Skip to content
View in the app

A better way to browse. Learn more.

Unraid

A full-screen app on your home screen with push notifications, badges and more.

To install this app on iOS and iPadOS
  1. Tap the Share icon in Safari
  2. Scroll the menu and tap Add to Home Screen.
  3. Tap Add in the top-right corner.
To install this app on Android
  1. Tap the 3-dot menu (⋮) in the top-right corner of the browser.
  2. Tap Add to Home screen or Install app.
  3. Confirm by tapping Install.

Questions multiples + projet NAS unraid

Featured Replies

Bonjour à tous,

 

Je suis actuellement en train de monter un NAS sous Unraid avec un HP ProDesk que j’ai récupéré (i5-9500T, 16 Go de RAM, 256 Go SSD).

L’idée, c’est de centraliser pas mal de services sur cette machine, principalement :

du stockage de données perso (photos, vidéos, fichiers)

du streaming local via Plex

du téléchargement via torrent (avec VPN)

et de la domotique avec Home Assistant en VM.

 

Pour la partie logicielle, je compte m’appuyer sur Docker pour faire tourner :

qBittorrent pour télécharger de manière sécurisée,

Plex pour ma bibliothèque multimédia,

Nextcloud pour avoir un cloud perso accessible de l’extérieur,

Grafana / InfluxDB pour suivre un peu la domotique et le système, (utile ou overkill ?)

Tailscale pour un accès distant sans ouvrir de port

 

Je pense utiliser Mullvad ou ProtonVPN côté VPN, si vous avez un retour d’expérience entre les deux je prends !

 

Pour sécuriser le tout, après recherche je prévois un onduleur Eaton ECO 650 FR. Ça me paraît être un bon point de départ, mais je ne sais pas si c’est indispensable dès le début ?

 

Côté domotique justement, je prévois de faire tourner Home Assistant dans une VM, mais j’ai lu que les clés Zigbee en USB pouvaient être instables avec Unraid dans ce contexte. Est-ce que vous avez eu ce genre de souci ? Vous recommandez une clé en particulier ou un contournement ?

 

Enfin, pour le stockage, je pensais partir sur un DAS USB. Mais en lisant un peu, j’ai vu que certains modèles pouvaient poser problème avec Unraid (pas de mode JBOD réel, instabilités, etc.). Est-ce que vous utilisez un DAS avec Unraid sans souci ? Si oui, vous avez des modèles à recommander ?

 

Est ce que cette config tiens la route ?

 

Merci d’avance pour vos retours, je prends tous vos conseils !

Edited by ElFrancis44
pleins de questions, trop de questions :D

  • ElFrancis44 changed the title to Questions multiples + projet NAS unraid

Hello
Je vais t'apporter quelques éléments de réponses avec mon expérience d'Unraid.

J'ai commencé comme toi : plex, nextcloud, download, HomeAssistant, et maintenant, j'ai plus de 30 services docker qui tournent sur mon serveur unraid !

 

Pour qb, j'utilisais l'image de binhex qui intègre un VPN. Ca marche très bien et tu peux aussi router d'autres docker vers celuici pour partager la connexion vpn. Le "problème" de l'image binhex, c'est qu'elle fait quasi 2Go. J'ai décidé de migrer dernièrement vers l'image linuxserer de qb et j'ai ajouté GluetunVPN pour la connexion VPN. J'ai donc qb et mes services *arr qui passent tous par GluetunVPN. J'utilise pia comme vpn, mais proton semble très bien fonctionner également avec Gluetun.

 

Plex, je l'utilise depuis des années, ça tourne parfaitement. J'ai ajouté une carte graphique qui s'occupe du transcodage

 

Nextcloud idem. Pour y accéder (et d'autres services), j'utilise un tunnel cloudflare. Je ne me suis pas encore penché sur tailscale. Je n'en vois pas trop l'utilité pour le moment

 

Grafana / InfluxDB : pas d'utilité pour moi. J'ai installé glances et je récupère les infos dans HomeAssistant pour un peu de monitoring

 

image.thumb.png.f07d311cb51ebb9658e0788e3cae6028.png

 

Nginx Proxy Manager : j'utilisais NPM pendant longtemps avant de migrer vers un tunnel clouflare

 

J'ai un onduleur. C'est pratique en cas de coupure : ça permet au serveur de ne pas s'étiendre brusquement. Il peut tourner encore un peu (pratique pour Homeassistant et le zigbee) et il s'éteint proprement quand la batterie tombe sous les 10% de charge. Il redémarre aussi automatiquement (je crois) lorsque le courant revient et que l'onduleur recharge.

 

Pour la domotique, j'ai HA sur une VM, un docker pour faire tourner z2m côté unraid (pas dans HA). J'utilise une clé sonoff, pas de soucis de connexion. Elle est branchée sur une rallonge usb pour ne pas la brancher directement sur le serveur et ainsi éviter les interférences.

 

Si tu as d'autres questions, n'hésite pas !

Edited by deadnote

  • Author

Merci beaucoup pour ta réponse ! 🙏

Côté sécurité, j’ai quelques bases mais ça reste assez limité 😅
J’ai commencé à me pencher sur les tunnels Cloudflare, et effectivement, ça a l’air d’être un super compromis pour sécuriser l’accès distant

Concernant la clé Sonoff, top si elle est stable, ca me rassure pas mal sur ce point . J’avais également vu pas mal de bons retours sur les contrôleurs SLZB-06 PoE, qui semblent être une alternative sérieuse aux clés USB classiques.

 

Et sinon, côté sauvegarde, comment tu gères ça de ton côté ?

Pour la sauvegarde du système/dockers, j'utilise le plugin backup/restore appdata
Ça fait une sauvegarde dans un dossier spécifique sur le serveur

Je branche un disque dur externe en usb et j'exécute un script qui va copier les dossiers que j'ai choisi sur ce disque.

  • Author

d'accord et il faut prévoir combien d'espace de stockage environ ?

Impossible à dire
Tout dépend de ce que tu as à stocker...

Salut,

 

Déjà très bien expliqué par deadnote :)

 

Seul chose que je peux te parler par expérience, j'avais mis un cache SSD de 240 gig en miroir et je me suis vite rendu compte que c'est vraiment trop petit si tu passe par le cache pour avoir plus de performance.  J'ai maintenant des caches de 540gig et c'est limite si tu passe par le cache pour tes données.

 

Je laisse les données "appdata par défaut sur le cache comme Unraid le met (docker et vm), mais j'ai désactivé le cache pour tout ce qui est données, films, séries ETC.  Je le met directement sur le pool array. 

 

C'est une opinion perso.

 

Pour l'espace que tu as besoin c'est toi qui décide car on ne sait pas ce que tu va mettre dessus.

 

J'ai 21 docker qui roulent dont , Plex, JellyFin, NextCloud, ETC.  J'ai 32gig de ram et il reste 20 gig de libre :)

System: 4.93 GiB
VM: 968 MiB
Docker: 5.27 GiB
Free: 20.1 GiB

 

Bonne journée

+1 pour GluetunVPN, perso je l'utilise avec ProtonVPN en Wireguard, ça déboite et je n'ai pas trop galérer à la mise en place.

 

  • Author

Merci beaucoup pour vos retour, j'avais pas reflechi en effet au potentiel probleme de stockage du cache ssd, vu que ca va etre du multi service je vais en effet prevoir un peu plus

  • 2 weeks later...

Salut. Je viens apporter mon petit retour d'expérience à mon tour.

 

Pools 

 

Tout à fait d'accord avec Deen sur la mise en place des "pools" assez amples pour au moins y stocker à demeure les shares:

appdata/   => les dossiers persistents des containers docker

system/    => docker et libvirt

domains/   => les vdisks des VM par défaut

 

Si tu décides de mettre ces shares en stockage primaire dans un pool et pas de stockage secondaire deux petites remarques qui découlent de ce choix:

- tu peux activer du coup le "exclusive access" pour ces shares

- comme ils seront d'office en dehors de l'array => pas de protection de parité si tu en as une => donc faut backup 

 

Sécurité

 

En terme de sécurité tu pourrais avoir envie de tenter de masquer ta vraie IP publique pour les accés distants publiques.

En fait d'aprés ce que tu dis tu es déja sensible à cela puisque tu parles de tailscale.

 

Il est fort probable que tes besoins puissent être découpés de la sorte:

- usage privé pour toi

- usage publique ouvert

 

Dés que c'est pour un usage privé essentiellement pour toi il est intéressant de passer par un tunnel. Pour cet usage personnellement j'ai opté pour tailscale.

Du coup à ce propos sache que les images linuxserver, toutes les images de linuxserver peuvent se faire ajouter en DOCKER_MOD un client tailscale ce qui fait que un container égal une machine dans ton réseau tailscale, ton tailnet. C'est assez pratique dans cet usage privé.

 

Saches également que tu peux avoir des sous domaines qui pointent vers les ips internes à ton tailnet pour te permettre à toi et à toutes les machines de ton tailnet de le contacter par cette adresse. Le service devient donc accessible par ce sous domaine que si le client est connecté au même tailnet pas pour les autres.

 

Pour le second aspect "publique" personnellement j'ai pas opté pour la solution de cloudflare et à vrai dire je tente de me passer de tout services américains.

Du coup j'ai opté pour la solution de reverse proxy "Pangolin" que j'ai installé sur un VPS.

Mes sous domaines et domaines ne pointent donc plus vers chez moi ou vers cloudflare mais vers mon VPS et Pangolin se charge de rediriger les visiteurs par tunnel jusqu'à chez moi.

Ceci permettant de ne pas afficher mon ip publique et de profiter de la protection crowdsec intégrée.

 

Avec l'usage combiné de tailscale pour le privé et Pangolin sur VPS pour le public je n'ai donc plus de ports ouvert sur ma box et dans les deux cas les échanges se font par des tunnels.

 

Backup

 

Pour le backup comme dit plus tôt je me charge déja des shares dont le contenu est important à mes yeux et qui sont en pool uniquement.

Donc principalement le appdata/ qui à mon sens est très important.

J'ai fais le choix de ne pas mettre de parité car elle apporte qu'une tolérance à la panne pour repartir plus vite en cas de défaillance d'un disque et n'est pas à considérer comme un backup. Du coup en toute logique il faudrait avoir en plus de la parité un disque en spare pour remplacer l'éventuel disque qui viendrait à défaillir chose que je n'ai pas.


Par contre je backup certains contenus que je considère "vitaux" notamment les photos, documents...

Dans mon cas je suis aux alentours de 300Go à devoir mettre à l'abri.

J'ai un backup que je fais localement puis un double que je fais sur le cloud. En ce moment je suis encore chez onedrive pour cela mais comme je disais que je veux me passer de services américains je vais prochainement migrer vers Jottacloud qui est en Norvège sous couvert du RGPD et des lois du pays sur la vie privée.

Ce fournisseur est compatible avec rclone du coup ça fonctionne trés bien dans mon cas car j'utilise Backrest avec Restic pour de la sauvegarde incrémentale chiffrée vu que ces sauvegardes ne sont pas chez moi. Je le sais parce que mis en place sur l'offre gratuite pour le moment pour tester.

 

Si tu as de la famille il est aussi possible que tu fasses ce backup chez eux et eux chez toi. L'intéret là est d'avoir un backup externe à chez toi dans l'hypothèse catastrophe chez toi. La réciproque est vertueuse et c'est un peu pour ce genre de cas de figure que je préfère utiliser une solution de backup qui chiffre.

 

 

Edited by waazaa

  • Author

Merci beaucoup pour ton retour super complet, j'ai deux petites questions

 

- Tailscale dans chaque container Docker via DOCKER_MOD est ce que ça impacte sur la perf ou la maintenance ?

- Tu gères comment les ACL/TLS pour tes services en reverse proxy ?

Quote

- Tailscale dans chaque container Docker via DOCKER_MOD est ce que ça impacte sur la perf ou la maintenance ?

En fait il n'y a pas plus de maintenance que sans.
Le DOCKER_MOD permet juste d'installer via le gestionnaire de paquet de l'os de base des images de linuxserver d'installer le client tailscale à chaque boot.

Il faut donc préciser en plus de la variable DOCKER_MOD d'autres variables nécessaires pour la connexion automatique.

 

Je parle des images docker de linuxserver mais tu peux également installer le client tailscale dans beaucoup d'autres container depuis la v7 de UnRAID directement dans les templates docker.

 

Enfin je ne voulais pas dire d'installer le client tailscale partout mais disons là où cela est nécessaire.

 

Par exemple j'ai un container swag linuxserver avec le DOCKER_MOD tailscale donc ce container fait partie de mon réseau tailscale, je le vois dans mon compte sur le site tailscale et peut le paramétrer.

Tailscale lui a donc attribué une ip dans le tailnet, ip joignable qu'à ceux qui sont dans le tailnet également.

Je mets cette ip tailscale en destination de certaines entrées DNS sur un domaine que je gère via la gestion DNS de chez Heztner qui propose d'activer des options d'api ce qui permet à swag de générer les certificats letsencrypt via DNS challenge par simple clef api.

 

Du coup grâce à swag j'atteins la pluspart de mes containers via tailscale donc il n'est pas forcément nécessaire de mettre le client tailscale partout.

 

 

Quote

- Tu gères comment les ACL/TLS pour tes services en reverse proxy ?

 

Coté ACL pour mes services via tailscale c'est réglé seules les machines également connectées au même tailnet pour les atteindre.

 

Pour la partie reverse proxy pour les services publics Pangolin propose d'interdire l'accés ou pas ou protéger derrière code, compte ...

Il propose aussi d'autoriser que certaines routes quand on met un site complet interdit d'accés sans compte.

Pangolin avec sa v1.3.1 permet d'utiliser d'autres services d'auth de ce que j'ai pu lire mais pas expérimenté.

 

Tailnet

Je fais assez simple en fait.

Si je suis moi ou mes membres du foyer les seuls utilisateurs il y a de fortes chances que passer par le tailnet suffise donc je mets le client tailscale connecté à mon compte au besoin. 
J'ai un domaine dédié à cela et 3 entrées DNS suffisent pour cela:

image.thumb.png.67e9a8a6c9e6ecf2e20a8cdcff66469d.png

 

La cible du domaine pointe vers l'ip dans mon tailnet de mon swag sur UnRAID.
N'importe quel sous-domaine pointent vers proxy.mon-unraid.fr qui lui même pointe vers l'ip dans mon tailnet de mon swag.

 

Reverse proxy

 

Là c'est pareil mais je pointe pas vers l'ip dans mon tailnet mais l'ip publique d'un VPS.

Ensuite c'est donc pangolin qui s'occupe des accès et de bloquer.

Exemple:

j'utilise erugo pour partager certaines choses de manière ponctuelle.

J'ai protégé l'accés au sous-domaine de ce service mais j'ai autorisé certaines routes pour que ceux à qui je donne les liens puissent télécharger.

Mais si ils veulent aller ailleurs sur le site par exemple la partie admin ils sont bloqués.

J'ai donc autorisé certaines routes uniquement:

image.thumb.png.4ec4c43f6d0a50af1da5286d8836eede.png

 

Il y aussi la protection de Crowdsec dans Pangolin mais là je suis pas assez câlé pour en parler.

Je peux juste dire qu'il bloque l'axx aux requêtes étranges, aux tentatives répétés de login on peut le paramétrer pour qu'il impose un challenge cloudflare...

 

Edited by waazaa

  • Author

Merci beaucoup pour toutes ces infos, c'est top, je me note tout ça

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

Account

Navigation

Search

Search

Configure browser push notifications

Chrome (Android)
  1. Tap the lock icon next to the address bar.
  2. Tap Permissions → Notifications.
  3. Adjust your preference.
Chrome (Desktop)
  1. Click the padlock icon in the address bar.
  2. Select Site settings.
  3. Find Notifications and adjust your preference.