Reprise du message précédent :

Kubernetes avec le bon CSI pour accéder à tes volumes iSCSI. Affinité/anti-affinité grace à des labels et roule ma poule.
Bon evidemment, plus facile à dire qu'à faire. Mais c'est un bon cas pour ça oui.

 
 
Des utilisateurs de inbucket ?
 
Ou auriez vous une alternative à me proposer ?  
 
 

J''avais cru comprendre que des trucs comme kubernetes permettait de migrer la charge en ccours

Pas sur la partie d'exécution de charge spécifique ?

 
CSI ?
 
 
 
 
Merci à vous !

On dirait un truc de mail ?
 
Quel est le besoin ?
Pourquoi sur docker ?

Si ça tombe pour une raison x ou y, ça partira ailleurs (voire sur la même machine si elle est toujours éligible), mais pas de migration live non.

Pour la migration live si c'est le besoin, regarde kasten

Ca detruit le pod et le relance ailleurs. C'est pas de la live-migration façon VM

Container Storage Interface, en gros le driver qui fait l'interface entre ton stockage et tes containers.

Bonjour,

j'ai une question par rapport à Docker mais pas que. J'ai un VPS sur lequel j'ai installé Debian 12. J'ai installé Docker et j'ai créé un conteneur avec une distro Kali Linux pour mener des tests d'intrusion (dans un contexte légal, je précise ).

Une fois kali lancé via mon conteneur, j'ai installé le package kali-linux-large pour avoir tous les outils nécessaires mais j'ai un souci avec Nmap.

J'ai lancé mon conteneur et une fois sur kali, j'ai saisi la commande suivante pour vérifier que tout marche (je suis en root) :

Sauf que ça me renvoie l'erreur suivante :

J'ai testé d'autres outils qui fonctionnent sans soucis du coup je ne comprends pas ce qui pose souci, peut-être une question d'autorisation de ports. Si quelqu'un a une idée pou solutionner mon problème, je suis preneur.

Je précise que je n'ai pas utilisé de Dockerfile pour mon conteneur.

Merci par avance !

docker run --cap-add NET_ADMIN .... peut être ?

Effectivement, ça a bien résolu mon souci

Hello je vais me monter un Linux (Debian ou Ubuntu) sur lequel j'aurais de la virtu et du Docker. Vous me conseillez de mettre Docker directement sur l'host ou plutôt en VM ? Merci

bonjour à tous
 
Je fais differents tests de reverse proxy :  
 
npm : simple mais je n'ai pas encore réussi à faire tout ce que je veux
swag : bien mais configuration de mise à jour un peu plus compliquée
 
 
J'essaie depuis plusieurs jours et de multiples essais d'installer traefik avec OVH, mais à priori il me manque plein de notions
 
J'ai reussi avec http challenge mais je n'arrive pas avec un DNS challenge, j'ai un message d'erreur:
 

mon materiel :  
 
IP fixe chez free
udm Pro d'unifi avec blocage d'ip en dehors de la france
un serveur de test avec proxmox et dont une VM linux 12 dédiée aux essais de docker : IP : 10.0.1.105
un adguard home en prod sur un autre serveur (de prod donc) en macvlan. IP: 10.0.1.100
vaulwarden (prod)
un lxc nextcloud (prod)
etc …
 
En nom de domaine pour l'instant, je suis avec duckdns, mais j'ai acheté un nom de domaine ovh: blabla.ovh
 
 
il y a bien plusieurs tuto youtube (par exemple technotim pour la V3 de traefik) mais avec cloudflare mais je n'ai rien trouvé avec OVH.
 
j'ai trouvé d'autres tuto sur ovh en vrac sur le net :
 
https://martinsamouiller.com/projects/1_traefik/
 
https://web.archive.org/web/2023020 [...] lenge-ovh/
 
J ai regardé sur les forums d'ovh, traefik, ….
 
J'ai arreté les differents services type : adguardhome,vaultwarden, duckdns,npm car sinon il prend en compte ces certificats
 
pour le http challenge : Succes
- arret de geoblocage par l'udm (sinon pas de letsencrypt)
- sur l' UDM : ports 80 et 443 ouvert vers l'ip de serveur docker avec traefik en TCP
- sur OVH : blabla.ovh.     type A     vers mon ip fixe
                   whoami.blabla.ovh  type A vers mon ip fixe
- reseau docker nommé proxy pour traefik
 
DNS challenge : Echec
 
J'ai suivi la doc officielle de traefik  pour le DNS challenge
 
https://doc.traefik.io/traefik/user [...] /acme-dns/
 
et la liste des providers dont OVH
https://doc.traefik.io/traefik/https/acme/#providers
 
Cependant, je vois  qu'il faut OVH_CLIENT_ID, OVH_CLIENT_SECRET. mais qui n'apparait pas dans le doc officielle, ni les tutos.
 
J'ai bien crée les apikey chez ovh dans un premier temps pour un jour et je fais mes tests avec acme-staging pour letsencrypt:
 
GET /domain/zone/blabla.ovh
PUT /domain/zone/blabla.ovh
POST /domain/zone/blabla.ovh
DELETE /domain/zone/blabla.ovh/record
 
J'ai fait des essais avec adguardhome en configurant la réecriture de DNS :
whoami.blabla.ovh vers IP docker :10.0.1.105
 
Dois je changer des choses sur OVH, dans le forward du routeur ?
 
Si je comprends bien, le message d'erreur, ce serait lié à l apikey ?

 
 
 
Bref vous l'aurez compris, à force d'essais et d'echecs, j en appelle aux pouvoirs du forum HFR pour m'aiguiller et m'indiquer les erreurs et notions que je n'ai pas.
 
Sinon, je prends la solution de facilité et je prends un nom de domaine chez cloudflare ….. et utiliser pihole
 
 
dernier essai de docker-compose.yml
 

 
En vous remerciant.

C’est quoi ne fonctionne  pas avec NPM ?
 
Perso j’utilise swag mais une interface graphique pour faire les modifications seraient un gros plus pour moi donc j’envisagerai NPM…

Salut
 
j'ai fait ça il y a un moment et je ne me souviens pas avoir trop galérer en suivant des indications en ligne mais je n'ai pas gardé de notes.
 
J'utilise une stack portainer pour gérér traefik
 
Voila un bout de ma conf

 
Et voila la partie resolver de la conf de traefik (traefik.toml)

J'ai retrouvé un lien que j'avais utilisé
https://medium.com/nephely/configur [...] 37670c0434

merci pour l'ensemble de vos reponses :  
 
@MilesTEG1 : je souhaitais integrer crowdsec à npm(mais je n'ai pas reussi a utiliser le npm moddé donc pour l'instant j'ai fail2ban en suivant le tuto de tontonjo)
mais à terme je souhaite un module geoip comme dans swag
 
@the_fireba ll
c'est un tuto que j'ai vu mais l'interface des api key n'est plus d'actualité et c'est avec traefik v2 , comme a terme il ne sera plus maintenu. je souhaite prendre tout de suite la V3.
 
 
J'essaye de procéder etape par étape afin d'en comprendre le raisonnement.
 
Donc quelques questions concernant OVH en DNS challenge :  
 
1) faut il bien indiquer un sous domaine de type A vers mon ip publique ? (notions que je ne maitrise pas pour l'instant)
 
whoami.blabla.ovh type A  80.80.80.80
 
a priori la wildcard n'est pas possible et n'est pas conseillée
 
2) comment puis je savoir si mon apikey est valide ? (car à priori, c'est ici que cela bloque)
 
dois je faire la manip indiquée dans ton tuto au sein de mon docker ? (la; je seche)
 

 
Et je ne comprends pas l histoire de la console API
 
3) vous n'avez pas de pihole ou adguard chez vous ?
 
 
Donc
si je suis la doc officielle de traekik, la premiere version serait :  
 

 
avec les modifications pour un reseau dédié.
 
Bref, vous l'aurez compris. je tatonne.
 
A terme, je voudrais un reverse proxy avec geoip, crowdsec, authelia (deja tester avec swag) ou authentik
 
 
merci encore

 
Je reviens vers vous car j'ai tout repris de zero
 
challenge http : ok (je ne retrouvais pas mes notes ..j avais oublié de retirer mon geoip sur l' udm ...)
 
Je passe donc au challenge DNS
 
@the_fireball
 
qq questions :
 
1)peux tu me confirmer que pour ovh , il faut mettre :
 
- a)essai1.blabla.ovh. type CNAME. blabla.ovh (comme indiquer https://martinsamouiller.com/projects/1_traefik/)
 
j'ai trouvé un autre tuto :  
https://www.scrample.xyz/traefik-avec-support-https/
 
aurais tu une capture d'ecran de ton tableau ovh en zone DNS ?
 
il y a forcement un truc que je ne fais pas bien ou pas du tout
 
merci d'avance
 

J'ai un enregistrement de type A qui associe mon nom de domaine avec mon IP
 
Et après, en effet, je n'ai que des CNAME vers cet enregistrement

salut

hello
 
 
bien j avance un peu avec mon histoire de traefik
 
j ai donc acheté un nom de domaine sur cloudflare afin de suivre différents tutos pour identifier le pbl avec ma config actuelle
dont celui de technotim
 
ca ne fonctionne pas non plus ... en DNS challenge
 
Cependant, je pense avoir identifier le pbl : Adguardhome (qui en plus est en macvlan et est sur une autre machine chez moi derriere un UDM pro)
 
je vais donc tout reprendre à zero en utilisant pihole sur la meme machine.
 
la suite au prochain episode (ou pas   )

Si tu utilises un DNS local peut faire foirer le DNS challenge
 
C'est pour ça que je t'ai montré ce bout de conf traefik
 

 
Ca indique à traefik d'utiliser ces deux DNS pour valider le dns challenge et pas celui par défaut de ton container qui doit être ton adguard

merci pour ta reponse mais j'ai bien la meme config dans mon traefik.yml. ici avec le nom de domaine cloudflare
 

 
d'ailleurs, si je ne remplis la réecriture des dns dans adguardhome, jai un message d'errreur ....
 
je soupçonne aussi la config sur UDM. avec qq recherches :
ici pour pour pihole : https://www.youtube.com/watch?v=m4UexfK8RIE
 
pour adguard :
https://gist.github.com/diyfr/e115a [...] 4d578b111f
https://ae3.ch/adguard-home-docker- [...] d-traefik/
 
bref comme je m'eparpille , je tente plusieurs choses ....
 
 
Bon je crois que je vais rester en http challenge comme ici :
https://www.youtube.com/watch?v=dsar1z4xD0A&t=583s
 
avec crowdsec, etc ...
 
il faudra que je tente les plugins de traefik.
 
merci pour ton temps
 
 

Bizarre.
 
Ton adguard ou UDM ne devraient rien avoir à faire la dedans. Traefik va faire une appel API à cloudflare pour créer un enregistrement dans la zone DNS et après il va utiliser un des deux resolvers pour vérifier l'enregistrement qu'il vient de créer.
 
Si tu passes bien les deux variables nécessaires (CLOUDFLARE_EMAIL, CLOUDFLARE_API_KEY - The Global API Key needs to be used, not the Origin CA Key), tu ne devrais pas avoir de problèmes.
 
Tu as regardé les logs pour savoir où ça rate ?

Ca sent le problème d'ICC

Sûrement
 
Je ne dois pas avoir les compétences ou ne pas savoir lire
 
je n'utilise pas l apikey mais l api token comme ici :  
 
https://www.youtube.com/watch?v=n1vOfdz5Nm8&t=260s. (à 17:02)
 
ou  
 
https://www.youtube.com/watch?v=KMZIyoZ3jWM&t=523s (à 7:21)
 
 
le prérequis est d'avoir un dns resolver local (souvent pihole):
https://www.youtube.com/watch?v=n1vOfdz5Nm8&t=260s (à 2:50)
 
 
je transpose donc chez moi soit UDM, soit adguardhome
 
je viens faire la MAJ sur l'udm qui permet de faire cela :
https://www.youtube.com/watch?v=H0_ctbCm2r8&t=645s
 
rappel :
 
adguardhome en macvlan sur une autre machine : 10.0.1.100. (qui est en DNS principal sur tous les vlan)
traefik et des services de tests sur : 10.0.1.102
 
essai avec configuration sur udm et rien sur adguardhome
 
root@debtestFANsrv/dd2/docker_data/traefik# nslookup traefik-dashboard.local.blabla.com
;; communications error to 10.0.1.100#53: timed out
;; communications error to 10.0.1.100#53: timed out
;; communications error to 10.0.1.100#53: timed out
Server:  1.1.1.1
Address: 1.1.1.1#53
 
** server can't find traefik-dashboard.local.blabla.com: NXDOMAIN
 
===> page introuvable sur navigateur
 
essai sans configuration sur l'udm et configuration réécriture des dns dans adguardhome :
 
root@debtestFANsrv/dd2/docker_data/traefik# nslookup traefik-dashboard.local.blabla.com
Server:  10.0.1.100
Address: 10.0.1.100#53
 
Non-authoritative answer:
Name: traefik-dashboard.local.blabla.com
Address: 10.0.1.102
 
 
par contre toujours pas de page accessible
 
 
root@debtestFANsrv/dd2/docker_data/traefik# docker logs traefik.  pas de message d'erreur
 
je pense donc qu'il faut configurer autre chose (adguardhome et traefik pour prendre en compte le port53)
 
je vais regarder les videos sur l'udm ( car je vois des notions que je ne connais pas)
 
https://www.youtube.com/@hz777/videos
 
mise en place de pihole en macvlan 10.0.1.100
root@debtestFANsrv/dd2/docker_data/traefik# nslookup privatebin.local.blabla.com
Server:  10.0.1.100
Address: 10.0.1.100#53
 
privatebin.local.blabla.com canonical name = debtestfan.
Name: debtestfan
Address: 10.0.1.102
 
root@debtestFANsrv/dd2/docker_data/traefik# nslookup traefik-dashboard.local.blabla.com
Server:  10.0.1.100
Address: 10.0.1.100#53
 
traefik-dashboard.local.blabla.com canonical name = debtestfan.
Name: debtestfan
Address: 10.0.1.102
 
config comme ici pour pihole :
https://www.youtube.com/watch?v=m4UexfK8RIE&t=333s
 
Echec.
 
Je laisse tomber le dns challenge pour l'instant .
 
je repasse en challenge http.
 
merci @the_fireball. d'avoir pris sur son temps

D'après la doc Traefik, avec le provider Cloudflare tu as besoin de ces variables : CLOUDFLARE_EMAIL et CLOUDFLARE_API_KEY.
 
J'utilise le provider OVH et le challenge DNS depuis quelques années, pas de soucis pour générer un certificat wildcard.
 

A titre perso je suis en train de remplacer Authelia par Authentik, et au boulot j'envisage de remplacer Keycloak par Authentik

Connais pas, c'est cool ce authentic ?
J'ai pas mal de keycloak aussi et parfois j'ai envie de les virer

Je le trouve plus intéressant que Keycloak, car en plus d'OpenID Connect / SAML, il fait reverse proxy, délégation d'authentification depuis un reverse proxy, LDAP (pour une appli qui ne gère que ça), Radius, etc.
 
Leur doc est super bien faire, avec des exemples pour des dizaines d'applis (GitLab, Harbor, MinIO, HashiCorp Vault, Netbox, AWX, ArgoCD, etc.) : https://docs.goauthentik.io/integrations/
 
La version open source est suffisante, et si tu veux faire du RDP / SSH / VNC, la licence est vraiment pas chère.

6k€ de licence annuel quand même
Mais je vais regarde un peu cette version open source

CVE-2024-41110 ... notée 9.9 / 10

Il faut mettre vos versions docker à jour.
Actuellement, seul le dépôt officiel dispose de la version corrigée 27.1.1

Les instructions de migration / installation : https://docs.docker.com/engine/install/

Sait-on quelles versions sont concernées ?

En tout cas je viens de mettre à jours mes VM Docker ^^

Mais quid des versions de docker sur mes NAS ?

Sur mon Syno c'est : Docker version 20.10.23, build 876964a
Sur mon Asustor c'est : Docker version 25.0.5, build 5dc9bcc

Plein de détails là :  
https://www.cyberveille-sante.gouv. [...] 2024-07-24

Ca semble un peu restreint quand même : https://www.docker.com/blog/docker- [...] hz-plugin/

Tant que vos (démons) Docker sont pas exposés via TCP vous avez rien à craindre.

Si ils sont exposés, tant que c'est sur un réseau local contrôlé (pas ouvert à tout vent), pas de panique non plus.

Si ils sont exposés sur Internet, vous l'avez bien cherché

EDIT : je parle bien de l'API du démon Docker, pas de ce que vous lancez avec

 
qui fait ça

Tu as pas idée  
Comme l'API server de k8s

J’ai même vu des clients faire tourner des ESXi chez OVH et les exposer sans whitelist

Merci Fred    
 
Je n’expose pas le démon tcp ouf    mais j’ai quand même fait la mise à jour  

Salut par ici,  
Y-a-t'il des utilisateurs de Frigate avec des caméras Reolink ?
J'aurais besoin d'aide.
Les flux vidéos que je récupère via rstp, ne sont pas stable, et ça saute très/trop fréquemment. Ou bien ça met des plombes à s'afficher en grand quand je clique sur une caméra.

Hello l'élite,

Je suis un noob en Docker et j'avais un Portainer qui tournait tranquillement avec quelques containers. J'ai décidé de passer à Traefik et à créer un fichier docker-compose pour faire ça proprement mais lors de démarrage j'avais perdu la conf... J'ai lu que je devais modifier mon docker-compose.yml en ajoutant la ligne suivante :

et effectivement j'ai tout récupéré...

C'est standard de devoir ajouter ce paramètre ?

Sinon, niveau sécu maintenant j'accède à mon Portainer directement en HTTPS donc plus de port à ajouter mais ça m'embête un peu d'exposer le dashboard depuis mon sous-domaine (le host est un VPS et j'ai créer un enregistrement DNS pour faire pointer un sous-domaine vers l'IP du VPS) mais y-a-t-il des bonnes pratiques ou des solutions pour corriger ça ? Utiliser un port random ?

Ca dépend de comment tu gères tes container, si tu veux séparer les données ou pas, où tu veux les mettre, etc.
 
Un bout de ma stack traefik dans portainer (portainer n'est pas géré par traefik, j'y accède en spécifiant le port et il n'est pas accessible via le net)
 

Je passe aussi pas mal de variables d'environnement pour la partie let's encrpypt et ovh
 
Pour le dashboard traefik, tu l'as bien protégé par un mot de passe au moins ?