Как в Docker Swarm развернуть Nginx с cerbot?

kondratev-ad, По умолчанию certbot использует DNA A запись для получения сертификата, соответственно появляется два варианта.
1. Придумать механизм синхронизации, копирования сертификата на все ноды.
2. Использовать DNS TXT запись для получения сертификата. В таком случае нет необходимости заворачивать 80 порт на ноду которая получает сертификат, но требуется взаимодействие с DNS сервером через API.

Как в Docker Swarm развернуть Nginx с cerbot?

kondratev-ad, Сорян, я не силен в swarm. Но видится три подхода.
1. Использовать общее хранилище, типа NFS на котором будут лежать сертификаты.
2. Запускать certbot на всех нодах.
3. Использовать общий прокси перед nginx.

Как в Docker Swarm развернуть Nginx с cerbot?

kondratev-ad, Почему он (node2) не может запросить сертификат повторно при запуске?

Гипервизор с hot HA?

VMware точно поддерживает, есть режим в котором синхронизируются даже команды CPU. Для этого требуется два одинаковых сервера и общее хранилище. Этот функционал появился потому как есть приложения которые нет возможно резервировать по другому.

Я все же рекомендую рассмотреть другой вариант резервирования.

Как в Docker Swarm развернуть Nginx с cerbot?

kondratev-ad,
создание двух volumes
Я бы сказал монтирование.

Я не видел твой docker-compose, соответственно предложил такой шаблон, путь выбрал с потолка (./ssl:/opt/ssl:ro). В данном варианте все контейнеры умеют доступ к общей папке SSL в которой certbot имеет права на запись и занимается обновление сертификатов, остальные контейнеры могут только читать.

Как в Docker Swarm развернуть Nginx с cerbot?

kondratev-ad,

services:  
  nginx:
      - 80:80
      - 443:443
    volumes:
      - ./ssl:/etc/nginx/ssl:ro

  certbot:
    volumes:
      - ./ssl:/etc/letsencrypt/live/mydomainname:rw

  node1:
    volumes:
      - ./ssl:/opt/ssl:ro
      
  node2:
    volumes:
      - ./ssl:/opt/ssl:ro

Как правильно написать конфиг для nginx+rocketcat+ssl?

the "ssl" directive is deprecated, use the "listen ... ssl"

говорит что не убрали ssl on;

conflicting server name "rocket.*********" on 0.0.0.0:80,

говорит что server_name rocket.zvezda.ltd; прописал еще в каком-то конфиге и он игнорирует этот конфиг (/etc/nginx/sites-enabled/rocket).

Как правильно написать конфиг для nginx+rocketcat+ssl?

Серая Мышь, Из лога видно что все предыдущие рекомендации не были проделаны.

Падает сильно скорость WireGuard-а?

sdfasd,
Делаешь iperf внутри туннеля на сервер VPN.
Делаешь iperf без туннеля на сервер VPN

Сравниваешь данные, на основании результата можно утверждать что скорость разная. Сейчас у тебя вводные данные от speedtest.net - ни о чем.

Как правильно написать конфиг для nginx+rocketcat+ssl?

Серая Мышь, У тебя же сервер nginx вообще не стартует.
socket() [::]:443 failed (97: Unknown error)

закоментирую IPv6
listen [::]:80;
listen [::]:443 ssl http2;

перед перезапуском nginx надо выполнять команду проверки конфигов, что бы быть уверенным что нет ошибок

sudo nginx -T

Падает сильно скорость WireGuard-а?

speedtest.net не годиться как источник достоверных данных, куча неизвестных. При проверке скорости необходимо использовать iperf и один и тот же сервер.

Как правильно написать конфиг для nginx+rocketcat+ssl?

Серая Мышь, Пример с офф документации пробовал? Порт 443 на firewall открыт? Можно лог посмотреть /var/log/nginx/rocketchat.error.log; ?

Как завернуть vpn траффик c mikrotik на роутер?

slamok88,
1. Подключить микротик в локальную сеть.
2. Сбросить к заводским с удалением всех правил firewall установив галочку "no default config"
3. Включить DHCP клиент на микротик для получения IP из локальной сети.
4. Поднять pptp VPN
5. Включить NAT для pptp интерфейса если нет обратного маршрута на VPN сервере.
6. На основном роутере прописать маршрут через микротик для необходимых сетей.

Как завернуть vpn траффик c mikrotik на роутер?

slamok88, Тогда вариант 2.

Как правильно написать конфиг для nginx+rocketcat+ssl?

the "ssl" directive is deprecated, use the "listen ... ssl" directive instead in /etc/nginx/sites-enabled/rocket.***********:14

Убрать ssl on;

Jun 19 12:17:03 rocketchat nginx[20814]: nginx: [emerg] unexpected ";" in /etc/nginx/sites-enabled/rocket.**********:19

Но в 19 строке ошибки нет, наверное файл конфига отредактировали перед публикацией.

попробуй
proxy_pass http://localhost:3000/;

Рокет чат работал только по IP:3000.

По http или https ?

офф документация предлагает делать это через upstream
https://docs.rocket.chat/deploy/rocket.chat-enviro...

OC для маршрутизации на x86-64?

VyOS

Как завернуть vpn траффик c mikrotik на роутер?

slamok88,
Вариант 1. Поставить микротик посередине (между роутером и свичем), на основном роутере настроить DMZ.

Варинат 2. Если основной роутер умеет работать со статическими маршрутами, то вполне реально на нем завернуть трафик в сторону микротика, а потом в VPN.

Как завернуть vpn траффик c mikrotik на роутер?

Имеется роутер на который приходят автоматические настройки провайдера, за которым находится свич к которому подключены клиенты.

Почему бы не поменять их местами, сделать микротик основным роутером?

Как на один и тот же сайт заходить под разными адресами?

Можно использовать разные домены.
crm.company1.com
crm.company2.com
…

Как пробросить порты 22 и 80 на разные VM?

NoNameCast, Я не думаю что тебе нужен SSH на windows server.

получается всё будет идти через неё?

SSH можно разделить на роутере как было описано выше. HTTP, да все будет итти через него.