Reprise du message précédent :
Ca dépend de comment tu gères tes container, si tu veux séparer les données ou pas, où tu veux les mettre, etc.
 
Un bout de ma stack traefik dans portainer (portainer n'est pas géré par traefik, j'y accède en spécifiant le port et il n'est pas accessible via le net)
 

Je passe aussi pas mal de variables d'environnement pour la partie let's encrpypt et ovh
 
Pour le dashboard traefik, tu l'as bien protégé par un mot de passe au moins ?

Hello l'élite,
 
Deux questions :
 
- Existe-t-il un moyen pour que quand je créé une nouveau container via Portainer il ajoute 4 labels (pour Traefik) automatiquement pour éviter d'avoir à le faire à la main (et que ça prenne des variables idéalement, notamment pour collecter le hostname) ?
 
D'ailleurs je ne sais même pas si je fais ça bien même si ça fonctionne :
 

 
- Existe-t-il une méthode à jour pour migrer proprement un container avec toutes ses datas, d'un host à un autre ?
 
Sinon, un inconvénient à Portainer c'est quand on créé un container en ligne de commande : On ne peut pas ajuster sa conf (ses labels notamment) en l'éditant depuis l'UX vu que Portainer ne dispose pas des metadatas associées... Sauf si vous avez une technique
 
the_fireball, merci pour tes infos, je pense que je vais split le docker-compose en deux éléments, un pour Portainer et l'autre pour Traefik. Faut juste que je trouve un moyen d'arrêter tous les containers pour la MAJ de Traefik car ces derniers utilisent le réseau de Trafik (qui porte le nom portainer-traefik_default chez moi, je n'ai aucune idée du pourquoi mais j'ai l'impression que la localisation du docker-compte.yml n'y est pas étranger ). Après, je ne procède peut-être pas dans les règles de l'art (faut que je me trouve une formation, autant taper au max dans le CPF...).
 
Edit : Je dois migrer une application web que j'héberge actuellement sur une VM en Debian 11. Elle tourne sous OpenLiteSpeed et MariaDB et est un peu volumineuse (60 Go). Le développeur propose depuis quelques temps une version Docker de son application. Si je créé le container (à l'aide du docker-compose fourni par le dev), que je l'arrête, que je recopie les datas (/var/lib/mysql et /var/www/html/service/) dans les volumes persistants de ce container (ou utiliser mysqldump pour la base peut-être) cela pourrait-il fonctionner ?
 

Bon, je poste ici car beaucoup de gens utilisent l'image Vaultwarden

Plusieurs failles de sécurité ont été découvertes / corrigées (mais non annoncées, le temps que tout le monde mette à jour).

Il faut être en 1.32.5, dispo depuis ce matin : https://github.com/dani-garcia/vaultwarden/releases

J'ai fait la MAJ tout à l'heure. Je suis inscrit aux release notes de GH ^^

Bonjour à tous,
Je me mets progressivement à Docker/portainer et j'aimerai migrer mon installation Plex (sur Ubuntu server) dessus, faire un truc propre.
Je bloque sur le mount NFS de mon Synology.  
Via Portainer je dois créer un volume avec l'IP de mon NAS, (le serveur est bien autorisé à accéder aux dossier dans les permissions), mais dans le compose je dois mettre quoi ? Il n'y a rien de très clair sur le sujet, tous parlent de NFS en local, mais le mien est en externe et il ne remonte pas... Merci

Exemple pour un montage NFS sur Synology

Les options sont calées pour permettre aux utilisateurs de monter les partages directement depuis le gestionnaire de fichiers (Dolphin dans mon cas)

Edit: j'ai réussi. Merci  

Par contre, tu vas subir régulièrement les mises en veille du NAS ... CàD les quelques secondes nécessaires au réveil de la bête avant d'accéder aux fichiers

 
En connexion directe précédemment (Ubuntu > Plex > sudo mount) je n'ai jamais eu de soucis de la sorte. C'est propre à Docker/Portainer ?

Nan, c'est juste qu'au bout de quelques minutes d'inactivité, le NAS arrête le disque et se met en veille. Lorsque tu sollicites le NAS, ce dernier doit se réveiller avant de répondre à la demande ... ça demande une poignée de secondes.

Faut désactiver l’hibernation des disques  

 
Je retente ma question : via Portainer il y a la possibilité d'éditer le container pour rajouter le NFS précédemment créé dans Volumes, sur Portainer (et éviter d'ouvrir l'accès au dossier NFS à tout le système).  
Sauf que quand le container s'update, le montage disparait aussi et il faut rajouter manuellement le volume, puis le redéployer. Fastidieux... J'imagine qu'il faut l'ajouter à la main dans Stacks, sauf que je ne trouve pas la bonne syntaxe ; le NFS est bien monté indépendamment sur Portainer, comment je créé une persistance de montage de ce dossier ?

J'ai pas compris ta question, mais tu peux monter un volume NFS au démarrage d'une stack Docker Compose :
 

J'ai réussi de la sorte :  
 

et dans les volumes

 
J'ai 2 stacks: 1 pour Home Assistant (domotique), 1 pour WireGuard (VPN).
Il se trouve que Home Assistant a besoin d'accéder aux appareils qui sont sur le VPN (car à l'extérieur).
 
stack HA:

 
stack VPN:

 
Sur la machine hôte, j'ai mis une route vers l'IP du container WireGuard (172.6.0.2) pour joindre les appareils qui sont en VPN.
# ip route
10.8.0.0/24 via 172.6.0.2 dev br-vpn
# ping 10.8.0.26
PING 10.8.0.26 (10.8.0.236) 56(84) bytes of data.
64 bytes from 10.8.0.26: icmp_seq=1 ttl=63 time=255 ms
64 bytes from 10.8.0.26: icmp_seq=2 ttl=63 time=265 ms
64 bytes from 10.8.0.26: icmp_seq=3 ttl=63 time=283 ms
64 bytes from 10.8.0.26: icmp_seq=4 ttl=63 time=321 ms
Délais normaux vu que l'appareil est sur connexion mobile et derrière VPN.
Je peux pinger 10.8.0.1, le .26, mais pas le reste de la plage.
 
Depuis le container Home Assistant, j'ai mis la même route.
# ip route
default via 172.2.0.1 dev eth0
10.8.0.0/24 via 172.6.0.2 dev eth3
J'ai viré les autres réseaux Docker en eth1 et eth2 pour la lisibilité.
eth3 est bien l'interface du réseau Docker VPN (les MAC correspondent).
Pourtant, je ne peux pas joindre les appareils derrière le VPN.
Pinger toute la plage 10.8.0.x me conduit à une réponse immédiate de je ne sais qui, mais vraisemblablement en local vu les délais.
# ping 10.8.0.26
PING 10.8.0.26 (10.8.0.26): 56 data bytes
64 bytes from 10.8.0.26: seq=0 ttl=64 time=0.476 ms
64 bytes from 10.8.0.26: seq=1 ttl=64 time=0.237 ms
64 bytes from 10.8.0.26: seq=2 ttl=64 time=0.270 ms
64 bytes from 10.8.0.26: seq=3 ttl=64 time=0.255 ms
 
# ping 10.8.0.123
PING 10.8.0.123 (10.8.0.123): 56 data bytes
64 bytes from 10.8.0.123: seq=0 ttl=64 time=0.689 ms
64 bytes from 10.8.0.123: seq=1 ttl=64 time=0.260 ms
64 bytes from 10.8.0.123: seq=2 ttl=64 time=0.261 ms
64 bytes from 10.8.0.123: seq=3 ttl=64 time=0.512 ms
 
Il n'y a personne sur 10.8.0.123, ni tout le reste de la plage IP. Bien sûr, le service HTTP que je cherche à joindre sur le .26 n'est pas joignable.
Le VPN est configuré pour autoriser 0.0.0.0/0.
Wtf? Qu'ai-je manqué?
 
Merci d'avance.

Je viens de découvrir NetAlertX sur Docker, c'est franchement pas mal du tout si on veut surveiller un peu le réseau

 
J'ai testé aussi, d"abord netalertx puis librenms et au final je suis passé sur prometheus+grafana.
L'avantage est de ne pas se limiter au snmp, prometheus a plein d'exporter qui sont souvent livré avec les rapports grafana qui vont bien.
 
Du coup je peux tout superviser depuis une seule interface : switchs managés en snmp, livrebox par api, serveurs linux/windows avec des agents, ...
 

Effectivement ça doit être plus complet, il faudra que je regarde un jour aussi

Petite question : depuis que j'ai débuté Docker comme un noob je crée un nouveau réseau à chaque fois que je crée un nouveau container. A part multiplier le nombre de réseau, est-ce que ça a une utilité ? Merci

 
Perso je créé autant de réseau que de stack docker-compose, donc toutes les applications qui ont une relation entre elles sont dans le même réseau.
 

Merci, ça doit être déjà un peu plus facile à gérer même si une fois que c'est créé on touche plus trop aux réseaux

1 réseau par stack.
Le but est de pouvoir buter et remonter des stacks sans que le reste ne soit impacté.
 
Certains stacks ont accès au réseau d'autres. Le réseau reverse proxy est par exemple joint par tous les containers ayant besoin d'un frontal.

Merci, donc par exemple pour Traefik tu as un seul réseau déclaré et tu ajoutes ce même réseau pour tous les containers qui utilisent Traefik ? Tu n'as pas un réseau Traefik différent pour chaque container utilisant Traefik et donc 10 réseaux déclarés dans Traefik comme j'ai pu le faire comme un vrai noob ?

1 réseau pour Traefik, auquel se connecte tous les containers qui doivent parler avec Traefik.
 
exemple avec le container Home Assistant:

 
ou le Nextcloud:

Merci, je vais profiter de mon changement d'hyperviseur pour revoir certains points dont celui-là

En bon noob qui galérait avec Traefik je suis passé à Caddy et ça change la vie

Je sais qu'il est infiniment moins complet que Traefik mais j'avais un besoin vraiment basique (générer des certificats LE pour mes containers)...

Plus besoin de positionner des labels et de sélectionner le réseau de Traefik, juste à alimenter le Caddyfile

Plus qu'à containeriser mon hosting d'images pour HFR (script Chevereto pour img.super-h.fr (pour le fofo en raw) et img3.super-h.fr (pour l'appli iOS HFR+ via l'API) de bare-metal à Docker et je serai tranquille pour longtemps

Edit : Sinon o3-high est dingue : Je lui ai donné la conf de mon ancien server Docker et du nouveau en lui communiquant toutes les propriétés de deux containers (avec des données persistantes) que je voulais migrer et il m'a généré toutes les commandes qui ont fonctionné du premier coup sans aucune modification, insane ! Je sais que c'est pas ce qu'il y a de plus complexe mais GPT-4o n'y était pas parvenu. o3 c'est vraiment top

 
On n'y pense pas toujours mais c'est super pratique pour faire de la conf, je m'en sert pour rédiger mes fichiers docker compose.
 

Perso je préfère avoir la config reverse proxy dans chaque docker-compose.yml, en mettant certains paramètres par défaut un "entrypoint" Traefik les changements restent limités :
 

Et puis ça colle au fonctionnement que tu as dans Kubernetes, avec un ingress controller tout se passe dans les "specs" / annotations de chaque ingress.
 

En gros tu lui indiques comment ton appli sera accessible, comment il doit générer le certificat TLS (ici, un HashiCorp Vault en PKI intermédiaire d'un Active Directory), et si tu veux changer certains paramètres NGINX, etc.

Je suis d'accord avec toi pour un usage pro industrialisé mais pour du homelab...

Même pour du @home je suis comme Fredouye, j’apprécie Traefik et je mets tout dans les docker compose, enfin les stacks portainer plutôt  
 
Je trouve ça pratique et je git tout ça

+1 pour avoir les fichiers de config avec chaque projet. Les paramétrages de chaque projet doivent rester indépendants du projet reverse-proxy.

+1 aussi, stockés sur github comme ça le versioning est bien géré

Ok ok, je vais me repencher sur le sujet

Si tu es content avec Cassy et que tout fonctionne, pourquoi changer et risquer de tout casser ?

Pour la montée en compétences, je suis pas DevOps mais j'ai plus de chances de tomber sur Traefik que sur Caddy en environnement pro...

Je me sers de Caddy au boulot mais pas comme reverse proxy
 
Pour un serveur HTTP hyper léger avec du contenu statique (dans mon cas, du déploiement ESXi en mode « Infra as Code ») ça fait très bien le boulot.

Pour le coup Nginx aurait été bien plus perf, surprenant comme choix

Cf https://blog.tjll.net/reverse-proxy [...] -vs-nginx/

Edit : Fail, le benchmark concerne la fonctionnalité de reverse-proxy

Ne mettez pas à jour Docker CE vers la version 28.0 sortie hier, certains ont des soucis de réseau ensuite :
 
https://www.reddit.com/r/docker/s/4TkN6QqNxr
 
https://www.reddit.com/r/docker/s/BxPSNItU2i