga eens kijken hoever ChatGPT kan komen met helpen, dat was een goede tip ook!

alex3305 schreef op zondag 10 augustus 2025 @ 14:48:
Ga alsjeblieft voor authenticatie en autorisatie niet zomaar uit van antwoorden van een taalmodel. Authentik - en anderen - zijn echt geen projectjes die zonder voorkennis binnen een middagje (veilig) in elkaar klust. Daarmee wil ik niet zeggen dat het niet kan, maar het is niet voor niets een apart kennisgebied. Ik heb (professionele) ervaring met legio authenticatie oplossingen en Authentik staat om eerlijk te zijn ook niet bijster hoog op mijn lijstje.

Yarisken schreef op zondag 10 augustus 2025 @ 17:41:
Ik gebruik Caddy enkel om een lokale statische website te hosten en dus nog niet als reverse proxy. Blij dat ook authenticatie mee kan opgevangen worden.

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16

services:
  adguard-home:
    container_name: adguard-home
    image: adguard/adguardhome:v0.107.64
    ...
    labels:
      ...
      caddy_3.layer4.udp/:53.route.proxy: "udp/{{upstreams 53}}"
      caddy_4.layer4.tcp/:53.@dns-over-tls.tls: "sni dns.example.com"
      caddy_4.layer4.tcp/:53.route: "@dns-over-tls"
      caddy_4.layer4.tcp/:53.route.1_tls: ""
      caddy_4.layer4.tcp/:53.route.2_proxy: "{{upstreams 53}}"
      caddy_5.layer4.:853.@dns-over-tls.tls: "sni dns.example.com"
      caddy_5.layer4.:853.route: "@dns-over-tls"
      caddy_5.layer4.:853.route.1_tls: ""
      caddy_5.layer4.:853.route.2_proxy: "{{upstreams 53}}"

1
2
3
4
5
6
7
8
9
10
11
12
13
14

services:
  forgejo:
    container_name: forgejo
    image: codeberg.org/forgejo/forgejo:12.0.1
    ...
    labels:
      caddy: "git.example.com"
      caddy.@forgejo.host: "git.example.com"
      caddy.handle: "@forgejo"
      caddy.handle.reverse_proxy: "{{upstreams 3000}}"
      caddy.layer4.:22.@forgejo-ssh.ssh: ""
      caddy.layer4.:22.@forgejo-ssh.remote_ip: "192.168.0.0/16"
      caddy.layer4.:22.route: "@forgejo-ssh"
      caddy.layer4.:22.route.proxy: "{{upstreams 22}}"

alex3305 schreef op maandag 11 augustus 2025 @ 11:27:

YAML:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16

services: adguard-home: container_name: adguard-home image: adguard/adguardhome:v0.107.64 ... labels: ... caddy_3.layer4.udp/:53.route.proxy: "udp/{{upstreams 53}}" caddy_4.layer4.tcp/:53.@dns-over-tls.tls: "sni dns.example.com" caddy_4.layer4.tcp/:53.route: "@dns-over-tls" caddy_4.layer4.tcp/:53.route.1_tls: "" caddy_4.layer4.tcp/:53.route.2_proxy: "{{upstreams 53}}" caddy_5.layer4.:853.@dns-over-tls.tls: "sni dns.example.com" caddy_5.layer4.:853.route: "@dns-over-tls" caddy_5.layer4.:853.route.1_tls: "" caddy_5.layer4.:853.route.2_proxy: "{{upstreams 53}}"

Of Forgejo:

YAML:

1 2 3 4 5 6 7 8 9 10 11 12 13 14

services: forgejo: container_name: forgejo image: codeberg.org/forgejo/forgejo:12.0.1 ... labels: caddy: "git.example.com" caddy.@forgejo.host: "git.example.com" caddy.handle: "@forgejo" caddy.handle.reverse_proxy: "{{upstreams 3000}}" caddy.layer4.:22.@forgejo-ssh.ssh: "" caddy.layer4.:22.@forgejo-ssh.remote_ip: "192.168.0.0/16" caddy.layer4.:22.route: "@forgejo-ssh" caddy.layer4.:22.route.proxy: "{{upstreams 22}}"

Sorry @Mars Warrior, had to do it

alex3305 schreef op maandag 11 augustus 2025 @ 13:28:
@Ghoulli Wat ik eigenlijk had onderschat en uiteindelijk wel een super mooie quick win vond, was dat ik mijn SSH sleutel en groepenbeheer ook in de LDAP kan doen. Dit wordt dan - na sync - automatisch gebruikt in Forgejo en voor PAM-authenticatie. Het fijne is dat ik daar dan ook nauwelijks omkijken naar heb en was verrassend eenvoudig.

alex3305 schreef op zondag 10 augustus 2025 @ 14:59:
Ook heb ik geprobeerd om Caddy HA uit te voeren [...]

Ghoulli schreef op maandag 11 augustus 2025 @ 11:36:
@alex3305 Hier heb je een mooie setup aan, ik had geen idee dat Caddy zo uitgebreid was (heb er ook niet zo in verdiept moet ik bekennen). Ik heb momenteel Caddy in gebruik om SSL certificaten uit te delen voor websites die ik via de browser ook buitenshuis wil bereiken (reverse proxy). De LLDAP integratie vind ik wel een interessante, vooral omdat ik het toch al heb draaien.

Dennis schreef op maandag 11 augustus 2025 @ 19:41:
[...]

Wat doe je dan precies? Wie maakt die certificaten/hoe doe je dat? Ik gebruik zelf ejbca maar dat is geheel handmatig. Ik heb ook WPA2 enterprise wifi (moet nog overstappen naar WPA3) met certificaten voor mijn beveiligde netwerk.

[ Voor 3% gewijzigd door Ghoulli op 12-08-2025 08:54 ]

Ghoulli schreef op dinsdag 12 augustus 2025 @ 08:42:
Ik heb in Caddy aangegeven via mijn Caddyfile welk (sub)domain name er aan welke port gekoppeld is. Ik heb een eigen domain name gekocht bij Cloudflare. Zie deze video voor een uitleg zoals ik het ook heb gedaan.

Dennis schreef op dinsdag 12 augustus 2025 @ 09:47:
[...]

Het ging me meer om hoe je de certificaten aanmaakt. Of je dat via ACME/Let's Encrypt doet of anderszins .

[ Voor 37% gewijzigd door Ghoulli op 12-08-2025 10:17 ]