Как сделать поддомены и много портов на сервисы в докере (с дополнительными ограничениями)?

Question

[Дмитрий Логвиненко]

Привет! Пытаюсь решить задачку, но даже не знаю как правильно погуглить.

Дано: домашний сервачок на OpenMediaVault (Debian под капотом, но не думаю, что это имеет значение), назовем его nas.local. На нем крутится пачка сервисов: сама морда OMV и SSH, SMB, Plex, Miniflux, Gitea и прочая — что-то в Docker, что-то прямо так — каждое на своём порту прямо на nas.local.

Чего хочу: сделать красиво. Хочу, чтобы каждый сервис болтался на своём поддомене, при этом порты самом nas.local не торчали. И если случай «1 сервис — 1 порт» нормально закрывается через reverse proxy, то, например, у Gitea торчат два порта, а у Plex — вообще клиника.

В идеальном мире хочу сделать примерно так:

nas.local:22 — просто SSH

omv.nas.local:80 -> морда OMV
omv.nas.local:445 -> OMV SMB

gitea.nas.local:80 -> docker/gitea:3000
gitea.nas.local:22 -> docker/gitea:22

miniflux.nas.local:80 -> docker/miniflux:8080

plex.nas.local:32400 -> docker/plex:32400
plex.nas.local:1900 -> docker/plex:1900
plex.nas.local:5353 -> docker/plex:5353
plex.nas.local:8324 -> docker/plex:8324
plex.nas.local:32410,32412,32413,32414 -> docker/plex:32410,32412,32413,32414
plex.nas.local:32469 -> docker/plex:32469

...и прочая, и прочая.

Что я уже пробовал сделать:

• Зафигачил А-зону .*\.nas\.local на своём микротике.
  
• Экспериментировал с Traefik и ReProxy.
  

Как писал выше, с одним портом всё проходит хорошо, но как мапить несколько портов, да еще и скрывать их «снаружи» — непонятно.

Дополнительные, но необязательные хотелки:

• nas.local:32400 не должен вести в Plex.
  
• Автодисковеринг для докер-контейнеров.
  
• Не ломать автодисковеринг клиентов (чтобы клиент Plex-a находил своё хозяйство в сети).
  
• Покрыть всё, что можно, SSL.
  

Comments

[ArcticFox_wap]

Зафигачил А-зону .*\.nas\.local на своём микротике.
- микротик не так гибко управляет зоной в твоем случае логичней было бы в прослойку pi-hole поднять как ДНС сервер. Заодно мусор отрежешь.
Дальше у тебя тут проблемка есть. Тебе придется каким то образом разнести все твои 80/(443 если ssl) порты
omv.nas.local:80
gitea.nas.local:80
miniflux.nas.local:80
У меня в голове только nginx в прослойку засунуть. И по доменным именам разруливать. А все остальное через dst-nat прокинуть.
Но тут вопрос, что у тебя за микрот и справится ли он с нагрузкой, так как plex у тебя будет серьезную нагрузку генерировать при просмотре потокового контента.

[Дмитрий Логвиненко]

ArcticFox_wap, мой hAP Lite вряд ли что-то выдержит вообще)

В целом пока выглядит так, что мой максимум — это

1. вывести морды за проксю на поддомены (для красоты)
   
2. сделать страничку с описанием остальных портов))
   

[ArcticFox_wap]

hAP Lite - на такое не способен, это точно.

Тут проскочила дополнительная мысля, хотя с OpenMediaVault близко не знаком, а что если тебе сделать немного по другому. Я так понимаю это добро на Debian относительно полноценном.
1. Поставить NGINX (если не стоит) через него разрулить веб порты (это нам нужно для ssl).
2. через iptables уже химичим с dst-nat и заворачиваем порты куда хотим, в дополнение навесить еще несколько адресов на сетевой интерфейс и по ним уже раскидывать по сервисам. Все что не нужно отрезаем.
3. на микроте в ( /ip dns static add ) докидываем на какой ip нам идти при запросе конкретного домена.

[Drno]

ArcticFox_wap, hap lite спокойно переваривает гигабит... че вы гоните

[ArcticFox_wap]

Не путать с hEX Lite

hap lite

spoiler

Как вы себе представляете, что железка с 100 мегабитными портами и процессором smips у вас переварит гигабит?
По личному опыту MIPSBE который мощнее начинает проседать уже на 10 правиле фаервола до 150 максимум (и это на 2011)
А теперь официальная производительность 2 железок в сравнении

spoiler

Вы точно ничего не путаете?

Answer 1

[ValdikSS]

Такое получится сделать только для тех сервисов, где есть концепция виртуального хоста. В SMB, например, её нет, полагаю, что и не в каждом сервисе Plex.

Answer 2

[Ивор Барханский]

Попробуйте в Микротике присвоить а-записи для ваших днс-имён к несуществующим внутренним адресам, а потом бросать порты таким образом

/ip/dns/static/add name=one.local address=172.17.1.1
/ip/dns/static/add name=two.local address=172.17.1.2
/ip/firewall/nat/add chain=dstnat action=dst-nat dst-address=172.17.1.1 dst-port=443 to-addresses=10.0.0.3 to-ports=443 protocol=tcp
/ip/firewall/nat/add chain=dstnat action=dst-nat dst-address=172.17.1.2 dst-port=443 to-addresses=10.0.0.4 to-ports=443 protocol=tcp

На выходе получается, что вы пробросили one.local:443 -> 10.0.0.3:443; two.local:443 -> 10.0.0.4:443...