April 14, 20251 yr Bonjour à tous, Je suis actuellement en train de monter un NAS sous Unraid avec un HP ProDesk que j’ai récupéré (i5-9500T, 16 Go de RAM, 256 Go SSD). L’idée, c’est de centraliser pas mal de services sur cette machine, principalement : du stockage de données perso (photos, vidéos, fichiers) du streaming local via Plex du téléchargement via torrent (avec VPN) et de la domotique avec Home Assistant en VM. Pour la partie logicielle, je compte m’appuyer sur Docker pour faire tourner : qBittorrent pour télécharger de manière sécurisée, Plex pour ma bibliothèque multimédia, Nextcloud pour avoir un cloud perso accessible de l’extérieur, Grafana / InfluxDB pour suivre un peu la domotique et le système, (utile ou overkill ?) Tailscale pour un accès distant sans ouvrir de port Je pense utiliser Mullvad ou ProtonVPN côté VPN, si vous avez un retour d’expérience entre les deux je prends ! Pour sécuriser le tout, après recherche je prévois un onduleur Eaton ECO 650 FR. Ça me paraît être un bon point de départ, mais je ne sais pas si c’est indispensable dès le début ? Côté domotique justement, je prévois de faire tourner Home Assistant dans une VM, mais j’ai lu que les clés Zigbee en USB pouvaient être instables avec Unraid dans ce contexte. Est-ce que vous avez eu ce genre de souci ? Vous recommandez une clé en particulier ou un contournement ? Enfin, pour le stockage, je pensais partir sur un DAS USB. Mais en lisant un peu, j’ai vu que certains modèles pouvaient poser problème avec Unraid (pas de mode JBOD réel, instabilités, etc.). Est-ce que vous utilisez un DAS avec Unraid sans souci ? Si oui, vous avez des modèles à recommander ? Est ce que cette config tiens la route ? Merci d’avance pour vos retours, je prends tous vos conseils ! Edited April 16, 20251 yr by ElFrancis44 pleins de questions, trop de questions :D
April 16, 20251 yr Hello Je vais t'apporter quelques éléments de réponses avec mon expérience d'Unraid. J'ai commencé comme toi : plex, nextcloud, download, HomeAssistant, et maintenant, j'ai plus de 30 services docker qui tournent sur mon serveur unraid ! Pour qb, j'utilisais l'image de binhex qui intègre un VPN. Ca marche très bien et tu peux aussi router d'autres docker vers celuici pour partager la connexion vpn. Le "problème" de l'image binhex, c'est qu'elle fait quasi 2Go. J'ai décidé de migrer dernièrement vers l'image linuxserer de qb et j'ai ajouté GluetunVPN pour la connexion VPN. J'ai donc qb et mes services *arr qui passent tous par GluetunVPN. J'utilise pia comme vpn, mais proton semble très bien fonctionner également avec Gluetun. Plex, je l'utilise depuis des années, ça tourne parfaitement. J'ai ajouté une carte graphique qui s'occupe du transcodage Nextcloud idem. Pour y accéder (et d'autres services), j'utilise un tunnel cloudflare. Je ne me suis pas encore penché sur tailscale. Je n'en vois pas trop l'utilité pour le moment Grafana / InfluxDB : pas d'utilité pour moi. J'ai installé glances et je récupère les infos dans HomeAssistant pour un peu de monitoring Nginx Proxy Manager : j'utilisais NPM pendant longtemps avant de migrer vers un tunnel clouflare J'ai un onduleur. C'est pratique en cas de coupure : ça permet au serveur de ne pas s'étiendre brusquement. Il peut tourner encore un peu (pratique pour Homeassistant et le zigbee) et il s'éteint proprement quand la batterie tombe sous les 10% de charge. Il redémarre aussi automatiquement (je crois) lorsque le courant revient et que l'onduleur recharge. Pour la domotique, j'ai HA sur une VM, un docker pour faire tourner z2m côté unraid (pas dans HA). J'utilise une clé sonoff, pas de soucis de connexion. Elle est branchée sur une rallonge usb pour ne pas la brancher directement sur le serveur et ainsi éviter les interférences. Si tu as d'autres questions, n'hésite pas ! Edited April 16, 20251 yr by deadnote
April 16, 20251 yr Author Merci beaucoup pour ta réponse ! 🙏 Côté sécurité, j’ai quelques bases mais ça reste assez limité 😅 J’ai commencé à me pencher sur les tunnels Cloudflare, et effectivement, ça a l’air d’être un super compromis pour sécuriser l’accès distant Concernant la clé Sonoff, top si elle est stable, ca me rassure pas mal sur ce point . J’avais également vu pas mal de bons retours sur les contrôleurs SLZB-06 PoE, qui semblent être une alternative sérieuse aux clés USB classiques. Et sinon, côté sauvegarde, comment tu gères ça de ton côté ?
April 16, 20251 yr Pour la sauvegarde du système/dockers, j'utilise le plugin backup/restore appdata Ça fait une sauvegarde dans un dossier spécifique sur le serveur Je branche un disque dur externe en usb et j'exécute un script qui va copier les dossiers que j'ai choisi sur ce disque.
April 19, 20251 yr Salut, Déjà très bien expliqué par deadnote Seul chose que je peux te parler par expérience, j'avais mis un cache SSD de 240 gig en miroir et je me suis vite rendu compte que c'est vraiment trop petit si tu passe par le cache pour avoir plus de performance. J'ai maintenant des caches de 540gig et c'est limite si tu passe par le cache pour tes données. Je laisse les données "appdata par défaut sur le cache comme Unraid le met (docker et vm), mais j'ai désactivé le cache pour tout ce qui est données, films, séries ETC. Je le met directement sur le pool array. C'est une opinion perso. Pour l'espace que tu as besoin c'est toi qui décide car on ne sait pas ce que tu va mettre dessus. J'ai 21 docker qui roulent dont , Plex, JellyFin, NextCloud, ETC. J'ai 32gig de ram et il reste 20 gig de libre System: 4.93 GiB VM: 968 MiB Docker: 5.27 GiB Free: 20.1 GiB Bonne journée
April 20, 20251 yr +1 pour GluetunVPN, perso je l'utilise avec ProtonVPN en Wireguard, ça déboite et je n'ai pas trop galérer à la mise en place.
April 22, 20251 yr Author Merci beaucoup pour vos retour, j'avais pas reflechi en effet au potentiel probleme de stockage du cache ssd, vu que ca va etre du multi service je vais en effet prevoir un peu plus
May 2, 20251 yr Salut. Je viens apporter mon petit retour d'expérience à mon tour. Pools Tout à fait d'accord avec Deen sur la mise en place des "pools" assez amples pour au moins y stocker à demeure les shares: appdata/ => les dossiers persistents des containers docker system/ => docker et libvirt domains/ => les vdisks des VM par défaut Si tu décides de mettre ces shares en stockage primaire dans un pool et pas de stockage secondaire deux petites remarques qui découlent de ce choix: - tu peux activer du coup le "exclusive access" pour ces shares - comme ils seront d'office en dehors de l'array => pas de protection de parité si tu en as une => donc faut backup Sécurité En terme de sécurité tu pourrais avoir envie de tenter de masquer ta vraie IP publique pour les accés distants publiques. En fait d'aprés ce que tu dis tu es déja sensible à cela puisque tu parles de tailscale. Il est fort probable que tes besoins puissent être découpés de la sorte: - usage privé pour toi - usage publique ouvert Dés que c'est pour un usage privé essentiellement pour toi il est intéressant de passer par un tunnel. Pour cet usage personnellement j'ai opté pour tailscale. Du coup à ce propos sache que les images linuxserver, toutes les images de linuxserver peuvent se faire ajouter en DOCKER_MOD un client tailscale ce qui fait que un container égal une machine dans ton réseau tailscale, ton tailnet. C'est assez pratique dans cet usage privé. Saches également que tu peux avoir des sous domaines qui pointent vers les ips internes à ton tailnet pour te permettre à toi et à toutes les machines de ton tailnet de le contacter par cette adresse. Le service devient donc accessible par ce sous domaine que si le client est connecté au même tailnet pas pour les autres. Pour le second aspect "publique" personnellement j'ai pas opté pour la solution de cloudflare et à vrai dire je tente de me passer de tout services américains. Du coup j'ai opté pour la solution de reverse proxy "Pangolin" que j'ai installé sur un VPS. Mes sous domaines et domaines ne pointent donc plus vers chez moi ou vers cloudflare mais vers mon VPS et Pangolin se charge de rediriger les visiteurs par tunnel jusqu'à chez moi. Ceci permettant de ne pas afficher mon ip publique et de profiter de la protection crowdsec intégrée. Avec l'usage combiné de tailscale pour le privé et Pangolin sur VPS pour le public je n'ai donc plus de ports ouvert sur ma box et dans les deux cas les échanges se font par des tunnels. Backup Pour le backup comme dit plus tôt je me charge déja des shares dont le contenu est important à mes yeux et qui sont en pool uniquement. Donc principalement le appdata/ qui à mon sens est très important. J'ai fais le choix de ne pas mettre de parité car elle apporte qu'une tolérance à la panne pour repartir plus vite en cas de défaillance d'un disque et n'est pas à considérer comme un backup. Du coup en toute logique il faudrait avoir en plus de la parité un disque en spare pour remplacer l'éventuel disque qui viendrait à défaillir chose que je n'ai pas. Par contre je backup certains contenus que je considère "vitaux" notamment les photos, documents... Dans mon cas je suis aux alentours de 300Go à devoir mettre à l'abri. J'ai un backup que je fais localement puis un double que je fais sur le cloud. En ce moment je suis encore chez onedrive pour cela mais comme je disais que je veux me passer de services américains je vais prochainement migrer vers Jottacloud qui est en Norvège sous couvert du RGPD et des lois du pays sur la vie privée. Ce fournisseur est compatible avec rclone du coup ça fonctionne trés bien dans mon cas car j'utilise Backrest avec Restic pour de la sauvegarde incrémentale chiffrée vu que ces sauvegardes ne sont pas chez moi. Je le sais parce que mis en place sur l'offre gratuite pour le moment pour tester. Si tu as de la famille il est aussi possible que tu fasses ce backup chez eux et eux chez toi. L'intéret là est d'avoir un backup externe à chez toi dans l'hypothèse catastrophe chez toi. La réciproque est vertueuse et c'est un peu pour ce genre de cas de figure que je préfère utiliser une solution de backup qui chiffre. Edited May 2, 20251 yr by waazaa
May 4, 20251 yr Author Merci beaucoup pour ton retour super complet, j'ai deux petites questions - Tailscale dans chaque container Docker via DOCKER_MOD est ce que ça impacte sur la perf ou la maintenance ? - Tu gères comment les ACL/TLS pour tes services en reverse proxy ?
May 4, 20251 yr Quote - Tailscale dans chaque container Docker via DOCKER_MOD est ce que ça impacte sur la perf ou la maintenance ? En fait il n'y a pas plus de maintenance que sans. Le DOCKER_MOD permet juste d'installer via le gestionnaire de paquet de l'os de base des images de linuxserver d'installer le client tailscale à chaque boot. Il faut donc préciser en plus de la variable DOCKER_MOD d'autres variables nécessaires pour la connexion automatique. Je parle des images docker de linuxserver mais tu peux également installer le client tailscale dans beaucoup d'autres container depuis la v7 de UnRAID directement dans les templates docker. Enfin je ne voulais pas dire d'installer le client tailscale partout mais disons là où cela est nécessaire. Par exemple j'ai un container swag linuxserver avec le DOCKER_MOD tailscale donc ce container fait partie de mon réseau tailscale, je le vois dans mon compte sur le site tailscale et peut le paramétrer. Tailscale lui a donc attribué une ip dans le tailnet, ip joignable qu'à ceux qui sont dans le tailnet également. Je mets cette ip tailscale en destination de certaines entrées DNS sur un domaine que je gère via la gestion DNS de chez Heztner qui propose d'activer des options d'api ce qui permet à swag de générer les certificats letsencrypt via DNS challenge par simple clef api. Du coup grâce à swag j'atteins la pluspart de mes containers via tailscale donc il n'est pas forcément nécessaire de mettre le client tailscale partout. Quote - Tu gères comment les ACL/TLS pour tes services en reverse proxy ? Coté ACL pour mes services via tailscale c'est réglé seules les machines également connectées au même tailnet pour les atteindre. Pour la partie reverse proxy pour les services publics Pangolin propose d'interdire l'accés ou pas ou protéger derrière code, compte ... Il propose aussi d'autoriser que certaines routes quand on met un site complet interdit d'accés sans compte. Pangolin avec sa v1.3.1 permet d'utiliser d'autres services d'auth de ce que j'ai pu lire mais pas expérimenté. Tailnet Je fais assez simple en fait. Si je suis moi ou mes membres du foyer les seuls utilisateurs il y a de fortes chances que passer par le tailnet suffise donc je mets le client tailscale connecté à mon compte au besoin. J'ai un domaine dédié à cela et 3 entrées DNS suffisent pour cela: La cible du domaine pointe vers l'ip dans mon tailnet de mon swag sur UnRAID. N'importe quel sous-domaine pointent vers proxy.mon-unraid.fr qui lui même pointe vers l'ip dans mon tailnet de mon swag. Reverse proxy Là c'est pareil mais je pointe pas vers l'ip dans mon tailnet mais l'ip publique d'un VPS. Ensuite c'est donc pangolin qui s'occupe des accès et de bloquer. Exemple: j'utilise erugo pour partager certaines choses de manière ponctuelle. J'ai protégé l'accés au sous-domaine de ce service mais j'ai autorisé certaines routes pour que ceux à qui je donne les liens puissent télécharger. Mais si ils veulent aller ailleurs sur le site par exemple la partie admin ils sont bloqués. J'ai donc autorisé certaines routes uniquement: Il y aussi la protection de Crowdsec dans Pangolin mais là je suis pas assez câlé pour en parler. Je peux juste dire qu'il bloque l'axx aux requêtes étranges, aux tentatives répétés de login on peut le paramétrer pour qu'il impose un challenge cloudflare... Edited May 5, 20251 yr by waazaa
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.