Um es kurz zu machen: Die Domain edge.activity.windows.com muss auf die Whitelist. Ansonsten hängt Edge dauerhaft bei „Synchronisierung wird eingerichtet“.
Auf meinem kleinen Ubuntu Server zu Hause tummeln sich ca. 30 Docker Container. Bisher habe ich mich via Docker-Update-Image-Notififier (DIUN) über Updates benachrichtigen lassen, wenn es neue Version der genutzten Images gab. Das Update hab ich dann aber trotzdem noch selbst gemacht bzw. machen müssen. Die Benachrichtung via eMail ist ganz ansprechend und die ganze Geschichte lässt sich sich schön individuell konfigurieren, ja nachdem, wie man es braucht.
Hier mal das dazugehörige docker-compose.yml:
version: "3.5"
services:
diun:
container_name: diun
image: crazymax/diun:latest
volumes:
- "./data:/data"
- "./diun.yml:/diun.yml:ro"
- "/var/run/docker.sock:/var/run/docker.sock"
environment:
- "TZ=Europe/Berlin"
- "LOG_LEVEL=info"
- "LOG_JSON=false"
restart: unless-stopped
Und noch die diun.yml dazu:
watch:
workers: 20
schedule: "30 2 * * *"
firstCheckNotif: true
providers:
docker:
watchByDefault: true
notif:
mail:
host: smtp.my-email-provider.de
port: 465
ssl: true
insecureSkipVerify: true
from: docker@my-email-provider.de
to: docker@my-email-provider.de
username: blablabla
password: blablubb123
Die Benachrichtigung sieht dann in etwa so aus:
Soweit, so gut. Heute habe ich dann zufällig Watchtower entdeckt. Da sehen die Benachrichtigungen zwar nicht so schön aus, aber dafür können automatische Updates gemacht werden, wenn neue Versionen der Images vorliegen.
Auch hier wieder eine komplette docker-compose.yml, inkl. eMail Relay via Postfix:
version: "3.5"
services:
watchtower:
image: containrrr/watchtower:latest
container_name: watchtower
restart: unless-stopped
depends_on:
- postfix
environment:
TZ: 'Europe/Berlin'
WATCHTOWER_MONITOR_ONLY: 'false'
WATCHTOWER_CLEANUP: 'true'
WATCHTOWER_SCHEDULE: '0 15 5 * * *'
WATCHTOWER_HTTP_API_METRICS: 'true'
WATCHTOWER_HTTP_API_TOKEN: no5theit0dooqueih2ohjoo7ya6Tai7a
WATCHTOWER_NOTIFICATIONS: email
WATCHTOWER_NOTIFICATION_EMAIL_FROM: docker@my-email-provider.de
WATCHTOWER_NOTIFICATION_EMAIL_TO: docker@my-email-provider.de
WATCHTOWER_NOTIFICATION_EMAIL_SERVER: postfix
WATCHTOWER_NOTIFICATION_EMAIL_SERVER_PORT: 25
WATCHTOWER_NOTIFICATION_EMAIL_DELAY: 5
volumes:
- /var/run/docker.sock:/var/run/docker.sock
ports:
- 9180:8080
postfix:
image: juanluisbaptiste/postfix:latest
container_name: postfix
restart: unless-stopped
environment:
TZ: 'Europe/Berlin'
SMTP_SERVER: smtp.my-email-provider.de
SMTP_PORT: 25
SMTP_USERNAME: blablabla
SMTP_PASSWORD: blablubb123
SERVER_HOSTNAME: my-dockerhost
Die bereitgestellten Metriken greift mein Prometheus ab:
- job_name: 'watchtower'
scrape_interval: 5s
metrics_path: /v1/metrics
bearer_token: no5theit0dooqueih2ohjoo7ya6Tai7a
static_configs:
- targets: ['192.168.1.130:9180']
Wenn bestimmt Images nicht aktualisiert werden sollen, was z.B. bei auf dem System selbst gebauten Images der Fall ist, kann das mit diesem Label verhindert werden:
version: '3.3'
services:
my-app:
ports:
- '8080:8080'
container_name: my-app
image: 'my-app:latest'
restart: unless-stopped
volumes:
- './log:/app/log'
labels:
- com.centurylinklabs.watchtower.enable=false
Out of the box kann Pi-hole bisher kein DoH, aber ein Docker Container eilt zur Hilfe: crazymax/cloudflared
Diesen kann man zusammen mit Pi-Hole starten und via TUNNEL_DNS_UPSTREAM einen oder mehrere DoH Server mitgeben. Pi-Hole bekommt dann den Container als DNS Server und nutzt dann (in-) direkt DoH.
version: "2.1"
services:
pihole:
container_name: pihole
image: pihole/pihole:latest
ports:
- "53:53/tcp"
- "53:53/udp"
- "8000:80/tcp"
- "8443:443/tcp"
environment:
TZ: Europe/Berlin
WEBPASSWORD: zaewooQu0kaequaZ
DNS1: 192.168.1.130#5053
DNS2: 192.168.1.105#5053
ServerIP: 192.168.1.105
VIRTUAL_HOST: pihole.fritz.box
volumes:
- './etc-pihole/:/etc/pihole/'
- './etc-dnsmasq.d/:/etc/dnsmasq.d/'
dns:
- 127.0.0.1
- 46.182.19.48
restart: unless-stopped
networks:
- pihole_net
depends_on:
- cloudflared
cloudflared:
image: crazymax/cloudflared:latest
container_name: cloudflared
ports:
- "5053:5053/udp"
- "49312:49312/tcp"
environment:
TZ: "Europe/Berlin"
TUNNEL_DNS_UPSTREAM: "https://anycast.uncensoreddns.org/dns-query,https://unicast.uncensoreddns.org/dns-query,https://dns.digitale-gesellschaft.ch/dns-query,https://dot.ffmuc.net/dns-query"
TUNNEL_DNS_PORT: 5053
restart: unless-stopped
networks:
- pihole_net
networks:
pihole_net:
enable_ipv6: true
driver: bridge
driver_opts:
com.docker.network.enable_ipv6: "true"
ipam:
driver: default
config:
- subnet: fc00::/64
Bei mir sind das dann 192.168.1.130#5053 und 192.168.1.105#5053. Redundanz muss sein. ? Und via Port 49312 gibt es noch ein paar Metriken im Prometheus Format.
DoT (DNS over TLS) wäre auch eine Alternative, habe ich bisher aber nicht ausprobiert. Vielleicht bekommt Pi-hole ja auch irgendwann einmal native DoH oder DoT Unterstützung, dann sind Bastellösungen wie diese überflüssig.
Abschließend: Braucht man das wirklich? Nein, kann man aber.
Kleines Update vom 04.02.2021: IPv6 Konfiguration hinzugefügt, damit Pi-Hole als auch Cloudflared via IPv6 erreichbar sind im LAN.
Auf einem Raspberry Pi oder einem anderen System mit einem Docker Daemon lässt sich Pi-hole sehr leicht betreiben. Hier das dazugehörige docker-compose.yml:
version: "2.1"
services:
pihole:
container_name: pihole
image: pihole/pihole:latest
ports:
- "53:53/tcp"
- "53:53/udp"
- "8000:80/tcp"
environment:
TZ: Europe/Berlin
WEBPASSWORD: peeGhoh7voh9thim
PIHOLE_DNS_: 5.1.66.255#53;80.241.218.68#53
ServerIP: 192.168.1.105
ServerIPv6: fd00::935d:666d:f026:8b11
PROXY_LOCATION: pihole.fritz.box
VIRTUAL_HOST: pihole.fritz.box
volumes:
- './etc-pihole/:/etc/pihole/'
- './etc-dnsmasq.d/:/etc/dnsmasq.d/'
dns:
- 127.0.0.1
- 5.1.66.255
restart: unless-stopped
networks:
- pihole_net
networks:
pihole_net:
enable_ipv6: true
driver: bridge
driver_opts:
com.docker.network.enable_ipv6: "true"
ipam:
driver: default
config:
- subnet: fc00::/64
Angepasst werden müssen die IP Adresse (hier 192.168.1.105), VIRTUAL_HOST und am besten auch WEBPASSWORD. Die beiden hinterlegten DNS Server gehören zu Freifunk München bzw. UncensoredDNS. Über Port 8000 ist dann die Weboberfläche erreichbar. Die IP Adresse des Docker Hosts stellt dann via Port 53 Pi-hole für DNS Anfragen bereit.
Update: IPv6 funktioniert nur bis zur docker-compose Version 2.1 und mit der zusätzlichen Network Konfiguration unten.