시놀로지 도커 설정
Kim135797531 (토론 | 기여)님의 2020년 2월 27일 (목) 07:52 판
외부 노출 서버 (IPv6 보고 및 웹 프록시)
- 이건 도커가 아닌 시놀로지 VMM에 위치
- alpine
마운트 설정
- alpine에 nfsmount 설치
- apk add nfsmount
- /etc/fstab에 다음 내용 추가
- 맨 뒤의 _netdev와 0 0을 꼭 추가해야 한다
내부서버IP:/volume1/시놀로지폴더 /마운트경로 nfs nfsvers=3,rsize=524288,wsize=524288,ro,auto,nolock,_netdev 0 0
- 맨 뒤의 _netdev와 0 0을 꼭 추가해야 한다
Cloudflare 연동 IP 등록
- 일본 특성상 IPv4 포트가 매우 제한적으로 열려 있고, 10000번대 밑으로는 아예 열리지도 않음
- IPv6는 이런 제한이 없음. 공유기가 각각의 머신에 뿌려주는 IP는 DHCP라기보다는 일본 인터넷에 직접 연결된 공인 IP.
- IPv6는 설계시부터 모든 기기가 고유의 공인 IP를 갖는 형태로 설계됨. 다만 그 특성상 보안에 취약하므로, 영구 IPv6 주소와 별개로 임시 IPv6가 부여되어, 수시로 주소가 바뀜.
- 주소 바뀜을 체크하여, Cloudflare DNS에 등록해 주는 역할 (v6 레코드인 AAAA를 업데이트 함)
- 다음 파일을 alpine 서버의 /etc/init.d에 저장. (파일 이름 cloudflare-alpine.service)실제 업데이트를 수행하는 Python 파일을 위의 서비스 스크립트에 지정된 위치로 잘 저장
#!/sbin/openrc-run # $apk add python3 # $apk add py3-requests # Copy this file into /etc/init.d/ # Test by $rc-service cloudflare-alpine.service start # $rc-update add cloudflare-alpine.service # $rc-service cloudflare-alpine.service restart # $rc-update -u description="Update Cloudflare DNS" command="/usr/bin/python3 /root/cloudflare-alpine.py" pidfile="/var/run/cloudflare/cloudflare.pid" command_background="yes" depend() { need net need nfsmount need sshd after iptables } start_pre() { ebegin "Starting cloudflare" mkdir -p /var/run/cloudflare || return 1 }
#!/usr/bin/env python # -*- coding: utf-8 -*- import os import requests import json from time import sleep CLOUDFLARE_KEY = 'XXX' CLOUDFLARE_ZONE_ID = 'XXX' CLOUDFLARE_DNS_TOKEN = 'XXX' CLOUDFLARE_HEADER = { 'Authorization': 'Bearer {}'.format(CLOUDFLARE_DNS_TOKEN), 'Content-Type': 'application/json' } DNS_GET_URL = 'https://api.cloudflare.com/client/v4/zones/{}/dns_records'.format(CLOUDFLARE_ZONE_ID) device = 'eth0' addr_file = '/tmp/cloudflare.addr6' def check(): addr = '' try: with open(addr_file, 'r') as f: addr = f.read() except: pass get_addr_cmd = "ip -6 addr list scope global $device | " \ "grep -v ' fd' | " \ "grep -v 'deprecated' | " \ "grep -v 'mngtmpaddr' | " \ "head -n 2 | " \ "tail -n 1" new_addr = os.popen(get_addr_cmd).read() new_addr = new_addr.split()[1] new_addr = new_addr.split('/')[0] if addr == new_addr: print('same ip {}'.format(new_addr)) else: r = requests.get(DNS_GET_URL, headers=CLOUDFLARE_HEADER) j = json.loads(r.text) for item in j['result']: dns_put_url = DNS_GET_URL + '/' + item['id'] new_data = dict( type=item['type'], name=item['name'], content=new_addr, ) if item['type'] == 'AAAA': new_data['proxied'] = True requests.put(dns_put_url, data=json.dumps(new_data), headers=CLOUDFLARE_HEADER) elif item['type'] == 'TXT': new_data['content'] = 'v=spf1 {} ~all'.format(new_addr) requests.put(dns_put_url, data=json.dumps(new_data), headers=CLOUDFLARE_HEADER) with open(addr_file, 'w') as f: f.write(new_addr) f.close() print('updated ip {}'.format(new_addr)) while True: check() sleep(60)
- 그 후 서비스 등록
rc-update add cloudflare-alpine.service rc-service cloudflare-alpine.service restart rc-update -u
Nginx 웹 프록시
- Cloudflare로부터 오는 HTTPS 요청을 처리하여, 내부 서버에 전달
- 처음 도입 목적은 Cloudflare의 IPv6 over IPv4 기능을 이용하기 위함
- 생각해보니 외부/내부를 분리하여 보안성도 높아지고, 도커를 이용한 로드밸런서 구현 및 포트 번호 추상화가 가능해져 채택
- /etc/nginx/conf.d는 시놀로지에 config를 등록해 놓고 폴더째로 마운트
- wiki-proxy.conf 예시
- proxy_set_header를 설정해야 내부 서버에서 보이는 접속 요청 IP가 실제 사용자의 IP로 제대로 뜬다
- 내부 서버사이의 통신은 http로 하여 속도 향상 (방화벽 설정은 따로)
server { listen 80; listen [::]:80; server_name wiki.dong-min.kim; location / { return 301 https://$server_name$request_uri; } } server { listen 443 ssl; listen [::]:443 ssl; ssl_certificate pem파일; ssl_certificate_key key파일; server_name wiki.dong-min.kim; server_tokens off; location / { proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header X-Forwarded-Host $server_name; proxy_set_header Client-IP $remote_addr; proxy_pass http://내부 서버 주소:포트; } }
웹 데몬
- Nginx
역할
- HTTP 요청을 받아서
- 직접 처리(static)하거나
- PHP 인터프리터로 보내거나
- 다른 웹 데몬(Node.js, Python, ...)으로 다시 proxy한다
레포지토리
- https://hub.docker.com/_/nginx
- 1.17.8-alpine
컨테이너 설정
- 포트 설정
- (외부 노출 서버 Nginx Proxy 포트 설정):(그대로)
- 볼륨 설정
- htpasswd -> (비공개)/htpasswd
- passwd -> /etc/passwd
- www -> (비공개)/www
- nginx/conf.d/ -> /etc/nginx/conf.d/
- nginx/nginx.conf -> /etc/nginx/nginx.conf
- 환경 변수
- (기본값)
인터프리터
- PHP
역할
- PHP 데몬
- FPM(FastCGI Process Manager) 사용하여 동적 워커 생성
레포지토리
- 공식 레포지토리의 7.2.9-fpm-alpine 기반
- 추가로 PHP 확장 기능을 설치하기 위해 Dockerfile 작성
- gd, mysqli
- 이용한 라이브러리
- Dockerfile
- 도커 레포지토리
컨테이너 설정
- 포트 설정
- (기본값):(기본값)
- 참고로 www.conf에서 다른 포트로 설정해도 php-fpm.d/zz-docker.conf에서 무조건 기본값으로 바꿈
- 볼륨 설정
- php.ini -> /usr/local/etc/php/php.ini
- www.conf -> /usr/local/etc/php-fpm.d/www.conf
- www.conf -> /usr/local/etc/php-fpm.d/www.conf.default
- www -> (비공개)/www
- 환경 변수
- (기본값)
- 위키
- 위키
- restbase
- parsoid
- mathoid
- 토렌트
- archlinux deluge openvpn
- busybox
- gitlab
- gitlab postgresql
- redis
- DB
- cassandra 3.5
- mysql5.7.29
- wordpress
- kb_apart
권한 관련
LDAP
백업