[Docker] [alle OS] Het grote Docker ervaringen en tips topic

babbelbox schreef op donderdag 13 november 2025 @ 23:02:
Voor zover ik kan vinden is de docker image nog niet geüpdatet.
Die haalt nog steeds 3.6.0 binnen.

DjoeC schreef op zaterdag 15 november 2025 @ 16:30:
Ik zag vandaag ook een nieuwe Docker versie (29.0.1) klaar staan. Zou die misschien de minimum API versie aanpassen?

• Docker image list now considers the NO_COLOR environment variable for choosing the colored output. docker/cli#6654
• docker images no longer truncates the name width when output is redirect (e.g. for grep). docker/cli#6656
• containerd image store: Fix a bug causing docker build to ignore the explicitly set unpack image exporter option. moby/moby#51514
• Fix a bug causing docker image list --all to not show untagged/dangling images. docker/cli#6657
• Fix build on i386. moby/moby#51528
• Fix explicit graphdriver configuration ("storage-driver") being treated as containerd snapshotter when prior graphdriver state exists. moby/moby#51516
• Fix output format of the ApiVersion and MinApiVersion fields in docker version --format=json to align with previous versions. docker/cli#6648

DjoeC schreef op zaterdag 15 november 2025 @ 16:30:
Ik zag vandaag ook een nieuwe Docker versie (29.0.1) klaar staan. Zou die misschien de minimum API versie aanpassen?

DjoeC schreef op zaterdag 15 november 2025 @ 16:30:
Ik zag vandaag ook een nieuwe Docker versie (29.0.1) klaar staan. Zou die misschien de minimum API versie aanpassen?

1

$ systemctl edit docker.service

1
2

[Service]
Environment=DOCKER_MIN_API_VERSION=1.24

1

$ systemctl restart docker

sjorsjuhmaniac schreef op zondag 16 november 2025 @ 10:54:
[...]


ipv op updates te wachten van de verschillende projects kan je de Min API versie kan je eenvoudig forceren in je daemon config, op debian-achtige systemen kan dat simpel via systemctl

Bash:

1	$ systemctl edit docker.service

past dit in the juiste gedeelte bovenaan:

code:

1 2	[Service] Environment=DOCKER_MIN_API_VERSION=1.24

En restart de daemon

Bash:

1	$ systemctl restart docker

Mars Warrior schreef op maandag 17 november 2025 @ 14:23:
Ik kwam zodoende dockur tegen: een docker container gebaseerd op qemux, maar dan helemaal aangepast zodat deze geheel automagisch Windows kan downloaden/installeren/draaien alsof het een normale docker container is (dus volumes, environment, macvlan etc).

Wel grappig om te zien dat Windows XP maar 0,6GB is en Windows 11 iets van 7GB is.
Alle images worden dus legaal van Microsoft gedownload: je hebt dus ook gewoon een licentie nodig.

Vanzelfsprekend kun je ook alle Linux OSsen draaien.

Je moet met Windows 11 wel ff geduld hebben, en vervolgens wel met RDP connecten, want de standaard browser interface is bietje traag en lage resolutie

DjoeC schreef op maandag 17 november 2025 @ 15:11:
[...]
Grappig, ik zie dat het ook op ARM64 (raspberry) zou kunnen werken.... Alleen denk ik dat een Pi-5 met 8GB dan wat klein wordt anders dan om te proberen.....

Mars Warrior schreef op maandag 17 november 2025 @ 15:55:
[...]

Het zijn dan wel ARM images, dus geen idee of die kleiner zijn dan de x86 images.

ahbart schreef op donderdag 20 november 2025 @ 10:27:
Ook ik liep gisteravond tegen het api versie probleem aan. Bleek bij meerdere containers een issue, waaronder Portainer en appapi-harp container t.b.v. Nextcloud.

code:

1 2	[Service] Environment=DOCKER_MIN_API_VERSION=1.24

toegepast. Waarna alles weer werkt. Maar hoe weet ik nu dat de updates zijn doorgevoerd en deze workaround niet meer nodig is?

En loop ik er met deze min_api_version niet tegenaan dat als sommige containers geupdate zijn, deze juist niet meer werken of zo?
Met andere woorden, hoe lang laat ik dit staan?

DjoeC schreef op donderdag 20 november 2025 @ 10:45:
[...]

Niet.

[...]

[...]

Mijn min-api versie wordt bij elke nieuwe docker-ce versie (inmiddels 29.0.2) automatisch uit de service config gepoets, ik weet dus nu elke keer of ie nog nodig is

babbelbox schreef op donderdag 20 november 2025 @ 10:50:
[...]

Bedoel je dat bij een upgrade de min-api versie setting wordt verwijderd en als je dan merkt dat iets niet werkt vanwege deze min-api je 'm in je service config weer handmatig terugzet?

[ Voor 14% gewijzigd door DjoeC op 20-11-2025 10:54 ]

synoniem schreef op donderdag 20 november 2025 @ 11:47:
Tot op heden heb ik alleen voor Traefik de nieuwste versie 3.6.1? in gebruik genomen. Mijn overige containers zijn blijven werken waarbij ik moet zeggen dat ik in de regel mijn eigen containers maak. Vind het wat fijner als ik weet wat er allemaal in een container zit.

1

Watchtower 1.12.3 using Docker API v1.51

DjoeC schreef op donderdag 20 november 2025 @ 10:45:
In mijn beleving zegt het iets over de aandacht die containermakers geven aan het platform waar ze van afhankelijk zijn....

RobertMe schreef op donderdag 20 november 2025 @ 12:05:
[...]

Kleine correctie: het probleem is de software, niet de container. Ook als je Traefik native draait zou je tegen dit probleem aanlopen. Conclusie blijft uiteraard wel hetzelfde: "als je software maakt die met de Docker daemon babbelt, zorg er dan wel voor dat je up-to-date blijft v.w.b. API versies". (Maar dit probleem is er vast veel breder. En zal ook gelden voor software die bv gebruik maakt van APIs van Microsoft, GitHub, of welke dienst dan ook).

ahbart schreef op donderdag 20 november 2025 @ 10:27:
Ook ik liep gisteravond tegen het api versie probleem aan. Bleek bij meerdere containers een issue, waaronder Portainer en appapi-harp container t.b.v. Nextcloud.

code:

1 2	[Service] Environment=DOCKER_MIN_API_VERSION=1.24

toegepast. Waarna alles weer werkt. Maar hoe weet ik nu dat de updates zijn doorgevoerd en deze workaround niet meer nodig is? En loop ik er met deze min_api_version niet tegenaan dat als sommige containers geupdate zijn, deze juist niet meer werken of zo?
Met andere woorden, hoe lang laat ik dit staan?

sjorsjuhmaniac schreef op zaterdag 22 november 2025 @ 09:16:
[...]
De release notes van de images lezen voor je ze implementeert, zoals het eigenlijk hoort

sjorsjuhmaniac schreef op zaterdag 22 november 2025 @ 09:16:
[...]


De release notes van de images lezen voor je ze implementeert, zoals het eigenlijk hoort

ahbart schreef op zaterdag 22 november 2025 @ 11:16:
[...]

Ja dat zou beter zijn. ware het niet dat ik 25 containers heb draaien.

Mars Warrior schreef op vrijdag 28 november 2025 @ 11:08:
Om op de post van @alex3305 in te haken.
Ik mag waarschijnlijk een deel van mijn huidige docker stack binnen een bedrijfsomgeving gaan inzetten.

Als basis zal - als het goed is - Proxmox + PBS worden ingezet met 1 grote VM met daarin de hele serie aan docker containers. Proxmox regelt dan lekker ZFS + Backup en een stuk beheer.

Maar ik wil dan ook het bijwerken van de containers beheersbaarder maken. Nu kijk ik gewoon zelf, en ik update af en toe als ik zin heb.

Op internet kom ik vaak de combi van Forgejo + Renovate + Woodpecker tegen. Woodpecker CI zou beter/makkelijker zijn dan Forgejo CI.

In dit topic zie ik dat @RobertMe en @alex3305 dit soort stacks hebben draaien. Eigenlijk zoek ik naar voorbeelden en best practices om te snappen hoe dit in de praktijk werkt. Op de één of andere manier wil een IT & security afdeling altijd dingen weten

Aangezien ChatGPT al mijn ideëen G-E-W-E-L-D-I-G vindt, vertrouw ik eerder op mensen met ervaring

Als basis zal - als het goed is - Proxmox + PBS worden ingezet met 1 grote VM met daarin de hele serie aan docker containers. Proxmox regelt dan lekker ZFS + Backup en een stuk beheer.

Maar ik wil dan ook het bijwerken van de containers beheersbaarder maken. Nu kijk ik gewoon zelf, en ik update af en toe als ik zin heb.

Op internet kom ik vaak de combi van Forgejo + Renovate + Woodpecker tegen. Woodpecker CI zou beter/makkelijker zijn dan Forgejo CI.

DjoeC schreef op vrijdag 28 november 2025 @ 11:15:
[...]
Toppie: je hobby mee naar je werk

alex3305 schreef op vrijdag 28 november 2025 @ 11:42:
@Mars Warrior Leuk dat je dit project zo mag gaan doen . Tot een paar jaar terug heb ik op mijn werk de complete infrastructuur in beheer gehad. Inclusief versiebeheer, CI/CD, Agile-apps, gateway, SSO, Docker en uiteindelijk Kubernetes. Allemaal super leuk, maar probeer het wel behapbaar te houden. Een mooie stack is ontzettend leuk, maar het is leuker als je het snapt en kunt overdragen .
[...]
Wij gebruikte in de basis gewone Debian servers. Dat deden we niet op 1 grote VM, maar kleinere VMs. Eén grote VM (of colo) klinkt verleidelijk, maar nam bij problemen meteen heel de stack mee . Daarom hadden we bijvoorbeeld 1 VM voor monitoring (o.a. Prometheus), 1 VM voor Git en CI-controller, etc. De CI-runners stonden dan op aparte machines zodat ook hier de load eenvoudig verdeeld kon worden. Ik zeg hierbij niet dat dit 'het beste' is, maar ik zou je dit wel aanraden om mee te nemen in de overweging.

Het inrichten van deze machines deden we met Ansible. Dat doe ik privé nog steeds. Dat is een forse drempel, maar zorgt voor eenvoudig te herhalen, idempotente setups. Hierdoor weet ik zeker dat twee keer dezelfde uitrol, twee keer hetzelfde resultaat oplevert. Tegelijkertijd is het infrastructure-as-code en is het daardoor ook in versiebeheer.

Backup doe ik thuis met Kopia. Dat is een deduplicerende, met pariteit beveiligde, versleutelde backup software. Hele mond vol, maar zorgt voor relatief kleine backups, met toch alles erin. Ook kan ik met Kopia dergelijke backups a la rsync eenvoudig syncen naar meerdere targets zodat ik hier redundantie heb. En het terughalen van data is met de web UI kinderlijk eenvoudig.

Professioneel sloegen we eigenlijk altijd alles op in databases en waren applicaties 'stateless'. Die databases werden dan gesnapshot en gesynct. Dat doe ik voor mijn Kopia backups (waar van toepassing) nog steeds. Een PostgreSQL WAL is namelijk geen backup.
[...]
Een paar jaar terug keken we eenmaal per week naar updates en voerde we die handmatig uit met Ansible. Momenteel gebruik ik dus Renovate en gebeuren updates (veelal) automatisch. Het is afhankelijk van de applicatie en soort update.

Met Renovate kun je bijvoorbeeld ook eenvoudig buiten SLA tijden updaten, updates uitstellen en handmatige uitrol verplicht stellen. Dit zijn 3 voorbeelden, maar Renovate is enorm uitgebreid. De opzet van Renovate was echter kinderlijk eenvoudig en heb ik al eerder iets over geschreven hier .
[...]
Privé en professioneel heb ik verschillende stacks gebruikt. Thuis gebruikte ik eerder Gitea en later Forgejo. Dat zijn oprecht mooie pakketten. Privé en professioneel heb ik veel ervaring opgedaan met GitLab.

GitLab liep echt wel voor op Gitea en Forgejo, maar het zit IMHO tegenwoordig allemaal vrij dicht bij elkaar. Gitea en Forgejo zijn wat minder verfijnd dan GitLab. Gitea's updatecyclus vind ik eigenlijk te traag, maar dat hebben ze bij Forgejo opgelost.

Ik zou je aanraden om de native CI solution te gebruiken. Wij gebruikte professioneel JetBrains TeamCity met GitLab en dat werkte prima hoor, maar ik was er eigenlijk niet zo over te spreken. De integratie van GitLab CI met GitLab (en Forgejo Runners met Forgejo) is dan, alhoewel je een vendor lock-in hebt, wel enorm strak. Dat mist dan met TeamCity. Ik vind het bijvoorbeeld wel tof dat build statussen direct op het dashboard staan. Het is dan ook weer andere applicatie die je moet openen .

Functioneel is het Audi, BMW en Mercedes en doet het weinig voor elkaar onder. Het enige wat ik enorm mis bij Forgejo en Gitea is organisations within organisations. Dat heeft GitLab wel, maar hoeft wellicht geen showstopper te zijn.

Je mist overigens ook nog wellicht een stukje IAM. Het zou ook mooi zijn als je daarbij aan kunt sluiten op de oplossing van je werkgever. Bijvoorbeeld Active Directory / LDAP, Google IAM of Microsoft 365. Met een dergelijke aansluiting scoor je direct veel punten . En management kan erg gevoelig zijn voor branding .

Tot slot wil ik je meegeven dat ChatGPT kan werken om mee op te starten, maar die gaat je waarschijnlijk wel in de steek laten . Eigen documentatie en kennisontwikkeling is hierbij een must. Probeer hier ook direct mee te starten. Dan kun je ook vastleggen wat je overwegingen zijn. Dit voelt misschien in het begin suf, maar zorgt uiteindelijk ook voor accountability. Waarom kies je in 2025 voor product Y wanneer in 2026 product Z beter is? En dat is helemaal niet slecht om vast te leggen, maar geeft juist inzicht .

• Het zal dus niet meteen een kritisch systeem zijn, waarbij je alles over meerdere fysieke servers/VMs wilt spreiden. Teveel complexiteit vergt hogere kosten en meer afstemming en goedkeuring.
• Vooralsnog staat IAM/SSO bijv. ook niet op mijn lijstje. We willen voorlopig autonoom kunnen proefdraaien, zonder alle afstemming met IT. SSO zal geheid later aan bod komen, maar we zijn nog in de voorstel fase...

• Dus alles zal vooralsnog op één grote server/VM draaien. Hier thuis draait het ook al sinds 2023 zonder problemen, dus ik neem aan dat een enterprise server dat ook wel moet kunnen qua betrouwbaarheid en uptime.
• Vanzelfsprekend kun je op Proxmox wel een aantal VMs maken, zodat je al kunt "oefenen" met de scheiding die je noemt qua inrichting. Als dat later fysieke servers worden (in een VM) dan wijzigt er wat dat aangaat niks vanuit de software opzet/architectuur.
• Het beheer van de docker containers - sommigen maak ik nu zelf - wil ik dus al wel vergaand automatiseren en met versies werken. Zeker op de punten die je ook noemt qua SLA tijden, weekends, minor vs major versie updates en documentatie / overdracht. Ik gebruik nu _v2, _v3 etc. in de bestandsnamen als "versiebeheer"
  Vandaar de vraag over Forgejo / Renovate en Woodpecker. Dan is dat een zorg minder tenminste en doe ik ook kennis op om dat (wie weet) ook op mijn home server te gaan gebruiken

Het zal dus niet meteen een kritisch systeem zijn, waarbij je alles over meerdere fysieke servers/VMs wilt spreiden. Teveel complexiteit vergt hogere kosten en meer afstemming en goedkeuring.

Dus alles zal vooralsnog op één grote server/VM draaien. Hier thuis draait het ook al sinds 2023 zonder problemen, dus ik neem aan dat een enterprise server dat ook wel moet kunnen qua betrouwbaarheid en uptime.

Vooralsnog staat IAM/SSO bijv. ook niet op mijn lijstje. We willen voorlopig autonoom kunnen proefdraaien, zonder alle afstemming met IT. SSO zal geheid later aan bod komen, maar we zijn nog in de voorstel fase...

Vanzelfsprekend kun je op Proxmox wel een aantal VMs maken, zodat je al kunt "oefenen" met de scheiding die je noemt qua inrichting. Als dat later fysieke servers worden (in een VM) dan wijzigt er wat dat aangaat niks vanuit de software opzet/architectuur.

1. een Renovate User / Bot aanmaken;
2. een Personal Access Token aanmaken voor de Renovate Bot;
3. een Renovate repository aanmaken (bijv. renovate/renovate);
4. een config.js bestand aanmaken voor Renvoate;
5. een Renovate Forgejo workflow aanmaken;
6. renovate bot toevoegen aan de repo's waar renovate gerund moet worden.

1
2
3
4
5
6
7
8
9
10
11
12
13

module.exports = {
  platform: 'gitea',
  endpoint: 'https://forgejo.example.com/api/v1/',
  gitAuthor: 'Renovate Bot <renovate@example.com>',
  username: 'renovate-bot',

  autodiscover: true,
  optimizeForDisabled: true,
  persistRepoData: true,

  osvVulnerabilityAlerts: true,
  dependencyDashboardOSVVulnerabilitySummary: 'all'
};

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46

name: Run Renovate

# yamllint disable-line rule:truthy
on:
  schedule:
    - cron: '0 */6 * * *'
  workflow_dispatch:
    inputs:
      log_level:
        description: Log level
        required: true
        default: info
        type: choice
        options:
          - debug
          - info
          - warn
          - error
          - fatal

concurrency:
  group: ${{ github.workflow }}
  cancel-in-progress: true

jobs:
  renovate:
    name: Renovate
    runs-on: docker
    container: ghcr.io/renovatebot/renovate:42.26.2
    steps:
      - name: ⤵️ Checkout repository
        uses: actions/checkout@1af3b93b6815bc44a9784bd300feb67ff0d1eeb3 # v6

      - name: 🧾 Set log level
        id: log_level
        run: |
          LOG_LEVEL_INPUT=${{ inputs.log_level }}
          echo "::set-output name=level::${LOG_LEVEL_INPUT:-"info"}"

      - name: 🚀 Renovate
        run: renovate
        env:
          LOG_LEVEL: ${{ steps.log_level.outputs.level }}
          RENOVATE_CONFIG_FILE: 'config.js'
          RENOVATE_CONFIG_MIGRATION: 'true'
          RENOVATE_TOKEN: ${{ secrets.RENOVATE_TOKEN }}

alex3305 schreef op vrijdag 28 november 2025 @ 14:32:
@Mars Warrior Mijn post eerder vandaag was er vooral voor bedoeld om je mee te geven waar ik uit ervaring quick-wins kon halen. Het is ook niet zo dat die route de verplichte of beste route is hè . Daarnaast zoveel mensen, zoveel wensen .

Het gebruik van (gedeeltelijke) open-source tooling is echt fantastisch in een enterprise, maar ook dat heeft soms nadelen. Kijk bijvoorbeeld naar het licentiedebacle van Docker Desktop. In ons bedrijf werd Docker Desktop veelvuldig gebruikt, maar dat kon ineens niet meer. Rancher Desktop is toen mooi in dat gat gesprongen, maar dat heeft wel even geduurd.

Je moet in dat geval dan ook rekening houden met licentie en licentievoorwaarden .

De enterprise server is net zoveel server als jouw thuisserver kerel . Alleen met een enterprise prijs, wellicht een onderhoudscontract en wat redundantie. Maar ook op een dergelijke server heb ik het helaas vaak genoeg meegemaakt dat een (build)proces te hongerig was voor geheugen en daardoor de hele server of kritieke onderdelen van de server meenam. Ook Docker containers. De oom-killer wordt dan ineens je grootste vijand.

Dat begrijp ik, maar ik kan je echt op het hart drukken om dit mee te nemen. Of althans de aansluiting daarvan mee te nemen. GitLab en Forgejo kunnen allebei goed aangesloten worden op verschillende IAM systemen. Ik log bijvoorbeeld in Forgejo in met Pocket ID, maar gebruikers of service accounts worden onder water bijgehouden en provisioned door een LDAP.

Met een IdP zoals Dex kun je zelfs meerdere IdP's ontsluiten .

[...]
Dan is zoiets als Ansible wel enorm handig .

---

Forgejo en Renovate icm Docker is echt niet bijzonder complex. Ik heb een eigen Forgejo dind runner die automatisch door Renovate wordt bijgehouden. In de .forgejo map vind je tevens mijn workflows voor het bouwen.

Mars Warrior schreef op vrijdag 28 november 2025 @ 14:01:
[...]
• Dus alles zal vooralsnog op één grote server/VM draaien. Hier thuis draait het ook al sinds 2023 zonder problemen, dus ik neem aan dat een enterprise server dat ook wel moet kunnen qua betrouwbaarheid en uptime.

alex3305 schreef op vrijdag 28 november 2025 @ 16:02:
@DjoeC Helemaal eens. Je bedankt jezelf in de toekomst als je dat direct meeneemt . Daarom hamer ik in mijn reacties dan ook op zoiets als Ansible.

In mijn geval, toen ik nog infrastructuur onderhield, was voor interne processen failover niet vereist. Heel kort door de bocht werd er wel verwacht dat collega's misschien minder of niet productief waren eens in de zoveel tijd. Eventueel door problemen. Dat was natuurlijk altijd ongewenst, maar werd simpelweg meegenomen als bekend bedrijfsrisico.

DjoeC schreef op vrijdag 28 november 2025 @ 15:46:
[...]

Hmm, zelfs (juist?) in een pilot zul je moeten bewijzen dat je betrouwbaarheid kunt leveren middels failover en/of backups, inclusief forward recovery indien nodig.... Als je dat niet doet is het misschien een mooie showcase maar wat mij betreft geen goeie pilot.

Nou ben ik bevooroordeeld want ik ben (bijna) bullet proof systemen van een grot firma uit Armonk NY gewend. Maar zodner dollen: Als er ooit (near) realtime informatie op verwerkt gaat worden wil je betrouwbaarheid meteen aan kunnen tonen om goed draagvlak te bouwen: "We trekken de stekker eruit/o ja, harde schijf is helaas defect. Nieuwe erin en we starten opnieuw op, we zijn niks kwijt want alles is herstelbaar". Dat hoeft allemaal niet op dag 1 maar moet wel een mijlpaal in de pilot zijn.

alex3305 schreef op vrijdag 28 november 2025 @ 16:02:
@DjoeC Helemaal eens. Je bedankt jezelf in de toekomst als je dat direct meeneemt . Daarom hamer ik in mijn reacties dan ook op zoiets als Ansible.

In mijn geval, toen ik nog infrastructuur onderhield, was voor interne processen failover niet vereist. Heel kort door de bocht werd er wel verwacht dat collega's misschien minder of niet productief waren eens in de zoveel tijd. Eventueel door problemen. Dat was natuurlijk altijd ongewenst, maar werd simpelweg meegenomen als bekend bedrijfsrisico.

Wat ik wel geleerd heb is dat je met o.a. Ansible en Docker heel makkelijk een herproduceerbare omgeving neer kunt knallen. Dan is het dus ook niet meer altijd aan de orde om de oude omgeving te herstellen, maar simpelweg een nieuwe neer te zetten. Al dan niet tijdelijk. Want bij herstel komt ook nog het uitzoek werk, de oplossing bedenken én implementeren. Als je dat kunt parkeren terwijl anderen op een tweede omgeving verder kunnen is dat fantastisch. En dan is een DNS switch ook zo voor de bakker.

Mars Warrior schreef op vrijdag 28 november 2025 @ 17:04:
[...]
er dagen uit hebben gelegen dan van de berg aan rekken die on-prem staan te draaien: die laten 100% uptime zien

Ik ben Hadoop clusters gewend, dus uitval is voor mij ook een vreemd gegeven. Dat draaide altijd door, ook als je complete racks eruit trok.

In dit geval is het fijn als zaken near/semi realtime kunnen, maar de enige die er nu last van heeft als het eruit ligt ben ik met nog een collega. Daarbij is het gegeven dat data altijd elders wordt veiliggesteld en al dan niet via een Kafka cluster wordt onthouden. Dus er gaat niks verloren, enkel de verwerking moet dan ff aanpoten als deze een aantal uren aan data/gegevens moet inhalen.

[...]

[ Voor 7% gewijzigd door Mars Warrior op 30-11-2025 14:56 ]

Mars Warrior schreef op zondag 30 november 2025 @ 14:28:
@DjoeC. Nee ik update al ff niet door het gemekker.

Ben aan het kloten met Forgejo en renovate. Dat is ook een uitdaging voor mij. Ik mis natuurlijk weer plaatjes waar gewoon een hele simpele workflow in staat hoe dingen samenhangen.

Ik ben nu wel zover dat renovate PRs aanmaakt. En ik die dan kan goedkeuren.

En ik vermoed maar dat is slechts een vermoeden dat ik vervolgens Action moet aanmaken om via SSH te deployen. Maar dat is een gokje van mij. Ik denk dat Woodpecker eenvoudiger is om te deployen.

DjoeC schreef op zondag 30 november 2025 @ 15:42:
[...]

Daar wil ik ook nog eens uitgebreid mee aan de gang maar heb nog zoveel andere grotere en kleinere projecten.....

Mars Warrior schreef op zondag 30 november 2025 @ 19:57:
[...]

In de documentatie gaat het voornamelijk over builden en testen. Niks nakkes nada over wat ik wil.

En ChatGPT maakt er weer eens een zooitje van en gaat vervolgens als je het daarop wijst de hele wereld de schuld geven. Versie 5 is echt een verbetering hoor

Zelfs het samenstellen van compose files voor Woodpecker ging totaal fout. Gelukkig staan daar wel voorbeelden van in de documentatie die gewoon werken

Maar het lijkt erop dat ik git moet initen op de host voor elke repo en dan via ssh vanuit de agent container een pull moet doen. En dan een compose up enzo.

Het blijft aankloten met tooltjes en gebrek aan integrale voorbeelden. Ach. Max heeft tenminste weer gewonnen. Denk dat ChatGPT vandaag de strategie deed van McLaren 🥳

DjoeC schreef op zondag 30 november 2025 @ 22:23:
[...]

Tot heden (....) mijd ik alle LLM hulp, zelfs de ai samenvattingen in de zoektool gebruik ik maar beperkt. Anders dan eenmalig tijdwinst gaat er niets boven zelf uitzoeken rn daarvan leren.

alex3305 schreef op maandag 1 december 2025 @ 14:15:
Alhoewel Docker het toestaat, vind ik eigenlijk dat ontwikkelaars maar 1 keer 1 (Sem)Versie moeten uitbrengen. Rolling major of major.minor kan ik nog wel inkomen en doe ik zelf ook.

1
2
3
4
5
6
7
8
9
10
11
12
13

services:
  gitops-forgejo:
    image: codeberg.org/forgejo/forgejo:13@sha256:88858e7f592f82d4f650713c7bed8c0cd792d7f71475a7467c5650a31cd2eda9
    container_name: gitops-forgejo
    restart: unless-stopped

...
...

  gitops-renovate:
    image: renovate/renovate:42.29.4@sha256:aead5ca948dc1a76ed084ab9716fd83e6a8c8626d38b831d1923cdc17fa4d1b6
    container_name: gitops-renovate
    restart: "no"

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20

{
  "$schema": "https://docs.renovatebot.com/renovate-schema.json",
  "extends": [
    "config:best-practices",
    ":automergeMinor",
    "schedule:automergeDaily",
    ":dependencyDashboard"
  ],
  "packageRules": [
    {
      "matchCategories": [
        "docker"
      ],
      "managerFilePatterns": [
        "/(^|/)docker-compose\\.ya?ml$/",
        "/Dockerfile$/"
      ]
    }
  ]
}

[ Voor 9% gewijzigd door Mars Warrior op 02-12-2025 13:15 ]

Mars Warrior schreef op dinsdag 2 december 2025 @ 13:13:
@RobertMe , bij mij voegt renovate juist digests toe:

Nog geen idee hoe Renovate zichzelf start, want de container stopt gewoon na elke run, maar goed. Ik heb nog bergen aan blinde vlekken

RobertMe schreef op dinsdag 2 december 2025 @ 13:19:
[...]
Hmm. Dat deed die bij mij niet. En/maar jij hebt wel "brede" tags, in ieder geval bij Forgeo (als in, "13" en niet "13.x.y"). Denk dat de big daarbij niet optreed, totdat de 13 14 moet worden. Bij het Renovate image gaat het denk ik wel fout? (Kom je snel genoeg achter gezien elke PR/merge een nieuwe release wordt )

Hij start zichzelf natuurlijk niet Hij stopt, zoals je zelf aanhaalt.
Ik heb hem zelf dan als Podman Quadlet draaien. Dus heb er gewoon een systemd timer naast gezet die elke dag om 16:00 de service (/Quadlet) aftrapt.

Features zoals de GitHub app/hosted variant dan heeft zoals dat die steeds automatisch draait, bv na het aanvinken van "rebase", of een queued PR van op het "dashboard" aanvinken om nu (meteen) een PR aan te maken heb je dan natuurlijk niet.

Mars Warrior schreef op dinsdag 2 december 2025 @ 13:43:
[...]

Huh? Die heb ik wel hoor. Ik heb soms PRs (ook die ik gesloten heb) die ik op het dependency dashboard of in een PR gewoon kan aanvinken. Dat zie je hierboven staan halverwege (If you want to rebase...).
[Afbeelding]

En het Dependency Dashboard als test (recreate PR):

[Afbeelding]

Kan ik nu plotseling dingen die anderen niet kunnen als pure beginner

RobertMe schreef op dinsdag 2 december 2025 @ 13:51:
[...]

Ik zie die opties ook hoor. Maar als ik ze gebruik gebeurt er pas om 16:00 iets mee, omdat dan Renovate wordt afgetrapt.
Terwijl als ik hetzelfde doe in de repo van het werk waar de Renovate app aan gekoppeld is dan is het resultaat vaak al binnen een minuut te aanschouwen. (Als in: de Renovate app voor GitHub zal allemaal (web) hooks hebben op dit soort events en meteen een nieuwe run starten/in de wachtrij zetten)

[ Voor 23% gewijzigd door Mars Warrior op 02-12-2025 14:42 ]

alex3305 schreef op dinsdag 2 december 2025 @ 20:47:
@Mars Warrior @RobertMe De digests komen tegenwoordig vanuit de config:best-practices .

Leuk dat het werkt @Mars Warrior. Nu even doorpakken en met Forgejo Actions aan de slag . De workflow die ik eerder heb gepost is niet bijster complex en is direct scheduled .

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40

name: Deploy via Ansible

on:
  push:
    branches: [ main ]
  workflow_dispatch:
    inputs:
      version:
        description: "Tag/branch to deploy (default: main)"
        required: false
        default: "main"

jobs:
  deploy:
    runs-on: self-hosted

    steps:
      # 1. Checkout the stack repo (not used directly, only metadata needed)
      - name: Checkout current repo
        uses: actions/checkout@v3

      # 2. Checkout the Ansible infra repo
      - name: Checkout Ansible infra
        uses: actions/checkout@v3
        with:
          repository: infra/ansible        # <-- jouw infra-repo
          path: ansible

      # 3. Run Ansible inside the container
      - name: Run Ansible deploy
        uses: docker://cytopia/ansible:latest
        with:
          entrypoint: ansible-playbook
        env:
          REPO_OWNER: ${{ github.repository_owner }}
          REPO_NAME:  ${{ github.event.repository.name }}
          VERSION:    ${{ github.event.inputs.version }}
        args: >
          -i ansible/hosts
          ansible/deploy.yml

Mars Warrior schreef op dinsdag 2 december 2025 @ 22:28:
[...]

Wat leren jullie toch een hoop van mij hè 😇

[...]

Dan moet ik die dind runner container gebruiken toch van jouw?

RobertMe schreef op dinsdag 2 december 2025 @ 23:10:
[...]
Ik wist dat die in een van de presets was inbegrepen

[...]

Docker-in-Docker (dind) is bij mijn weten alleen nodig als je Docker wilt gebruiken, maar dat hoeft waarschijnlijk niet? Aangezien je puur deployments wilt doen. dind is dus nodig als je in een workflow (/action) bv een image wilt builden, of een container wilt uitvoeren (bv bij development dat je een linter of static analyzer uitvoert via een container).

De webpagina op https://codeberg.org/ ondervindt mogelijk problemen of is definitief verplaatst naar een nieuw webadres.
ERR_QUIC_PROTOCOL_ERROR

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18

docker compose up -d
[+] Running 15/15
 ✘ gitops-forgejo Error     Get "https://codeberg...                      14.5s
 ✔ gitops-renovate Pulled                                                 13.6s
   ✔ 20043066d3d5 Already exists                                           0.0s
   ✔ 9e4e033eb30d Pull complete                                            0.3s
   ✔ 018f6c7aaaac Pull complete                                            1.2s
   ✔ 35578b6f2e42 Pull complete                                            1.5s
   ✔ 80dfdc05cfe7 Pull complete                                            2.0s
   ✔ 1eca13f89a5d Pull complete                                            6.1s
   ✔ 8d74e0a459d6 Pull complete                                            6.7s
   ✔ 10316a1eb140 Pull complete                                            6.7s
   ✔ 34b95407a4fa Pull complete                                            6.7s
   ✔ 4e5a0ac21bc5 Pull complete                                           12.3s
   ✔ 064a0d449bd7 Pull complete                                           12.3s
   ✔ 7343cd103162 Pull complete                                           12.4s
   ✔ 4f4fb700ef54 Pull complete                                           12.4s
Error response from daemon: Get "https://codeberg.org/v2/": net/http: TLS handshake timeout

[ Voor 70% gewijzigd door Mars Warrior op 03-12-2025 10:00 ]

Mars Warrior schreef op woensdag 3 december 2025 @ 09:58:
Gaat lekker, ligt Codeberg eruit terwijl ik wat wilde experimenteren.

[ Voor 9% gewijzigd door Mars Warrior op 03-12-2025 14:35 ]

StarWing schreef op woensdag 3 december 2025 @ 06:22:
Een crosspost van mij vanop een ander forum:

Ik ben al een paar dagen aan het stoeien om een fail2ban in werking te krijgen via een docker container op een Ubuntu server.
Initieel had ik samen met onze Vriend ChatGPT een docker compose gemaakt voor f2b + nextcloud + redis + collabora. Maar dat werkt maar halvelings.
Het probleem ligt bij fail2ban, ik krijg deze niet aan de praat.
Niet via de compose die chatgpt gemaakt heeft, maar ook niet op een losse f2b voor een bestaande emby.

De finale setup zou zijn dat ik een aantal docker containers die extern benaderbaar zijn, voorzie van een f2b jail, zodat failed logins gebanned worden.
Er staat reeds een cloudflare voor die GeoBlock doet, maar dit zou dan een additionele laag zijn.

In eerste instantie had ik een pak foutmeldingen, maar dat kwam blijkbaar door een aanpassing in een van hun laatste commits (zie DEFAULT onder de jail.local).
Mocht iemand zich geroepen voelen om onderstaande eens te bekijken.
Volgens de logs is de jail up & running, maar er wordt nougabollen actie ondernomen door f2b

Achtergrond:
De emby draait tevens in een docker container, en staat achter een reverse proxy: HA op PfSense, en is volledig werkend incl certs.
De HA gaat de traffiek redirecten van https://emby.whatever naar 192.168.10.155:8096

Docker compose fail2ban:

code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19

services: fail2ban: image: lscr.io/linuxserver/fail2ban:latest container_name: fail2ban cap_add: - NET_ADMIN - NET_RAW network_mode: host environment: - PUID=1000 - PGID=1000 - TZ=Europe/Brussels - VERBOSITY=-vvvv #optional volumes: - ./config:/config # - /var/log:/var/log:ro - /docker/emby/library/logs:/remotelogs/emby:ro #optional - /docker/jellyseer/config/logs:/remotelogs/jellyseer:ro # - /path/to/nextcloud/log:/remotelogs/nextcloud:ro #optional

Docker compose emby:

code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29

services: emby: image: lscr.io/linuxserver/emby:latest container_name: emby environment: - PUID=1000 - PGID=1000 - TZ=Europe/Brussels volumes: - /docker/emby/library:/config - /docker/emby/backup:/backup - /DataDisk/Video:/Video - /DataDisk/Audio:/Audio # - /opt/vc/lib:/opt/vc/lib #optional ports: - 192.168.10.155:8096:8096 - 192.168.10.155:8920:8920 #optional devices: - /dev/dri:/dev/dri #optional # - /dev/vchiq:/dev/vchiq #optional # - /dev/video10:/dev/video10 #optional # - /dev/video11:/dev/video11 #optional # - /dev/video12:/dev/video12 #optional restart: unless-stopped networks: - docker_lan networks: docker_lan: external: true

jail.local:

code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17

[DEFAULT] #banaction = nftables #banaction_allports = nftables[type=allports] banaction = iptables-multiport banaction_allports = iptables-allports [emby] enabled = true port = 8096,443,80 filter = emby logpath = /remotelogs/emby/embyserver.txt maxretry = 3 findtime = 600 bantime = 43200 chain = DOCKER-USER #chain = INPUT action = %(known/action)s

Ik heb al gespeeld met chain: docker-user of input, tevens met iptables of nft tables. Maar ik weet niet wat het verschil is tussen beiden.


Onderstaande geeft ook gewoon weer dat de jail draait.

code:

1 2 3 4 5 6 7 8 9 10

docker exec -it fail2ban fail2ban-client status emby Status for the jail: emby |- Filter | |- Currently failed: 0 | |- Total failed: 0 | `- File list: /remotelogs/emby/embyserver.txt `- Actions |- Currently banned: 0 |- Total banned: 0 `- Banned IP list:

filter.d/emby.local is de std van f2ban:

code:

1 2 3 4 5 6 7 8 9 10 11 12 13

## Version 2023/03/11 # Fail2Ban filter for emby [INCLUDES] before = common.conf [Definition] _daemon = emby-server failregex = Server: AUTH-ERROR:\ <HOST>\ - ignoreregex =

Regextest op de container zelf, voor zover ik dit kan interpreteren:
-log file is leesbaar
-regex is correct

code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29

root@vdockersrv:/# fail2ban-regex /remotelogs/emby/embyserver.txt "http/1.1 Response 401 to ‌‍‍<HOST>" Running tests ============= Use failregex line : http/1.1 Response 401 to ‌‍‍<HOST> Use log file : /remotelogs/emby/embyserver.txt Use encoding : UTF-8 Results ======= Failregex: 44 total |- #) [# of hits] regular expression | 1) [44] http/1.1 Response 401 to ‌‍‍<HOST> `- Ignoreregex: 0 total Date template hits: |- [# of hits] date format | [734] {^LN-BEG}ExYear(?P<_sep>[-/.])Month(?P=_sep)Day(?:T| ?)24hour:Minute:Second(?:[.,]Microseconds)?(?:\s*Zone offset)? `- Lines: 1524 lines, 0 ignored, 44 matched, 1480 missed [processed in 0.18 sec] Missed line(s): too many to print. Use --print-all-missed to print all 1480 lines

Maar ik kan een collega gewoon blijven laten inloggen, zonder dat f2ban iets doet, en ik heb geen idee waar ik dit moet gaan zoeken.
Wat nog zou kunnen is dat ik voor mijn emby (en een pak andere containers) een ander netwerk heb, hiervoor heb ik een "docker lan" aangemaakt, terwijl dit in de f2b docker nog niet geconfigureerd staat, maar volgens mij moet de f2b container dit toch gaan blocken op host niveau?

synoniem schreef op woensdag 3 december 2025 @ 11:09:
[...]

De fail2ban container heeft als network=host en ik vermoed dat dan chain=DOCKER-USER niet werkt. Je zou chain=FORWARD kunnen proberen.

1
2
3
4
5
6
7
8
9
10

docker exec -it fail2ban fail2ban-client status emby
Status for the jail: emby
|- Filter
|  |- Currently failed: 0
|  |- Total failed:     0
|  `- File list:        /remotelogs/emby/embyserver.txt
`- Actions
   |- Currently banned: 0
   |- Total banned:     0
   `- Banned IP list:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21

  infra-fail2ban:
    image: lscr.io/linuxserver/fail2ban:latest
    container_name: infra-fail2ban
    restart: always
    cap_add:
      - NET_ADMIN
      - NET_RAW
    network_mode: host
    environment:
      - PUID=1000
      - PGID=1000
      - TZ=Europe/Amsterdam
      - VERBOSITY=-vv #optional
    volumes:
      - $DOCKERDIR/infra/fail2ban/config:/config
      - /var/log:/var/log:ro
#      - /path/to/airsonic/log:/remotelogs/airsonic:ro #optional
#      - /path/to/apache2/log:/remotelogs/apache2:ro #optional
#      - /path/to/authelia/log:/remotelogs/authelia:ro #optional
#      - /path/to/emby/log:/remotelogs/emby:ro #optional
#      - /path/to/filebrowser/log:/remotelogs/filebrowser:ro #optional

[ Voor 30% gewijzigd door Mars Warrior op 03-12-2025 11:26 ]

Mars Warrior schreef op woensdag 3 december 2025 @ 11:23:
[...]

Denk niet dat het daarmee te maken heeft.

Het punt dat deze logging niks ziet:

code:

1 2 3 4 5 6 7 8 9 10

docker exec -it fail2ban fail2ban-client status emby Status for the jail: emby |- Filter | |- Currently failed: 0 | |- Total failed: 0 | `- File list: /remotelogs/emby/embyserver.txt `- Actions |- Currently banned: 0 |- Total banned: 0 `- Banned IP list:

Is de basis van het geheel. Fail2ban praat direct tegen ip/nftables, dat staat los van docker.

synoniem schreef op woensdag 3 december 2025 @ 11:51:
[...]

Fail2ban praat inderdaad direct ip/nftables maar welke, die van de host of docker of container als je network=host gebruikt? En is op de host ip/nftables wel actief

1
2
3
4
5
6
7
8
9

  infra-cs-firewall-bouncer:
    image: ghcr.io/shgew/cs-firewall-bouncer-docker:latest
    container_name: infra-cs-firewall-bouncer
    network_mode: host
    cap_add:
      - NET_ADMIN
      - NET_RAW
    security_opt:
      - no-new-privileges:true

1
2
3

iptables_chains:
  - INPUT
  - DOCKER-USER

alex3305 schreef op woensdag 3 december 2025 @ 14:53:
[...]
Je moet niets hè. Ik gebruik een dind-runner omdat ik het makkelijk vind dat dat allemaal in 1 container zit. Je zou ook kunnen starten met de de Docker socket op het systeem. Daar ben ik destijds ook mee gestart en is vergelijkbaar met andere containers die gebruik maken van een Docker soicket. Snippet:

Dan heb je (wederom) geen extra container afhankelijkheid.

Ik kan je sterk aanraden om Ansible eerst lokaal werkend te krijgen en vanaf je localhost te deployen naar systemen voordat je het in een CI/CD vorm gaat gieten. De eerste opstap van Ansible is vrij pittig, daarna wordt het een stuk makkelijker, maar de devil is in the details. Daarom zeg ik altijd tegen mensen dat Ansible leren ongeveer 6 maanden kost . Niet omdat je het niet in 1 week kunt leren of ermee uit de voeten kunt, maar omdat er best veel nuances zijn die je wellicht in eerste instantie mist.

1
2
3
4
5
6
7
8
9
10
11
12

# forgejo action
pipeline:
  deploy:
    image: python:3.12
    secrets: [ SSH_KEY ]
    commands:
      - pip install ansible community.docker
      - mkdir -p ~/.ssh
      - echo "$SSH_KEY" > ~/.ssh/id_ed25519
      - chmod 600 ~/.ssh/id_ed25519

      - ansible-playbook -i inventory deploy.yml

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19

# Ansible deploy.yml
- hosts: server
  become: yes
  tasks:
    - name: Repo clonen/updaten
      ansible.builtin.git:
        repo: "git@forgejo.example.com:docker-stacks/gitops.git"
        dest: /opt/gitops
        version: main

    - name: Docker Compose pull
      community.docker.docker_compose:
        project_src: /opt/gitops/myapp
        pull: yes

    - name: Docker Compose up
      community.docker.docker_compose:
        project_src: /opt/gitops/myapp
        state: present

Als je er vragen over hebt mag je die ook altijd via DM stellen

1
2
3
4
5
6
7
8
9

┌── .forgejo
│   └── workflows/          → Forgejo Actions workflows
├── group_vars              → Inventory group variables
│   └── .../
├── host_vars               → Host specific variables
│   └── .../
├── roles                   → Ansible Roles directory
│   └── .../
├── inventory.yml           → Ansible inventory

• defaults, voor standaard variabelen (let op, altijd geprefixed met de role_name)
• files, voor statische bestanden
• handlers, voor eenmalige handlers (daar ga ik hier niet verder op in)
• tasks, wat een role moet doen
• templates, de dynamische bestanden (templates)
• vars, de statische role vars

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38

- name: Create Docker Compose Stack directory
  ansible.builtin.file:
    path: "{{ compose_stack_dir }}"
    state: directory
    owner: "{{ compose_stacks_owner }}"
    group: "{{ compose_stacks_group }}"
    mode: "0755"
  register: _compose_directory
  become: true

- name: Template Docker Compose file
  ansible.builtin.template:
    src: "templates/compose.yaml.j2"
    dest: "{{ [_compose_directory.path, 'compose.yaml'] | file_join }}"
    owner: "{{ compose_stacks_owner }}"
    group: "{{ compose_stacks_group }}"
    mode: "0644"
  become: true

# Compose .env  bestand kun je wel gokken :P

- name: Validate Docker Compose stack
  ansible.builtin.command:
    cmd: docker compose config
    chdir: "{{ _compose_directory.path }}"
  register: _docker_compose_config_output
  when: not ansible_check_mode
  failed_when: _docker_compose_config_output.rc != 0
  changed_when: false

- name: Docker Compose up
  community.docker.docker_compose_v2:
    project_src: "{{ _compose_directory.path }}"
    project_name: "{{ compose_stack_name }}"
    state: present
    recreate: "{{ 'always' if compose_recreate else 'auto' }}"
  register: _docker_compose_up_output
  when: not ansible_check_mode

1
2
3
4
5

- name: Deploy AdGuard Home
  hosts: docker

  roles:
    - role: adguard_home

Mars Warrior schreef op donderdag 4 december 2025 @ 11:57:
[...]

Ik zie nu wel dat de structuur die ik nu nastreef, en ook zou willen behouden, is dat ik per compose stack een repo heb waarin ik alles heb vastgelegd.

1
2
3
4
5

roles:
  - name: audiobookshelf
    src: https://git.example.com/ansible/audiobookshelf.git
    version: v2.19.4
    scm: git

ansible-galaxy install -v -r requirements.yml

Dat je een stack al dan niet naar meerdere hosts kan uitrollen is mooi. Dat is voor nu nog niet nodig, maar het inrichten voor één host, maakt het wel mogelijk dat je later meer hosts kan gebruiken.

vwb secrets: ik zag die Ansible Vault inderdaad, maar op de één of andere manier voelt dat voor mij niet als superhandig: die bestanden moeten toch ergens staan.

Ik heb daarom ook ff gekeken naar een Bitwarden (Vaultwarden) oplossing om daar de secerts voor de .env bestanden in te pleuren. Dan staat het centraal en afgeschermd, èn kan voor tig compose stacks worden ingezet. Maar geen versiebeheer

Ik neig dus nu naar SOPS om .env variabelen te encrypten (public/private key) die ik in forgejo kan zetten (encrypted .env + public key) en de private key als secret kan invoeren in forgejo. SOPS snapt ook Azure Key Vault. Mogelijk wordt het bedrijf naar nog blij van

ansible-vault encrypt host_vars/my_host/vault.yml
# en
ansible-vault decrypt host_vars/my_host/vault.yml

1

immich_database_password: "{{ vault_immich_database_password }}"