MilesTEG1

Haaa ok 🙂 Je pensais bien qu'on pouvait regrouper diverses instance de docker sur un seul portainer. Je suppose qu'il faut installer un agent sur chaque docker dont on veut placer dans l'instance Portainer qui doit tout afficher ? Bon je n'ai qu'un seul NAS avec un seul Docker donc, je ne m'en servirais pas ^^

C'est quoi cet Agent ? Je viens d'installer la v2.0 de portainer (portainer-ce) avec ce docker-compose : Pas de soucis à la mise à jour et à la recréation du conteneur. Tout semble bien fonctionner.

Hello par ici 😉 Me faut l'avis d'expert en réseau, et plus particulièrement en IP 😉 Je sais que ce qui suit n'est issue de pi-hole, cependant ça arrivait aussi dans pi-hole je crois. (faudrait que je relance le conteneur pour être sur). Mais comme c'est AdGuard Home, qui fonctionne comme pi-hole pour le blocage par DNS des réquètes, je me dis que je pourrais potentiellement avoir une réponse avec vous ici... J'ai installé donc Adguard Home dans docker (qui est un équivalent de pi-hole). Ma question concerne cette adresse qui revient très souvent : [url=https://i.imgur.com/HTnAuwl.png][img]https://i.imgur.com/HTnAuwl.png[/img][/url] Je me suis dis que c'était une IPv6, alors j'ai désactiver l'IPv6 sur mon mac : [url=https://i.imgur.com/L9klZiu.png][img]https://i.imgur.com/L9klZiu.png[/img][/url] mais cette adresse revient toujours. Du coup ça ne doit pas être une ipv6... Je l'ai bloquée, et pour le moment je ne constate pas de soucis avec les ordinateurs qui occasionnent l'apparition de cette adresse. Donc ma question c'est quoi cette adresse ?? Comment identifier ce qui génère son apparition ? car là impossible de définir sur les ordinateurs ce qui pourrait demander l'identification de cette adresse au serveur DNS. C'est une adresse locale comme semble le dire son suffixe [b].local[/b] ? edit : au cas où j'ai masqué une partie de l'adresse... des fois que ce soit une IP à ne pas divulger... edit 2 : voilà le format : XXXXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX.local 8 chiffres/lettres - 4 chiffres/lettres - 4 chiffres/lettres - 4 chiffres/lettres (bon ici que des chiffres) - 12 chiffres/lettres puis le .local Merci d'avance PS : s'il faut je créerais un sujet dédié ailleurs.

J'essaye à l'occasion 😉

@.Shad. : Pour faire suite à cette histoire de ports exposés, je viens de voir ceci qui pourrait faire ce qu'il faut : Qu'en penses-tu ?

Oui oui 😉 Cf. mon fichier docker-compose mis dans le post suivant : Le fait que le fichier contienne les champs ports ne me pose pas de soucis de fonctionnement, mais comme le dit @.Shad. ça peut poser des soucis de sécurité dans certains cas. Sinon, ok pour la version 2.1 qui fonctionne aussi. Je pense qu'il doit y avoir un formatage différent avec la v2.4... mais où est-ce que ça bloque... Faudrait que je regarde plus en détail ^^

Bon sinon sans les ports, j'ai ces erreurs : Il ne semble pas y avoir de soucis avec les mesures, par exemple les températures des dernières 30s sont bien remontées : Mais dans les autres j'ai pas d'erreurs qui remonte, si ce n'est ceci pour telegraf (la ligne contenant "warn" mise en évidence au milieu) : t=2020-10-12T06:22:48+0000 lvl=info msg="Starting Grafana" logger=server version=7.2.1 commit=72a6c64532 branch=HEAD compiled=2020-10-08T09:00:32+0000, t=2020-10-12T06:22:48+0000 lvl=info msg="Config loaded from" logger=settings file=/usr/share/grafana/conf/defaults.ini, t=2020-10-12T06:22:48+0000 lvl=info msg="Config loaded from" logger=settings file=/etc/grafana/grafana.ini, t=2020-10-12T06:22:48+0000 lvl=info msg="Config overridden from command line" logger=settings arg="default.paths.data=/var/lib/grafana", t=2020-10-12T06:22:48+0000 lvl=info msg="Config overridden from command line" logger=settings arg="default.paths.logs=/var/log/grafana", t=2020-10-12T06:22:48+0000 lvl=info msg="Config overridden from command line" logger=settings arg="default.paths.plugins=/var/lib/grafana/plugins", t=2020-10-12T06:22:48+0000 lvl=info msg="Config overridden from command line" logger=settings arg="default.paths.provisioning=/etc/grafana/provisioning", t=2020-10-12T06:22:48+0000 lvl=info msg="Config overridden from command line" logger=settings arg="default.log.mode=console", t=2020-10-12T06:22:48+0000 lvl=info msg="Config overridden from Environment variable" logger=settings var="GF_PATHS_DATA=/var/lib/grafana", t=2020-10-12T06:22:48+0000 lvl=info msg="Config overridden from Environment variable" logger=settings var="GF_PATHS_LOGS=/var/log/grafana", t=2020-10-12T06:22:48+0000 lvl=info msg="Config overridden from Environment variable" logger=settings var="GF_PATHS_PLUGINS=/var/lib/grafana/plugins", t=2020-10-12T06:22:48+0000 lvl=info msg="Config overridden from Environment variable" logger=settings var="GF_PATHS_PROVISIONING=/etc/grafana/provisioning", t=2020-10-12T06:22:48+0000 lvl=info msg="Path Home" logger=settings path=/usr/share/grafana, t=2020-10-12T06:22:48+0000 lvl=info msg="Path Data" logger=settings path=/var/lib/grafana, t=2020-10-12T06:22:48+0000 lvl=info msg="Path Logs" logger=settings path=/var/log/grafana, t=2020-10-12T06:22:48+0000 lvl=info msg="Path Plugins" logger=settings path=/var/lib/grafana/plugins, t=2020-10-12T06:22:48+0000 lvl=info msg="Path Provisioning" logger=settings path=/etc/grafana/provisioning, t=2020-10-12T06:22:48+0000 lvl=info msg="App mode production" logger=settings, t=2020-10-12T06:22:48+0000 lvl=info msg="Connecting to DB" logger=sqlstore dbtype=sqlite3, t=2020-10-12T06:22:48+0000 lvl=warn msg="SQLite database file has broader permissions than it should" logger=sqlstore path=/var/lib/grafana/grafana.db mode=-rwxrwxrwx expected=-rw-r-----, t=2020-10-12T06:22:48+0000 lvl=info msg="Starting DB migrations" logger=migrator, t=2020-10-12T06:22:48+0000 lvl=info msg="Starting plugin search" logger=plugins, t=2020-10-12T06:22:48+0000 lvl=info msg="Registering plugin" logger=plugins name="Direct Input", t=2020-10-12T06:22:48+0000 lvl=info msg="Registering plugin" logger=plugins name="Pie Chart", t=2020-10-12T06:22:48+0000 lvl=info msg="Registering plugin" logger=plugins name="Worldmap Panel", t=2020-10-12T06:22:50+0000 lvl=info msg="HTTP Server Listen" logger=http.server address=[::]:3000 protocol=http subUrl= socket=, En réactivant le port pour InfluxDB, je n'ai plus ce message de warning de Grafana. Et en réactivant les ports de Telegraf, je n'ai plus le message d'erreur cité précédemment. Bon après, je ne suis pas sur que ce soit dramatique comme message d'erreur compte tenu que tout semblait fonctionner... Mais là, je vais laisser avec les ports actifs. Ces ports ne sont pas routés en dehors du LAN, et normalement sur mon LAN, je n'ai rien qui pourrait tenté de se connecter sur ces ports là du NAS... Mais je retiens l'avertissement pour les futurs conteneurs : ne pas exposer les ports pour rien 😉

Tes conteneurs sont-ils bien tous dans le même réseau ?

Ok, je vais essayer de refaire les conteneurs sans les ports.

Tu parles des ports de InfluxDB et de Telegraf ? Faut que j'enlève les ports du fichier docker-compose ?

Hello @.Shad. @oracle7 Hier j'ai vu qu'il y avait de nouvelles version pour InfluxDB et Grafana, j'ai donc mis à jour les conteneur en les recréant dans Portainer (en utilisant des stacks créé à cette occasion) après avoir téléchargé la dernière version des images. Et ce matin je me suis dit que ce serait bien de faire un fichier docker-compose tout en un pour les 3 services, afin de faciliter les MAJ. (Ok, y a moyen de faire "plus simple" pour les MAJ, ou du moins plus automatique, mais là je n'utilise que Portainer ^^) Donc voilà mon fichier docker-compose, utilisé avec Portainer pour créer les 3 conteneurs : version: "2" services: influxdb: image: influxdb:latest container_name: monitoring_influxdb hostname: monitoring_influxdb networks: - monitoring_nas environment: - INFLUXDB_DB=nas_telegraf - INFLUXDB_ADMIN_USER=admin - INFLUXDB_ADMIN_PASSWORD=admin - INFLUXDB_USER=nas_telegraf - INFLUXDB_USER_PASSWORD=nas_telegraf - INFLUXDB_HTTP_AUTH_ENABLED=true volumes: - "/volume1/docker/monitoring/influxdb/data:/var/lib/influxdb" ports: - 8086:8086 restart: unless-stopped telegraf: image: telegraf:latest container_name: monitoring_telegraf hostname: monitoring_telegraf networks: - monitoring_nas volumes: - "/volume1/docker/monitoring/telegraf/telegraf.conf:/etc/telegraf/telegraf.conf:ro" - "/proc:/host/proc:ro" - "/usr/share/snmp/mibs:/usr/share/snmp/mibs:ro" - "/var/run/docker.sock:/var/run/docker.sock:ro" ports: - 8125:8125/udp - 8092:8092/udp - 8094:8094 restart: unless-stopped grafana: image: grafana/grafana:latest container_name: monitoring_grafana hostname: monitoring_grafana networks: - monitoring_nas volumes: - "/volume1/docker/monitoring/grafana/data:/var/lib/grafana" user: "1111" ports: - 3030:3000 restart: unless-stopped networks: monitoring_nas: external: name: monitoring_nas J'ai copié les 3 dossiers des 3 précédents conteneurs dans un dossier monitoring afin de centraliser le tout aussi au niveau du stockage. Voilà voilà 🙂 Si ça peut servir à quelqu'un 😉 PS : si vous êtes plus doué que moi avec docker-compose, vous pourrez probablement répondre à ceci : J'ai du mettre ceci comme version : erreur : version: "2" Car si je mets ce qui suit, le stack n'est pas créé... j'ai une erreur : version: "2.4" Si vous savez pourquoi ça ne veut pas fonctionner avec une version 2.4, je suis preneur ^^

Hello @babble 👋 Je pense que c'est l'argument -n qu'il a utilisé vu que ce topic prône davantage son usage plutôt que le -w...

salut @cotp : effectivement ce n'est pas possible de faire une programmation toutes les 2 semaines... désolé, je t'ai induit en erreur... Tu peux faire tous les jours, choisir ton jours sur une semaine, et donc une fois par semaine... Pour le tests rapide, tu peux en faire un par semaine.

Mise en place faite, en remplacement de AdGuard Home (j'ai arrêté son conteneur). Ça semble bien fonctionner 😉 Pour le moment je n'ai pas activé le DHCP sur pi-hole ni sur le NAS, donc c'est au bon vouloir des clients 😛 c'est-à-dire à mon bon vouloir sur leur configuration. Je n'ai fait que les pc portable, les mobiles et mon pc fixe. Me faudra apprendre à m'en servir. Mais j'ai réussi à ajouter des listes que j'ai trouvés ici et ailleurs. Il serait intéressant de lister dans le premier post les différentes listes que vous utilisez et que vous conseillez, car pour un nouveau, il y a beaucoup trop de liste sur le net... Et je pense qu'on peut très facilement avoir des doublons... J'ai mis les DNS de cloudFlare plutôt que ceux de google dans la partie "Upstream DNS Servers" des paramètres. D'ailleurs, si vous avez des conseils de configuration je suis preneur. Voilà voilà 😉 PS : j'ai créé le conteneur avec Portainer et le fichier docker-compose (enfin via un copier/coller dans l'éditeur web).

Hello @.Shad. C'était pour la littérature que je l'évoquais, par rapport à ta question, un conseil laisse ça de côté pour le (un bon?) moment. 😉 Ok, donc je laisse tomber cette MAJ et les Kubernetes 😁 Ok. Je précise aussi je n'ai pas installé cette image là (sjawhar/docker-socket-proxy). OK, je vois. Mais du coup si l'image n'a pas prévue l'utilisation du couple UID/GID, ça ne sert à rien de les spécifier, et il faut croiser les doigts pour pas que ça merde, c'est ça ? Non du tout, ce que tu fais là, mais je l'ai rappelé juste avant, c'est pour assurer une persistance des données, c'est tout. J'aurais du copier juste la ligne /var/run/docker.sock car je parlais de ça ^^ Ok, j'avais bien compris la chose, je n'avais cependant pas descendu d'un cran le raisonnement 😉 Donc grosso-modo, je n'ai pas de risque niveau sécurité actuellement, car si j'ai bien compris mon port 2376 du NAS n'est pas exposé. J'ai bon ?

Hello par ici 👋 Je vais essayer ce mettre en place PiHole sur mon NAS (dans Docker bien sur 😉). Cependant, je ne pourrais pas faire la partie sur le serveur DHCP car j'ai une LiveBox, et je ne peux pas modifier son DNS dans sa partie DHCP 😅 Actuellement j'ai mis en place AdGuard Home sur le NAS (Docker) et je voudrais voir comment se comporte PiHole par rapport à AdGuard Home. (là aussi j'ai du passer par la modification des DNS sur les ordinateurs clients). J'ai quand même tenté de mettre en place un serveur DHCP (avec le DNS pointant sur le NAS lui même puisque le serveur DNS de AdGuard y est configuré). Bah j'ai pas réussi à faire fonctionner le bazar... j'avais réduit les IP du DHCP de la LiveBox à deux IP pour le décodeur et une alarme, puis je l'ai carrément désactivé mais même ainsi le macbook qui me servait de cobaye n'arrivait pas à obtenir d'adresse IP... Bref, j'ai laissé tombé sur le moment, je n'ai pas énormément de périphériques, donc j'ai mis l'IP du NAS comme serveur DNS dans leur configuration. Faudra que je retente l'aventure du serveur DHCP... je verrais ^^ Bref, je vais tenter PiHole, je reviens si j'ai des soucis 😇

Je suis de l'avis d' @oracle7 🙂 Faut espacer les tests approfondis. Un test rapide par semaine pourquoi pas, et encore, toutes les 2 semaines je pense serais mieux. Et un test approfondi tous les 2 mois.

Ok, comme dit précédemment, je n'ai pas taper ces commandes 😉 Mais tu sembles dire que le fait d'avoir installer portainer et donc d'avoir mis en volume le socket ça fait la même chose que d'exposer via le port 2376, c'est bien ça ? Ok, donc inutile de spécifier ces variables alors. Mais du coup, si on ne spécifie pas l'utilisateur, le conteneur utilise quels droits d'accès sur les partages passés en volume ? Ok, donc pas très utile pour moi aussi 😛 Ok aussi, je reste donc sur la version actuellement installée 😉 J'ai vraiment du mal avec ces nouveaux termes que je découvre... Kubernetes 🤨 Ce que tu appelles faire un NAR entre le NAS et le conteneur, est-ce que c'est ça : Car pour moi, le NAT c'est de faire translater un port de connexion : genre sur ma box, je NAT le port 1234 extérieur sur le port 2345 du LAN sur la machine XXXXX. Et du coup, je ne comprends plus ta deuxième phrase. Mon hôte c'est le NAS non ? Portainer étant installé dans Docker qui est aussi sur le NAS. Je suis vraiment désolé de mon incompétence à comprendre tout ça... Et je te remercie du temps que tu passes à essayer de m'expliquer le tout 😊

Ok, merci pour ces explications sur la démarche de sécurisation 😉 Par contre, je n'ai toujours pas saisi si dans l'état actuel de mon NAS et de ce que j'ai fait avec Docker, si ce port 2376 est ouvert à toutes les IP LAN ... ?

Edit : je viens de lire un article qui parle de cette nouvelle version, qui porte du coup un nom différent : https://registry.hub.docker.com/r/portainer/portainer-ce/

@.Shad. Ok pour le port 8000, j'ai recréé le conteneur sans 😉 (merci docker-compose car avec ça va plus vite ^^) Sinon, pour le port 2375, il est d'office exposé ? Même si je ne l'ai pas spécifié dans le fichier docker-compose ?? Je comprend l'idée générale de ce que tu as dis ensuite, mais j'avoue que je n'ai pas tout saisi dans le détail... Mon objectif est d'utiliser portainer uniquement depuis le réseau local. Le port 9000 ouvert permet de faire ceci. Mais comment le port 2375 peut-il être ouvert ? Je comprends que s'il est bien ouvert et accessible, et que par ce biais, il n'y ait pas besoin de mot de passe pour accéder au NAS (en SSH ??), c'est effectivement un problème niveau sécurité... Mais je ne suis pas sur d'avoir compris si c'était bien le cas, que ce port soit ouvert... Sinon pour les GUID et PUID, je n'ai de source... c'est de mon propre chef que je l'ai mis, comme je le fais pour tous les conteneurs, comme ça ils ne sont censés accéder qu'à ce que je leur autorise. Car je crée un utilisateur dédié pour chaque conteneur que je crée. C'est un peu fastidieux, mais bon 😉 j'ai un bon gestionnaire de mot de passe 🤪 Dernière chose, il y aurait une MAJ : Un clic sur le message emmène ici : https://github.com/portainer/portainer/releases/tag/2.0.0 Mais dans docker hub, cette version 2 n'est pas présente. Petite question : peux-tu expliquer rapidement ce que sont les templates dans portainer ? En tout cas, merci pour le temps passé d'une part sur les tuto, et pour me répondre 👍

Hello par ici 👋 @.Shad. Je viens de faire la première partie du tuto : installation de Portainer : Pour le moment tout semble bien fonctionner. J'ai juste légèrement modifié le fichier docker-compe.yml : (j'ai mis les PUID et GUID et ajouté le port 8000 qui semble nécessaire d'après la doc officielle) version: "2.1" services: portainer: image: portainer/portainer:latest container_name: portainer hostname: portainer network_mode: bridge environment: - PUID=1045 - GUID=100 volumes: - /volume1/docker/portainer/data:/data - /var/run/docker.sock:/var/run/docker.sock ports: - 8000:8000 - 9000:9000 restart: unless-stopped Bref, jusque là pas de soucis. Ma question porte en faire sur la sécurisation que tu fais ensuite. En quoi ça sécurise le tout ? Ou bien dit autrement, en quoi la non réalisation engendre un manque de sécurité ? Je précise que tout est sur le NAS, chez moi, dans le LAN. J'ai mis un mot de passe très solide pour le compte admin de Portainer. Merci pour les réponses 😉 et bonne journée

Avec tous les erreurs qu'a Oracle, je suis aller voir mes logs pour voir si j'avais des trucs similaires : Bah déjà imposssible d'accéder aux log d'influxDB... soit ça me fait ça : Soit j'ai les dates à gauche, mais rien dans les logs... Après redémarrage des conteneurs, j'ai de nouveau accès aux logs : Pour Telegraf : Et grafana : des erreurs avant le redémarrage du paquet... Bon bah je sais pas expliquer, interpréter ces erreurs... D'autant qu'avant que je fasse un redémarrage des conteneurs, je n'avais pas de problèmes visible dans grafana... Les mystères et joies de l'informatique 🤪

Ok, je vais aller voir ce tuto 😄 Il peut m'intéresser 😄 je constate en te lisant que tu as carrément un autre niveau en réseau 😄 Et aussi des besoins plus conséquents 😉 Je pense que je vais rester sur le tout hébergé sur mon NAS 😉 Même si en cas de crash de ce dernier je n'aurais plus les données... (en ce qui me concerne, ce ne sera pas ces données là qui vont me faire défauts si ça crash 🤪 Mais bon j'ai des backups programmés qui se font toutes les nuits 😉 )

Hello @.Shad. Merci pour ces explications 😇 3€/mois c'est un tarif raisonnable 🙂 Cela dit, je ne suis pas sur d'avoir besoin d'un VPS vu ce que je fais avec mon NAS et mon réseau ^^ Quand tu parles de transfert de données, tu parles de celles de la base de donnée influDB ? Ou bien d'autres données à la base stockées sur le NAS ? Et si je comprends bien ce que tu as dis, tu fais passer l'accès à ton NAS (et services dessus) par un proxy-inversé présent sur le VPS ? Il va falloir que je regarde la mise en place d'un proxy-inversé avec Traefik, car il permet (d'après ce qu'on m'a expliqué sur HFR) de gérer les certificats wildcards LE, et de faire les certificats des conteneurs docker que je voudrais exposer sur le net 😉 PS : y a eu une MAJ du forum ? j'ai l'impression que la mise en page a changé...