Schon wieder ein Jahr weiter, ohne das ich dazu komme meine Gedanken und Erfahrungen aufzuschreiben.
Und alles wieder neu gemacht. Nach einem Jahr eine Proxmox Server im Internet zu öffnen, mit PfSense virtuelle Netzwerke gebaut und per Firewall geschützt hat mich insgesamt viel weiter gebracht, dann umdenken:
Warum?
Ziel war es, alles was man mit Proxmox aufgebaut hat, auch mit Docker umsetzen zu können. Kubernetes oder Docker Swarm war dabei nicht das Ziel, wohl aber gute Datensicherung und ein schnelles zurückspielen aller Konfigurationen und Einstellungen.
In dem Jahr habe ich gelernt, das man überhaupt nicht soo viel Ressourcen benötigt wie man zuerst denkt, auch merkt man das Docker dieses Szenario richtig gut verwalten kann.
Das von mir zuvor über PfSense erstellte Wireguard Mesh Tunnel Netz wurde dabei ausgetauscht, da Unifi mit einer neuen Firmware nun auch Wireguard Clienten erstellen lässt.
Somit waren die Aufgaben als erstes:
Neben dem Baremetal Server von Hetzner einen kleineren weiteren erstellen.
- Dort Docker drauf, natürlich mit Portainer BE zur besseren Verwaltung und Anzeige der Container
- wochenlanges ausprobieren mit Wireguard um ein Meshnetzwerk zwischen 3 Haushalten und 5 Servern im Internet zu erstellen, insbesondere das nahtlose Routing zwischen der ganzen Server, der einheitliche Aufbau der Netzwerke mit einem local DNS Server, dem korrektem Routing der Netzwerkdaten und des Internet. Alle Server wurden dabei komplett vom Internet getrennt. Dann Zugänge erstellen für den Wireguard Zugang mit mobilen Geräten, dem Nutzen der IP4 meiner VPS um externe Ports intern zum Ziel zu bringen und den entsprechenden Firewall Regeln.
- Komplett neues System für die SSL Verschlüsselung, also anstatt das bisherige Cloudflare mit eigenen 2FA Servern wurde alles auf Traefik umgestellt, ideal für Docke, aber mir völlig unbekannt. Große Aufgabe.
- Umstellung der Docker-Compose Verwaltung mit eigener Dateistruktur, Umstellung von Docker Volumes auf Datenverzeichnisse, eigenen Enviroment Dateien zu den einzelnen Docker, eigener Secret Verwaltung für Passwörter und ganz wichtig, ein Docker-Compose der initial alle Netzwerke erstellt, die Secrets definiert, Variablen einbindet und von dort aus alle Docker aus dieser Datei startet.
- Momentan laufen auf meinem Docker über 75 Docker reibungslos, mit Labels wir der Reverse Proxy definiert, der automatische Restart geregelt oder die Hompage übersichtseite gesteuert -> https://homepage.jansen-server.de/
- Für diejenigen welche auch so ein Setup suchen, empfehle ich die Webseite: https://www.smarthomebeginner.com/ -> diese hat mich sehr viel weiter gebracht
- Trefik kümmert sich um die Wildcard Zertifikate und weiterleitungen, auch kümmert sie sich um den 2FA Zugang um meine privaten Server zu schützen.
- Um die Steuerung zu automatisieren wird alles über Github verändert und dort revisioniert gespeichert. Von meinem früherem Setup, alle Server über einen Skriptserver zu pflegen, bin ich weg gegangen und habe mich in Ansible eingearbeitet. Auch Ansible wird über GitHub gepflegt und gesteuert. Der Github Server richtet neue Server initial ein, kümmert sich um die Pflege der Server mit neuer Software oder Einstellungen und kümmert sich um Updates. Regelmäßig stösst dieser auch auf den Clients den Github Pull aus und startet evtl. Skripte lokal auf den Servern.
- Wie immer habe ich nicht viel dokumentiert, habe aber angefangen einen public GitHub aufzusetzen wo ich Anleitungen festhalte. Auf Grund der schnellen Veränderung ist auch hier nicht alles aktuell, aber insbesondere das Thema Wireguard habe ich hier ausführlich beschrieben: https://github.com/uboot21/workspace
- Noch bin ich vieles am testen und verändere ständig mein Setup um es besser zu machen. Wenn ich ein Thema aber durchhabe, gebe ich es hier auch bekannt.
Nach der erfolgreichen Umstellung und wochenlanges „Üben“ und „Lernen“ hat alles funktioniert, schrittweiser Rückbau des Hetzner Proxmox Servers, nun läuft nur noch der Docker Server.
Unifi Wireguard Tunnel Setup:
https://github.com/uboot21/workspace/blob/master/1_Infrastruktur/7_Unifi_Wireguard_Tunnel/README.md
Wireguard Externer Zugang mit Weboberfläche:
https://github.com/uboot21/workspace/blob/master/3_Server/PortainerStacks/firezone/README.MD