exore's questions

como estou com dificuldades para encaminhar o IP real para os aplicativos docker, agora estou executando o docker traefik no modo de rede host.

traefik e serviços funcionam. Aqui está minha configuração

docker-compose.yaml:

---
services:
  traefik:
    image: traefik:latest
    container_name: traefik
    network_mode: host
    volumes:
      - ./traefik.yaml:/traefik.yaml
      - ./letsencrypt/:/letsencrypt/
      - /run/docker.sock:/var/run/docker.sock:ro
    labels:
      - traefik.enable=true
      - traefik.http.routers.traefik.rule=Host(`frontal.cestpasla.norhere.net`)
      - traefik.http.routers.traefik.entrypoints=websecure
      - traefik.http.routers.traefik.service=api@internal
      - traefik.http.services.traefik-0000traefik.loadbalancer.server.port=8080
      - traefik.http.routers.traefik.tls.certresolver=myresolver
      - traefik.http.routers.traefik.middlewares=traefik-auth
      - traefik.http.middlewares.traefik-auth.basicauth.users=me:encryptedpassword

O arquivo yaml estático do traefik:

---
api:
  dashboard:
providers:
  docker:
    exposedByDefault: false
entrypoints:
  web:
    address: 10.20.0.2:80
  websecure:
    address: 10.20.0.2:443
certificatesresolvers:
  myresolver:
    acme:
      tlschallenge: true
      email: [email protected]
      storage: /letsencrypt/acme.json
#log:
#  level: DEBUG

A linha problemática é:

      - traefik.http.services.traefik-0000traefik.loadbalancer.server.port=8080

O nome do serviço do painel é traefik-0000traefik, provavelmente porque o arquivo docker-compose está em uma pasta chamada 0000.traefik. Não me lembro em que ponto dos meus testes eu tive que adicionar essa linha de repente, mas a partir de agora, no modo host de rede, se eu não usar essa linha, posso ver esse erro nos logs do docker:

2025-03-12T11:25:38Z ERR error="service \"traefik-0000traefik\" error: port is missing" container=traefik-0000traefik-09ccfe569180f81f22b135fd75082ed017ce95a7dc0ade1ab5a7e2bfbd960886 providerName=docker

A questão:
Se eu precisar usar uma linha de configuração para o serviço do painel, posso pelo menos escolher o nome do serviço, digamos traefik_dashboard, ou algo parecido? E como?

Então, eu inicializo o Debian 12 Bookworm com o cloud-init, e ele cria o usuário luiconforme definido abaixo.

users:
  - name: lui
    ssh_authorized_keys:
      - ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIH7tTbt9XLZ0bGRcD+btgRh5qcuM7/TphfnCPl4fw8q3 la mienne
    sudo: ["ALL=(ALL) ALL"]
    shell: /bin/bash
    gecos: C'est pas moi !,,,
    lock_passwd: false
    plain_text_passwd: elle

No entanto, no log do cloud-init posso ver isso

Cloud config schema errors: users.0: {'gecos': "C'est pas moi !,,,",
'lock_passwd': False, 'name': 'lui', 'plain_text_passwd': 'elle',
'shell': '/bin/bash', 'ssh_authorized_keys': ['ssh-ed25519
AAAAC3NzaC1lZDI1NTE5AAAAIH7tTbt9XLZ0bGRcD+byrFUv8cuM7/TphfnCJ6WXwkIq
la mienne'], 'sudo': ['ALL=(ALL) ALL']} is not valid under
any of the given schemas

Conectado à máquina com o usuário lui, executo sudo cloud-init schema --systeme efetivamente recebo o mesmo erro, mas nenhuma explicação do que está errado ou faltando...

Então acho que tenho sorte o suficiente para o cloud-init não desistir e criar o usuário de qualquer forma. Um dia, vou ficar sem sorte. Então prefiro consertar isso agora.

Verifiquei com a referência do cloud-init, mas não consegui encontrar meu erro.

O que há de errado com esta definição de usuário cloud-init?

Quero que o squid escute as portas 3128 e 3129. Quero autenticação na 3129 e nenhuma autenticação na 3128. Por enquanto, tenho esta configuração

# auth_param not shown but working

http_port 3128
http_port 3129
acl input_3128 myportname 3128
acl input_3129 myportname 3129
acl authenticated proxy_auth REQUIRED

http_access allow authenticated input_3129
http_access deny input_3129
http_access allow input_3128
http_access deny all

Infelizmente isso não funciona de jeito nenhum. O Squid sempre requer autenticação.

Exemplo de solicitação:

curl -v --proxy http://myproxy.example.com:3128 http://debian.org/

Resposta do Squid:

* processing: http://debian.org/
10.1.2.3:3128...
* Connected to myproxy.example.com (10.1.2.3) port 3128
> GET http://debian.org/ HTTP/1.1
> Host: debian.org
> User-Agent: curl/8.2.1
> Accept: */*
> Proxy-Connection: Keep-Alive
>
< HTTP/1.1 407 Proxy Authentication Required
< Server: squid/5.9
< Mime-Version: 1.0
< Date: Wed, 23 Oct 2024 10:15:01 GMT
< Content-Type: text/html;charset=utf-8
< Content-Length: 3511
< X-Squid-Error: ERR_CACHE_ACCESS_DENIED 0
< Vary: Accept-Language
< Content-Language: en
< Proxy-Authenticate: Basic realm="Squid proxy-caching web server"
< X-Cache: MISS from myproxy
< X-Cache-Lookup: NONE from myproxy:3129
< Via: 1.1 myproxy (squid/5.9)
< Connection: keep-alive
<

Pergunta

Como fazer o squid exigir autenticação somente na porta 3129?

Eu uso com sucesso a cota do projeto (ou diretório) xfs. No entanto, acabei de descobrir que não consigo remover informações de cota quando não preciso mais delas. Por exemplo, eu tinha 3 projetos com id de projeto 1, 2, 3. Eu removi o diretório do projeto com id 2, e agora xfs_quota continua me dizendo que existe um projeto com id 2 e tem cota. O espaço usado relatado é 0, o que está correto desde que o diretório foi removido. Este não é um problema real. Sempre que eu reutilizar o ID do projeto 2, definirei uma nova cota, mas ainda gostaria de remover essas informações inúteis do sistema de arquivos.

/etc/projects

1:/web/perso/usera
3:/web/perso/userc

/etc/projid

usera:1
userc:3

E aqui está o que o xfs_quota relata.

root@server # xfs_quota -xc "report -a -p -h" 
Project quota on /web (/dev/vdb1)
                        Blocks              
Project ID   Used   Soft   Hard Warn/Grace   
---------- --------------------------------- 
#0         588.3M      0      0  00 [------]
usera        5.5M    14G    14G  00 [------]
#2              0   980M     1G  00 [------]
userc      574.6M    14G    14G  00 [------]

Como posso dizer ao xfs que ele não precisa mais acompanhar o ID do projeto 2?