Как стать автором
Обновить

Комментарии 29

Отличная статья с подробным разбором, спасибо!

Ачо, так можно было ?!)
P.S. -спасибо за отличный мануал.

Привет, хороший гайд для новичков и программистов! Я знаю откуда Вы, и для себя, вы можете просто вычеркнуть часть своего гайда упростив до соединения с CF конкретной VM по IPv6. Да и докер можно ставить командой с ходу

curl https://get.docker.com | sh

Так же CF дает свои неплохие сертификаты https://www.cloudflare.com/ssl/ Если вы интегрируетесь с CF, вместо летсенкрипта можете брать их.

По 'curl https://get.docker.com | sh' оно может 2-ю версию докера установить. А нужна, напр., 1-я.

Во-первых, при написании статьи я жил там, где нет покрытия.

Во-вторых, большая часть домашних роутеров не даёт возможность использовать global unicast адрес локальных устройств. То есть не получится упростить соединения без покупки enterprise-grade роутера или покупки и настройки своего роутера на pfsense каком-нибудь.

В третьих, просто так взять и подключить серты CF к CapRover не получится.

Времена сейчас такие, что мне вот, дешевле арендовать VPS, чем белый IP.

В каком месте Swarm протух? Может о чём не в курсе, но уже не один год пользуюсь Swarm без каких либо проблем. И искренни считаю, что в большинстве задач (без сложного цикла деплоя) он будет лучше кубера.

Как-то о серых IP я не подумал, да.

Swarm протух не потому, что он не удобен или не нужен, просто на его поддержку Mirantis положили большой и толстый болт. И я тоже считаю что если не рассматривать масштабы Enterprise, то кубер чаще всего это неоправдано сложная и неудобная технология.

Должно быть не совсем понятно изъяснилась. Я имею в виду, что Swarm просто работает. Да, он не так активно разрабатывается, как кубер, однако коммиты в репо появляются, заявлений о прекращении поддержки не было (или я таки пропустила). Для продакшена возможно и не стоит рассматривать Swarm из-за непонятных перспектив (хотя так-то года с 17го-18го на этих ваших реддитах вопят, что Swarm умер), но вот для себя или маленького краткосрочного коммерческого проекта, почему нет? Есть и удобная админка — Swarmpit, которая тоже "мертва", как сам Swarm, но ведь работает. И работает стабильно.

Понял что заблуждался насчёт Swarm'а.

В ноябре 2019 года Mirantis сказали, что Docker Swarm через два года перестанут поддерживать. Эта информация широко разлетелась по интернету.

Однако уже в феврале 2020 года они сказали что Swarm умирать не будет. Однако эта информация уже по интернетам не разлеталась.

Признаюсь честно, я был в лагере дизинформированных и был уверен что Swarm скоре мёртв, чем жив. Спасибо, что открыли глаза.

В том посте шла речь именно о Docker EE. Они в 21 году и дропнули Swarm PAAS. Т.е Mirantis больше не предоставляет облачный Swarm, однако сам по себе Swarm — часть докера.

Хотел было спросить, а не надо ли беспокоиться про то, что любой скучающий мамкин хацкер заинтересуется таким простым сервачком, затем решил молча пройти мимо.

Вопрос в целом хороший, но предполагается что сервер для домашнего использование, а поэтому используется метод Неуловимого Джо.

Но если без шуток, то повысить безопасность можно достаточно просто, хотя это понизит удобство. Wildcard-запись делаем для домена четвёртого уровня, то есть *.что-нибудь.мой.домен. Контейнерам же вручную прописываем записи DNS в CloudFlare (в случае DDNS поднимаем ещё один контейнер на уже конкретную запись, а для остальных контейнеров делаем CNAME записи на эту, с обновляющимся айпишником).

Ну то есть пример:

А запись *.что-нибудь.мой.домен айпишник сервера
А запись контейнер1.мой.домен айпишник сервера
CNAME запись контейнер2.мой.домен

При этом поднято внутри у нас будет минимум четыре контейнера - DDNS для Wildcard записи, Контейнер1, DDNS для Контейнера1 и Контейнер2.

CloudFlare не даст нашему мамкиному хакеру увидить IP за прокси, и вряд ли у мамкиного хакера есть нормальные возможности даже бесплатную защиту от DDoS пробить.

Но, по факту, любое открытие чего-либо во внешнюю сеть приводит к потенциальным уязвимостями, так что бдеть надо всегда.

Возможно стоит сделать 2ю статью о защите своего домашнего сервера. Лично мне всегда интересно читать как автор рассматривает несколько решений и приводит свои аргументы в пользу сделанного выбора

По поводу доменов на freenom, был у меня один, как раз из зоны .tk. Использовал для доступа к своим серверам по ssh. В один момент у меня его отобрали с причиной «Сайт недоступен» — там и правда никакого сайта не было, но никто и не предупреждал, что он должен быть.
Т.е. на freenom нужно понимать, что как дали домен, так и заберут. Если проект не совсем ненужный, то домены лучше покупать. Если не важно, в каком TLD домен, можно подобрать что-то с хорошей скидкой. Мне например после отжима домена на .tk — удалось купить домен в .stream за 60 центов в год на 10 лет (был такой AlpNames, обанкротился потом, но домен — жив, перешел к его преемнику и будет жить до 2026 года).
Прикол скидок на домены — в том, что ты на этом домене что-то развиваешь, потом приходит время продления — и вот тут-то регистратор начинает хотеть с тебя полную стоимость. Но как просто запоминающееся имя для домашних сервисов — вполне себе решение, закончится — пойду поищу новый задешево.

Если мне не изменяет память, у Freenom в правилах использования прописано, что должен быть сайт, причём раньше даже было условие про трафик от 50 посещений, как сейчас, не знаю. Однако это правда, Freenom может без объяснения причин отжать или просто не дать продлить домен. Также зарегистрированный бесплатный домен может забрать другой человек за деньги.

К слову, есть множество тредов, описывающих ситуации, когда пользователи ни в какую не могут взять домен, будет всегда писать, что домен занят или выкидывать ещё какую-нибудь ошибку. Кому-то какие-то пляски с бубном помогают, мне — нет. На работу антифрода тоже не похоже, продлить домен даёт.

Да, парковать бесплатные домены нельзя. Всякий "Under Construction" они могут забрать, если захотят. Требование о минимальном трафике, вроде бы, уже убрали. И, вообще, у них в ToS написано, что они могут сами принять решение когда угодно и какое угодно. Что совсем не редкость сейчас.

Также зарегистрированный бесплатный домен может забрать другой человек за деньги.

Не встречал такого. Мой бесплатный домен у них значится как "занят", купить не предлагают.

Есть ещё одна неочевидная подлость: Cloudflare не разрешает обновлять записи для доменов от Freenom через API. Только руками на сайте. Причём, это справедливо для всех их зон вне зависимости от платности домена.

И немного личного опыта с Freenom

Зарегистрировал бесплатный домен в зоне .tk ещё в 2012-м. Продлевал без проблем, пока в очередном году не забыл. Когда кинулся — обнаружил, что мне теперь предлагают его купить за ~8 евро в год. Причём, предлагали только мне, как предыдущему "владельцу". Если не логиниться, домен был помечен как "занят". Мелочь, а приятно. Заботятся!..

Пожал плечами, купил.

Два года платил, потом опять забыл. Опять кинулся... Домен разделегирован, в "кабинете" уже не указан, как было в прошлый раз. Проверяю возможность регистрации — доступен всем подряд. Спасибо киберсквоттерам, что не подсуетились.

Пожал плечами, взял бесплатно.

Так и живём.

Был с ними неприятный опыт, домен который я взял бесплатно был перекуплен, вернуть не представлялось возможным. Как домен однодневку для теста развечто использовать их.

а подскажите, домен третьего уровня за бесплатно, и чтобы не как у freenom в любой момент отобрали, сейчас можно где-то взять? (нужен для своего nextcloud, третий уровень вполне устроит)

Недавно задумывался над этим вопросом, нашел nic.eu.org полноценные домены раздавал.

Ну и практически любой ddns раздает домены, иногда 1, ddns.com кажется ничего не дает уже много лет. Если роутер асус раздается asuscomm.com, а вообще простой вариант, на роутере в настройках ddns глянуть что он поддерживает и проверить на бесплатность, особенно если ip динамический. freedns afraid имеет большое количество бесплатных доменов на выбор, в теории обладатель 2ого уровня может отозвать домен, но у меня такого не было, или выбрать их родной домен.

Если роутер без предустановленых дднс и прописать некуда, или серый ip, можно на амазоне сервак взять, тунель туда проложить (тут любят про бесплатные сервак ихние говорить, и новой каждый раз как будто прорыв в VPS), главное за 10тб/мес не вылезти.

Проверьте наличие у вашего маршрутизатора (роутера) опции Fort forwarding/Port mapping/Перенаправление портов. Это не самый безопасный, но самый простой способ дать нашему серверу путь во внешний мир. Убедитесь что 80, 443 и 3000 порты у вас ничем не заняты — именно их вы будете прописывать IP адресу вашего сервера. Возможно в будущем, например, если вы захотите поднять почтовый сервер, вам придётся прописать дополнительные порты, но пока нужно только это.

А как? Чайнику непонятно как проверить наличие опции?

Как проверить занятость портов?

И если да, то как отменить эту занятость?

Посмотреть, какие порты у вас открыты, можно через netstat -anb.

Там указано, какой процесс слушает порт. Нужно просто этот процесс завершить, или переконфигурировать на использование другого номера порта.

Ну, думаю что на роутер чайник, который решил поднять свой веб-сервер зайти сможет, но...

Стандартный IP адрес роутера зависит от производителя, но обычно это 192.168.0.1 или 192.168.1.1

Всегда конечно лучше погуглить.

Наличие проверить - погуглить инструкцию по роутеру или ручками залезть в веб-интерфейс и всё обшарить.

Дальше про порты - скорее всего у роутера ничего не занято, но есть одно НО. Если у роутера есть опция внешнего веб-интерфейса (я не знаю ни одного роутера, где по умолчанию она включена, но вдруг), то 80 порт может быть занят. Соответственно, эту опцию нужно отключить. Роутеры покруче могут имет свой широкий набор веб-сервисов, но вряд ли у чайника такой роутер.

Если же что-то ещё мешается, то скорее всего его как раз таки в интерфейсе, где задаётся перенаправление портов, найти и можно будет.

Спасибо )

>А образ для установки, если вы на Windows, лучше всего на флешку записывать программой Rufus.

Не надо rufus - надо ventoy. Умеет грузить всё и даже больше )

Сделал всё по инструкции, купил докем вcloudflare и всё делал правильно, только в один момент в CapRover, Update Domain выбивает такую ошибку 1107 : Verification Failed. Где-то нашёл что нужно ждать 24 часа после покупки. Жду и надеюсь всё получиться.

У вас получилось?

да , проблема была на стороне провайдера

Зарегистрируйтесь на Хабре, чтобы оставить комментарий

Публикации

Истории