ComputerBase Menü
Aktuelles

Docker-Container: Welche nutzt ihr?

… ich frage mich vergeblich, was ich zuhause mit docker soll. 🤔

Webanwendungen gehen auf apache25. DNS und dhcp kommen von ISC. Gut, die Root CA sollte eine eigene Maschine und per se offline sein. Aber hey, zuhause.

Was soll ich mit extra points of failure? Und extra overhead für Instanzen die ne Weile laufen sollen?

Vielleicht bin ich einfach zu alt und zu dumm den Vorteil eines virtualisierten DNS Clients zu begreifen?
 
Iqra schrieb:
… ich frage mich vergeblich, was ich zuhause mit docker soll. 🤔
Zum Vergrößern anklicken....
Kommt auf die Anwendung an, aber im Prinzip: Du hast einen dedizierten Container, optionaler weise mit einem Verzeichnis o.ä. in dem die Daten liegen. Wenn du es nicht mehr willst, kannst du es deinstallieren. Du hast die ganzen Abhängigkeiten nicht direkt auf deinem System, sondern in einem Container. Du kannst aus Prinzip heraus keine Versionsinkompatibilitäten mit irgendwelchen Bibliotheken o.ä. haben, weil die alle direkt im Container liegen usw.
Außerdem musst du ggf. deutlich weniger / gar nichts konfigurieren, je nachdem, was man genau braucht, und wie es angeboten wird. Eine komplexere Software musst du so nicht selbst aufsetzen, sondern du lädst einfach ein Image, das bis auf die Benutzerkennung fertig ist.
Und: Du kannst es reproduzierbar neu aufsetzen sowie sichern und direkt wieder einspielen, entweder auf deinem System, oder einem anderen.

Das macht aber, wie bereits erwähnt, nur unter Umständen Sinn. Es gibt da viele Anwendungen, wo das aus meiner Sicht nicht wirklich nötig ist. Aber es erspart ggf. viel Arbeit.
 
  • Gefällt mir
Reaktionen: Iqra
Mmmm... Und man lernt nix, wenn ich dich richtig verstehe. Auspacken, einschalten, geht nicht" gehört bei mir dazu, ebenso wie einen Tag oder zwei "Neulandsgefühle" bei der ersten Einrichtung von zB freeradius.

Danke für die Erläuterung. Dann ist das definitiv nichts für mich. Wenn ich reproduzierbar will, dann sichere ich die Konfiguration. Oder baue ein Installationspaket drumrum. Oder nutze eins von den vielen Scripts die über die Jahre angefallen sind.

Mein DNS ist signiert und mein WLAN ist WPA2-Enterprise. Nix Docker. Eigene Leistung.
 
Iqra schrieb:
Mmmm... Und man lernt nix, wenn ich dich richtig verstehe.
Zum Vergrößern anklicken....
Das kommt drauf an, ob man was lernen will. Man muss es nur nicht mehr, was ggf. aber auch von Nachteil sein kann. Man kommt z.B. durch Projekte wie Mailcow auf die Idee, einen eigenen Mailserver aufzusetzen. Das funktioniert auch super, und Mailcow ist ein Klasse Projekt, das ich selbst einsetze. Aber: Ohne gute Grundkenntnisse im Bereich E-Mail (Server), ist das eine schlechte Idee.
Für viele andere Software ist das aber auch nicht nötig, z.B. wenn es etwas eher simples ist, was sowieso nur Lokal läuft. Dann brauche ich auch die Software nicht zu verstehen, einschließlich eventueller Sicherheitslücken durch die Konfiguration. Läuft ja nur Lokal, ggf. auch gar nicht Extern erreichbar, sondern nur als Host-Only-Netzwerk.

Aber wenn man lernen will: Die Docker Images sind ja nicht verschlüsselt o.ä. - das sind quasi Configs, die dir eine Software installieren und einrichten. Das kann man sich anschauen, verstehen und bearbeiten. Du kannst auch zB via Bash in den Container springen und manuell etwas bearbeiten. Ist also auch keine reine Blackbox.
Beispiel für ein Dockerfile (=Config, wenn man so will), wo man auch etwas sieht:
https://github.com/mailcow/mailcow-dockerized/blob/master/data/Dockerfiles/dovecot/Dockerfile


Aber generell: Es ist natürlich auch einfach zusätzliche Komplexität die man sich rein holt - und wenn man das nicht will, muss man das auch nicht.
 
Fasst es gut zusammen - Docker erlaubt beim HomeServer Komplexitätsreduktion und vereinfachte Wartung.

Ich nutze entweder die offiziellen Docker-Container der Projekte oder die Adaptionen von Linuxserver.io wo ich Vertrauen in den Quellcode habe. Mit Watchtower aktualisiere ich alle meine Container mit ein paar Klicks oder automatisch, persistent sind dabei nur die Anwendungsdaten.

Diese liegen dabei via CIFS-Einbindung auf meinem NAS und sind somit leicht gesichert. Dank der Docker Compose Config-file kann ich auf jeden beliebigen Rechner mein komplettes Setup mit 20 Anwendungen innerhalb von 10 Minuten 1 zu 1 wieder neu aufsetzen. Eine immense Zeitersparnis. Eine neue Anwendung die ich testen will, ist mit Docker Compose ebenso mit ein paar Zeilen installiert und konfiguriert, und mit einem Klick bei Nichtgefallen wieder gelöscht.

Wenn man mehr Zeit und Lust hat, kann man es auch anders machen. Aber dank Docker macht Homeserver für mich erst richtig Spaß :)
 
  • Gefällt mir
Reaktionen: polyphase, Raijin und s1ave77
polyphase schrieb:
Wenn man das mit Hyperlocal nutzt, dann werden nur die Root DNS Server abgefragt und das auch nicht bei jeder Anfrage.
Zum Vergrößern anklicken....
Und die Root-DNS-Server sind jetzt keine öffentlichen Server oder wie? :-)

polyphase schrieb:
Das treibt die Komplexität nicht nach oben, macht aber vieles einfacher.
Zum Vergrößern anklicken....
Doch. Es treibt die Komplexität nach oben. Mehr Software -> mehr Komplexität. Ne ganz einfache Geschichte an der es auch nicht wirklich viel zu deuteln gibt.
Aber ja. Mit dem "einfacher" hast Du natürlich recht. Die Pi-Hole-Appliance ist natürlich viel komfortabler zu administrieren als wenn man das quasi mit unbound "zu Fuß" macht.
 
Docker ist ein Fluch über die Jahre so viele Probleme gehabt, dass ich da möglichst drauf verzichte. Es laufen nur dinge, die mal ein Layer Problem oder nicht startende Container aushalten bzw. ohne die ich Leben kann.
1. FreshRss
2. LibreSpeed um schnell den Speed im Netzwerk zu checken.

So gut mir Vaultwarden, Resolve Proxy auch gefallen, aber Docker macht mir da echt ein strich durch die Rechnung, weswegen ich für viele Dinge mittlerweile auf die gute alte NextCloud setze.

So hat SafeInCloud bei mir Bitwarden ersetzt.
 
Bei mir umgekehrt, Docker Container laufen super, Nextcloud ist eine verbuggte Katastrophe 🤣
 
  • Gefällt mir
Reaktionen: alturismo und Snowi
In dem Zuge möchte ich nur kurz ein Video verlinken, das ich mir gestern zum Thema Docker angeschaut habe, Docker Networking. Bisher habe ich meine Docker-Container tatsächlich nur im Default-Modus vernetzt, also als host-internes geNATtetes Subnetz. Offensichtlich bietet Docker aber zahlreiche weitere Netzwerkmodi, von denen ich bis dato nichts wusste bzw. mich einfach nicht näher damit beschäftigt habe - evtl ist das aber für viele andere hier schon ein alter Hut...

Dieser Beitrag dient der reinen Information und soll keine OffTopic-Diskussion starten. Da hier jedoch Setups mit vielen Containern gezeigt werden, kann der eine oder andere seine Container durch das verlinkte Video eventuell sinnvoller/besser/effizienter gestalten bzw. vernetzen - oder eben gerade nicht.
 
  • Gefällt mir
Reaktionen: pscriptos, azereus, netzgestaltung und 2 andere
polyphase schrieb:
Docker Container laufen super, Nextcloud ist eine verbuggte Katastrophe
Zum Vergrößern anklicken....
Wenn der Container einmal läuft, konnte ich bisher auch keine Probleme feststellen :).

NextCloud ist etwas speziell in den Anforderungen, gerade im Bezug auf die WebDAV-Funktionalität. Gibt immer wieder mal kleine Probleme nach Updates, allerdings gibt der Selbstcheck in den Administrativen Einstellungen immer eine gute Hilfestellung. Bin auf 25.0.1 und konnte alle Probleme recht schnell lösen.
 
Ich hatte nur ärger mit der 25.
Daher mache ich jetzt alles was ich brauche mit dedizierten Containern.

Dafür hat man doch Docker 😁
 
Habe noch ein wenig weiter experimentiert.
Was ich empfehlen kann, ist:
- Cloudflare Tunnel + NGINX
Damit richt Cloudflare einen Tunnel in mein Netzwerk ein (ohne dass ich Ports freigeben muss). Wobei ich Cloudflare auf die Kommunikation mit meinem NGINX-Container beschränkt habe.

Somit brauche ich unterwegs kein VPN mehr, sondern kann direkt via URL auf meine Dienste zugreifen.
Dabei habe ich Cloudflare die Authentication aktiviert, d.h. ich muss mich zunächst mit meinem Outlook-Account einloggen und werde nur bei Erfolg weitergeleitet.
 
x.treme schrieb:
Somit brauche ich unterwegs kein VPN mehr, sondern kann direkt via URL auf meine Dienste zugreifen.
Dabei habe ich Cloudflare die Authentication aktiviert, d.h. ich muss mich zunächst mit meinem Outlook-Account einloggen und werde nur bei Erfolg weitergeleitet.
Zum Vergrößern anklicken....
Normalerweise nutzt man doch selfhosted Dienste damit man nicht so stark von einem externen Dienstleister abhängig ist (der dann ggf. auch noch Daten abgreift, wenns ungünstig läuft).
Ich sehe daher gerade den Sinn nicht so.
Insbesondere da gerade Cloudflare ein Anbieter ist, mit dem man eher nix zu tun haben will.
 
  • Gefällt mir
Reaktionen: netzgestaltung und polyphase
x.treme schrieb:
- Cloudflare Tunnel + NGINX
Zum Vergrößern anklicken....
Oder:

Traefik v2 + Google OAuth2 oder Authelia (wenn Goolge Bauchschmerzen bereitet)

Bei Traefik ist es durch die Middlewares dann auch einfacher, alles Wichtige an die untergeordneten Container durchzureichen.
 
andy_m4 schrieb:
Jetzt weiß ich immer noch nicht, warum ich dafür Cloudflare brauche.
Zum Vergrößern anklicken....
Vorteil liegt in der vorgeschalteten Authentication z.B. via Azure/Google/Facebook/OneTimePassword abgesichert durch Cloudflare bevor ein Zugriff auf NGINX möglich ist.

D.h. ich muss nicht selber sicherstellen, dass meine Bastellösung mit Nginx und Authelia/Authentik/Keycloak/whatever abgesichert und gut gewartet ist und der Angriffsvektor auf mein Heimnetzwerk ist ebenso minimiert wie bei einem VPN ... (abgesehen von einer theoretischen Man-in-The-Middle Attacke durch Cloudflare ;) )

Wie gesagt, persönliche Abwägung, wo man das höhere Risiko sieht - fand es nur ne spannende Alternative, und somit hat es der Cloudflare Tunnel in meine Docker-Container-Liste geschafft, um hier beim Thema zu bleiben :)
 
  • Gefällt mir
Reaktionen: netzgestaltung
x.treme schrieb:
Vorteil liegt in der vorgeschalteten Authentication z.B. via Azure/Google/Facebook/OneTimePassword
Zum Vergrößern anklicken....
Genau. Azure, Google, Facebook. Alles Buden die für ihre Datenschutzfreundlichkeit bekannt sind. In deren Hände legt man doch gerne Dinge wie Authentifizierung.

x.treme schrieb:
D.h. ich muss nicht selber sicherstellen, dass meine Bastellösung mit Nginx und Authelia/Authentik/Keycloak/whatever abgesichert und gut gewartet ist ...
Zum Vergrößern anklicken....
Dann stellt sich die Frage, warum Du überhaupt noch was selfhosted machst, wenn Du Dir den Betrieb eh nicht zutraust.
 
  • Gefällt mir
Reaktionen: polyphase
andy_m4 schrieb:
Dann stellt sich die Frage, warum Du überhaupt noch was selfhosted machst, wenn Du Dir den Betrieb eh nicht zutraust.
Zum Vergrößern anklicken....
Die Diskussionskultur auf Computerbase war auch mal besser ... ich bin damit raus ;)
 
  • Gefällt mir
Reaktionen: cbmik und Tr0nism
andy_m4 schrieb:
Dann stellt sich die Frage, warum Du überhaupt noch was selfhosted machst, wenn Du Dir den Betrieb eh nicht zutraust.
Zum Vergrößern anklicken....
Hat doch weniger mit Zutrauen zu tun, als vielmehr Angriffsvektoren zu minimieren.

War iirc @Yuuri der mal in einem ähnlichen Thread dargelegt hat, daß beim gern propagierten VPN via Router, das komplette dahinterliegende Netz zugänglich gemacht wird, und alles an der implementierten Lösung hängt.

Da vertraue ich doch eher auf ein brauchbares MFA, als alles an ein 'sicheres' VPN-Passwort zu koppeln.
 
  • Gefällt mir
Reaktionen: cbmik und x.treme
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

crashbandicot
Docker: Container können den PiHole-Container nicht erreichen (DNS Auflösung)
Antworten
12
Aufrufe
794
atze303
A
crashbandicot
  • Gesperrt
Docker Container meldet "404 page not found" beim Aufruf
Antworten
1
Aufrufe
362
up.whatever
up.whatever
Zensai
Ordner innerhalb Docker-Container aus dem Netzwerk befüllen (Unraid)
Antworten
1
Aufrufe
333
CoMo
CoMo
DJKno
Unterstützung bei Docker Container OCPP gesucht
Antworten
7
Aufrufe
1.461
SpartanerTom
SpartanerTom
ral9004
QNAP Docker (Container) und Calibre
Antworten
5
Aufrufe
1.454
ral9004
ral9004
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz