[Docker] [alle OS] Het grote Docker ervaringen en tips topic

alex3305 schreef op vrijdag 28 november 2025 @ 14:32:
@Mars Warrior Mijn post eerder vandaag was er vooral voor bedoeld om je mee te geven waar ik uit ervaring quick-wins kon halen. Het is ook niet zo dat die route de verplichte of beste route is hè . Daarnaast zoveel mensen, zoveel wensen .

Het gebruik van (gedeeltelijke) open-source tooling is echt fantastisch in een enterprise, maar ook dat heeft soms nadelen. Kijk bijvoorbeeld naar het licentiedebacle van Docker Desktop. In ons bedrijf werd Docker Desktop veelvuldig gebruikt, maar dat kon ineens niet meer. Rancher Desktop is toen mooi in dat gat gesprongen, maar dat heeft wel even geduurd.

Je moet in dat geval dan ook rekening houden met licentie en licentievoorwaarden .

De enterprise server is net zoveel server als jouw thuisserver kerel . Alleen met een enterprise prijs, wellicht een onderhoudscontract en wat redundantie. Maar ook op een dergelijke server heb ik het helaas vaak genoeg meegemaakt dat een (build)proces te hongerig was voor geheugen en daardoor de hele server of kritieke onderdelen van de server meenam. Ook Docker containers. De oom-killer wordt dan ineens je grootste vijand.

Dat begrijp ik, maar ik kan je echt op het hart drukken om dit mee te nemen. Of althans de aansluiting daarvan mee te nemen. GitLab en Forgejo kunnen allebei goed aangesloten worden op verschillende IAM systemen. Ik log bijvoorbeeld in Forgejo in met Pocket ID, maar gebruikers of service accounts worden onder water bijgehouden en provisioned door een LDAP.

Met een IdP zoals Dex kun je zelfs meerdere IdP's ontsluiten .

[...]
Dan is zoiets als Ansible wel enorm handig .

---

Forgejo en Renovate icm Docker is echt niet bijzonder complex. Ik heb een eigen Forgejo dind runner die automatisch door Renovate wordt bijgehouden. In de .forgejo map vind je tevens mijn workflows voor het bouwen.

Mars Warrior schreef op vrijdag 28 november 2025 @ 14:01:
[...]
• Dus alles zal vooralsnog op één grote server/VM draaien. Hier thuis draait het ook al sinds 2023 zonder problemen, dus ik neem aan dat een enterprise server dat ook wel moet kunnen qua betrouwbaarheid en uptime.

alex3305 schreef op vrijdag 28 november 2025 @ 16:02:
@DjoeC Helemaal eens. Je bedankt jezelf in de toekomst als je dat direct meeneemt . Daarom hamer ik in mijn reacties dan ook op zoiets als Ansible.

In mijn geval, toen ik nog infrastructuur onderhield, was voor interne processen failover niet vereist. Heel kort door de bocht werd er wel verwacht dat collega's misschien minder of niet productief waren eens in de zoveel tijd. Eventueel door problemen. Dat was natuurlijk altijd ongewenst, maar werd simpelweg meegenomen als bekend bedrijfsrisico.

DjoeC schreef op vrijdag 28 november 2025 @ 15:46:
[...]

Hmm, zelfs (juist?) in een pilot zul je moeten bewijzen dat je betrouwbaarheid kunt leveren middels failover en/of backups, inclusief forward recovery indien nodig.... Als je dat niet doet is het misschien een mooie showcase maar wat mij betreft geen goeie pilot.

Nou ben ik bevooroordeeld want ik ben (bijna) bullet proof systemen van een grot firma uit Armonk NY gewend. Maar zodner dollen: Als er ooit (near) realtime informatie op verwerkt gaat worden wil je betrouwbaarheid meteen aan kunnen tonen om goed draagvlak te bouwen: "We trekken de stekker eruit/o ja, harde schijf is helaas defect. Nieuwe erin en we starten opnieuw op, we zijn niks kwijt want alles is herstelbaar". Dat hoeft allemaal niet op dag 1 maar moet wel een mijlpaal in de pilot zijn.

alex3305 schreef op vrijdag 28 november 2025 @ 16:02:
@DjoeC Helemaal eens. Je bedankt jezelf in de toekomst als je dat direct meeneemt . Daarom hamer ik in mijn reacties dan ook op zoiets als Ansible.

In mijn geval, toen ik nog infrastructuur onderhield, was voor interne processen failover niet vereist. Heel kort door de bocht werd er wel verwacht dat collega's misschien minder of niet productief waren eens in de zoveel tijd. Eventueel door problemen. Dat was natuurlijk altijd ongewenst, maar werd simpelweg meegenomen als bekend bedrijfsrisico.

Wat ik wel geleerd heb is dat je met o.a. Ansible en Docker heel makkelijk een herproduceerbare omgeving neer kunt knallen. Dan is het dus ook niet meer altijd aan de orde om de oude omgeving te herstellen, maar simpelweg een nieuwe neer te zetten. Al dan niet tijdelijk. Want bij herstel komt ook nog het uitzoek werk, de oplossing bedenken én implementeren. Als je dat kunt parkeren terwijl anderen op een tweede omgeving verder kunnen is dat fantastisch. En dan is een DNS switch ook zo voor de bakker.

Mars Warrior schreef op vrijdag 28 november 2025 @ 17:04:
[...]
er dagen uit hebben gelegen dan van de berg aan rekken die on-prem staan te draaien: die laten 100% uptime zien

Ik ben Hadoop clusters gewend, dus uitval is voor mij ook een vreemd gegeven. Dat draaide altijd door, ook als je complete racks eruit trok.

In dit geval is het fijn als zaken near/semi realtime kunnen, maar de enige die er nu last van heeft als het eruit ligt ben ik met nog een collega. Daarbij is het gegeven dat data altijd elders wordt veiliggesteld en al dan niet via een Kafka cluster wordt onthouden. Dus er gaat niks verloren, enkel de verwerking moet dan ff aanpoten als deze een aantal uren aan data/gegevens moet inhalen.

[...]

[ Voor 7% gewijzigd door Mars Warrior op 30-11-2025 14:56 ]

Mars Warrior schreef op zondag 30 november 2025 @ 14:28:
@DjoeC. Nee ik update al ff niet door het gemekker.

Ben aan het kloten met Forgejo en renovate. Dat is ook een uitdaging voor mij. Ik mis natuurlijk weer plaatjes waar gewoon een hele simpele workflow in staat hoe dingen samenhangen.

Ik ben nu wel zover dat renovate PRs aanmaakt. En ik die dan kan goedkeuren.

En ik vermoed maar dat is slechts een vermoeden dat ik vervolgens Action moet aanmaken om via SSH te deployen. Maar dat is een gokje van mij. Ik denk dat Woodpecker eenvoudiger is om te deployen.

DjoeC schreef op zondag 30 november 2025 @ 15:42:
[...]

Daar wil ik ook nog eens uitgebreid mee aan de gang maar heb nog zoveel andere grotere en kleinere projecten.....

Mars Warrior schreef op zondag 30 november 2025 @ 19:57:
[...]

In de documentatie gaat het voornamelijk over builden en testen. Niks nakkes nada over wat ik wil.

En ChatGPT maakt er weer eens een zooitje van en gaat vervolgens als je het daarop wijst de hele wereld de schuld geven. Versie 5 is echt een verbetering hoor

Zelfs het samenstellen van compose files voor Woodpecker ging totaal fout. Gelukkig staan daar wel voorbeelden van in de documentatie die gewoon werken

Maar het lijkt erop dat ik git moet initen op de host voor elke repo en dan via ssh vanuit de agent container een pull moet doen. En dan een compose up enzo.

Het blijft aankloten met tooltjes en gebrek aan integrale voorbeelden. Ach. Max heeft tenminste weer gewonnen. Denk dat ChatGPT vandaag de strategie deed van McLaren 🥳

DjoeC schreef op zondag 30 november 2025 @ 22:23:
[...]

Tot heden (....) mijd ik alle LLM hulp, zelfs de ai samenvattingen in de zoektool gebruik ik maar beperkt. Anders dan eenmalig tijdwinst gaat er niets boven zelf uitzoeken rn daarvan leren.

alex3305 schreef op maandag 1 december 2025 @ 14:15:
Alhoewel Docker het toestaat, vind ik eigenlijk dat ontwikkelaars maar 1 keer 1 (Sem)Versie moeten uitbrengen. Rolling major of major.minor kan ik nog wel inkomen en doe ik zelf ook.

1
2
3
4
5
6
7
8
9
10
11
12
13

services:
  gitops-forgejo:
    image: codeberg.org/forgejo/forgejo:13@sha256:88858e7f592f82d4f650713c7bed8c0cd792d7f71475a7467c5650a31cd2eda9
    container_name: gitops-forgejo
    restart: unless-stopped

...
...

  gitops-renovate:
    image: renovate/renovate:42.29.4@sha256:aead5ca948dc1a76ed084ab9716fd83e6a8c8626d38b831d1923cdc17fa4d1b6
    container_name: gitops-renovate
    restart: "no"

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20

{
  "$schema": "https://docs.renovatebot.com/renovate-schema.json",
  "extends": [
    "config:best-practices",
    ":automergeMinor",
    "schedule:automergeDaily",
    ":dependencyDashboard"
  ],
  "packageRules": [
    {
      "matchCategories": [
        "docker"
      ],
      "managerFilePatterns": [
        "/(^|/)docker-compose\\.ya?ml$/",
        "/Dockerfile$/"
      ]
    }
  ]
}

[ Voor 9% gewijzigd door Mars Warrior op 02-12-2025 13:15 ]

Mars Warrior schreef op dinsdag 2 december 2025 @ 13:13:
@RobertMe , bij mij voegt renovate juist digests toe:

Nog geen idee hoe Renovate zichzelf start, want de container stopt gewoon na elke run, maar goed. Ik heb nog bergen aan blinde vlekken

RobertMe schreef op dinsdag 2 december 2025 @ 13:19:
[...]
Hmm. Dat deed die bij mij niet. En/maar jij hebt wel "brede" tags, in ieder geval bij Forgeo (als in, "13" en niet "13.x.y"). Denk dat de big daarbij niet optreed, totdat de 13 14 moet worden. Bij het Renovate image gaat het denk ik wel fout? (Kom je snel genoeg achter gezien elke PR/merge een nieuwe release wordt )

Hij start zichzelf natuurlijk niet Hij stopt, zoals je zelf aanhaalt.
Ik heb hem zelf dan als Podman Quadlet draaien. Dus heb er gewoon een systemd timer naast gezet die elke dag om 16:00 de service (/Quadlet) aftrapt.

Features zoals de GitHub app/hosted variant dan heeft zoals dat die steeds automatisch draait, bv na het aanvinken van "rebase", of een queued PR van op het "dashboard" aanvinken om nu (meteen) een PR aan te maken heb je dan natuurlijk niet.

Mars Warrior schreef op dinsdag 2 december 2025 @ 13:43:
[...]

Huh? Die heb ik wel hoor. Ik heb soms PRs (ook die ik gesloten heb) die ik op het dependency dashboard of in een PR gewoon kan aanvinken. Dat zie je hierboven staan halverwege (If you want to rebase...).
[Afbeelding]

En het Dependency Dashboard als test (recreate PR):

[Afbeelding]

Kan ik nu plotseling dingen die anderen niet kunnen als pure beginner

RobertMe schreef op dinsdag 2 december 2025 @ 13:51:
[...]

Ik zie die opties ook hoor. Maar als ik ze gebruik gebeurt er pas om 16:00 iets mee, omdat dan Renovate wordt afgetrapt.
Terwijl als ik hetzelfde doe in de repo van het werk waar de Renovate app aan gekoppeld is dan is het resultaat vaak al binnen een minuut te aanschouwen. (Als in: de Renovate app voor GitHub zal allemaal (web) hooks hebben op dit soort events en meteen een nieuwe run starten/in de wachtrij zetten)

[ Voor 23% gewijzigd door Mars Warrior op 02-12-2025 14:42 ]

alex3305 schreef op dinsdag 2 december 2025 @ 20:47:
@Mars Warrior @RobertMe De digests komen tegenwoordig vanuit de config:best-practices .

Leuk dat het werkt @Mars Warrior. Nu even doorpakken en met Forgejo Actions aan de slag . De workflow die ik eerder heb gepost is niet bijster complex en is direct scheduled .

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40

name: Deploy via Ansible

on:
  push:
    branches: [ main ]
  workflow_dispatch:
    inputs:
      version:
        description: "Tag/branch to deploy (default: main)"
        required: false
        default: "main"

jobs:
  deploy:
    runs-on: self-hosted

    steps:
      # 1. Checkout the stack repo (not used directly, only metadata needed)
      - name: Checkout current repo
        uses: actions/checkout@v3

      # 2. Checkout the Ansible infra repo
      - name: Checkout Ansible infra
        uses: actions/checkout@v3
        with:
          repository: infra/ansible        # <-- jouw infra-repo
          path: ansible

      # 3. Run Ansible inside the container
      - name: Run Ansible deploy
        uses: docker://cytopia/ansible:latest
        with:
          entrypoint: ansible-playbook
        env:
          REPO_OWNER: ${{ github.repository_owner }}
          REPO_NAME:  ${{ github.event.repository.name }}
          VERSION:    ${{ github.event.inputs.version }}
        args: >
          -i ansible/hosts
          ansible/deploy.yml

Mars Warrior schreef op dinsdag 2 december 2025 @ 22:28:
[...]

Wat leren jullie toch een hoop van mij hè 😇

[...]

Dan moet ik die dind runner container gebruiken toch van jouw?

RobertMe schreef op dinsdag 2 december 2025 @ 23:10:
[...]
Ik wist dat die in een van de presets was inbegrepen

[...]

Docker-in-Docker (dind) is bij mijn weten alleen nodig als je Docker wilt gebruiken, maar dat hoeft waarschijnlijk niet? Aangezien je puur deployments wilt doen. dind is dus nodig als je in een workflow (/action) bv een image wilt builden, of een container wilt uitvoeren (bv bij development dat je een linter of static analyzer uitvoert via een container).

De webpagina op https://codeberg.org/ ondervindt mogelijk problemen of is definitief verplaatst naar een nieuw webadres.
ERR_QUIC_PROTOCOL_ERROR

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18

docker compose up -d
[+] Running 15/15
 ✘ gitops-forgejo Error     Get "https://codeberg...                      14.5s
 ✔ gitops-renovate Pulled                                                 13.6s
   ✔ 20043066d3d5 Already exists                                           0.0s
   ✔ 9e4e033eb30d Pull complete                                            0.3s
   ✔ 018f6c7aaaac Pull complete                                            1.2s
   ✔ 35578b6f2e42 Pull complete                                            1.5s
   ✔ 80dfdc05cfe7 Pull complete                                            2.0s
   ✔ 1eca13f89a5d Pull complete                                            6.1s
   ✔ 8d74e0a459d6 Pull complete                                            6.7s
   ✔ 10316a1eb140 Pull complete                                            6.7s
   ✔ 34b95407a4fa Pull complete                                            6.7s
   ✔ 4e5a0ac21bc5 Pull complete                                           12.3s
   ✔ 064a0d449bd7 Pull complete                                           12.3s
   ✔ 7343cd103162 Pull complete                                           12.4s
   ✔ 4f4fb700ef54 Pull complete                                           12.4s
Error response from daemon: Get "https://codeberg.org/v2/": net/http: TLS handshake timeout

[ Voor 70% gewijzigd door Mars Warrior op 03-12-2025 10:00 ]

Mars Warrior schreef op woensdag 3 december 2025 @ 09:58:
Gaat lekker, ligt Codeberg eruit terwijl ik wat wilde experimenteren.

[ Voor 9% gewijzigd door Mars Warrior op 03-12-2025 14:35 ]

StarWing schreef op woensdag 3 december 2025 @ 06:22:
Een crosspost van mij vanop een ander forum:

Ik ben al een paar dagen aan het stoeien om een fail2ban in werking te krijgen via een docker container op een Ubuntu server.
Initieel had ik samen met onze Vriend ChatGPT een docker compose gemaakt voor f2b + nextcloud + redis + collabora. Maar dat werkt maar halvelings.
Het probleem ligt bij fail2ban, ik krijg deze niet aan de praat.
Niet via de compose die chatgpt gemaakt heeft, maar ook niet op een losse f2b voor een bestaande emby.

De finale setup zou zijn dat ik een aantal docker containers die extern benaderbaar zijn, voorzie van een f2b jail, zodat failed logins gebanned worden.
Er staat reeds een cloudflare voor die GeoBlock doet, maar dit zou dan een additionele laag zijn.

In eerste instantie had ik een pak foutmeldingen, maar dat kwam blijkbaar door een aanpassing in een van hun laatste commits (zie DEFAULT onder de jail.local).
Mocht iemand zich geroepen voelen om onderstaande eens te bekijken.
Volgens de logs is de jail up & running, maar er wordt nougabollen actie ondernomen door f2b

Achtergrond:
De emby draait tevens in een docker container, en staat achter een reverse proxy: HA op PfSense, en is volledig werkend incl certs.
De HA gaat de traffiek redirecten van https://emby.whatever naar 192.168.10.155:8096

Docker compose fail2ban:

code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19

services: fail2ban: image: lscr.io/linuxserver/fail2ban:latest container_name: fail2ban cap_add: - NET_ADMIN - NET_RAW network_mode: host environment: - PUID=1000 - PGID=1000 - TZ=Europe/Brussels - VERBOSITY=-vvvv #optional volumes: - ./config:/config # - /var/log:/var/log:ro - /docker/emby/library/logs:/remotelogs/emby:ro #optional - /docker/jellyseer/config/logs:/remotelogs/jellyseer:ro # - /path/to/nextcloud/log:/remotelogs/nextcloud:ro #optional

Docker compose emby:

code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29

services: emby: image: lscr.io/linuxserver/emby:latest container_name: emby environment: - PUID=1000 - PGID=1000 - TZ=Europe/Brussels volumes: - /docker/emby/library:/config - /docker/emby/backup:/backup - /DataDisk/Video:/Video - /DataDisk/Audio:/Audio # - /opt/vc/lib:/opt/vc/lib #optional ports: - 192.168.10.155:8096:8096 - 192.168.10.155:8920:8920 #optional devices: - /dev/dri:/dev/dri #optional # - /dev/vchiq:/dev/vchiq #optional # - /dev/video10:/dev/video10 #optional # - /dev/video11:/dev/video11 #optional # - /dev/video12:/dev/video12 #optional restart: unless-stopped networks: - docker_lan networks: docker_lan: external: true

jail.local:

code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17

[DEFAULT] #banaction = nftables #banaction_allports = nftables[type=allports] banaction = iptables-multiport banaction_allports = iptables-allports [emby] enabled = true port = 8096,443,80 filter = emby logpath = /remotelogs/emby/embyserver.txt maxretry = 3 findtime = 600 bantime = 43200 chain = DOCKER-USER #chain = INPUT action = %(known/action)s

Ik heb al gespeeld met chain: docker-user of input, tevens met iptables of nft tables. Maar ik weet niet wat het verschil is tussen beiden.


Onderstaande geeft ook gewoon weer dat de jail draait.

code:

1 2 3 4 5 6 7 8 9 10

docker exec -it fail2ban fail2ban-client status emby Status for the jail: emby |- Filter | |- Currently failed: 0 | |- Total failed: 0 | `- File list: /remotelogs/emby/embyserver.txt `- Actions |- Currently banned: 0 |- Total banned: 0 `- Banned IP list:

filter.d/emby.local is de std van f2ban:

code:

1 2 3 4 5 6 7 8 9 10 11 12 13

## Version 2023/03/11 # Fail2Ban filter for emby [INCLUDES] before = common.conf [Definition] _daemon = emby-server failregex = Server: AUTH-ERROR:\ <HOST>\ - ignoreregex =

Regextest op de container zelf, voor zover ik dit kan interpreteren:
-log file is leesbaar
-regex is correct

code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29

root@vdockersrv:/# fail2ban-regex /remotelogs/emby/embyserver.txt "http/1.1 Response 401 to ‌‍‍<HOST>" Running tests ============= Use failregex line : http/1.1 Response 401 to ‌‍‍<HOST> Use log file : /remotelogs/emby/embyserver.txt Use encoding : UTF-8 Results ======= Failregex: 44 total |- #) [# of hits] regular expression | 1) [44] http/1.1 Response 401 to ‌‍‍<HOST> `- Ignoreregex: 0 total Date template hits: |- [# of hits] date format | [734] {^LN-BEG}ExYear(?P<_sep>[-/.])Month(?P=_sep)Day(?:T| ?)24hour:Minute:Second(?:[.,]Microseconds)?(?:\s*Zone offset)? `- Lines: 1524 lines, 0 ignored, 44 matched, 1480 missed [processed in 0.18 sec] Missed line(s): too many to print. Use --print-all-missed to print all 1480 lines

Maar ik kan een collega gewoon blijven laten inloggen, zonder dat f2ban iets doet, en ik heb geen idee waar ik dit moet gaan zoeken.
Wat nog zou kunnen is dat ik voor mijn emby (en een pak andere containers) een ander netwerk heb, hiervoor heb ik een "docker lan" aangemaakt, terwijl dit in de f2b docker nog niet geconfigureerd staat, maar volgens mij moet de f2b container dit toch gaan blocken op host niveau?

synoniem schreef op woensdag 3 december 2025 @ 11:09:
[...]

De fail2ban container heeft als network=host en ik vermoed dat dan chain=DOCKER-USER niet werkt. Je zou chain=FORWARD kunnen proberen.

1
2
3
4
5
6
7
8
9
10

docker exec -it fail2ban fail2ban-client status emby
Status for the jail: emby
|- Filter
|  |- Currently failed: 0
|  |- Total failed:     0
|  `- File list:        /remotelogs/emby/embyserver.txt
`- Actions
   |- Currently banned: 0
   |- Total banned:     0
   `- Banned IP list:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21

  infra-fail2ban:
    image: lscr.io/linuxserver/fail2ban:latest
    container_name: infra-fail2ban
    restart: always
    cap_add:
      - NET_ADMIN
      - NET_RAW
    network_mode: host
    environment:
      - PUID=1000
      - PGID=1000
      - TZ=Europe/Amsterdam
      - VERBOSITY=-vv #optional
    volumes:
      - $DOCKERDIR/infra/fail2ban/config:/config
      - /var/log:/var/log:ro
#      - /path/to/airsonic/log:/remotelogs/airsonic:ro #optional
#      - /path/to/apache2/log:/remotelogs/apache2:ro #optional
#      - /path/to/authelia/log:/remotelogs/authelia:ro #optional
#      - /path/to/emby/log:/remotelogs/emby:ro #optional
#      - /path/to/filebrowser/log:/remotelogs/filebrowser:ro #optional

[ Voor 30% gewijzigd door Mars Warrior op 03-12-2025 11:26 ]

Mars Warrior schreef op woensdag 3 december 2025 @ 11:23:
[...]

Denk niet dat het daarmee te maken heeft.

Het punt dat deze logging niks ziet:

code:

1 2 3 4 5 6 7 8 9 10

docker exec -it fail2ban fail2ban-client status emby Status for the jail: emby |- Filter | |- Currently failed: 0 | |- Total failed: 0 | `- File list: /remotelogs/emby/embyserver.txt `- Actions |- Currently banned: 0 |- Total banned: 0 `- Banned IP list:

Is de basis van het geheel. Fail2ban praat direct tegen ip/nftables, dat staat los van docker.

synoniem schreef op woensdag 3 december 2025 @ 11:51:
[...]

Fail2ban praat inderdaad direct ip/nftables maar welke, die van de host of docker of container als je network=host gebruikt? En is op de host ip/nftables wel actief

1
2
3
4
5
6
7
8
9

  infra-cs-firewall-bouncer:
    image: ghcr.io/shgew/cs-firewall-bouncer-docker:latest
    container_name: infra-cs-firewall-bouncer
    network_mode: host
    cap_add:
      - NET_ADMIN
      - NET_RAW
    security_opt:
      - no-new-privileges:true

1
2
3

iptables_chains:
  - INPUT
  - DOCKER-USER

alex3305 schreef op woensdag 3 december 2025 @ 14:53:
[...]
Je moet niets hè. Ik gebruik een dind-runner omdat ik het makkelijk vind dat dat allemaal in 1 container zit. Je zou ook kunnen starten met de de Docker socket op het systeem. Daar ben ik destijds ook mee gestart en is vergelijkbaar met andere containers die gebruik maken van een Docker soicket. Snippet:

Dan heb je (wederom) geen extra container afhankelijkheid.

Ik kan je sterk aanraden om Ansible eerst lokaal werkend te krijgen en vanaf je localhost te deployen naar systemen voordat je het in een CI/CD vorm gaat gieten. De eerste opstap van Ansible is vrij pittig, daarna wordt het een stuk makkelijker, maar de devil is in the details. Daarom zeg ik altijd tegen mensen dat Ansible leren ongeveer 6 maanden kost . Niet omdat je het niet in 1 week kunt leren of ermee uit de voeten kunt, maar omdat er best veel nuances zijn die je wellicht in eerste instantie mist.

1
2
3
4
5
6
7
8
9
10
11
12

# forgejo action
pipeline:
  deploy:
    image: python:3.12
    secrets: [ SSH_KEY ]
    commands:
      - pip install ansible community.docker
      - mkdir -p ~/.ssh
      - echo "$SSH_KEY" > ~/.ssh/id_ed25519
      - chmod 600 ~/.ssh/id_ed25519

      - ansible-playbook -i inventory deploy.yml

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19

# Ansible deploy.yml
- hosts: server
  become: yes
  tasks:
    - name: Repo clonen/updaten
      ansible.builtin.git:
        repo: "git@forgejo.example.com:docker-stacks/gitops.git"
        dest: /opt/gitops
        version: main

    - name: Docker Compose pull
      community.docker.docker_compose:
        project_src: /opt/gitops/myapp
        pull: yes

    - name: Docker Compose up
      community.docker.docker_compose:
        project_src: /opt/gitops/myapp
        state: present

Als je er vragen over hebt mag je die ook altijd via DM stellen

1
2
3
4
5
6
7
8
9

┌── .forgejo
│   └── workflows/          → Forgejo Actions workflows
├── group_vars              → Inventory group variables
│   └── .../
├── host_vars               → Host specific variables
│   └── .../
├── roles                   → Ansible Roles directory
│   └── .../
├── inventory.yml           → Ansible inventory

• defaults, voor standaard variabelen (let op, altijd geprefixed met de role_name)
• files, voor statische bestanden
• handlers, voor eenmalige handlers (daar ga ik hier niet verder op in)
• tasks, wat een role moet doen
• templates, de dynamische bestanden (templates)
• vars, de statische role vars

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38

- name: Create Docker Compose Stack directory
  ansible.builtin.file:
    path: "{{ compose_stack_dir }}"
    state: directory
    owner: "{{ compose_stacks_owner }}"
    group: "{{ compose_stacks_group }}"
    mode: "0755"
  register: _compose_directory
  become: true

- name: Template Docker Compose file
  ansible.builtin.template:
    src: "templates/compose.yaml.j2"
    dest: "{{ [_compose_directory.path, 'compose.yaml'] | file_join }}"
    owner: "{{ compose_stacks_owner }}"
    group: "{{ compose_stacks_group }}"
    mode: "0644"
  become: true

# Compose .env  bestand kun je wel gokken :P

- name: Validate Docker Compose stack
  ansible.builtin.command:
    cmd: docker compose config
    chdir: "{{ _compose_directory.path }}"
  register: _docker_compose_config_output
  when: not ansible_check_mode
  failed_when: _docker_compose_config_output.rc != 0
  changed_when: false

- name: Docker Compose up
  community.docker.docker_compose_v2:
    project_src: "{{ _compose_directory.path }}"
    project_name: "{{ compose_stack_name }}"
    state: present
    recreate: "{{ 'always' if compose_recreate else 'auto' }}"
  register: _docker_compose_up_output
  when: not ansible_check_mode

1
2
3
4
5

- name: Deploy AdGuard Home
  hosts: docker

  roles:
    - role: adguard_home

Mars Warrior schreef op donderdag 4 december 2025 @ 11:57:
[...]

Ik zie nu wel dat de structuur die ik nu nastreef, en ook zou willen behouden, is dat ik per compose stack een repo heb waarin ik alles heb vastgelegd.

1
2
3
4
5

roles:
  - name: audiobookshelf
    src: https://git.example.com/ansible/audiobookshelf.git
    version: v2.19.4
    scm: git

ansible-galaxy install -v -r requirements.yml

Dat je een stack al dan niet naar meerdere hosts kan uitrollen is mooi. Dat is voor nu nog niet nodig, maar het inrichten voor één host, maakt het wel mogelijk dat je later meer hosts kan gebruiken.

vwb secrets: ik zag die Ansible Vault inderdaad, maar op de één of andere manier voelt dat voor mij niet als superhandig: die bestanden moeten toch ergens staan.

Ik heb daarom ook ff gekeken naar een Bitwarden (Vaultwarden) oplossing om daar de secerts voor de .env bestanden in te pleuren. Dan staat het centraal en afgeschermd, èn kan voor tig compose stacks worden ingezet. Maar geen versiebeheer

Ik neig dus nu naar SOPS om .env variabelen te encrypten (public/private key) die ik in forgejo kan zetten (encrypted .env + public key) en de private key als secret kan invoeren in forgejo. SOPS snapt ook Azure Key Vault. Mogelijk wordt het bedrijf naar nog blij van

ansible-vault encrypt host_vars/my_host/vault.yml
# en
ansible-vault decrypt host_vars/my_host/vault.yml

1

immich_database_password: "{{ vault_immich_database_password }}"

alex3305 schreef op vrijdag 5 december 2025 @ 16:21:
Lekker bezig @Mars Warrior. Kleine stappen, maar wat mij betreft een groot resultaat. Ik vind dat je best even stil mag staan bij de technologie die je in deze korte periode bekeken, geëvalueerd, beoordeeld en ingezet hebt. Dat vind ik - bovenop Docker - echt prachtig .

Voor de volgende stappen zou ik je verder sterk aanraden om Ansible te cachen. De Forgejo cache is met 1 node extreem simpel in te richten. Daarnaast heb je zeer waarschijnlijk ook alleen maar Ansible Core nodig. Volledige Ansible gebruik je o.a. voor integratie met externe systemen zoals Cisco. Dat scheelt al enorm met downloaden en installeren .

Je kunt Renovate natuurlijk ook met een Cron laten draaien hè. Dat heb ik eerder ook al een keer gepost.

1
2
3
4

/home/compose/<stack>/<service>/        ← compose + env + scripts

/home/data/<stack>/<service>/git/       ← config UIT GIT
/home/data/<stack>/<service>/runtime/   ← alles wat de service zelf maakt

[ Voor 4% gewijzigd door Mars Warrior op 05-12-2025 22:04 ]

1. Controleren van ingevoerde variabelen
2. Aanmaken van mappen voor de uit te rollen applicatie
3. Templaten van configuratiebestanden (optioneel)
4. Aanmaken van Docker Compose directory
5. Templaten van Docker Compose
6. Docker Compose Up

1
2
3
4
5
6
7
8
9
10
11

- name: Assert required variables
  ansible.builtin.assert:
    that:
      - ghost_domain is defined
      - ghost_domain is string

- name: Assert Docker ingress network
  community.docker.docker_network_info:
    name: "{{ ghost_ingress_network }}"
  register: _docker_ingress_network_output
  failed_when: not _docker_ingress_network_output.exists

1
2
3
4
5
6
7
8
9
10
11
12

- name: Create Ghost directories
  ansible.builtin.file:
    path: "{{ item }}"
    state: directory
    owner: "{{ ghost_user }}"
    group: "{{ ghost_group }}"
    mode: "0755"
  become: true
  loop:
    - "{{ ghost_dir }}"
    - "{{ ghost_uploads_dir }}"
    - "{{ ghost_database_dir }}"

1

ghost_dir: "{{ [appdata, role_name] | path_join }}"

alex3305 schreef op zondag 7 december 2025 @ 19:40:
Dat heb ik ook een tijdje gehad, maar vond ik onhandig. Ik wil op mijn workstation niet per se afhankelijk zijn van Docker / devcontainers en/of Visual Studio Code. Ook wilde ik graag mijn Ansible requirements graag meenemen in de container. Daardoor had ik echter twee keer dezelfde dependencies in twee aparte repo's. Dat voelde niet zo lekker.

alex3305 schreef op zondag 7 december 2025 @ 19:48:
Ook gebruik ik pre-commit hooks om Ansible Lint te draaien voordat ik commit. Dat heeft ook al enkele oopsies voorkomen en was verrassend eenvoudig op te zetten. Tevens heb ik een eigen pre-commit hook gemaakt die controleert op Ansible Vault files en de commit abort wanneer ik dergelijke bestanden in plain text probeer te committen.

Docker Compose Lint lijkt me interessant, behalve dan dat ik dus mijn Compose bestanden maak met Jinja . Daar moet ik dus nog even vanaf zien. Anderzijds valideer ik Compose bestanden sowieso voor een Up.

1
2
3
4
5
6
7
8

services:
  jellyfin:
    image: jellyfin/jellyfin:10.11.4@sha256:aab0b50a3ce43a41621fc7040a379cc57174059aec8f9c17a90176649a0c1ab1
    container_name: jellyfin
    volumes:
      - ${HOST_VOLUME_CONFIG}:/config
      - ${HOST_VOLUME_CACHE}:/cache
      - ${HOST_VOLUME_MEDIA}:/media

1
2
3

HOST_VOLUME_CONFIG="{{ jellyfin__compose_volume_config }}"
HOST_VOLUME_CACHE="{{ jellyfin__compose_volume_cache }}"
HOST_VOLUME_MEDIA="{{ jellyfin__compose_volume_media }}"

blackd schreef op zondag 7 december 2025 @ 20:29:
[...]

Wat betreft het eerste, snap ik wat je zegt. Momenteel heb ik ook ansible gewoon nog 'lokaal' geinstalleerd staan.
Het had juist mijn voorkeur om overal exact dezelfde dependencies te hebben. Zowel in CI als lokaal in development.

Dat staat nog op mijn wensenlijstje.

1
2
3
4
5
6
7
8
9
10
11
12
13

repos:
  - repo: https://github.com/pre-commit/pre-commit-hooks
    rev: v6.0.0
    hooks:
      - id: check-shebang-scripts-are-executable
      - id: detect-private-key
      - id: end-of-file-fixer
      - id: trailing-whitespace

  - repo: https://github.com/ansible/ansible-lint
    rev: v25.12.0
    hooks:
      - id: ansible-lint

Ik template ook mijn Compose bestanden maar het enige wat er eigenlijk gevuld wordt zijn de standaard variabelen (${}) en die worden weer gevoed door het .env bestand. En die template ik ook, die wordt gevoed door Ansible.

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45

#jinja2: lstrip_blocks: True, trim_blocks: True
---
{{ ansible_managed | comment }}

name: {{ _compose_stack_name }}

services:
  ghost:
    container_name: ${COMPOSE_PROJECT_NAME}
    image: ghost:6.10.0-alpine
    environment:
      NODE_ENV: production
      url: ${GHOST_URL}
      database__client: mysql
      database__connection__host: database
      database__connection__user: ${DATABASE_USERNAME}
      database__connection__password: ${DATABASE_PASSWORD}
      database__connection__database: ${DATABASE_NAME}
    networks:
      ingress:
      internal:
    volumes:
      - {{ ghost_uploads_dir }}:/var/lib/ghost/content
    depends_on:
      database:
        condition: service_healthy
      {% if not ghost_use_hosted_activitypub %}
      activitypub:
        condition: service_started
        required: false
      {% endif %}
    {% if ghost_docker_options is defined %}
    {{ ghost_docker_options | to_nice_yaml | indent(4) }}
    {%- endif %}
    labels:
      traefik.enable: true
      traefik.http.routers.{{ _compose_stack_name }}.rule: "Host(`{{ ghost_domain }}`)"
      traefik.http.routers.{{ _compose_stack_name }}.middlewares: "anubis@docker"
      traefik.http.routers.{{ _compose_stack_name }}.service: "{{ _compose_stack_name }}"
      traefik.http.services.{{ _compose_stack_name }}.loadbalancer.server.port: "2368"
      {%- if _is_unraid +%}
      net.unraid.docker.icon: https://avatars.githubusercontent.com/u/2452804?s=200&v=4
      net.unraid.docker.managed: ansible
      net.unraid.docker.shell: /bin/bash
      {% endif %}

blackd schreef op zondag 7 december 2025 @ 20:29:
[...]
Voorbeeldje docker-compose.yml in jellyfin role (snippet):

YAML:

1 2 3 4 5 6 7 8

services: jellyfin: image: jellyfin/jellyfin:10.11.4@sha256:aab0b50a3ce43a41621fc7040a379cc57174059aec8f9c17a90176649a0c1ab1 container_name: jellyfin volumes: - ${HOST_VOLUME_CONFIG}:/config - ${HOST_VOLUME_CACHE}:/cache - ${HOST_VOLUME_MEDIA}:/media

.env.j2

YAML:

1 2 3

HOST_VOLUME_CONFIG="{{ jellyfin__compose_volume_config }}" HOST_VOLUME_CACHE="{{ jellyfin__compose_volume_cache }}" HOST_VOLUME_MEDIA="{{ jellyfin__compose_volume_media }}"

blackd schreef op zondag 7 december 2025 @ 22:12:
@alex3305 ja dat soort uitgebreidere jinja templating gebruik ik niet. Eigenlijk moet ik zeggen dat ik de template module gebruik, maar ik template niks, want ik kan net zo goed een copy doen. Anders snapt dclint het niet.

Ik ben overigens nog wel zoekende naar de juiste structuur qua variabelen. Ik heb laatst variabelen in playbooks gemigreerd naar group_vars. Maar e.e.a kan vast nog beter georganiseerd.

1
2
3
4
5
6
7
8

# group_vars/all/vault.yml
vault_maxmind_api_key: "secret string here..."

# group_vars/all/all.yml
maxmind_api_key: "{{ vault_maxmind_api_key }}"

# host_vars/leetower/maxmind_geoip.yml OF group_vars/docker/maxmind_geoip.yml
maxmind_geoip_api_key: "{{ maxmind_api_key }}"

alex3305 schreef op zondag 7 december 2025 @ 20:49:
Yes. Maar dat heb ik dus . Want lokaal gebruik ik pyenv met een virtualenv die met pip de requirements.txt installeert met daarin o.a. Ansible Core en Ansible Lint. En de CI omgeving doet setup-python hetzelfde. Allebei maken ze gebruik van dezelfde python versie dmv het .python-version bestand. Renovate update hier (wederom) de dependencies.

alex3305 schreef op maandag 8 december 2025 @ 11:54:
Ik probeer variabelen zoveel mogelijk toe te passen waar ze horen. Serial numbers en keys horen IMHO niet bij een host, maar bij een groep. En dan eigenlijk zelfs de groep all. Immers veranderd de groepenstructuur in de inventory niets aan de toepasbaarheid van een dergelijke key. Mijn Maxmind GeoIP API sleutel gebruik ik dan zo:

1
2
3
4
5
6
7
8
9
10
11
12

inventories/
├── development
├── production
│   ├── group_vars
│   │   ├── all
│   │   └── <group>
│   └── host_vars
└── staging
    ├── group_vars
    │   ├── all
    │   └── <group>
    └── host_vars

[ Voor 6% gewijzigd door blackd op 09-12-2025 10:47 ]