私のセルフホスティング環境!簡単ログインとセキュリティの課題
引用元:https://news.ycombinator.com/item?id=44612151
家族や友人が使いやすいように、SSO(シングルサインオン)でログインを統一するって目標はS級に素晴らしいね。Linuxやオープンソースって、技術的には何でもできるのに、エンドユーザーとしての一体感とか連携は全然足りないってパラドックスがある。FreeIPAみたいなディレクトリサービスか、OpenIDみたいな仕組みが、いつかこの問題を解決してくれるといいな。
わかる!シンプルにログインしてアクセスできるってのが、一番難しいけど、使ってもらえるかどうかの分かれ目だよね。オープンソースのパラドックスも同感。個々のプロジェクトが勝手に開発してるから、全体を同じ方向に引っ張る存在がいないんだ。でも、セルフホスティングの分野では、ここ5年でセットアップも使い勝手もかなり良くなったと思うよ。
パラドックスには完全に同意だよ。昨日も、FOSS(フリー・オープンソース・ソフトウェア)が非技術者には手が出しにくいって、僕の問題検証プラットフォームに投稿したばかりなんだ(URL: https://needgap.com/problems/484-foss-are-not-accessible-to-…)。技術者と非技術者をつなぐプラットフォーム、例えば個人のためのシステムインテグレーターみたいなのが、この問題を解決するのに役立つんじゃないかって考えてる。
セキュリティ専門の技術者として、OIDCの仕様を読んでも、正直理解できない部分があるんだ。書いた本人たちもわかってるのか疑問に思うね。特に「errata set 2」でazpクレームの検証方法が大きく変わったけど、既存の実装が追随してるか怪しい。IDトークンに署名があるのはなぜ?何を防ぐの?って、仕様書には説明が足りないよ(URL: https://openid.net/specs/openid-connect-core-1_0.html、https://web.archive.org/web/20231214085702/https://openid.ne…)。
IDトークンに署名があるのは、Identity ProviderからRelying Party(RP)に渡す方法がいくつかあるからだよ。response_mode=id_tokenでブラウザ経由で渡す場合、悪意のある改ざんを防ぐため署名が必須なんだ。/tokenエンドポイントからだとHTTPSで保護されるから必ずしも要らないけど、署名があればトークンの扱いが統一されるし、将来的にIDトークンをアクセスキーに交換するような用途にも使えるってメリットがあるんだよ(URL: https://datatracker.ietf.org/doc/draft-parecki-oauth-identit…)。
IDトークンの署名がログインCSRF(クロスサイトリクエストフォージェリ)を防がないって、君の言ってる意味がわかる?攻撃者が自分の有効なIDトークンを使えば、被害者を攻撃者のアカウントにログインさせられるんだから、完全な解決策じゃない。別のCSRF対策が必要だし、それがあればトークン署名は不要になる可能性もある。あと、攻撃者がブラウザのJSをいじって署名検証を無効にできたら、これも意味ないよね。仕様書がこんなに複雑な署名の理由を説明してないのは、やっぱりおかしいと思うよ。
そうだね、トークンの署名はログインCSRFは防がない。PKCE(Proof Key for Code Exchange)がログインCSRF対策として良いんだ。攻撃者がブラウザでJSを改変して署名検証を無効にするって話だけど、IDトークンの検証はフロントエンドじゃなくてRelying Partyのバックエンドがやるから、そこで署名が必須なんだ。バックエンドはフロントエンドを信用しないからね。仕様書に署名が必要な攻撃シナリオはちゃんと書いてあるよ、ここ見てみて(URL: https://openid.net/specs/openid-connect-core-1_0.html#TokenM…)。
言いたいことはわかるよ。azpクレームに関する仕様が「SHOULD(すべき)」とか「MAY(してもよい)」って書いてあるから、実装側が適切な理由があれば、どんな動作をしても仕様に沿ってると言えちゃうんだよね。だから、エラータ更新があったとしても、既存の実装がそれに必ずしも追従している必要はないんじゃないかな。
正直、そんなに難しくないよ。特定のサービスにこだわらず、SSO対応を重視すればすごく簡単。CaddyとAuthentikでサクッとできたし、YunohostもSSOで全部設定してくれるから超楽だよ。
同意。俺はCloudflare Zero TrustとTunnelsでSSO認証(自分はGitHub、家族はGoogle/Apple)とNAT超えを実現してる。最初の設定は午後で終わったし、TerraformみたいなIaCでサービス追加も楽勝。唯一時間かかったのはCloudflare認証ヘッダーを各アプリで使う方法を解明するくらいかな。
YunohostのSSOはマジで尊敬するし大好き!まだ詳しく調べてないけど、SSOの範囲は完璧じゃないみたい。でもパッケージの数を考えたら、50%くらい対応してるってのは全然悪くないよ!
俺はAuthentikをGoogle、Discord、GitHub経由のSSOで使ってるよ。これでみんな十分満足してる。
みんな、しっくりくるセットアップってなかなか難しいよね。俺のブログ記事で、やっと納得できるセルフホスティング環境をどう作ったか紹介してるよ。目標、要件、技術選定、構成、解決した問題なんかが書いてあるから、みんなの参考になれば嬉しいな。
Nixはホームラボでどう?俺はいつも混乱しちゃうんだよね。俺は25UラックでKubernetesとCephをTalos Linuxで動かすガチ勢。7年もKubernetesやってると、そろそろシンプルにしたいって思って、NixとZFSに行き着くっていう点、あなたと同じ。困ったことあったら何でも聞いてね。
Nixは最初難しかったね。言語変だしエラーも分かりにくい。Flakesもややこしいけど、再現性にはいい。でも、一度理解すれば間違いから復旧しやすいしnixpkgsも便利。GitHubのNix configがすごく参考になるよ。俺も専門家じゃないけど、他人の例を参考にすれば大体いける。25Uラックすごいね!俺はサーバー、PC、UPS、10Gigスイッチ、Home Assistantのキャビネットかな。高可用性とかは不要派だよ。Kubernetesは仕事でちょっと触ったくらいだね。
>Nixの言語が変とかエラーが分かりにくいとか、Flakesがややこしいとか、俺も全く同感だよ。全体像を掴むのが難しいよね。いつかまた試してみる。俺の25Uラックはね、UPSが2台、ZFS RAID10で400TBのJBOD、TrueNASのケース、Talosで動くNUCが3~6台、あとUnifiの10GigネットワークとUDM Proとかいろいろ。NUCが調子悪いから、そろそろ全部まとめたマシンにしたいな。俺、プロのKubernetesエンジニアだから、ソフト面は慣れてるんだけどね。
400 TB?!Linux ISOとか集めてんの?それとも写真家なの?
Linux ISOsとバックアップだよ。
(Linux ISOsのバックアップね)
Nixの話だけど、Nixパッケージがないサービスってどうやって動かすの?パッケージと違うビルドにしたい時とかさ。例えばOpenLDAPをArgon2とかbcryptサポート付きでビルドしたい場合とかどうするの?
Nixパッケージを書いたり、nixpkgsの他のNixパッケージをいじったり、オーバーレイを書いたりするんだよ。Nixは何でもパッケージ化できるし、コンテナやOSイメージもビルドできるから、可能性は無限大。でも、ちゃんと学ぶには2〜3週間くらいかかるよ。マジで学習曲線がヤバい。
25Uラック楽しそうって話あったけど、”楽しい”の定義によるね。俺は35Uラック持ってるよ。Dell R620が3台、Supermicroが2台、APC UPS、Unifi UDM Pro、Unifi Enterprise 24ポートスイッチ。DellsはCephでSamsung PM863 NVMe使ってて、K3OSは開発終了で失敗だったな。SupermicrosはZFSプールで動いてる。設定は楽しかったし信頼性も高いんだけど、ちょっとやりすぎたかも。Proxmox 7からアップグレードできない問題もあるし、K3OSもTalosに入れ替えないと。もう遊び飽きて、JBODとか静かなサーバ買ってDockerやsystemd、K8sで動かす方がいいかもって思ってる。結局、仕事が忙しくなると、家のトラブルシューティングとかどうでもよくなるんだよな。
俺はSupermicro 847 X10DRI+をマザーボードとかファン取っ払って、140mmファンウォール作ってJBODにしたんだ。めちゃくちゃ静かだし、ドライブ20〜25台で温度も33〜45Cで最高だよ。OSの問題だけど、俺も昔はProxmoxとCeph使ってたけど、複雑すぎるからベアメタルに変えたんだ。Supermicro X11とJBODを別に作ったのはすごく良かったからおすすめ。NASを仮想化するメリットって何?K3OSのことだけど、kubernetes manifestsはめちゃくちゃポータブルだから新しいOSに簡単に再構築できるよ。Talos Linux試してみな。仮想化してる理由をもう一度考えてみて損はないはず。
Ceph/Rookだけど、オーケストレーション層がストレージ管理に関わるのは嫌だな。仮想化vsベアメタルは、新しいベースイメージでのアップグレードを楽にするためと、NASがほとんどリソース使わないからベアメタルだと無駄だからだよ。GitOpsはHelmテンプレートは持ってるけどArgoCDはまだで、ずっとTODOなんだ。Talosも並行で動かしてるけどまだ使ってない。俺の問題は完璧主義で、ベアVMからArgoCDでポッド起動まで全部自動化したいんだけど、仕事の後だと時間もエネルギーもないんだよな。手動でインストールして動かせばいいだけなのにね。
今、家のクラスタをDebian + K3sからTalosに切り替えようとしてるんだけど、問題にぶつかりまくってるんだ。Talosでの永続ストレージ層ってどんな感じ?長期的なハードウェアの安定性はどう?
Talosの永続ストレージ層についてだけど、Talos自身のストレージは、単一のYAMLファイルで設定できるイミュータブルなOSで、自動でパーティションをプロビジョニングしてくれるし、ZFS拡張入れてZFSも使えるよ。アプリ/データ用ストレージには色々な選択肢があるけど、俺はrook-cephを長年使ってて問題ないね。10ギガネットがないならiSCSIも使える。長期的なハードウェア安定性はLinuxだからかなり良いよ!問題が起きる時はいつも俺の設定ミスかハードウェア故障だね。
https://www.talos.dev/v1.11/kubernetes-guides/configuration/storage/
何年も前にLonghornとか色々試した結果、PVCにはrook-cephに落ち着いたんだね。Longhornでどんな問題があったのか気になるな。
何年も前のことだけど、CPU使用率が高いのが特に問題だったよ。Cephほど枯れてなかったから、もっと堅牢なものが必要だったんだ。でも、CPUの問題は修正されたはずだし、君のラボならCERNレベルの分散ファイルシステムは要らないかもね。UIと内蔵バックアップは初心者にはすごく良いから、CephやOpenEBS Mayastorにこだわりがないなら試してみるのもありだよ。
TalosはLinuxカーネルがベースだから、全然問題ないよ。
個人的には、keepalivedとDocker(必要ならSwarmも)にrsyncを組み合わせて設定ファイルを同期するのが好きだよ。keepalivedはVRRPを使ってフローティングIPを作るから、すごく軽量で完璧に動作するんだ。ダウンタイムも全く気にならないくらい、別のサーバーIPへの切り替えは瞬時だよ。
もっとコメントを表示(1)
Keepalivedは本当にすごいよね。以前、仕事でHAインフラを構築してる時に知ったんだけど、最高に良かったものの一つだよ。
これまでにCoolifyを検討したことはある?僕は1年以上使ってるんだけど、Herokuみたいな使いやすさとか、GitHubからの自動デプロイがすごく気に入ってるんだ。
https://coolify.io/
いや、Coolifyは今まで知らなかったな。でも、特にサイドプロジェクトには良いアイデアだと思うよ。教えてくれてありがとう!もっと詳しく調べてみるね!
Dokployも見てみてね!
https://dokploy.com/
彼らのライセンスはまだ曖昧だし、問い合わせた人たちへの対応も好きじゃないんだよね。
君の作品にすごくワクワクしてるよ!僕もNixOSベースで似たようなプロジェクトをやってて、どう思うか聞きたいな。目標は、モデムに挿してWebインストールするだけで使える、Appleデバイスみたいなほぼゼロコンフィグの小さい箱なんだ。まだ初期段階だけど、もう家で動かしてるよ。OPNSenseみたいなルーター機能とNextcloudとかのアプリサーバーが一体になってて、Nixモジュール一つで全部設定できるんだ。動的DNS、Let’s EncryptのTLS証明書、アプリごとのサブドメインも自動で設定してくれるし、広告ブロックとHeadscaleも内蔵してるよ。今はSSOに取り組んでるんだ。君の作業を見て、何かアイデアを拝借するかもね。僕のプロジェクトは今、クローゼットでセルフホストしてるよ。
https://homefree.host
おー、それってめちゃくちゃカッコイイね!色んな使い道がありそう。NixOSがこういうプロジェクトを可能にしてるのが本当にすごいと思うよ。頑張ってね!
暗号化ZFSを使ってる?前はFreeIPAや他のVMをDebianホストのZFSで試したことあるよ。今はシンプルにVPSで暗号化Seafileを動かして、ZFS send/receiveでローカルサーバーにバックアップしてる。夜にサーバーが自動で起動して、更新、同期してからまたスリープするんだ。
さらに堅牢性を高めるために、Linuxデスクトップ(Fedora)でSteam以外は完全に暗号化ZFSにしようか検討中。それを毎時同じマシン内の別のドライブに同期して、ローカルサーバーには頻度を落として同期するつもり。データセットがすでに暗号化されてるから、外部ドライブやクラウドサービスにも同期できるしね。VPSに写真全部置くのは高すぎるから、っていうのも理由だよ。
そうだよ!ZFSのデータ保護機能に加えて、データセットを暗号化してインクリメンタルなsend/receiveができるのは本当に素晴らしい機能だよね。
深く掘り下げた内容に感謝してるよ。あなたのセットアップのアイデアの中には、実装に時間がかかるものもあるけど、まずはダッシュボード用にFlameを入れて、家族に使わせてみることにしたんだ。
ありがとう!全部旅みたいなもんだよね。Flameが君にとってうまくいくといいね!
自宅ネットワークについて考える時、自分が死んだら家族にどんな迷惑をかけるんだろう、って思うことがあるんだ。馬鹿げた設定が動かなくなったり、警察のフォレンジックチームが解読するのにどれくらい費用がかかるかとかね。僕は”ホームラビング”が、昔の男性(正直、ほとんど男性だけど)が地下室に精巧な鉄道模型を作ってたのと同じ欲求を満たしてると思うんだ。決して貶してるわけじゃなくて、一部の人には完全にコントロールできる自分だけの小さな世界が必要なんだろうなって。
誰かが物理ディスクを盗んで大事な家族のデータを手に入れる、みたいな役に立たない脅威シナリオは無視して大丈夫だよ。つまり、写真や重要な書類は全部平文で保存して、書面での指示をいくつか残しておけばOK。僕はむしろ自宅のホームオートメーションの方が心配なんだよね ^^;
あなたのセットアップについて興味があるんだけど、管理がすごく大変なの?それともわざとそうしてるの?
誰かが侵入して機密ファイルを盗む可能性はほぼゼロだっていうのは同意するよ。でも、残念ながら家に侵入される可能性ははるかに高いし、その時に目についたコンピューターを持っていくのはほぼ確実だよね。もし君のドライブが暗号化されてないとして、今夜家に帰ったら家が荒らされててサーバーがなくなってた場合、どうするつもり?
脅威モデルに、脳卒中でパスワードを思い出せなくなる可能性も加えるべきだよ。
ここにこのコメントがあって嬉しいよ。みんな家族や友達のためにプロジェクトを組むのは素晴らしいけど、唯一のシスアドが突然死んだらどうなるかを考えてないよね。職場で一人が全ての鍵を握るなんて許されないのに、ホームラボでも同じことが言えるべきだよ。俺は家族に全ての鍵を渡してないけど、彼らがそれを手に入れる明確な方法と、そのための書かれた指示がある。セットアップの概要と、困ったときに頼れる友達や同僚のリストも添えてるから、これで彼らは全てにアクセスして、使い続けるか、データを他に移すかを決められるはずだ。
ちょっと暗黙の議論を探ってみようぜ。自分で作った一番シンプルな環境を想像してみて。そして、君が死んで、母親が君が設定したサービス上のファイルにアクセスする必要があるとき、どうやってその維持方法を説明するか想像してみてくれよ。通常、セルフホスティングは特に難しくない。ただ、平均的な人にとっては概念的にかなり難しいんだ。(彼らが賢くないんじゃなくて、単に習ったことがなくて、今からそのスキルセットを身につけたくないからさ。団塊の世代を嫌ってるわけじゃなくて、仮の子供や配偶者にも同じ議論ができる。両親は、生物学的に必要とされるからってだけの簡単な代わりだね)
これって他のいろんなことにも当てはまるよね。家で税金をやってるのは誰?もし君だったら、万が一の時にパートナーは引き継げる?全てのアカウントにアクセスできる?そもそもどんなアカウントがあるか知ってる?「俺が死んだらやること」ってGoogle Doc作んなきゃってずっと思ってるんだ、まだ取り掛かれてないけどね。
正直な話、もしあなたが死んじゃったら、友達や家族はあなたのホムラボ環境を使うのをやめるんじゃないかな?JellyfinからNetflixに戻したり、スマート電球を普通の電球に交換したりするだけじゃない?
なんで技術を知らない親族って決めつけるの?技術に詳しい友人に引き継ぎの詳細を書いてあげればいいじゃん。「これをXに見せて」ってページのトップに書くとかさ。必要なデータを復旧する方法とか、標準設定に戻す方法をドキュメントで説明すればいい。ほとんどの人は、自分が死んだときに代わりにやってくれる人を少なくとも一人くらいは知ってると思うけどな?
デッドマンズスイッチサービスっていうのがあって[1]、もし死んだらメールを送ってくれるらしいよ。理論上、セルフホストしてるなら、そのメールが自分の管理する受信箱に来たときに何かをトリガーできるかもね。Webhook版も考えたけど、メールと比べてそんなに大きなメリットはないかな。
1Passwordはこれにすごく良いと思うな。夫婦で10年以上使ってるよ。最初に設定したことの一つが、「AAA Read Me First」っていうメモで、そこに私たちの遺産計画とかの他のメモや書類へのリンクを貼ってるんだ。最近のVC騒動があったけど、それでも1Passwordを使い続ける一番の理由は、もし何らかの理由で支払いが滞っても(例えば俺が死んでクレジットカードがキャンセルされても)、アカウントが永久に読み取り専用モードになることなんだ。1Passwordが事業を続けている限り、私たちがそこに入れるデータは、脅威モデルにおける最大のリスクから安全だよ。
それってストックホルム症候群みたいに聞こえるな。KeePassXCを使えば、完全に無料だからこんな心配は全然いらないのに。
裁判官がポンポンと押す捜索令状のひどい根拠を見たら驚くよ。立証責任も偽証の罰則もない。俺が読んだ全ての捜索差押令状には明らかに偽証があった。ディスクを暗号化してるのは、泥棒が怖いからじゃなくて、FBIがでっち上げで玄関に来るのが怖いからさ。誰もがプライバシーの権利を持ってる、たとえ(そして特に)何も悪いことをしてなくてもね。作家や活動家が嫌がらせのためにデタラメな令状や逮捕で苦しめられる話を読みすぎたんだ、だから家に暗号化されてないディスクは置かない。
君の仮定は間違ってるよ。決めつけないで、ちゃんと確認しろよな。決めつけは多くの悪の根源なんだから。
ドライブは全部暗号化してるし、バックアップも symmetrically encrypted されてるよ。家族はパスワードを知ってて、CLIで復元する方法も分かってる。年に一度は訓練してるんだ。家が荒らされても大丈夫、銀行にバックアップ用HDDがあるから。新しいPC買って Proxmox、VM、Docker CE を入れ直せばOK。Yubikeysやスマホの情報は盗まれないしね。みんなも死や盗難対策を考えてないわけじゃないでしょ?
デッドマンズスイッチって本当に必要?死後まで明かしたくない秘密が Homelab にないなら、Google ドキュメントに全部入れとけばいいじゃん。
暗号化されてないドライブが壊れたらどうすんの?そのままゴミ捨て場にポイ?それとも物理的に破壊するの?暗号化しとけば、データ漏洩の心配なく捨てられるんだぜ。
Bitwarden family プラン、月3ドルくらいで超便利!妻とパスワードやOTPコードを全部共有できるし、「Health」とか「Finances」ってフォルダ分けもできるからすごく役立ってるよ。
もっとコメントを表示(2)
その脅威モデルなら、愛する人のデータが死後どうなるかはもはや脅威モデルじゃないね。むしろ暗号化されてて、彼らがコントロールできない方がかえって親切かもよ。
KeepassXCは使ったことないけど調べたら、俺が必要としてる用途とは全然違うみたいだね。配偶者との共有 vault、マルチプラットフォームでの同期、そして管理してるハードウェアが使えなくてもアクセスできるってのは、KeepassXCじゃ解決できないみたい。
父さんが脳卒中になる1年前、両親がアカウントやパスワード、サービスを全部文書に残してくれたんだ。それが彼が亡くなって、ストレスや混乱があった時にもすごく助かったよ。
俺がいなくてもシステムを管理できるか、考えるのは大事だね(旅行とか入院、死んだ後とか)。大事なデータを取り出せたり、資格情報にアクセスできるのが一番。Nextcloudでデータ同期したり、Home Assistantみたいに家族が使えるようにするといいかもね。詳細な計画が成功の鍵だよ。
みんな自分の死なんて予期しないから、こういう計画って永遠に後回しにできちゃうんだよね。
セットアップの複雑さによるね。パスワードを物理的に書き出すとか、データを全部エクスポートするプロセスがいるかも。サーバーラックや k8s 使ってる Homelab だと、家族がデータを取り出せるか心配だよ。
万が一に備えて、僕が死んだ場合のドキュメントを作成したよ。前半はお金と重要書類の場所、後半はホームラボをどう簡素化するかって内容だ。スマートスイッチを従来のものに戻す方法や、セルフホストしてたKey Servicesをクラウド(主にBitwarden)に移行する方法、ドメインとメールの支払いについて。アクセスポイントを撤去してISPボックスに戻す方法もね。妻はスマートな機器に乗り気じゃなかったけど、簡単に元に戻せるって知って安心してるみたい。正直、これらが無くなったらどれだけ不便になるか分かってないけど、少なくとも僕の問題ではなくなるからね :)
僕のセルフホスティング環境はUnifiネットワークに、コアサービス用の小さなProxmox VM、映画やストレージ、Minecraftサーバーみたいな”アプリエコシステム”用の大きなTrueNASボックス。さらに”研究”用にOpi5s上で12ノードのベアメタルKubernetesクラスターもあるんだ(仕事でKubernetesをよく使うからね)。
各”段階”は段階的な故障ドメインになってて、Unifiはインターネット接続だけ維持、コアVMは機能を追加(Unifi mgmtやRancherとか)、TrueNASは”楽しいおまけ”って感じ。Kubernetesラボには必要なものは何も置いてないよ。分散ストレージオペレーターはまだ爆発しやすいからね。
各部分は個別に見れば理にかなってるんだけど、全体を見ると自分の精神状態を疑い始めるよ。
家族写真は自宅ラボのRAID 1アレイに入れてるんだ。毎晩、義理の親の家にある小さなコンピューターの外付けドライブにrsyncで同期してるよ。これはバックアップも兼ねてるし、”もし僕に何かあったら”簡単にアクセスできるようにね。妻はテクノロジーに全く興味がないから、万が一の時にアクセスが一番簡単になるようにしたかったんだ。彼女には「すべての写真はそこにあるよ。もし何かあったら、USBドライブをラップトップに繋げばいいだけだから」って伝えてるよ。
この件はたくさん考えたよ。NASとそのDockerサービスは、誰かが使うために全て起動することはないだろうな、って思ってる。オフサイトの暗号化バックアップは、誰かを雇わないと復旧できないだろうね。
だから、NTFS形式の外付けUSBドライブに、cronで毎日変更されたスナップショットを新しいフォルダにコピーしてる。PaperlessやSeafileライブラリのフラットファイルコピーなんかがそうだね。データのサイズは50GB以下で、複製は安価だよ。死んだり、身体が不自由になったりした場合…そのドライブを別のマシンに接続すればいい。Seafileのライブラリ全体コピーも、繰り返し変更されない状態で、僕らのいろんなラップトップにあるよ。同期が壊れても…自分のラップトップを使い続けられる。
友人の家や職場の小さなPCかRaspberry Piに、同じようなハードドライブを置きたいと思ってるんだ。
メールドメインは10年更新で、更新が簡単なiCloudでホストしてる。ただ、家族の写真でストレージがいっぱいになるとメールが跳ね返されるのが不満だから、migaduに戻すかもしれないけどね。
僕もこれにハマり始めてるよ。セルフホスティングやいじくり回すのが好きな人は、テック企業を始めるのはやめたほうがいいって忠告したいな。そうすると、こうした活動を正当化するのがものすごく簡単になってしまうから…。
最終的には、ただのコンテナを動かすだけでは物足りなくなり、誰も読まないような変な新聞にビジネスのエイリアスを掲載するために金を払う必要が出てくる。それは法的なDBAの要件だからで、ASINが自分のIPV6ブロックを取得することを許可するために必要になる。それがなければ、自分と顧客のIPを真に所有する価値はない。でも、そうすれば物理的に自分のISPになる方向へ進めるようになって、そして…
Tailscaleが解決するIngress問題は、最も難しい一つだ。STUN/TURN[0-1]を実装して、静的ファイルを全てキャッシュし、ログインウォールでバックエンドへの動的アクセスをブロックすることで、サーバーをインターネットに公開する一般的に優れたメカニズムが可能かどうか興味があるね。ログインウォールは、許可されたユーザーをメールの”マジックリンク” -> 再利用不可能なアクセストークンで認証する。理論的には、これを実現するのは過度に難しくも、高くも、リスクが高いわけでもないはずだよ。
リモート開発環境で僕らがやってることと十分関連性があるから、また別のラビットホールを掘り下げて正当化できるんだ。
[0] https://en.wikipedia.org/wiki/Traversal_Using_Relays_around_…
[1] https://en.wikipedia.org/wiki/STUN
僕はFly.ioでIngressをセットアップしてるよ。
リモート側にはシンプルなキャッシュNginx設定で、適切なIngress Podに追加コンテナとしてFly WireGuard Peerを設定してるんだ。
無料じゃないけど、Anycast Ingressを手に入れて、ホームラボからインターネットにポートを晒さずに済む一番安価な方法だと思うな。
Tailscaleへの執着が全く理解できないな。僕はオンデマンドのWireGuard VPNでホームネットワークに戻してるよ。DNSやローカルサービスアクセス用のSplitトンネルと、フルトンネルの両方を使ってる。もっと目立つものはVPSで外部ホストして、公開したい少数のサービスのためにトンネルを引いてるんだ。メッシュVPNはLANへの潜在的な侵入経路が増えるし、サブスクリプション削減を目指してる今、また別のサブスクが増えるだけだと思ってるよ。
僕の環境はもっとシンプルだよ。
- 1台のマシン
- Nginxプロキシ
- 同じマシン上に多数のサービス。一部は内部用、一部は公開用だけど、全てWeb経由でアクセスできるんだ!
- 内部用はHTTP Basic認証にものすごく長いパスワードを設定して、外部のパスワードマネージャー(Firefoxに内蔵されてるやつ)に保存してる。
- 公開用は、完全に公開されてるか、Google OAuthを使ってるよ。
ホームラボをやる意味はそこにあるから、全部自分でコードを書いたんだ。画像が見たい?ブラウザが読めるよ。動画?ブラウザが再生できる。僕にとってはバックエンドが大変だったな。フロントエンドはまさに”90年代のHTML”って感じだよ。
HTTPでパスワードが平文で送られるのはアカンよ。最低でも自己署名証明書は使った方がいいぜ。
すごいじゃん!俺の友達もインフラとかサービスをゼロからプログラミング始めたんだ。学ぶのに良い方法だし、自分のニーズにピッタリ合わせられるからナイスだね。
俺、LDAPの作者だけどLLDAPについて触れてくれて嬉しいわ。このプロジェクトの目的は、LDAPの知識がないセルフホスターでも、簡単にインストールとか管理ができるLDAPサーバーを作ることだったんだ。君のセットアップおめでとう!
作業と優しい言葉に感謝!LLDAPには本当にお世話になったよ。マジありがとうね。
こんなことする時間があったらなぁ。週末にはできるかもだけど、維持とか新しいリリースへのアップグレードは、時間なくて無理だわ。結局クラウドプロバイダーに金払って放置してるわ。同じ境遇の奴いる?どうやってる?
正直、俺は十数個のサービスをセルフホストしてるけど、アップグレードは毎月1分くらいで終わるよ。各サービスごとにフォルダがあって、docker-composeスタックとストレージディレクトリが入ってる。更新はdocker compose pullとdocker compose up -dを実行するだけ。設定変更が必要な大きなアップデートは稀だし、あっても数分で終わる。俺的にはこれが一番シンプルなセルフホスト方法だね。VMも複雑なソフトインストールもなし、ただのDocker Composeで自動化されてるだけだからね。
俺のセットアップと似てるわ。でも各フォルダがbtrfsサブボリュームになってて、アップデートスクリプトが更新前にスナップショットを取るんだ。Docker Composeファイルもボリュームと一緒にそのサブボリュームに入れてるよ。もし何か壊れたら、原因を調べるか、元に戻すか選べるんだ。
以前のセットアップでは、アップグレードとかメンテをサボりがちだったのは認めざるを得ないな。だからNixOSとZFSを使うのが好きなんだ。どっちも簡単にロールバックできるからね。更新して再構築するだけ。うまくいけば終わり。ダメならデバッグするか、時間できるまで前のリリースに戻すだけだよ。でも、クラウドプロバイダーを使うのも、それで満足なら全然アリだと思うぜ。セットアップには時間かかるし、メンテ時間もゼロじゃないからね。それらのコストを考えるのは合理的だろ。
普通、一週末じゃ終わらないぜ。もし俺みたいなら、古いゲーミングPCにPlexを入れたいなぁってとこから始まるんだ。一年後には、Proxmoxとかホームオートメーションのごちゃ混ぜマシンに、いつの間にか育ってるんだよ。まあ、君の言ってることを補強してるだけだけどね。冗談は置いといて、Docker Composeだけ使った最小限のセットアップは、かなり管理しやすいぜ。多くのプロジェクトをセルフホストするのは「docker compose up -d」と同じくらい簡単だし、アップグレードも他のみんなが言ってるように楽だよ。
いいね。でもなんでFlameなんだ?あれはNodeとかReact、Reduxで作られてるんだろ?ってことは、数十(数百ではないにしても)ものサードパーティの依存関係を、君の安全な環境に持ち込むことになるってことだ。スタートページ(ハードコードされたリンクだけの、シンプルなHTMLページで十分なのに)のためには、そこまでする価値ないと思うんだけどな。
