Reprise du message précédent :

 
oui tu peux directement monter un fichier, c'est assez usuel
 
Justement traefik t'as le choix :
https://docs.traefik.io/getting-sta [...] figuration
je l'utilise en mode args dans mes playbook.

Ouais je sais pas pourquoi je montais mon fichier traefik.toml sur / et du coup acme.json au meme niveau.
J'arrive meme pas a retrouver sur quoi je me suis basé pour en arriver là
Là j'ai tout remis dans /etc/traefik et un volume derrière.
Par contre du coup j'ai voulu migrer en v2 et plus j'avance dans la doc plus je pige plus rien a ce que je fais je vais garder ça pour un autre jour

Hello,
 
C'est possible de dockeriser un serveur dhcp + dns perso? J'ai bien vu qu'on peut le faire pour un serveur web mais pour dhcp et dns ça vaudrait peut-être le coup.

pihole c'est à la mode

Ca serait plus pour tester en vm pour le moment.

Pi-Hole est installable aussi bien en bare-metal qu'en VM qu'en conteneur

Je vais voir ça de plus prêt alors.

Après ça dépend aussi de ce que tu attends en terme de serveur DNS et/ou DHCP en terme de configuration

Les pros, j'aurais besoin de votre aide.
J'essaie de faire un container pour un binaire maison qui a besoin de 2 trucs supplémentaires.
 
Lorsque je lance le build tout va bien, je vois bien que les yum install ce sont bien passés, mais dans le container mon binaire ne voit pas les libs qui devraient être installées...
 
Vu que tout ça est encore très frais, je ne sais pas si j'ai fait des conneries...
Et si mon machin se trouve sur EPEL, je peux installer epel-release?
 
 
Merci pour vos éclaircissements

Sans ton Dockerfile ou la sortie du docker build, c'est un peu difficile de t'aider

Tout de suite, genre il vous faut des informations pour m'aider    
 
Mes excuses, dans la précipitation j'ai oublié la sortie. Mais entre temps j'ai relancé un build, et cette fois ci tout est bien là où ça devrait être... Va comprendre  

pas besoin de comprendre quand ca tombe en marche

Ben ça me chafouine toujours quand ça marche mais que je sais pas pourquoi. C'est une déformation professionnelle

Bon, c'est l'occasion de tester vos compétences et d'étaler mon ignorance. J'ai actuellement une appli hyper simple que je souhaite migrer + sécuriser :  
 
- 1 domaine chez OVH  qu'on va nommer dafunk.fr
- 1 Serveur mutualisé sur lequel j'ai deux sites web 100% HTML/JS : http://dafunk.fr/rep1 et http://dafunk.fr/rep2 , et un site avec un soupçon de php et contrôle d'accès basic auth : http://dafunk.fr/rep3 dont on ne parlera pas par facilité.
 
Jusque là c'est hyper simple, pas de sql ni rien. Sauf que je viens de résilier le mutualisé et je souhaite maintenir ce service via mon serveur privé. Je voudrais d'ici mi décembre :  
 
1- Rapatrier toutes les données des trois sites web du mutualisé sur le stockage de mon host proxmox (il y a qq go)
2- Mettre en place un lamp dans un docker en faisant pointer son ~/.docker/www vers le stockage de mon host proxmox du point 1. Docker est dans une VM Debian de proxmox.  
3- Gérer le routage vers rep1 et rep2 depuis le wan grâce à traeffik (filtre  "traefik.frontend.rule=Pathrep2/" ), et transformer le HTTP en HTTPS par la même occasion.
4- Sécuriser l'accès à rep1 avec une authentification 1 et rep2 avec une authentification 2
5- Eviter de faire de mon serveur privé une passoire à partir du moment où mon DNS dafunk.fr pointera dessus.
 
Voici les points sur lesquels le doute m'habite :  
 
2 - J'ai trouvé ce tuto pour mettre un lamp sur docker, sauf que je ne maîtrise pas encore docker ni linux ni les VM, je ne sais pas comment pointer sur un stockage du host. https://doc.ubuntu-fr.org/docker_lamp
 
4 - Pour la sécurisation, je voudrais mettre un login/mdp sur rep1 et un autre sur rep2. Je sais que c'est hyper simple avec un fichier .htpwd dans chaque rép, seulement j'aurais aimé que ce soit en amont du conteneur LAMP, j'ai donc pensé à un mécanisme centralisé et bien intégré à traefik : keycloack. Le problème c'est que je ne suis pas sûr que ce soit un mécanisme adapté pour une authentification simple comme je veux. Je pourrais aussi utiliser le basic auth dans traefik mais ce qui m'agace c'est la fenêtre de login qui poppe à chaque réouverture de la page. J'ai trouvé un tuto très détaillé sur l'utilisation de docker + keycloack :
https://github.com/ibuetler/docker- [...] k-workshop
 
5 - J'ai mes serveurs derrière un firewall sophos, mais je crains qu'avec les poupées russes VM -> Docker ce soit compliqué de détecter une attaque type "authentification brute force" sur le LAMP.  
 
Vos conseils seront les bienvenus, surtout si je pars dans la mauvaise direction

Utiliser Keycloak pour faire une authentification simple, ce n'est pas la meilleur idée que tu puisses avoir, je te le confirme
C'est franchement overkill et c'est une usine à gaz.
N'importe quel navigateur devrait ne pas te redemander de t'authentifier à chaque requête, donc je vois pas le souci du basic auth si ça répond à ton besoin.

Je ne maîtrise absolument pas traeffik, mais pour le volume je peux te répondre (en espérant ne pas raconter de conneries):
Quand tu démarres ton container, il te suffit de monter un volume du host dans ton container avec l'option -v. J'avais fait un test lorsque je j'apprenais le biniou:

J'avais donc monté /volume/httpd/htdocs de mon host dans /usr/local/apache2/htdocs de mon container (pour qu'il retrouve les sites web) et pareil pour la conf.
De cette manière, tu as tes confs/sites qui sont persistants, et en cas de crash du container tu ne perds rien.

@e_esprit : Exact, je me suis trompé. Du coup est-ce que l'association de fail2ban + traeffik est une bonne approche?
@Iskor : merci beaucoup, par contre j'ai un second niveau de poupée russe, je veux monter le stockage du conteneur sur un stockage qui est dans le host de la VM qui héberge docker   . Par contre peux-tu virer la citation de mon post? Elle est inutile.
 
Dernière chose, kubernetes ou portainer pour l'admin des conteneurs?

fail2ban + traefik c'est pas vraiment la même chose que keycloak + traefik.
Tu veux faire quoi exactement ?
C'est si sensible que ça ce que tu héberges sur tes sites que tu veuilles mettre en place auth + fail2ban ?
 
En plus simple : tu faisais quoi/comment jusqu'à présent sur ton dédié ?
 
Pour Kubernetes, attends un peu de mieux maîtriser Docker

Kubernetes  

Je confirme, attends un peu de gérer Docker avant de partir sur K8S
J'ai pas compris ton post du coup. En fait tu as un Host qui héberge une VM qui fait tourner Docker, et tu veux monter un volume du host sur ton container dans la VM?

@e_esprit :  
 
"C'est si sensible que ça ce que tu héberges sur tes sites que tu veuilles mettre en place auth + fail2ban ? "
 
Bah c'est pas hyper sensible, c'est juste environ un millier de photos de "reportage" réparties sur une centaine de micro sites web. Mais c'est juste qu'on m'a bien expliqué que si on expose un service vers l'extérieur, alors il faut un fail2ban ou tout autre mécanisme empêchant l'utilisation d'une méthode brute force pour casser l'authentification. C'est ce que j'ai mis sur mon VPS et ça fonctionne très bien, par contre ici je dois le brancher sur traefik. Sur le mutualisé actuel il n'y a rien   . Mais si quelqu'un hacke mon serveur privé, j'ai plus de choses à perdre.
 
   
 
@IsKor : Exactement, tu as bien compris mon besoin. Je veux que le serveur web du conteneur s'appuie sur un stockage qui est sur le host de la VM qui héberge docker  

On t'a pas expliqué que ce qu'on met en place doit être en adéquation avec la sensibilité de ce qu'on cherche à protéger ?
Genre :
- si ça fuite, quel coût cela aura
- est-ce que des gens vont spécifiquement cibler ton truc pour récupérer les données qui sont dessus ?
 
Parce qu'un mot de passe de qualité fera le job.

Euh, basic auth porte bien son nom, c'est comme le WEP pour le wifi, c'est une invitation à entrer.

Je ne suis pas d'accord
Les attaques "tout-venant" réalisées par un bot ne testeront que les user/pass les plus classiques (ceux par défaut des équipements/softs).
Une attaque de plus grande envergue nécessite des ressources (ça prend du temps, et donc de l'argent), et ne se font pas au hasard. Ce sera forcément ciblé.
Et quand c'est ciblé, en général le premier maillon faible c'est un utilisateur, que tu appelles en te faisant passer pour un technicien qui a besoin de son mot de passe.
 
Après c'est très bien de sécuriser plus, mais ce que je veux dire c'est que dans ton cas, commence par faire un truc simple, et complexifie ton truc après quand tu seras à l'aise avec le truc simple
 

Bon après il faut quand même savoir que fail2ban c'est une  petite moulinette assez simple et efficace.

 
 
C'est juste pour mon lab. J'ai appris à mettre en place un serveur dns et dhcp et je me suis dit que les mettre sous docker ce serait pas mal.

Alors dans ce cas là, ton système de virtu doit avoir le moyen de partager un dossier entre ton host et ta VM. Il suffit que tu monte ce répertoire dans ton container et tu auras accès!
 
 

 
Je confirme. Pour avoir géré quelques serveurs web en prod, les attaques se font sur des chemins et des users qui sont en général les trucs par défaut. Si tu mets par exemple un phppgadmin sur un chemin différent, les bots ne cherchent même pas à savoir

Pour la sécurisation de l'accès, je ne jure plus que par oauth2_proxy. Un exemple de mise en oeuvre :
https://github.com/grostim/portaine [...] r/h5ai.yml

Par ta faute, j'ai creusé un peu plus sur named volumes VS bind mount
 
J'ai été assez emballé par tes arguments, donc j'ai pris le pli named volume pour un petit projet en cours.
Je cependant tombe sur une limitation qui n'est pas bloquante, mais qui énerve quand même : la syntaxe de configuration des drivers ne prend en charge que les chemins absolus (en tout cas dans Compose).
https://github.com/docker/compose/issues/6343
 
J'ai l'habitude de faire vivre mes données dans des sous répertoires accolés au fichier Compose et là ce n'est pas possible sans tricher un peu (à coup de variable d'environnement $PWD). C'est pas portable (pas un problème dans le cas présent), mais ça fonctionne.
 
Mes deux centimes dans le débat.

Moi j'utilise des named volumes justement pour ne pas avoir à dire à Docker où il doit les trouver/stocker.

Toujours named volumes, comment je map un fichier unique dessus ?
La doc est vraiment pas claire et les tickets me laissent à penser que c'est pas utile.
Je veux juste l'équivalent à

Sous Compose, j'ai un 'source is not directory' (logique, sauf que je ne trouve pas la bonne syntaxe).

Pense pas que ça soit possible en dehors de mettre le full path /var/lib/docker/volume/foo/_data/bar.txt

Avec compose et swarm tu peux utiliser les configs :
 
https://docs.docker.com/compose/compose-file/
https://docs.docker.com/engine/swarm/configs/
 
Dans compose par exemple :
 

+1 pour @LOL POLARISE

Yen a qui ont fait un dashboard sur grafana pour le monitoring? Visiblement il faut utiliser telegraf pour collecter les données, par contre j'ai pas encore bien compris comment brancher telegraf sur docker.  
 
Voilà le tableau de board qui me plait : https://grafana.com/grafana/dashboards/10585
 
ça parle de endpoint = "unix:///var/run/docker.sock"
Sauf que mon telegraf est sur une autre machine. Dans un un autre tutp ça parle d'une méthode de connexion par tcp :  
 
To use TCP, set endpoint = "tcp://[ip]:[port]"
 
Et j'ai trouvé une doc qui explique comment ouvrir un port tcp d'écoute sur docker.
 
https://docs.docker.com/engine/refe [...] e/dockerd/
 
 

Telegraf tourne sur l’hôte à monitorer, tu dois le configurer pour envoyer les donnés dans une base influxdb. Et Grafana va lire la base influx.
Après il y a pleins de variantes surtout avec Prometheus.

J'ai déjà le trio influxdb telegraf grafana sur un serveur. Même si ce n'est pas la seule méthode possible, je peux me contenter de demander à mon télégraf existant de collecter les données  via l'api docker en TCP.

Je comprends pas ton problème    
Un vieux fichier de conf si ça aide

 
Et le telegraf.conf
 

 
Là j'envoi vers le influxdb hébergé sur 192.168.1.64
 

Perso j'utilise prometheus sur mes swarm, ça se configure tout seul avec un truc inspiré de https://github.com/stefanprodan/swarmprom ; je te laisse fouiller, mais je pense que telegraf ça doit pas être loin.
 
Le but est que l'outil qui connecte les métriques ait accès à la socket docker comme dd_pak te montre ; si il n'est pas sur le même hôte, alors normalement tu peux rendre visible le port correspondant vers l'extérieur, mais attention à faire ça bien parce que ça peut poser un gros soucis de sécurité.

@dd_pak : Merci, je fais une pause pour ce soir avec l'erreur :
 
no outputs found, did you provide a valid config file
 
alors que j'ai bien le même block outputs que toi, adapté à mon serveur infuxdb.

L'indentation à mon avis