some fix
This commit is contained in:
@@ -1,4 +1,4 @@
|
||||
# Контейнер 103 (Gitea): Gitea, PostgreSQL, act_runner, CouchDB (Obsidian)
|
||||
# Контейнер 103 (Gitea): Gitea, PostgreSQL, act_runner, CouchDB (Obsidian), Vaultwarden
|
||||
|
||||
Подробное описание LXC-контейнера **103** на Proxmox (192.168.1.103): Git-сервер Gitea с Actions (runner), база PostgreSQL, CouchDB для синхронизации Obsidian (домен obsidian.katykhin.ru).
|
||||
|
||||
@@ -21,15 +21,17 @@
|
||||
- **Debian (CT 103):** логин `root` (пароль — в менеджере паролей или как настраивал при установке).
|
||||
- **Gitea (веб):** http://192.168.1.103:3000 (или через NPM по домену git.katykhin.ru, если настроен). Учётные записи — пользователи Gitea. Репозитории могут иметь origin на Gitea; при необходимости пуш в GitHub — отдельный remote (например `github`), команда вида `git push github main`.
|
||||
- **CouchDB (Obsidian sync):** http://192.168.1.103:5984. Админ (пользователь **obsidian**) и пароль заданы в `/opt/docker/couchdb/local.d/local.ini` (секция `[admins]`); клиент Obsidian подключается по URL и своим учётным данным.
|
||||
- **Vaultwarden (менеджер паролей):** http://192.168.1.103:8280 (только LAN, без домена). Админ-доступ по токену `ADMIN_TOKEN` из `/opt/docker/vaultwarden/.env` (файл только на сервере, не коммитить).
|
||||
|
||||
---
|
||||
|
||||
## Сервисы (Docker)
|
||||
|
||||
Два независимых набора сервисов:
|
||||
Три набора сервисов:
|
||||
|
||||
1. **Gitea (compose)** — в `/opt/gitea/`: Gitea, PostgreSQL, act_runner. Сеть **gitea_default**.
|
||||
2. **CouchDB** — запущен отдельным контейнером (без compose в репозитории), данные в `/opt/docker/couchdb/`.
|
||||
3. **Vaultwarden (compose)** — в `/opt/docker/vaultwarden/`: менеджер паролей Vaultwarden (совместим с клиентами Bitwarden).
|
||||
|
||||
| Контейнер | Образ | Порты (хост) | Назначение |
|
||||
|-----------------|--------------------------|------------------|------------|
|
||||
@@ -37,6 +39,7 @@
|
||||
| gitea-db-1 | postgres:16-alpine | — | БД Gitea |
|
||||
| gitea-runner-1 | gitea/act_runner:latest | — | Gitea Actions (CI) |
|
||||
| couchdb | couchdb:3 | 5984 | Бэкенд синхронизации Obsidian (obsidian.katykhin.ru) |
|
||||
| vaultwarden | vaultwarden/server:latest | 8280 | Менеджер паролей Vaultwarden (Bitwarden-совместимый), доступ из LAN |
|
||||
|
||||
---
|
||||
|
||||
@@ -131,6 +134,59 @@ curl -s http://192.168.1.103:5984/
|
||||
|
||||
---
|
||||
|
||||
## 5. Vaultwarden (менеджер паролей)
|
||||
|
||||
**Назначение:** self-hosted менеджер паролей (совместим с официальными клиентами Bitwarden) для хранения всех кредов (Proxmox, контейнеры, БД, API-ключи и т.д.).
|
||||
|
||||
**Каталог:** `/opt/docker/vaultwarden/`
|
||||
**Compose:** `docker-compose.yml`. Запуск/обновление:
|
||||
|
||||
```bash
|
||||
cd /opt/docker/vaultwarden
|
||||
docker compose pull
|
||||
docker compose up -d
|
||||
```
|
||||
|
||||
**Образ:** `vaultwarden/server:latest`.
|
||||
|
||||
**Порты:**
|
||||
- 8280 (хост) → 80 (контейнер).
|
||||
|
||||
**Доступ в локальной сети:** с любого устройства в LAN (192.168.1.x) Vaultwarden уже доступен по адресу **`http://192.168.1.103:8280`** — дополнительная настройка не нужна. Клиенты Bitwarden на домашних устройствах можно настроить на этот URL.
|
||||
|
||||
**Доступ по домену (опционально):** если нужен **https://vault.katykhin.ru** и из LAN, и по VPN, в NPM (контейнер 100) настраивают:
|
||||
- **Proxy Host:** `vault.katykhin.ru` → upstream `192.168.1.103:8280`, включить SSL (Let's Encrypt или custom).
|
||||
- **Access List:** создать список, разрешающий только подсети **192.168.1.0/24** (LAN) и **10.10.99.0/24** (WireGuard VPN); для всех остальных — отказ. Эту access list привязать к proxy host `vault.katykhin.ru`. Тогда с интернета без VPN доступ к домену будет закрыт; из дома и по VPN — открыт.
|
||||
- В compose Vaultwarden при использовании домена задать `DOMAIN=https://vault.katykhin.ru` и перезапустить контейнер.
|
||||
|
||||
**Тома:**
|
||||
- `/opt/docker/vaultwarden/data` → `/data` (все данные Vaultwarden: база, вложения, и т.п.).
|
||||
|
||||
**Переменные окружения (compose):**
|
||||
- `WEBSOCKET_ENABLED=true` — включает поддержку веб-сокетов.
|
||||
- `SIGNUPS_ALLOWED=false` — запрещает свободную регистрацию; пользователей создаёт админ.
|
||||
- `INVITATIONS_ALLOWED=true` — разрешает приглашения.
|
||||
- `DOMAIN=http://192.168.1.103:8280` — базовый URL (для LAN; при выдаче наружу поменять на `https://<домен>`).
|
||||
- `ROCKET_PORT=80`, `ROCKET_ADDRESS=0.0.0.0` — HTTP-сервер внутри контейнера.
|
||||
- `TZ=Europe/Moscow` — часовой пояс.
|
||||
|
||||
**Файл `.env` (секреты):**
|
||||
|
||||
- Путь: `/opt/docker/vaultwarden/.env`.
|
||||
- В нём как минимум задаётся `ADMIN_TOKEN=<случайный токен>` для доступа к админке.
|
||||
- Файл создаётся на хосте (права `600`), **не коммитить** в репозиторий и не копировать в открытые места.
|
||||
|
||||
**Проверка работы:**
|
||||
|
||||
```bash
|
||||
docker ps --format 'table {{.Names}}\t{{.Image}}\t{{.Ports}}' | grep vaultwarden
|
||||
curl -s http://127.0.0.1:8280/ | head -c 200
|
||||
```
|
||||
|
||||
После этого интерфейс открывается по **`http://192.168.1.103:8280`** из домашней сети. Клиенты Bitwarden (ПК, телефон в LAN) настраивают на этот URL — сервис уже открыт в локальной сети без NPM. Если позже добавить домен в NPM (см. выше), в клиентах можно перейти на `https://vault.katykhin.ru`.
|
||||
|
||||
---
|
||||
|
||||
## Порты (сводка на хосте)
|
||||
|
||||
| Порт | Сервис / примечание |
|
||||
@@ -138,6 +194,7 @@ curl -s http://192.168.1.103:5984/
|
||||
| 3000 | Gitea (веб) |
|
||||
| 2222 | Gitea (SSH для git) |
|
||||
| 5984 | CouchDB (Obsidian sync) |
|
||||
| 8280 | Vaultwarden (менеджер паролей, HTTP по IP из LAN) |
|
||||
|
||||
---
|
||||
|
||||
|
||||
Reference in New Issue
Block a user