Server administrieren - wo fange ich an?

certbot stellt auch nur ein LE Zertifikat aus, nimm das. Macht auch das erneuern einfacher, da Zertifikate nur 90 Tage gültig sind.

Nimm doch gleich Caddy oder besser Traefik, die kümmern sich ganz alleine um sowas.

Nginx Proxy Manager (als Docker Container) auch. Das ist mein Favorit.

Finde Treafik sowie NPM beides sehr gute Lösungen aber Bud nutzt doch kein Docker oder hab ich was überlesen

Kann gut sein

Ich finde schon, dass Containerisierung immer Sinn macht, auch bei einfacheren Anwendungen:

- einmal die Docker-Compose hergerichtet, für immer das „Kochrezept“ für diese Anwendung parat. Dieselbe Anwendung kann überall in Sekunden installiert werden.

- Docker Networking ermöglicht zahlreiche Möglichkeiten, App und DB Container können in ein eigenes Subnetz gepackt werden, nur die App Ports werden (ggfalls über Reverse Proxy) rausgegeben.

- die Sicherung der Docker Compose Files und Volumes / herausgelegten Ordner ist einfacher als bei installierten Anwendungen.

- es gibt einfache manuelle oder automatische Updatemechanismen.

U.v.m.

Zitat von TBT

Ich finde schon, dass Containerisierung immer Sinn macht, auch bei einfacheren Anwendungen:

- einmal die Docker-Compose hergerichtet, für immer das „Kochrezept“ für diese Anwendung parat. Dieselbe Anwendung kann überall in Sekunden installiert werden.

- Docker Networking ermöglicht zahlreiche Möglichkeiten, App und DB Container können in ein eigenes Subnetz gepackt werden, nur die App Ports werden (ggfalls über Reverse Proxy) rausgegeben.

- die Sicherung der Docker Compose Files und Volumes / herausgelegten Ordner ist einfacher als bei installierten Anwendungen.

- es gibt einfache manuelle oder automatische Updatemechanismen.

U.v.m.

Alles anzeigen

Sehe ich genauso hab ja Bud auch schon zu Container geraten. Beziehe mich hier auf den spezifischen Fall, dass ihm im Moment Docker Lösung wahrscheinlich nicht helfen .

Zitat von TBT

- die Sicherung der Docker Compose Files und Volumes / herausgelegten Ordner ist einfacher als bei installierten Anwendungen.

Aber die Datenbank musst du ja auch hier noch separat sichern, oder?

Für simple Anwendungen, wie z.B. Wordpress sehe ich da eigentlich keinen großen Unterscheid. (DB und Programmverzeichnis sichern)

Bei komplexen Anwendungen, die aus vielen Einzelbausteinen bestehen, macht es docker einem dann aber schon (u.U auch deutlich) einfacher.

Oder wenn man was hat, mit speziellen Abhängigkeiten. (Z.B. ältere php-Versionen o.ä.) Auch da macht docker sicher Sinn.

Ist schon jemand auf podman umgestiegen?

Zitat von aRaphael

Ist schon jemand auf podman umgestiegen?

Ich hatte es es sogar über ein Jahr produktiv im Einsatz. Bin dann letztendlich aber wieder genervt auf auf Docker umgestiegen. Letztendlich muss man sagen, dass Podman primär für den Desktop / Workstation interessant ist. Auf einem Server macht das wenig Sinn. Ist wirklich nett, wenn schnell mal was lokal testen möchte. Dauerhaft einen Podman Container laufen zu lassen, halte ich für wenig sinnvoll. Dann lieber gleich richtig in die Kubernetes Welt eintauchen und etwas wie microk8s oder k3s einsetzen. Läuft auch mit wenig Ressourcen, hat aber nicht die vielen Nachteile von Podman. Podman ist im Grunde Docker ohne den Daemon. Stattdessen arbeitet man hier mit Systemd Service Files um die Container am Laufen zu halten. Aber gleichzeitig gibt es immer noch die Podman CLI (podman start/stop) mit der man die Container administrieren kann. Wenn dann gleichzeitig der Systemd Service läuft, kommt sich das ständig in die Quere. Podman gibt es im Grunde nur, weil RedHat einen Zickenkrieg gegen Docker geführt hat und dann irgendwas eigenes auf den Markt werfen musste.

Danke für die Einschätzung.

Zitat von aRaphael

Danke für die Einschätzung.

Aber teste es ruhig selbst auch mal. Gibt sicher auch viele, die das mögen. Man sieht es nur außerhalb es RedHat Ökosystems so gut wie gar nicht, was halt auch irgendwie daran liegt, dass RedHat immer eine eigene Wurst braten muss. Statt Kubernetes müssen sie OpenShift entwerfen. Was zwar irgendwie schon noch Kubernetes ist, auf der anderen Seite aber wieder nicht, weil es eigene CLI Tools hat, eigene Python Extensions, statt einem Ingress kommt hier eine Route zum Einsatz, ...

Ich habe ja beruflich durchaus auch viel damit zu tun. Wenn man nicht 100% in der RedHat Welt leben möchte, ist das mittlerweile echt nervig geworden. Erinnert mittlerweile stark an das Apple Ökosystem. Das funktioniert im Grunde auch nur, wenn man nur die Geräte von Apple verwendet. Aber gerade hier bei uns in der Open Source Community ist man sowas eigentlich nicht gewöhnt.

Zitat von aRaphael

Aber die Datenbank musst du ja auch hier noch separat sichern, oder?

Für simple Anwendungen, wie z.B. Wordpress sehe ich da eigentlich keinen großen Unterscheid. (DB und Programmverzeichnis sichern)

Bei komplexen Anwendungen, die aus vielen Einzelbausteinen bestehen, macht es docker einem dann aber schon (u.U auch deutlich) einfacher.

Oder wenn man was hat, mit speziellen Abhängigkeiten. (Z.B. ältere php-Versionen o.ä.) Auch da macht docker sicher Sinn.

Ist schon jemand auf podman umgestiegen?

Naja, man stoppt den Container, sichert Volumes / herausgelegte Ordner und ich habe meine docker-compose Files auf einem privaten Github Repo gelagert, einerseits als Backup und andererseits zum einfachen Runterziehen der gesamten Umgebung auf einen neuen Host (plus noch die sehr nützliche Versionsverwaltung). Kürzt halt die länglichen Installationsanleitungen ab und es gibt eigentlich nie ein "Zerkonfigurieren" des Hosts.

Es dauert evtl EINMAL länger, um den Container laufen zu haben (z.B. Integration in den eigenen Proxy), aber wenn mans mal hat wirds immer genauso und immer einfach gehen.

Und ja, die genau passenden Umgebungen die sich mitunter gegenseitig ausschließen (z.B. Datenbank einer Version für eine Anwendung und Datenbank einer anderen Version für eine andere Anwendung) sind auch hilfreich.

Bei mir hat auch fail2ban gefehlt auf meinem Munin Server. Da hatte ich Munin vor fail2ban installiert. Ich habe dann die entsprechende Erweiterung nachträglich per symbolischem Link nachträglich aktiviert und dann kamen auch die Daten.

Zitat von Bud

Wenn ich auf einem der VPS nur Wiki.js laufen habe, kann ich mir doch den Reverse Proxy sparen,

nein. wiki.js bringt seinen webserver selbst mit.

Zitat von Bud

einfach nur das Stammverzeichnis des Indianers auf den Wiki.js-Order ändern,

nein. apache kann mit den datein dort nichts anfangen. das ist dort weder html noch php.

Hallo Bud,

so wie ich das verstehe, sollte in deine config.yaml sowas in der Art drin stehen :

port: 3000

Wenn Du das auf 80 änderst kannst Du den Apache weglassen.

Ich würde den reverse Proxy aber trotzdem drinlassen, ich finde es einfacher das Zertifikatshandling für HTTPS

mit certbot über den Apache zu machen als das über wiki.js zu machen.

Kannst Du heir nachlesen wie das geht wenn Du es trotzdem machen möchtest:

https://docs.requarks.io/install/config

Zitat von Bud

Ich bin mir leider auch nicht sicher, wo ich auf der Suche ansetzten soll. Wie finde ich heraus, ob die Datei example.com.conf überhaupt beachtet wird?

Wo hast du die Datei denn abgelegt?

Es gibt hier ein paar Befehle, die dir beim Debugging hilfreich sein könnten:

apache2 -t -D DUMP_VHOSTS

und

apache2 -t -D DUMP_INCLUDES

Falls es dort nicht auftaucht, stimmen evtl. die Berechtigungen der Datei nicht oder sie ist an der falschen Stelle abgelegt worden.

Zitat von Bud

certbot war machbar, das hatte ich auch schon mal gemacht.
Die Domain ist also jetzt mit einem Zertifikat versehen.
Port 80 kann ich deswegen aber dennoch nicht schließen, richtig?

Jedes Tool, welches den Apache-Server verwendet, um die LetsEncrypt-Schlüssel über Port 80 bereitzustellen – und dazu gehört wohl auch Certbot - wird sich bitterlich darüber beschweren, wenn dieser geschlossen wird.

Üblicherweise verwendet man auf einem Server, welcher auch für die Erneuerung von TLS-Zertifikaten verwendet wird, eine bedingte Umleitung ähnlich der folgenden (aus einem umfangreicheren Makro entnommen, Zeile 3 ist entsprechend anzupassen):

        RewriteEngine On
        RewriteCond %{REQUEST_URI} !^/.well-known/acme-challenge/..*
        RewriteRule ^(.*)$ https://$vh80servername$1 [redirect=301]

EDIT: Was die zweite Frage anbelangt: Ich verwendet Certbot selbst nicht, aber kann es sein, dass hier ebenfalls eine Wildcard-VirtualHost-Definition für Port 80 angelegt wird, welche auf alle betreffenden (Unter-)Domännamen reagiert? Dann kommt unter Umständen nämlich diese zum Zuge.