[Docker] [alle OS] Het grote Docker ervaringen en tips topic

CH4OS schreef op maandag 5 januari 2026 @ 16:26:
@DjoeC De Joomla installaties zet je dan toch achter Traefik / Caddy / Nginx Proxy Manager?

Met Traefik hoef je dan niet eens de poorten te openen / forwarden, zolang de Traefik container ze maar bereiken kan. Ik zie echt niet waarom de containers op het netwerk buiten Docker zouden moeten zitten, dat laat ik liever Docker regelen icm Traefik (ook via Docker). De back-end(s) voor Joomla kun je dan evenetueel op een intern netwerk (docker network create --insternal <naam>) zetten waardoor buitenaf er niet eens bij kan. De Joomla instanties zet je dan dus op 2 netwerken, zodat ze enerzijds intern de database kunnen bereiken en het andere netwerk is extern, zodat bepaalde resources die je remote ophaalt (afbeeldingen via een CDN bijvoorbeeld, of metadata van een film of serie) dan opgehaald kan worden. Als dat niet eens nodig is voor de Joomla instanties, kan je dus gewoon met 1 intern netwerk af, Traefik gaat dan voor je naar buiten.

Ik denk echt dat je een en ander onnodig complex hebt voor jezelf, als ik jouw bovenstaande reactie zo lees Ook Pi-Hole draai ik zonder macvlan (draait op een simpele Pi 3B in Docker, tezamen met DSMR reader om mijn slimme meter uit te lezen, verder doet de Pi niks), maar dan dus met portforward, voor Ad Guard Home (die ik op mijn homelab draai) idem dito. Voor het draaien van containers op een andere host zonder aanpassingen te hoeven doen, gebruik je dan toch gewoon Docker Swarm?

DjoeC schreef op maandag 5 januari 2026 @ 17:39:
Dank je. Ik ga me er echt nog eens goed in verdiepen want ik wil dit eenvoudiger krijgen. Gaat me wat tijd kosten maar goed

[ Voor 8% gewijzigd door CH4OS op 05-01-2026 19:24 ]

CH4OS schreef op maandag 5 januari 2026 @ 19:24:
[...]
Graag gedaan! Ik zou toch eens overwegen om meer met stacks (en elimineren van afhankelijkheden zoals een enkele database instance) te gaan werken. In combinatie met docker compose bijvoorbeeld werkt dat echt goed anno nu.

CH4OS schreef op maandag 5 januari 2026 @ 19:59:
@synoniem Traefik kan ook prima het Let's Encrypt deel doen, dus dat hoeft niet per se in aparte scripts gedaan te worden. Ook ververst het een certificaat dan automatisch voor je. Om daar dan nog een Apache2 als proxy achter te hangen voelt een beetje dubbel als ik jouw verhaal zo lees. Of ik begrijp het verhaal nu een beetje verkeerd.

CH4OS schreef op maandag 5 januari 2026 @ 19:24:
[...]
Graag gedaan! Ik zou toch eens overwegen om meer met stacks (en elimineren van afhankelijkheden zoals een enkele database instance) te gaan werken. In combinatie met docker compose bijvoorbeeld werkt dat echt goed anno nu.

DjoeC schreef op maandag 5 januari 2026 @ 22:11:
Alles zit al in docker compose/yaml en dat werkt inderdaad prima!

[ Voor 58% gewijzigd door CH4OS op 05-01-2026 22:20 ]

CH4OS schreef op maandag 5 januari 2026 @ 22:16:
[...]
Ah, dat is althans wat ik bedoelde met stacks

[ Voor 35% gewijzigd door DjoeC op 05-01-2026 22:28 ]

[ Voor 8% gewijzigd door CH4OS op 05-01-2026 22:29 ]

CH4OS schreef op maandag 5 januari 2026 @ 22:16:
[...]
Ah, dat is althans wat ik bedoelde met stacks

Toch even een vraag: Hoe beheren jullie deze files/stacks? Ik doe dat 'simpel' met VS Code (al twijfel ik ook om over te stappen op een andere fork, maar weet nog niet welke, hoor ook veel goede verhalen over Google's Antigravity bijvoorbeeld) en docker doe ik gewoon old-school via de commandline. Maar hoe doen jullie dat? Gebruiken jullie bijvoorbeeld Portainer, Dockge, Arcane of een van de vele andere (webbased) beheertools? Lazydocker wellicht?

[ Voor 44% gewijzigd door CH4OS op 05-01-2026 22:48 ]

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34

services:
  autokuma:
    image: ghcr.io/bigboot/autokuma:uptime-kuma-v1-2.0.0
    restart: unless-stopped
    environment:
      AUTOKUMA__KUMA__URL: http://uptime-kuma:3001
      AUTOKUMA__KUMA__USERNAME: ${KUMA_USERNAME}
      AUTOKUMA__KUMA__PASSWORD: ${KUMA_PASSWORD}
      AUTOKUMA__DOCKER__EXCLUDE_CONTAINER_PATTERNS: "^temp_;^[a-f0-9]{12}_.*_" # Excludes test containers and temporary stack containers.
      AUTOKUMA__DEFAULT_SETTINGS: |-
        docker.docker_container: {{ container_name }}
        http.max_redirects: 10
        *.max_retries: 3
      AUTOKUMA__DOCKER__LABEL_PREFIX: kuma
      AUTOKUMA__SNIPPETS__DOCKER: |-
         {{container_name}}_docker.docker.docker_container: {{container_name}}
         {{container_name}}_docker.docker.docker_host_name: local
         {{container_name}}_docker.docker.name: docker_{{container_name}}
         {{container_name}}_docker.docker.notification_name_list: ["pushbullet"]
      AUTOKUMA__SNIPPETS__WEB: |-
         {{container_name}}_http.http.name: web_{{container_name}}
         {{container_name}}_http.http.url: https://{{container_name}}.domain.tld
         {{container_name}}_http.http.notification_name_list: ["pushbullet"]
    labels:
      kuma.local.docker_host.name: 'Local Docker Socket'
      kuma.local.docker_host.connection_type: 'socket'
      kuma.local.docker_host.path: '/var/run/docker.sock'
      kuma.pushbullet.notification.name: 'Pushbullet'
      kuma.pushbullet.notification.active: 'true'
      kuma.pushbullet.notification.config: |
        {   [ .. config in JSON ..]
        }
     [..]
   [ ook een uptime-kuma container gedefinieerd op poort 3001]

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16

name: sabnzbd
services:
  sabnzbd:
    image: ghcr.io/home-operations/sabnzbd:4.5.5@sha256:da57e01cdebc547852b6df85c8df8c0e4d87792742c7608c5590dc653b184e8c
    container_name: sabnzbd
   [..]
    labels:
      - traefik.enable=true
      - traefik.docker.network=traefik-net
      - traefik.http.routers.sabnzbd.rule=Host(`sabnzbd.domain.tld`)
      - traefik.http.routers.sabnzbd.entrypoints=websecure
      - traefik.http.routers.sabnzbd.tls.certresolver=cfdns
      - traefik.http.services.sabnzbd.loadbalancer.server.port=8080
      - kuma.__web
      - kuma.__docker
 [..]

CH4OS schreef op maandag 5 januari 2026 @ 22:16:
[...]
Ah, dat is althans wat ik bedoelde met stacks

Toch even een vraag: Hoe beheren jullie deze files/stacks? Ik doe dat 'simpel' met VS Code (al twijfel ik ook om over te stappen op een andere fork, maar weet nog niet welke, hoor ook veel goede verhalen over Google's Antigravity bijvoorbeeld) en docker doe ik gewoon old-school via de commandline. Maar hoe doen jullie dat? Gebruiken jullie bijvoorbeeld Portainer, Dockge, Arcane of een van de vele andere (webbased) beheertools? Lazydocker wellicht?

[ Voor 33% gewijzigd door blackd op 06-01-2026 09:30 ]

CH4OS schreef op maandag 5 januari 2026 @ 22:45:
@synoniem Eigenlijk hebben alle genoemde tools een webinterface, een gui draaien is dus niet nodig... Enige die dat niet heeft is Lazydocker, dat is een commandline tool.

[ Voor 9% gewijzigd door ThinkPad op 06-01-2026 09:21 ]

ThinkPad schreef op dinsdag 6 januari 2026 @ 09:19:
Ik meen ooit eens een container te hebben gezien voor het bijhouden van verzekeringspolissen, energiecontracten e.d. Kan het alleen niet vinden, ik kom dan uit bij document management systemen zoals Paperless, of warranty trackers waarin ik kan registreren dat de garantie van m'n TV verloopt op 5 nov. 2027 bijv. Of inventarissystemen, om bij te houden hoeveel boodschappen ik nog in huis heb, of hoeveel dozen schroefjes. Niet wat ik zoek

Ik zoek meer een Excel-achtig overzicht waarin ik kan invoeren dat ik m'n auto verzekerd heb bij BedrijfX, dat ik een energiecontract heb bij LeverancierXYZ wat loopt tot dd-mm-yyyy en een internetcontract heb wat loopt tot dd-mm-yyyy

Iemand een idee?

synoniem schreef op dinsdag 6 januari 2026 @ 09:37:
[...]

Zoiets als Wallos?

Ben.Hahlen schreef op dinsdag 6 januari 2026 @ 14:30:
@DjoeC (en anderen):
Interessante discussie over "de inrichting"
Mijn 2 centen:

Ik heb een hele tijd MACVLan gedraaid en was daar best tevreden over, maar het management is wel "ingewikkeld", want je moet goed bijhouden wat waar draait, in PiHole regeltjes bijhouden voor routing etc.

Ondertussen ben ik al een hele tijd over naar "normale" netwerken, maar ik draai ook nog "generieke" services, dus geen stack per applicatie.
Mijn folder structuur ziet er nu zo uit:

code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14

. ├── 01-critical ├── 02-databases ├── 03-middleware ├── 04-management ├── 05-home ├── 06-personal ├── 07-finance ├── 08-travel ├── 09-tools ├── 10-media ├── 11-games ├── 12-websites ├── 13-ai

In the eerste stack zitten bijvoorbeeld Authentik, Traefik, PiHole en Postgres (speciaal voor die stack). Dat is de enige die volledig zelf-contained is.

Voor het managen van de files gebruik ik VSCode en de Compose Stacks starten/stoppen doe ik met dc, een tooltje dat ik voor mezelf geschreven heb.

DjoeC schreef op dinsdag 6 januari 2026 @ 16:41:
[...]
Interessant..... Voor mij is het voordeel van MACVLAN nou juist dat ik na de eerste keer geen routering meer hoef aan te passen. Pihole krijgt ip 10.1.1.2 en houd dat, ongeacht op welke docker instantie die draait.... Ben dus wel benieuwd waarom jij routering zou moeten aanpassen. Gewoon elke service z'n eigen hostname in de pihole locale DNS - die ik trouwens op de Fritzbox router ook als overall DNS heb ingesteld.

Greatsword schreef op donderdag 8 januari 2026 @ 15:24:
Ik heb docker op mijn (Ugreen) NAS draaien, voornamelijk voor zaken als Plex, Sonarr, Radarr etc.

Deze applicaties maken netjes wekelijks geautomatiseerde backups in Zip bestanden, maar hoe maak ik nu eigenlijk het beste een backup van Docker? Stel de NAS houdt er mee op dan wil ik dus zo snel mogelijk alles weer terug kunnen zetten.

Is het dan voldoende om de zip bestanden (backups) ergens anders op te slaan of moet ik dan echt de hele Docker / appdata map overzetten.

De NAS staat 24/7 aan en in deze applicaties worden ook continue logs geschreven, dus ben benieuwd of dat nog conflicten met zich kan meebrengen.

Verwijderd schreef op donderdag 8 januari 2026 @ 15:59:
[...]
De downtime is hier iets langer, maar ook nu heb ik er geen last van (het proces loopt diep in de nacht).

DjoeC schreef op zaterdag 17 januari 2026 @ 15:21:
Vraag: ik gebruik momenteel Mosquitto als MQTT broker (bron voor HA en eigen proggies), gevoed vanuit sensoren en ESP's (eigen proggies). Ik gebruik zoveel mogelijk MQTT V5 maar V3 wordt ook nog wel gebruikt.

Nu mis ik een grafische (management) interface waar statistieken, timestamp laatste bericht in een queue, oid te zien zijn. Ik denk NIET aan prometheus achtige oplossingen. Blijkbaar is er een commercieele versie van Mosquitto die dit heeft maar ik zoek eigenlijk gewoon open-source.

Is er een betere MQTT broker met iets meer opties (docker gebaseerd). Ik kom HiveMQ, RabbitMQ, emqx tegen. Heeft iemand ervaring met 1 van die alternatieven?

Ben.Hahlen schreef op maandag 19 januari 2026 @ 15:28:
[...]

Ik gebruik MQTT Explorer.
Deze connect naar Mosquitto, misschien is dat wat?

DjoeC schreef op maandag 19 januari 2026 @ 15:37:
[...]

Ja, die gebruik ik al op Windows maar liefst zou ik iets hebben dat direct onder docker draait - of zou dit zo in een container te "verpakken" kunnen zijn?

Vanochtend heb ik EMQX uitgeprobeerd, dat leip eigenlijk best wel als alternatief voor Mosquitto. Het grote verschil: Mosquitto kan maar 100.000 connecties aan en EMQX wel 1.000.000. Duhhh....

Daar zit een "soort van" combinatie in van MQTT Explorer en https://github.com/sanjeshpathak/Mosquitto-Dashboard maar ik vraag me af of dat pakket niet veel te zwaar is voor een Raspi. Daarbij moet je met EMQX bij een "cluster" al meteen een betaalde licentie aanschaffen, ik neem aan dat dat bij bridgen ook geldt - terwijl bringen van mosquitto gewoon een paar config regels zijn....

Maar goed, als er echt niks is maak ik misschien wel een Python containertje dat statistics naar Home Assistant kan sturen en maak ik daar wel een dashboardje. Werk waar ik niet op zit te wachten - maar dat kan natuurlijk wel.....

DjoeC schreef op maandag 19 januari 2026 @ 15:37:
[...]

Ja, die gebruik ik al op Windows maar liefst zou ik iets hebben dat direct onder docker draait - of zou dit zo in een container te "verpakken" kunnen zijn?

1
2
3
4
5
6
7
8
9
10
11

  mqtt-explorer:
    extends:
      file: ../shared.yml
      service: pubnet-shared
    image: smeagolworms4/mqtt-explorer:latest
    container_name: mqtt-explorer
    hostname: mqtt-explorer
    env_file: mqtt-explorer.env
    volumes:
      - ./mqtt-explorer/config:/mqtt-explorer/config
 

Airw0lf schreef op vrijdag 27 februari 2026 @ 12:40:
Voor de goede orde: volgens mij doet Portainer niks met compose/yaml bestanden. Dus als je iets wijzigt via de gui van Portainer wordt dat niet meegenomen in de compose/yaml bestanden.

alex3305 schreef op vrijdag 27 februari 2026 @ 17:27:
Recent ben ik overigens bezig geweest met het security hardenen van mijn containers in Compose. Enerzijds door het inperken van rechten, anderzijds door het inperken van resources. Dat laatste had nog wel een leuk bij effect dat het stroomgebruik van mijn server wat minder piekerig was en dus gemiddeld gezien wat afnam. Tegelijkertijd ben ik me ook wat bewuster geworden van de gebruikte resources en rechten van containers en dat heb ik ook kunnen gebruiken voor o.a. IPv6 Router Advertisements in containers.

Hoe ik het nu in ingeregeld is als volgt. Allereerst de basis:

YAML:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15

services: my-service: stop_grace_period: 30s tty: false stdin_open: false security_opt: - no-new-privileges:true tmpfs: - /tmp:rw,noexec,nosuid,nodev,size=64m logging: driver: json-file options: max-size: "8m" max-file: "4" pids_limit: 256

Sowieso perk ik de rechten in van tty en stdin. Dat hebben server containers nagenoeg nooit nodig. Ik zet een security_opt dat er ook niet zomaar nieuwe permissies mogen toegewezen. Eigenlijk heeft dat geen zin omdat de container toch alle SELinux capabilities heeft, maar dat doe ik afhankelijk van de applicatie wel met cap_add en cap_drop. Ik zorg dat een container niet zomaar tmpfs kan gebruiken voor evt. executables. Mocht er dus een 'probleemapplicatie' bij zitten dan kan in ieder geval /tmp niet zomaar misbruikt worden. Tot slot zet ik een logging limit om logging bombing te voorkomen en een (hier ruime) pids_limit.

Daar bovenop kan ik dan ook nog de read_only optie plaatsen zodat containers niet zomaar nieuwe bestanden of mappen mogen aanmaken buiten de volume mounts. En een aangepaste user toevoegen, dus niet root. Alhoewel beide opties soms lastig zijn bij sommige containers. Dan krijg je dit soort constructies:

YAML:

1 2 3 4 5 6 7 8

services: postgresql: user: {{ immich_user }}:{{ immich_group }} read_only: true tmpfs: - /tmp:rw,noexec,nosuid,nodev,size=16m - /etc/postgresql:rw,exec,suid,nodev,size=64m - /run/postgresql:rw,exec,suid,nodev,size=64m

Daarna perk ik ook resources in met:

YAML:

1 2 3 4 5 6 7 8 9

services: my-service: pids_limit: 512 mem_reservation: 512m mem_limit: 2048m cpus: 2 cpu_shares: 1024 cpuset: "12-19" oom_score_adj: 0

De meeste opties spreken hier vermoedelijk voor zich, maar hier laat ik dus eigenlijk de Linux scheduler zelf bepalen waar de applicatie draait op de E-cores van mijn processor. Eerder deed ik dit handmatig, maar dit lijkt wat meer rust te geven op het systeem. Ook hebben sommige applicaties wat meer ademruimte omdat ze zichzelf over meerdere cores kunnen verdelen.

Ik wil ook nog kijken hoe ik evt. io kan inperken, maar daar ben ik nog niet helemaal aan toe gekomen. De documentatie is hier op sommige punten wat Spartaans .

[ Voor 3% gewijzigd door ElCondor op 05-03-2026 10:11 ]

ElCondor schreef op dinsdag 3 maart 2026 @ 10:56:
[...]

Nice work! Ik heb nog veel te leren, merk ik wel en ik was zo al tevreden zoals ik het nu ingericht heb.
Maar goed, net pas een beetje de boel aan het stroomlijnen wat beheersbaarheid.

Vooral die resource allocation en security measures zijn wel interessant. Niet per s'e voor thuis, want ik publiceer weinig openbaar, maar zeker goed om kennis van te nemen. Op werk gaan we meer en meer met docker en kubernetes doen, dus daar kna het zeker van pas komen.

alex3305 schreef op dinsdag 3 maart 2026 @ 11:09:
[...]

Het is geen wedstrijd hè. Ik ben ook niet gisteren begonnen.

[Afbeelding]

De eerste commit in deze repository dateert alweer uit 2019

[Afbeelding]


[...]

Waarom niet voor thuis? Volgens mij is het dan juist interessant. Helemaal met de huidige prijzen van hardware en elektriciteit.

Ik heb nu namelijk de controle over hoeveel geheugen en cpu resources applicaties krijgen in plaats van dat ze geheugen nemen en dit geheugen misschien niet teruggeven zoals gebruikelijk op een Linux systeem. Immers draaien de containers afgesloten. Tegelijkertijd zorgen tmpfs mounts ervoor dat de SSD minder belast wordt door tijdelijke data, zoals transocdering van Plex of Jellyfin. En tot slot zorgt cpuset ervoor dat ik mijn processen primair op de E-cores van de Intel processor kan draaien.

Het verschil in stroomverbruik tussen de P-cores en E-cores is gigantisch. Alhoewel ik de power limits beperkt heb, boosten de P-cores eenvoudig naar 65W als het nodig is. Met out of the box hogere power limits gaat dat naar 95W of 120W. Echter levert dit geen extreme snelheidswinst op. Tegelijkertijd zou een proces zoals Traefik bij load ervoor zorgen dat de processor constant boost, wat het stroomverbruik enorm laat toenemen.

Ik heb niet de meest zuinige setup, maar ik probeer mijn primaire server rond de 20W in idle te houden. De secundaire machine zit zo rond de 3-5W. En dat lukt op deze manier vrij aardig.

1
2

PS ❯ git rev-list --count --all
63

• docker01: essentiele stacks zoals reverse proxy en dashboard
• docker02: media presentatie stacks zoals audiobookshelf, calibre-web, kavita en binnenkort immich
• docker03: non-essentiele stacks zoals mktxp, unpoller, guacamole en paperless

ElCondor schreef op donderdag 5 maart 2026 @ 10:04:
[...]


LOL

code:

1 2	PS ❯ git rev-list --count --all 63

Ben net een maandje geleden pas begonnen met git en het structureren van mijn docker omgeving omdat ik tegen allerlei issues aan begon te lopen bij de toenmalige implementatie.
Ik was toen ook nog vanalles aan het uitproberen en had al wel een aantal containers in 'productie' draaien.

Omdat ik vanalles met default settings geinstalleerd had, wilde het nog wel eens voorkomen dat bij update of het opnieuw deployen van een container de data niet persistent bleek te zijn en ik alles kwijt was.
Ik had het toen ook nog op een combinatie van fysieke en virtuele machines draaien waarvan een deel Windows en een deel Linux. En dan voor Linux ook nog op ijzer en een docker instance op een LXC.
Toen ik wat meer begrip van ProxMox begon te krijgen (zie mijn posts in dat draadje) ben ik radicaal gaan schonen in mijn infra. Windows teruggebracht van 6 naar 3 fysieke machines, Hyper-V de deur uit en op 4 machines (2 NUC's en 2 grotere servers) een ProxMox cluster ingericht. Dat tegelijk gedaan met de inrichting van NFS backed storage voor de guests op ProxMox.

Omdat een aantal van die VM's verschillende implementaties van docker draaiden, eens gaan kijken hoe ik NFS storage kon gaan inzetten voor docker. Ik moest voor het toepassen van configuratie wijzigingen op de containers altijd inloggen op de docker host en dan met nano de wijzigingen aanbrengen Dan loop je er ook nog tegenaan dat docker op een LXC container niet ideaal is als je een unprivileged container gebruikt. En de containers migreren is een hel als je niet precies weet waar docker data en volumes terecht zijn gekomen.
Met behulp van wat kunst en vliegwerk uiteindelijk alles kunnen consolideren op 3 docker hosts die exact hetzelfde zijn ingericht, zodat ik me niet een slag in de rondte hoef te zoeken naar de data.

• docker01: essentiele stacks zoals reverse proxy en dashboard
• docker02: media presentatie stacks zoals audiobookshelf, calibre-web, kavita en binnenkort immich
• docker03: non-essentiele stacks zoals mktxp, unpoller, guacamole en paperless

Alle stacks maken, waar mogelijk gebruik van volumes op een NFS export op een van mijn NAS-en en alles wordt beheerd vanuit VSCode en Dockhand.

Het beheer van docker doe ik vanuit een sysops folder waar ik per docker instance de compose files in bijhoudt en een representatie van de verschillende config volumes voor specifieke containers, zodat ik lokaal de config kan aanpassen en dan vanuit VSCode kan deployen naar de binds op de NAS. Als het meezit, dan pikken de containers ze dan direct op. Dat is helaas niet in alle gevallen zo, omdat containers vaak gebruik maken van inode-monitoring op Linux, en dit werkt niet over NFS.

Daarnaast blijkt dat er ook containers zijn die specifiek een config file mounten in de container en het is weer niet mogelijk om zo een file via NFS te provisionen, want dit kan alleen met volledige folders.
Ook zijn er containers die het niet leuk vinden dat hun database draait op NFS (Kavita). Deze kan alleen op local storage draaien anders ondervindt je allerhande database lock exceptions omdat draaien op NFS eenvoudigweg niet ondersteund wordt door SQLite en MEF

Zoals je ziet ben ik nog helemaal niet bezig met het implementeren van security of resource management.
Omdat het om een home-labje gaat vind ik security niet de grootste prio, maar resource management is wel interessant om naar te kijken, dat ben ik wel met je eens.
De hardware die ik gebruik is volgens mij niet zo recent dat er E en P cores in zitten, dus dat zou me niet heel veel helpen, maar wellicht zijn er andere optimalisaties te maken. Vooral geheugen gebruik vindt ik wel interessant, want die Kavita container, staat zelfs in de documentatie, reserveert al het geheugen op de betreffende docker instance (die staat ook altijd in het oranje). Als je dan een htop draait op de host, dan is er niks aan het handje. Dus een beetje vreemd gedrag.
Maar prachtige techniek en materie om mee aan het prutselen te zijn.

ElCondor schreef op donderdag 5 maart 2026 @ 11:31:
Maar, met iSCSI heb ik op mijn nas dan weer geen toegang tot de inhoud van de LUN, omdat block-based. En het gaat me er juist om dat ik bij de bestanden kan anders dan te moeten inloggen op mijn docker host en daar moet gaan wijzigen. Ik ZOU de iSCSI lun 'loop-back' kunnen mounten op mijn NAS en dan de bestanden ontsluiten, maar ja...

Ik maak dus wél gebruik van NFS mounting dmv de volume definitie in de docker compose. Echt een hele verbetering, want ik kan de compose dan gewoon down gooien op docker 1 en up gooien op docker 2 en het draait daar gewoon verder. Ik zit te denken om een swarm te gaan gebruiken of alles om te bouwen naar Kubernetes, maar ja, zo kan ik nog wel even bezig blijven

Rancher heb ik nog niet van gehoord, dus daar ga ik me ook maar eens in verdiepen.

Wat is je ervaring met docker op Pi's. Ik had een stack van 4 Pi 4's waar ik Kubernetes op deployed had, maar bij iedere update klapte de sd-kaartjes er onderuit, om de een of andere reden en ik kreeg het nooit stabiel. Vandaar dat ik op dit moment docker nog draai in VM-s en een test Kubernetes clustertje ook op basis van VM's heb draaien.

synoniem schreef op donderdag 5 maart 2026 @ 11:50:
[...]

Ik heb 12 Pi's die geen sd-kaarten gebruiken maar netwerk booten vanaf TFTP en vervolgens hun eigen specifieke iSCSI image mounten. Voor Raspi OS ziet die mount eruit als een gewone fysieke harde schijf en docker kan zijn standaard storage driver gebruiken. Zolang je een 64 bit versie gebruikt kun je k0s of k3s of minik8s gebruiken maar vind ik wat overkill voor een Pi en ik gebruik daarom gewoon docker swarm/stack. Voor testdoeleinden gebruik ik 4 NUC's als Kubernetes clustertje maar dan de k3s versie (alleen een beetje weinig tijd voor op het moment).

ElCondor schreef op donderdag 5 maart 2026 @ 12:26:
[...]

Maar, als jij dus voor een specifieke containerized app configuratie aanpassingen wilt doen, dan doe je dat dor in te loggen op een van de Pi's of het cluster en dan op het 'lokale' file system je ding te doen?

Ik wil juist niet hoeven in te loggen op de docker host en mijn applicatie config binds op één centrale plek beschikbaar hebben. Vandaar de NFS volume mounts. Alle docker instances maken dus gebruik van dezelfde volume mount waarop alle binds te vinden zijn.

alex3305 schreef op donderdag 5 maart 2026 @ 15:11:
De support node is een oude Pi 3B, eigenlijk de ex-ex-primair . Die doet al jaren dienst als boiler thermometer en sinds een paar maanden ook als uptime monitor. Hiervoor gebruik ik gatus die ik configureer via Ansible. ]

Eerder gebruikte ik altijd Uptime Kuma, maar die werd bij mij na een relatief korte periode altijd heel traag. Ook vond ik het inregelen via de UI niet bijzonder geslaagd.

blackd schreef op donderdag 5 maart 2026 @ 19:33:
[...]

Ik ken gatus niet, maar zie dat je die configureert met een configfile, die zul je via Ansible beheren neem ik aan? Zo ja, template je die?

Of gebruik je docker labels?

Uptime Kuma v2 met MariaDb doet het hier wel een stuk beter (tot nu toe).En over AutoKuma (met docker labels, had ik eerder al over gepost in dit topic) ben ik wel te spreken.

alex3305 schreef op donderdag 5 maart 2026 @ 22:41:
Nee. Leuk idee, maar met meerdere hosts niet bijster handig. Dan zou ik de configuratiefiles moeten genereren en kopiëren. Dat vind ik onhandig. Nu is het misschien niet zo strak of automatisch, maar sinds de inrichting heb ik eigenlijk nog niets aangepast.

blackd schreef op zondag 8 maart 2026 @ 08:51:
[...]

Wat dat betreft past AutoKuma & Uptime Kuma wel weer beter bij jouw use case, je zou meerdere AutoKuma's kunnen opzetten (één per host, uitlezen lokale Docker socket) en die allemaal laten verwijzen naar één Uptime Kuma instantie.

alex3305 schreef op zondag 8 maart 2026 @ 14:26:
Zo blijf ik ook nog een beetje bezig

alex3305 schreef op zondag 8 maart 2026 @ 21:42:
@blackd Altijd interessant. Molecule staat ook nog steeds ergens op een lijstje. Tegelijkertijd heb ik er nog geen noodzaak voor gehad . Dus ben wel benieuwd hoe jij dat doet .

Ik gebruik nu alweer een tijdje een Ansible anti-patroon om mijn Docker Compose applicaties uit te rollen. Namelijk een 'common' role. Ik ben er zelf ook geen fan van, maar de alternatieven zijn een git submodule.

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15

docker_compose_base
├── defaults
│   └── main.yml
├── tasks
│   ├── build.yml
│   ├── chown_dataset.yml
│   ├── copy.yml
│   ├── create_dataset.yml
│   ├── delete.yml
│   ├── delete_app.yml
│   ├── delete_dataset.yml
│   ├── down.yml
│   └── up.yml
└── vars
    └── main.yml

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16

---
- name: Copy tasks
  ansible.builtin.import_role:
    name: docker_compose_base
    tasks_from: copy
  vars:
    docker_compose_base__stack_base_dir: "{{ dockge__stack_base_dir }}"

# place custom docker compose project setup here

- name: Docker Compose Up
  ansible.builtin.import_role:
    name: docker_compose_base
    tasks_from: up
  vars:
    docker_compose_base__stack_base_dir: "{{ dockge__stack_base_dir }}"

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19

extensions
└── molecule
    ├── config.yml
    ├── default
    │   ├── create.yml
    │   ├── destroy.yml
    │   ├── molecule.yml
    │   └── tasks
    │       ├── assert-container.yml
    │       ├── create-fail.yml
    │       └── set-permissions.yml
    ├── dockge
    │   ├── cleanup.yml
    │   ├── converge.yml
    │   ├── molecule.yml
    │   └── verify.yml
    [snip]
    └── uptime_kuma_v2
        [snip]

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65

---
- name: Create
  hosts: localhost
  connection: local
  gather_facts: false

  tasks:
    - name: Create dind-network
      community.docker.docker_network:
        name: dind-network
        state: present

    - name: Create dind-daemon container
      community.docker.docker_container:
        name: my-dind-daemon
        image: docker:dind
        docker_host: unix:///var/run/docker.sock
        state: started
        command: ["--data-root", "/var/lib/docker"]
        privileged: true
        env:
          DOCKER_TLS_CERTDIR: ""
        networks:
          - name: dind-network
            aliases:
              - docker

    - name: Create a container
      community.docker.docker_container:
        name: "{{ item }}"
        image: "{{ hostvars[item].image }}"
        docker_host: unix:///var/run/docker.sock
        state: started
        command: sleep 1d
        log_driver: json-file
        networks:
          - name: dind-network
        env:
          DOCKER_HOST: "tcp://docker:2375"
      register: result
      loop: "{{ groups['molecule'] }}"

    - name: Fail if container is not running
      when: >
        item.container.State.ExitCode != 0 or
        not item.container.State.Running
      ansible.builtin.include_tasks:
        file: tasks/create-fail.yml
      loop: "{{ result.results }}"
      loop_control:
        label: "{{ item.container.Name }}"

- name: Prepare
  hosts: molecule
  gather_facts: true

  pre_tasks:
     [ hier alle voorwaarden waaraan de test-resource moet voldoen,
      in mijn geval een bepaalde uid/gid ]
  roles:
     [ hier alle voorwaarden van roles (in mijn geval galaxy roles) 
      die geinstalleerd moeten staan, vóór testuitvoer ]
  post_tasks:
     [ hier alle voorwaarden die afhankelijk zijn van de roles, 
       in mijn geval een shared docker netwerk voor traefik ]

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30

---
- name: Destroy molecule containers
  hosts: molecule
  gather_facts: false
  tasks:
    - name: Stop and remove molecule container
      delegate_to: localhost
      community.docker.docker_container:
        name: "{{ inventory_hostname }}"
        state: absent
        auto_remove: true
        docker_host: unix:///var/run/docker.sock

    - name: Stop and remove dind container
      delegate_to: localhost
      community.docker.docker_container:
        name: my-dind-daemon
        state: absent
        auto_remove: true
        docker_host: unix:///var/run/docker.sock

    - name: Destroy networks
      delegate_to: localhost
      community.docker.docker_network:
        name: "{{ item }}"
        state: absent
        docker_host: unix:///var/run/docker.sock
      loop:
        - [ mijn traefik netwerk ] 
        - dind-network

1
2
3
4
5
6
7
8
9
10

---
all:
  children:
    molecule:
      hosts:
        molecule-debian12:
          image: geerlingguy/docker-debian12-ansible
          ansible_connection: community.docker.docker
      vars:
        [ evt noodzakelijke host vars ]

1

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15

---
# Purpose: bring the instance to the desired state by running the role under test.
# Molecule calls this playbook with `molecule converge`.
- name: Converge
  hosts: molecule
  gather_facts: false # Disable if your role does not rely on facts

  # Set Docker host to communicate with the Docker daemon inside the DinD container
  environment:
    DOCKER_HOST: tcp://docker:2375/

  tasks:
    - name: Apply role under test
      ansible.builtin.include_role:
        name: <namespace>.<collection>.dockge

1
2
3
4
5
6
7
8
9
10
11
12
13
14

---
# Purpose: assert that the instance really ended up in the expected state.
# Molecule calls this playbook with `molecule verify`.
- name: Verify
  hosts: molecule
  gather_facts: false # Quicker, if you do not need facts

  tasks:

    - name: Assert container running
      ansible.builtin.include_tasks:
        file: ../default/tasks/assert-container.yml
      loop:
        - dockge-dockge-1

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28

---
- name: Exit if item not provided
  ansible.builtin.assert:
    that:
      - item is defined
    fail_msg: >
       Error running assert container task
       Variable {{ item }} should be provided in a loop, but is not present.

- name: Obtain container info
  community.docker.docker_container_info:
    name: "{{ item }}"
  register: container_info

- name: Assert container exists
  ansible.builtin.assert:
    that:
      - container_info.container is not none
    fail_msg: Container {{ item }} is not running

- name: Assert container is running correctly
  ansible.builtin.assert:
    that:
      - container_info.container.State.Running == true
      - container_info.container.State.ExitCode == 0
      - container_info.container.State.Restarting == false
    fail_msg: "The container {{ item }} is not running as expected."
    success_msg: "The container {{ item }} is running as expected."

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29

---
- name: Cleanup
  hosts: molecule
  gather_facts: false
  vars:
    compose_project_dir: "{{ dockge__stack_base_dir | default('/opt/stacks/dockge') }}"

  # Set Docker host to communicate with the Docker daemon inside the DinD container
  environment:
    DOCKER_HOST: tcp://docker:2375/

  tasks:
    - name: Check if compose_project_dir exists
      ansible.builtin.stat:
        path: "{{ compose_project_dir }}"
      register: compose_dir_stat

    - name: Docker compose down
      become: true
      community.docker.docker_compose_v2:
        project_src: "{{ compose_project_dir }}"
        state: absent
      when: compose_dir_stat.stat.exists

    - name: Remove folder
      ansible.builtin.file:
        path: "{{ compose_project_dir }}"
        state: absent
      become: true

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23

---
- name: Exit if item not provided
  ansible.builtin.assert:
    that:
      - item is defined
      - item_uid is defined
      - item_gid is defined
    fail_msg: >
       Error running set permissions task.
       Check if all required variables are set correctly.
       Variable {{ item }} should be provided in a loop.
       Variables {{ item_uid }} and {{ item_gid }} should be defined.


- name: Set permissions inside my-dind-daemon container
  delegate_to: localhost
  community.docker.docker_container_exec:
    container: my-dind-daemon
    command: >
      sh -c "mkdir -p {{ item }} &&
              chown -R {{ item_uid }}:{{ item_gid }} {{ item }} &&
              chmod -R 775 {{ item }}"
    docker_host: unix:///var/run/docker.sock

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21

group_vars/
host_vars/
playbooks/
roles/
  └── common/
      ├── defaults/
      │   └── main.yml 
      ├── tasks/
      │   ├── assert/
      │   │   ├── devices.yml
      │   │   ├── docker.networks.yml
      │   │   ├── docker.proxy.yml
      │   │   ├── docker.resources.yml
      │   │   ├── docker.volumes.yml
      │   │   └── storage.yml
      │   └── compose/
      │       ├── up.yml
      │       ├── down.yml
      │       └── remove.yml
      └── vars/
          └── main.yml

1
2
3
4
5
6
7
8

_parent_role: "{{ ansible_parent_role_names | last }}"

_compose_filename: 'compose.yaml'
_compose_env_filename: ".env"

_is_unraid: >-
  {{ 'slackware' in (ansible_facts['distribution'] | lower) and
      'unraid' in (ansible_facts['kernel'] | lower) }}

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15

- name: Assert role isn't invoked directly
  ansible.builtin.assert:
    that:
      - ansible_parent_role_names is defined
      - ansible_parent_role_names is iterable and
        ansible_parent_role_names is not string
      - ansible_parent_role_names | default([]) | length > 0
      - _parent_role is defined
      - _parent_role is string
      - _parent_role | length > 0
    fail_msg: >-
      The 'common' role is an internal utility role and should not be
      invoked directly.
  tags:
    - always

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38

- name: "{{ _parent_role }} : Assert Docker networks are provided"
  ansible.builtin.assert:
    that:
      - docker_networks is defined
      - docker_networks is iterable and docker_networks is not string
      - docker_networks | length > 0
    fail_msg: No, an invalid or an empty `docker_networks` list was provided.

- name: "{{ _parent_role }} : Assert Docker volumes have the correct format"
  ansible.builtin.assert:
    that:
      - item is defined
      - item is mapping
      - item.name is defined
      - item.name is string
      - item.name | length > 0 and item.name | length <= 64
      - (item.ipv4_address | default()) is defined
      - (item.ipv4_address | default(none)) is none or
        item.ipv4_address is ansible.utils.ipv4_address
      - (item.ipv6_address | default()) is defined
      - (item.ipv6_address | default(none)) is none or
        item.ipv6_address is ansible.utils.ipv6_address
      - (item.driver_opts | default()) is defined
      - (item.driver_opts | default(none)) is none or
        item.driver_opts is mapping
    fail_msg: >-
      The provided Docker networks mapping has an incorrect format. A `name`
      attribute is required per network. An optional IPv4 address and/or an
      optional IPv6 address can be provided. As well as a `driver_opts`
      mapping.
  loop: "{{ docker_networks }}"

- name: "{{ _parent_role }} : Test if provided Docker network exists"
  community.docker.docker_network_info:
    name: "{{ item.name }}"
  register: _docker_network_info_output
  failed_when: not _docker_network_info_output.exists
  loop: "{{ docker_networks }}"

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24

- name: "{{ _parent_role }} : Assert Docker resource constraints are provided"
  ansible.builtin.assert:
    that:
      - docker_services is defined
      - docker_services is iterable and docker_services is not string
    fail_msg: No or an invalid `docker_services` list was provided.

- name: "{{ _parent_role }} : Assert Docker resource constraints"
  ansible.builtin.assert:
    that:
      - item.cpu_limit is defined
      - item.cpu_limit is number
      - item.cpu_limit <= (ansible_facts['processor_vcpus'] | int)
      - item.cpuset is defined
      - item.cpuset is none or item.cpuset is string
      - item.mem_limit is defined
      - item.mem_limit is number
      - item.mem_limit <= (ansible_facts['memtotal_mb'] | int)
      - item.mem_reservation is defined
      - item.mem_reservation is number
      - item.mem_reservation <= item.mem_limit
    fail_msg: One or more provided resource constraints has errors
  loop: "{{ docker_services }}"
  when: docker_services | length > 0

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35

- name: Assert storage configuration
  ansible.builtin.include_role:
    name: common
    tasks_from: assert/storage.yml
  vars:
    application_dir: "{{ home_assistant_dir }}"
    application_user: "{{ home_assistant_user }}"
    application_group: "{{ home_assistant_group }}"

- name: Assert Docker configuration
  ansible.builtin.include_role:
    name: common
    tasks_from: assert/docker.resources.yml
  vars:
    docker_services:
      - cpu_limit: "{{ home_assistant_cpu_limit }}"
        cpuset: "{{ home_assistant_cpuset }}"
        mem_limit: "{{ home_assistant_mem_limit }}"
        mem_reservation: "{{ home_assistant_mem_reservation }}"

- name: Assert Reverse proxy configuration
  ansible.builtin.include_role:
    name: common
    tasks_from: assert/docker.proxy.yml
  vars:
    docker_ingress_network: "{{ home_assistant_ingress_network }}"
    traefik_domain: "{{ home_assistant_domain }}"

- name: Assert Docker networks
  ansible.builtin.include_role:
    name: common
    tasks_from: assert/docker.networks.yml
  vars:
    docker_networks: "{{ home_assistant_networks }}"
  when: home_assistant_networks | length > 0

blackd schreef op vrijdag 13 maart 2026 @ 08:51:
[...]

De copy.yml gebruikt ansible.builtin.template om templates/compose.yml en templates/.env.j2 te plaatsen in de project directory.
De up.yml doet een docker compose up in de project directory.

1
2
3
4
5
6
7

- name: Docker Compose Up
  ansible.builtin.include_role:
    name: common
    tasks_from: compose/up.yml
  vars:
    compose_template: "templates/compose.yaml.j2"
    compose_env_template: "templates/.env.j2"

1
2
3
4
5
6
7
8

- name: "{{ _parent_role }} : Validate Docker Compose"
  ansible.builtin.command:
    cmd: docker compose config
    chdir: "{{ _compose_directory.path }}"
  register: _docker_compose_config_output
  ignore_errors: "{{ ansible_check_mode }}"
  failed_when: _docker_compose_config_output.rc != 0
  changed_when: false

alex3305 schreef op vrijdag 13 maart 2026 @ 10:17:
@blackd Thanks voor de enorm uitgebreide post Ik heb er nu even doorheen gelezen, maar dit zet ik zeker op mijn lijstje om op een later moment op te gaan pakken .

Ik vind het wel enorm leuk om te zien dat onze Docker + Ansible aanpak enorm veel overeenkomsten heeft .

Doe jij dat dus dynamisch? Want nu geef ik bij elke role de bestanden mee...

YAML:

1 2 3 4 5 6 7

- name: Docker Compose Up ansible.builtin.include_role: name: common tasks_from: compose/up.yml vars: compose_template: "templates/compose.yaml.j2" compose_env_template: "templates/.env.j2"

blackd schreef op vrijdag 13 maart 2026 @ 10:58:
[...]

Goed om te horen, zeker leuk dat we veel overeenkomsten hebben en van de verschillen kunnen we denk ik alleen maar leren .

Wat bedoel je met dynamisch? Mijn compose.yml is geen Jinja template als je dat bedoelt. Mijn compose file is gewoon uitgeschreven en bevat hooguit variabelen die gevoed worden uit de .env file.

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34

services:
  home-assistant:
    container_name: ${COMPOSE_PROJECT_NAME}
    image: ghcr.io/home-assistant/home-assistant:2026.3.1@sha256:0e091dfce3068339c3e1d14382e6c34141e05cd589a1972ebd4d9a8e6b5d8969
    restart: on-failure:10
    networks:
      ingress:
        priority: 10
      {% if home_assistant_networks | length > 0 %}
      {%    for network in home_assistant_networks %}
      {{ network.name }}:
        {%     if network.ipv4_address is defined %}
        ipv4_address: {{ network.ipv4_address }}
        {%     endif %}
        {%     if network.ipv6_address is defined %}
        ipv6_address: {{ network.ipv6_address }}
        {%     endif %}
        {% if network.driver_opts is defined and network.driver_opts is not none %}
        driver_opts:
          {{ network.driver_opts | to_nice_yaml | indent(10) }}
        {% endif %}
      {%    endfor %}
      {% endif %}

networks:
  ingress:
    name: {{ swarm_overlay_network }}
    external: true

  {% for network in home_assistant_networks %}
  {{ network.name }}:
    name: {{ network.name }}
    external: true
  {% endfor %}

1
2
3
4
5
6

home_assistant_networks:
  - name: "{{ iot_network }}"
    ipv4_address: "192.168.24.100"
    ipv6_address: "{{ ipv6_prefix }}:24:100::100"
    driver_opts:
      com.docker.network.endpoint.sysctls: net.ipv6.conf.IFNAME.accept_ra=1,net.ipv6.conf.IFNAME.accept_ra_rt_info_max_plen=64,net.ipv6.conf.IFNAME.forwarding=0

1
2
3
4
5
6
7
8
9
10
11

{{ ansible_managed | comment }}

name: {{ compose_stack_name }}

services:
  home-assistant:
    container_name: ${COMPOSE_PROJECT_NAME}
    labels:
      traefik.enable: true
      traefik.http.routers.{{ compose_stack_name }}.rule: "Host(`{{ home_assistant_domain }}`)"
      traefik.http.services.{{ compose_stack_name }}.loadbalancer.server.port: 8123

Maar het maakt wel dat ik dclint over mijn compose files halen, wat ik dus ook doe in pre-commit en CI. Jij had al eerder aangegeven dat je op verschillende hosts wat configuratie en templating nodig had dus dat is bij jou wellicht wel wat lastiger.

De compose up task gaat er vanuit dat de role die hem aanroept een templates/compose.yml en templates/.env.j2 heeft. Netter zou zijn om de bestandsnamen door te geven zoals jij doet.

Wat dat betreft heb jij je tasks veel beter afgekaderd en ingeperkt dat ze niet misbruikt kunnen worden en fail-fast zijn. Daar kan ik nog wat van leren . Bedankt voor jouw tips en voorbeelden hiervoor .

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22

- name: Assert Frigate MQTT configuration
  ansible.builtin.assert:
    that:
      - frigate_mqtt is defined
      - frigate_mqtt is mapping
      - frigate_mqtt.enabled is defined
      - frigate_mqtt.enabled is boolean
      - frigate_mqtt.enabled and frigate_mqtt.host is defined
      - frigate_mqtt.enabled and frigate_mqtt.host is string
      - (frigate_mqtt.port | default(1883)) is defined
      - (frigate_mqtt.port | default(1883)) is number
      - (frigate_mqtt.user is defined and frigate_mqtt.password is not none)
        or (frigate_mqtt.user is not defined)
    fail_msg: The provided Frigate MQTT configuration has errors

- name: Ensure that the provided MQTT server is reachable
  ansible.builtin.wait_for:
    host: "{{ frigate_mqtt.host }}"
    port: "{{ frigate_mqtt.port | default(1883) }}"
    timeout: 60
    msg: Could not reach the provided MQTT server
  when: frigate_mqtt.enabled

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25

post_tasks:
    - name: Ensure Traefik is reachable from localhost
      ansible.builtin.uri:
        url: "https://{{ traefik_dashboard_domain }}/ping"
        return_content: false
        validate_certs: true
        status_code: [200]
      register: traefik_output
      until: traefik_output is defined and traefik_output.status == 200
      delay: 5
      retries: 24
      delegate_to: localhost
      tags: [always]

    - name: Ensure Traefik is reachable through reverse proxy from target node
      ansible.builtin.uri:
        url: "https://{{ traefik_dashboard_domain }}/ping"
        return_content: true
        validate_certs: true
        status_code: [200]
      register: traefik_output
      until: traefik_output is defined and traefik_output.status == 200
      delay: 5
      retries: 24
      tags: [always]

alex3305 schreef op vrijdag 13 maart 2026 @ 13:13:
Ik gebruik inderdaad veel templating.

Ook template ik bijv. Traefik labels met de naam van de Compose stack, dus:

Bij mij is het templaten dus ook organisch gegroeid, maar inmiddels een groot onderdeel van mijn Compose setup.

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15

role_template
├── _templates  [1]
│   ├── .env.j2.j2  [3]
│   └── compose.yaml.j2
├── defaults
│   └── main.yml
├── molecule_scenario [2]
│   ├── cleanup.yml.j2
│   ├── converge.yml.j2
│   ├── molecule.yml.j2
│   └── verify.yml.j2
├── tasks
│   └── main.yml.j2
└── vars
    └── main.yml.j2

1
2
3
4
5
6
7
8
9
10
11
12
13
14

name: {{ init_docker_compose_project_name }}
services:
  service-1:
    image: hub/image:version
    container_name: {{ init_docker_compose_project_name }}
    volumes:  
    [... snip ...]
    labels:
      traefik.enable: true
      traefik.docker.network: traefik-net
      traefik.http.routers.{{ init_docker_compose_project_name }}.rule: Host(`{{ init_docker_compose_project_name }}.domain.tld`)
      traefik.http.routers.{{ init_docker_compose_project_name }}.entrypoints: websecure
      traefik.http.routers.{{ init_docker_compose_project_name }}.tls.certresolver: cfdns
      traefik.http.services.{{ init_docker_compose_project_name }}.loadbalancer.server.port: 8080

Geen probleem , jij ook bedankt. Fail fast vind ik enorm belangrijk. Dat is misschien ook wel een van de kernwaarde van hoe ik werk. Op die manier zit ik namelijk nog in de materie en kan ik direct zien hoe, wat en waar het eventueel misgaat. In plaats van dat het al gedeployed is of bij een update kapot vliegt .

In sommige gevallen - maar lang nog niet overal - test ik ook op de bereikbaarheid van diensten. Bij mijn Frigate role ben ik daar enorm blij mee
Of de controle dat de reverse proxy na het deployen ook echt online komt
Dat heeft me al de nodige hoofdpijn bespaard .

blackd schreef op vrijdag 13 maart 2026 @ 20:42:
Hier stip je een belangrijk verschil aan tussen onze setups: jij deployt de roles naar meerdere hosts of zelfs meerdere keren per host, waardoor je bepaalde verschillen kwijt wil kunnen in je roles, dan is templating een prima oplossing.

Hier ben ik dus een andere weg in geslagen en heb ik een template compose role gemaakt:

Nightly wordt mijn omgeving geupgrade met een playbook, die voer ik eerst uit in check mode, daarna apply ik de configuratie.

Dat heb ik voor mijn twee RPI's gedaan met PiHole. Ik heb een playbook hiervoor met serial: 1 dus de hosts worden om de beurt geupgraded. Eerst haal ik keepalived down zodat de andere master wordt, daarna update ik de software.

alex3305 schreef op vrijdag 13 maart 2026 @ 21:22:
Bij het aanmaken van de PR door Renovate worden automatisch de geraakte role(s) in check mode gerunt door Forgejo runner. Wanneer deze checks slagen en de PR gemerged wordt, wordt er direct gedeployed.

blackd schreef op vrijdag 13 maart 2026 @ 22:05:
Ik heb één main playbook die weer andere playbooks include, de enige manier om daar selectief mee om te gaan die ik had gevonden is met tags. Maar dat vereist discipline.

1
2
3
4
5
6

- name: Deploy AdGuard Home
  hosts: dns

  roles:
    - role: adguard_home
      tags: [app, dns, infra, adguard, adguard_home]

1
2
3
4
5
6
7
8
9
10
11

- name: Deploy AdGuard Home
  ansible.builtin.import_playbook: adguard_home.yml

- name: Deploy ddclient
  ansible.builtin.import_playbook: ddclient.yml

- name: Deploy Beszel
  ansible.builtin.import_playbook: beszel.yml

- name: Deploy Gatus
  ansible.builtin.import_playbook: gatus.yml

1
2
3
4
5
6
7

- name: Deploy Infra
  ansible.builtin.import_playbook: infra.yml

- name: Deploy Traefik
  ansible.builtin.import_playbook: traefik.yml

# de rest van het playbook is hier niet relevant...

1
2
3
4
5
6
7
8

- name: Setup Hosts
  ansible.builtin.import_playbook: hosts/all.yml

- name: Setup Docker
  ansible.builtin.import_playbook: docker.yml

- name: Install apps
  ansible.builtin.import_playbook: apps/all.yml

• playbooks/apps/adguard_home.yml gebruik ik wanneer ik alleen AdGuard Home deploy
• playbooks/apps/infra.yml gebruik ik bij het deployen van de basis infra
• playbooks/apps/all.yml gebruik ik bij het deployen van alle apps (eventueel met een host list) bijvoorbeeld wanneer ik een 'bulk' aan aanpassingen heb gedaan zoals CPU of mem toewijzingen
• playbooks/all.yml gebruik ik bij een verse install

1
2
3
4
5
6
7
8
9
10
11
12

- name: Deploy Mosquitto
  ansible.builtin.import_playbook: mosquitto.yml

- name: Deploy Zigbee2MQTT
  ansible.builtin.import_playbook: zigbee2mqtt.yml

- name: Deploy Home Assistant
  hosts: home_assistant

  roles:
    - role: home_assistant
      tags: [app, infra, home-assistant, home_assistant]

Hoe doe je dit?

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118

name: Deploy AdGuard Home

# yamllint disable-line rule:truthy
on:
  push:
    branches:
      - main
    paths:
      - roles/adguard_home/**
  pull_request:
    types:
      - opened
      - reopened
      - synchronize
    paths:
      - roles/adguard_home/**
  workflow_dispatch:
    inputs:
      check_mode:
        description: "Check mode (dry-run)"
        default: false
        required: false
        type: boolean

concurrency:
  group: ${{ github.repository }}

jobs:
  deploy:
    name: Deploy AdGuard Home
    runs-on: ubuntu-latest
    timeout-minutes: 5

    steps:
      - name: ⤵️ Checkout repository
        uses: actions/checkout@de0fac2e4500dabe0009e67214ff5f5447ce83dd # v6

      - name: 🏗️ Setup Python
        id: setup-python
        uses: actions/setup-python@a309ff8b426b58ec0e2a45f0f869d46889d02405 # v6
        with:
          cache: 'pip'
          cache-dependency-path: 'requirements.txt'

      - name: 👷 Install Python dependencies
        if: steps.setup-python.outputs.cache-hit != 'true'
        shell: bash
        run: pip install -r requirements.txt

      - name: 📦 Setup Ansible Galaxy Cache
        id: ansible-galaxy-cache
        uses: actions/cache@cdf6c1fa76f9f475f3d7449005a359c84ca0f306 # v5
        with:
          path: |
            .ansible
            ~/.ansible
          key: ${{ runner.os }}-ansible-${{ hashFiles('**/requirements.yml') }}
          restore-keys: |
            ${{ runner.os }}-ansible-

      - name: 🌌 Install Ansible Galaxy dependencies
        if: steps.ansible-galaxy-cache.outputs.cache-hit != 'true'
        shell: bash
        run: ansible-galaxy install -r requirements.yml

      - name: 🚧 Setup known hosts
        id: setup-known-hosts
        shell: bash
        run: |
          if [ -z "${KNOWN_HOSTS}" ]; then
            echo "No known hosts provided, skipping setup."
            exit 0
          fi

          KNOWN_HOSTS_FILE="/etc/ssh/known_hosts"

          mkdir -p /etc/ssh/
          echo ${KNOWN_HOSTS} > ${KNOWN_HOSTS_FILE}
          echo "known-hosts-file=$KNOWN_HOSTS_FILE" >> $GITHUB_OUTPUT
          echo "SSH known hosts setup at: $KNOWN_HOSTS_FILE"
        env:
          KNOWN_HOSTS: ${{ vars.KNOWN_HOSTS }}

      - name: 🔑 Setup Vault password
        id: setup-vault-pass
        shell: bash
        run: |
          if [ -z "${VAULT_PASS}" ]; then
            echo "No vault password provided, skipping setup."
            exit 0
          fi

          echo "::add-mask::${VAULT_PASS}"

          if [ -z "$VAULT_PASS_DIRECTORY" ]; then
            VAULT_PASS_FILE="${{ github.workspace }}/.vault_pass"
          else
            mkdir -p "$VAULT_PASS_DIRECTORY"
            VAULT_PASS_FILE="$VAULT_PASS_DIRECTORY/.vault_pass"
          fi

          echo "$VAULT_PASS" > $VAULT_PASS_FILE
          echo "vault-pass-file=$VAULT_PASS_FILE" >> $GITHUB_OUTPUT
          echo "Vault password file setup at: $VAULT_PASS_FILE"
        env:
          VAULT_PASS: ${{ inputs.vault-pass }}
          VAULT_PASS_DIRECTORY: ${{ inputs.vault-pass-directory }}

      - name: 🚀 Run Ansible Playbook
        uses: dawidd6/action-ansible-playbook@v9
        with:
          playbook: playbooks/apps/adguard_home.yml
          requirements: requirements.yml
          key: ${{ secrets.DEPLOY_KEY }}
          vault_password: ${{ secrets.ANSIBLE_VAULT_KEY }}
          check_mode: >-
            ${{ inputs.check_mode == true ||
                github.event_name == 'pull_request' }}

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15

{
  "packageRules": [
      "description": "Update Docker dependencies",
      "matchFileNames": [
        "roles/common/**",
        "roles/docker/**",
        "roles/dockge/**",
        "**/compose.yml",
        "**/compose.yaml",
        "**/compose.yml.j2",
        "**/compose.yaml.j2"
      ],
      "automergeSchedule": ["* 10-19 * * 1-6"]
    }
}

blackd schreef op zaterdag 14 maart 2026 @ 17:02:
@alex3305 interessante aanpak, zo had ik er nog niet over nagedacht. Feitelijk maak je voor alle laagste niveau apps een playbook en installeer je daar ook je dependencies.

Ik neem aan dat je deze opzet ook kent?
Als je de dependencies op role niveau definieert, zouden ze maar 1x uitgevoerd moeten worden.

En mag ik concluderen uit je post dat je hiermee eigenlijk voor elke app een eigen workflow hebt?
Klinkt als een mooie feature voor mijn role template .

Ik heb nu maar 1 workflow die altijd het grote playbook uitvoert. Dat duurt 15 min, dat was ik zat, vandaar dat ik naar een nightly release ben overgestapt.

alex3305 schreef op zaterdag 14 maart 2026 @ 17:51:
Zeker. Sterker nog, die pagina had ik open toen ik mijn post schreef . Maar een role dependency is wederom per playbook, omdat ik meerdere playbooks uitvoer werkt dat dus niet zoals ik hoop dat dat werkt. Ik moet daarbij wel opmerken dat ik het niet heb getest . Wel om meerdere roles uit te voeren in twee playbooks en die worden dan dus ook twee keer uitgevoerd. Verder las ik wat online discussies en documentaties waarbij aangegeven wordt dat role deduplication alleen per play plaatsvindt.

Daarnaast vind ik dat bijvoorbeeld Mosquitto of Zigbee2MQTT geen echte dependency is van Home Assistant. En misschien is dat niet helemaal waar voor een tool zoals Zigbee2MQTT, maar wel voor Mosquitto. De MQTT broker gebruik ik immers ook op andere plekken. En ook krijg je dan een beetje 'vreemde' afhankelijkheden. Is DNS (AdGuard Home) bijvoorbeeld ergens afhankelijk van? Of monitoring en logging? Maar ja, als ik ze niet heb dan werkt het ook niet. Of in een extremer geval is Traefik met Crowdsec bij mij afhankelijk van het Vaultwarden (logging) pad. Is dan Vaultwarden een afhankelijkheid van Traefik? Eigenlijk wel... Maar dat voelt niet zo goed .

blackd schreef op zaterdag 14 maart 2026 @ 19:56:
[...]

Dat HomeAssistant een dependency heeft op Zigbee2MQTT vind ik wel wat voor te zeggen, ook dat Zigbee2MQTT een broker nodig heeft, vind ik een goede dependency. Maar het maakt ook wel uit wanneer je de dependency nodig hebt, al bij het opstarten of pas bij het configureren van de applicaties.

Ik heb een vergelijkbaar playbook voor docker met een groep in mijn inventory en daar kan ik opgeven op welke hosts ik docker geïnstalleerd wil hebben.

Maar hoe pas jij jouw patroon toe bij apps die je op meerdere machines deployed?

Want ik kan me voorstellen dat als je Traefik op meerdere hosts deployed, dat je workflow file triggert op roles/traefik/* maar als je dan meerdere playbooks (aanname) moet aanroepen heb je eigenlijk de link tussen host en app op twee plekken liggen: in je playbooks én je workflow.
Of heb je één playbook per app en dan in die playbooks geconfigureerd op welke host (of groep) je de zaken deployed?

• home_assistant
• mqtt
• thread
• zigbee
• zwave