Ммм.. Вообще-то докер примерно это же и делает, только ещё cgroups использует, чтобы ещё больше всех порезать.
Докер запущенный демоном от рута не является безопасным и побег из контейнера ни кто не отменял, тогда нужно использовать rootless инсталляцию, и уже тогда резать сеть, права на volume. Acme так же выносить в отдельного пользователя, как в офф инструкции, добавлять его в группы haproxy, docker, ocserv для обновления сертификатов, раздавать права на директории где лежат сертификаты для того что бы acme мог обновить сертификаты, и права на перезапуск ocserv.
В вашем случае, вероятнее всего, нужно убрать `network_mode: host` и порт указать как 127.0.0.1:54321:54321 , поскольку вы его проксируете.
Порт в панели после меняется. 54321 только при первом запуске.
В целом это тоже самое если выбрать инсталляцию amnezia на сервер, вы даете приложению root доступ к серверу и пользуетесь готовым продуктом.
Я использовал базовый docker compose файл разработчика панели, в том виде в котором пользователь увидит его на github. Больше скажу, я не использую докер в своих инсталляциях, я использую пользователей с ограниченным набором прав под каждый сервис, это сложнее и дольше в настройке, AdGuardHome например не желает обновляться встроенными механизмами.
У меня ssh висит на 443 вместе с обратным прокси, кроме 80 и 443 других портов нет, авторизация по ed25519, и rsa на токене с системой, перезагрузился с неизменяемой флешки в режиме ro, делаешь работу в защищеной среде.
Я прячу все за обратный прокси, и блочу по спискам, или белым или чёрным, от сервиса зависит, или задачи, например по geoip, для РФ открыт доступ на 443 порт а остальным нет. Для 80 порта открыт доступ для Европы и США для запросов LE. С geoip есть конечно сложности бывает что сеть не присутствует в листах, тогда добавляется вручную.
В моем случае проксирование rdp, развёрнута ферма rds, в качестве балансировки haproxy. С haproxy уже работаю продолжительное время я уже понимаю чего ожидать от той или иной конфигурации. Да и получать сертификаты deploy методом удобно, и главное маршрутизация по пути, единственное не смог заставить работать adguardhome панель таким образом doh работает уже хорошо
Ни кто не приглашал) сделал аккаунт что бы написать статью, а если будет отклик начну делиться и другими моментами. Идея возникла на фоне последнего замедления видеохостинга...
Была подобная идея, у меня есть домены, есть wildcard, что бы не создавать поддомен с записью я решил это публичным adguardhome с dot и doh, в целом меня устраивает, сам домен ни как не резолвится если не подключиться по dot или doh. Меня такой вариант устроил, а за дополнительные какие то моменты отвечает unbound, он на связи с корневыми dns, скрипт их регулярно обновляет, adguardhome стучится к нему за списком доменов. Хочу перенести все на pdns или bind но все ни как не уйду от unbound, руки не доходят.
Возможно, через upstream проксирую в другом проекте трафик Wialon IPS, на определенные ресурсы, EGTS так же через Haproxy, с ним у меня больше опыта, а сайты я кручу на apache за haproxy, сертификаты через deploy метод довольно легко и быстро. Через nginx не знаю возможно ли разобрать трафик по rfc, например тут только разобран только ssh, можно openvpn tcp так разобрать или socks, и другие. И я не уверен может ли nginx маршрутизировать sni в tcp.
Во всех моих конфигах много комментариев, что то просочилось и не удалил... Можно прибавить, а можно через скрипт собственно как я и делал, единственное уточнение, на armdebian community для orange pi zero 3 wstunnel почему то заставляет зависать систему, на rpi4 все ок...
Докер запущенный демоном от рута не является безопасным и побег из контейнера ни кто не отменял, тогда нужно использовать rootless инсталляцию, и уже тогда резать сеть, права на volume.
Acme так же выносить в отдельного пользователя, как в офф инструкции, добавлять его в группы haproxy, docker, ocserv для обновления сертификатов, раздавать права на директории где лежат сертификаты для того что бы acme мог обновить сертификаты, и права на перезапуск ocserv.
Порт в панели после меняется. 54321 только при первом запуске.
В целом это тоже самое если выбрать инсталляцию amnezia на сервер, вы даете приложению root доступ к серверу и пользуетесь готовым продуктом.
Я использовал базовый docker compose файл разработчика панели, в том виде в котором пользователь увидит его на github.
Больше скажу, я не использую докер в своих инсталляциях, я использую пользователей с ограниченным набором прав под каждый сервис, это сложнее и дольше в настройке, AdGuardHome например не желает обновляться встроенными механизмами.
У меня ssh висит на 443 вместе с обратным прокси, кроме 80 и 443 других портов нет, авторизация по ed25519, и rsa на токене с системой, перезагрузился с неизменяемой флешки в режиме ro, делаешь работу в защищеной среде.
Я прячу все за обратный прокси, и блочу по спискам, или белым или чёрным, от сервиса зависит, или задачи, например по geoip, для РФ открыт доступ на 443 порт а остальным нет. Для 80 порта открыт доступ для Европы и США для запросов LE. С geoip есть конечно сложности бывает что сеть не присутствует в листах, тогда добавляется вручную.
Наклейка это на сколько я помню старый метод, сейчас если конфигурация с виндой то там зашит ключ в uefi
Стоит добавить что электронный ключ действует не бессрочно в каком то смысле, поменяй железо в пк какое то количество раз и получи отказ в активации
В моем случае проксирование rdp, развёрнута ферма rds, в качестве балансировки haproxy. С haproxy уже работаю продолжительное время я уже понимаю чего ожидать от той или иной конфигурации. Да и получать сертификаты deploy методом удобно, и главное маршрутизация по пути, единственное не смог заставить работать adguardhome панель таким образом doh работает уже хорошо
Ни кто не приглашал) сделал аккаунт что бы написать статью, а если будет отклик начну делиться и другими моментами. Идея возникла на фоне последнего замедления видеохостинга...
Была подобная идея, у меня есть домены, есть wildcard, что бы не создавать поддомен с записью я решил это публичным adguardhome с dot и doh, в целом меня устраивает, сам домен ни как не резолвится если не подключиться по dot или doh. Меня такой вариант устроил, а за дополнительные какие то моменты отвечает unbound, он на связи с корневыми dns, скрипт их регулярно обновляет, adguardhome стучится к нему за списком доменов. Хочу перенести все на pdns или bind но все ни как не уйду от unbound, руки не доходят.
Пробовал sslh, но решил остановится на haproxy. И wstunnel можно запустить без прокси это в документации описано.
Возможно, через upstream проксирую в другом проекте трафик Wialon IPS, на определенные ресурсы, EGTS так же через Haproxy, с ним у меня больше опыта, а сайты я кручу на apache за haproxy, сертификаты через deploy метод довольно легко и быстро. Через nginx не знаю возможно ли разобрать трафик по rfc, например тут только разобран только ssh, можно openvpn tcp так разобрать или socks, и другие. И я не уверен может ли nginx маршрутизировать sni в tcp.
Во всех моих конфигах много комментариев, что то просочилось и не удалил...
Можно прибавить, а можно через скрипт собственно как я и делал, единственное уточнение, на armdebian community для orange pi zero 3 wstunnel почему то заставляет зависать систему, на rpi4 все ок...