Поиск по сайту:

Как запустить Headscale с пользовательским интерфейсом в контейнере Docker


В этой статье мы покажем, как можно запускать Headscale и пользовательский интерфейс Headscale с помощью Docker-контейнеров. Наша недавняя статья была посвящена установке Headscale в системе Ubuntu Linux с использованием пакета .deb. Ссылка на пост размещена по ссылке ниже.

  • Установите и настройте Headscale в Ubuntu

Если вы не предпочитаете пакетную установку Headscale, эта статья предназначена для вас. Headscale — это очень мощное решение с открытым исходным кодом, альтернативное координационному серверу Tailscale. Он создан для самостоятельного размещения в вашей собственной инфраструктуре. Headscale разработан независимо и не имеет никаких отношений с компанией Tailscale, за исключением переработанной версии координационного сервера Tailscale.

Следуйте инструкциям, описанным в этом сообщении блога, чтобы настроить выделенный сервер Headscale, работающий в контейнере Docker. Эту же процедуру можно повторно использовать для настройки Podman/Podman Compose с небольшими изменениями. Мы также включили установку пользовательского интерфейса Headscale в докер.

1) Установите Docker Engine

Начните настройку, убедившись, что Docker Engine установлен и работает. Обратитесь к следующему руководству по установке Docker в системах Linux.

  • Как установить Docker CE в системах Linux

После установки вы можете проверить версию.

$ docker --version
Docker version 24.0.7, build afdd53b

Также проверьте, установлен ли плагин Compose.

$ docker compose version
Docker Compose version v2.21.0

2) Определите файл Docker Compose.

Давайте создадим каталог, в котором будут храниться конфигурации и данные Headscale.

mkdir -p ~/headscale && cd ~/headscale

Создайте пустую базу данных SQlite в каталоге headscale:

mkdir ./config
touch ./config/db.sqlite

Создайте новый файл с именем docker-compose.yml.

vim docker-compose.yml

Вставьте и измените содержимое ниже. Если вам не нужен запуск Headscale в Docker-контейнере, удалите его разделы.

version: '3.9'
services:
  headscale:
    container_name: headscale
    image: headscale/headscale:latest
    command: headscale serve
    restart: unless-stopped
    ports:
        - 8080:8080
        - 9090:9090
    volumes:
        - ./config:/etc/headscale/
        - ./data:/var/lib/headscale/

  headscale-ui:
    container_name: headscale-ui
    image: ghcr.io/gurucomputing/headscale-ui:latest
    pull_policy: always
    restart: unless-stopped
    ports:
        - 9080:80

В нашем файле компоновки мы:

  • Монтирование config/ в /etc/headscale
  • Монтирование data/ в /var/lib/headscale/
  • Переадресация порта 8080 из контейнера headscale, чтобы экземпляр headscale становился доступным.
  • Переадресация порта 9080 из контейнера headscale-ui, чтобы экземпляр headscale-ui становился доступным.

Если вы используете https в пользовательском интерфейсе, вы можете сопоставить отдельные порты, как показано ниже.

- 9443:443

3) Запустите контейнеры Headscale.

Загрузите файл шаблона конфигурации.

mkdir {config,data}
wget https://raw.githubusercontent.com/juanfont/headscale/main/config-example.yaml -O config/config.yaml

Измените файл конфигурации в соответствии со своими предпочтениями перед запуском контейнера Docker. Вот некоторые настройки, которые вам, вероятно, понадобятся:

# Change to your hostname or host IP
# server_url: //vpn.computingforgeeks.com:8080
server_url: http://192.168.20.11:8080
# Listen to 0.0.0.0 so it's accessible outside the container
metrics_listen_addr: 0.0.0.0:9090

Запустите контейнеры с помощью команды docker compose. Опция -d означает отключение, чтобы они работали в фоновом режиме.

$ docker compose up -d
[+] Running 19/19
 ✔ headscale-ui 13 layers [⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿]      0B/0B      Pulled                                                                                                                                 3.2s
   ✔ 8921db27df28 Pull complete                                                                                                                                                                  0.5s
   ✔ 5e0dab5e7f18 Pull complete                                                                                                                                                                  0.5s
   ✔ e7466e9238c6 Pull complete                                                                                                                                                                  0.5s
   ✔ 9aca5eef2d98 Pull complete                                                                                                                                                                  0.7s
   ✔ 4f4fb700ef54 Pull complete                                                                                                                                                                  0.8s
   ✔ 5007d4d43f68 Pull complete                                                                                                                                                                  0.8s
   ✔ 2ebc6f305da4 Pull complete                                                                                                                                                                  1.0s
   ✔ 712d06ffc498 Pull complete                                                                                                                                                                  1.1s
   ✔ ac473b17e437 Pull complete                                                                                                                                                                  1.7s
   ✔ 36f5767e6555 Pull complete                                                                                                                                                                  1.7s
   ✔ 7c6ac0210a21 Pull complete                                                                                                                                                                  1.8s
   ✔ 7765e166cec5 Pull complete                                                                                                                                                                  1.8s
   ✔ 896f16a8f15c Pull complete                                                                                                                                                                  2.0s
 ✔ headscale 4 layers [⣿⣿⣿⣿]      0B/0B      Pulled                                                                                                                                              4.4s
   ✔ 9e3ea8720c6d Pull complete                                                                                                                                                                  2.3s
   ✔ 71273269cd97 Pull complete                                                                                                                                                                  2.4s
   ✔ 007b622b7a95 Pull complete                                                                                                                                                                  2.5s
   ✔ 50a37fbfee41 Pull complete                                                                                                                                                                  2.5s
[+] Running 3/3
 ✔ Network headscale_default  Created                                                                                                                                                            0.1s
 ✔ Container headscale-ui     Started                                                                                                                                                            0.6s
 ✔ Container headscale        Started

Проверьте статус созданных контейнеров.

$ docker compose ps
NAME                IMAGE                                       COMMAND                  SERVICE             CREATED             STATUS              PORTS
headscale           headscale/headscale:latest                  "headscale serve"        headscale           45 seconds ago      Up 43 seconds       0.0.0.0:8080->8080/tcp, :::8080->8080/tcp, 0.0.0.0:9090->9090/tcp, :::9090->9090/tcp
headscale-ui        ghcr.io/gurucomputing/headscale-ui:latest   "/bin/sh -c '/bin/sh…"   headscale-ui        45 seconds ago      Up 43 seconds       443/tcp, 0.0.0.0:9080->80/tcp, :::9080->80/tcp

Вы можете следить за журналами контейнера, чтобы увидеть, что происходит внутри, запустив его.

$ docker logs --follow headscale
2023-10-05T23:29:19Z INF go/src/headscale/hscontrol/protocol_common.go:574 > Successfully sent auth url AuthURL=http://192.168.20.11:8080/register/nodekey:af52937e8bc375a0d73a01cd453fd2f814144796b0270cedb0d126a39518c306 machine=jammy noise=true

$ docker logs --follow headscale-ui
no Caddyfile detected, copying across default config
Starting Caddy
{"level":"info","ts":1696545638.4848695,"msg":"using provided configuration","config_file":"/data/Caddyfile","config_adapter":"caddyfile"}
{"level":"info","ts":1696545638.4858341,"logger":"admin","msg":"admin endpoint started","address":"localhost:2019","enforce_origin":false,"origins":["//localhost:2019","//[::1]:2019","//127.0.0.1:2019"]}
{"level":"info","ts":1696545638.4859416,"logger":"tls.cache.maintenance","msg":"started background certificate maintenance","cache":"0xc000544fc0"}
{"level":"info","ts":1696545638.486509,"logger":"http","msg":"server is listening only on the HTTPS port but has no TLS connection policies; adding one to enable TLS","server_name":"srv0","https_port":443}
{"level":"warn","ts":1696545638.4865189,"logger":"http","msg":"automatic HTTP->HTTPS redirects are disabled","server_name":"srv0"}
{"level":"warn","ts":1696545638.4865253,"logger":"http","msg":"server is listening only on the HTTP port, so no automatic HTTPS will be applied to this server","server_name":"srv1","http_port":80}
{"level":"info","ts":1696545638.4865966,"logger":"pki.ca.local","msg":"root certificate trust store installation disabled; unconfigured clients may show warnings","path":"storage:pki/authorities/local/root.crt"}
{"level":"warn","ts":1696545638.4866195,"logger":"tls","msg":"YOUR SERVER MAY BE VULNERABLE TO ABUSE: on-demand TLS is enabled, but no protections are in place","docs":"https://caddyserver.com/docs/automatic-https#on-demand-tls"}
{"level":"info","ts":1696545638.48668,"logger":"http.log","msg":"server running","name":"srv1","protocols":["h1","h2","h3"]}
{"level":"info","ts":1696545638.486689,"logger":"tls","msg":"cleaning storage unit","description":"FileStorage:/home/appuser/.local/share/caddy"}
{"level":"info","ts":1696545638.4867213,"logger":"http","msg":"enabling HTTP/3 listener","addr":":443"}
{"level":"info","ts":1696545638.4867342,"logger":"tls","msg":"finished cleaning storage units"}
{"level":"info","ts":1696545638.4867566,"msg":"failed to sufficiently increase receive buffer size (was: 208 kiB, wanted: 2048 kiB, got: 416 kiB). See https://github.com/lucas-clemente/quic-go/wiki/UDP-Receive-Buffer-Size for details."}
{"level":"info","ts":1696545638.4868112,"logger":"http.log","msg":"server running","name":"srv0","protocols":["h1","h2","h3"]}
{"level":"info","ts":1696545638.486932,"msg":"autosaved config (load with --resume flag)","file":"/home/appuser/.config/caddy/autosave.json"}
{"level":"info","ts":1696545638.4869497,"msg":"serving initial configuration"}

Команду ss можно использовать для проверки привязанности портов на хосте.

$ ss -tunlp|egrep '8080|9080'
tcp   LISTEN 0      4096         0.0.0.0:9080       0.0.0.0:*    users:(("docker-proxy",pid=364448,fd=4))
tcp   LISTEN 0      4096         0.0.0.0:8080       0.0.0.0:*    users:(("docker-proxy",pid=364428,fd=4))
tcp   LISTEN 0      4096            [::]:9080          [::]:*    users:(("docker-proxy",pid=364455,fd=4))
tcp   LISTEN 0      4096            [::]:8080          [::]:*    users:(("docker-proxy",pid=364434,fd=4))

4) Доступ к оболочке контейнера

Вы можете получить доступ к оболочке контейнера headscale, выполнив:

docker exec -ti headscale bash

Для запуска headscale-ui:

docker exec -ti headscale-ui sh

Мы можем протестировать функциональность, создав пользователя в экземпляре Headscale.

 root@4f2fbe02c029:/# headscale users create computingforgeeks

Будет выполнено однострочное выполнение команды без входа в оболочку контейнера.

docker exec headscale \
  headscale users create myuser

5) Присоедините клиентские устройства к сети Headscale.

Вам нужен пользователь, созданный на вашем сервере Headscale. Мы создадим его под названием computingforgeeks.

$ docker exec headscale headscale users create computingforgeeks
User created

Установка клиентов Tailscale на ваши устройства

  • Windows-клиент
  • iOS
  • Андроид
  • Линукс
  • macOS

Установка Tailscale в Linux/BSD

Для систем на базе Linux и BSD выполните команды:

curl -fsSL https://tailscale.com/install.sh | sudo sh

Проверить версию Tailscale можно с помощью команд ниже.

$ tailscale --version
1.50.1
  tailscale commit: f45c02bfcf5ee5790c3af278c9e974c9b9b0e771
  other commit: 36a20760a45bd1936686879b34c35146cc0c4ec1
  go version: go1.21.1

Установка на macOS

Вы можете установить с помощью Homebrew:

brew install tailscale

Или запустив скрипт.

curl -fsSL https://tailscale.com/install.sh | sudo sh

Зарегистрируйте машину (обычный вход в систему)

На клиентском компьютере выполните команду входа tailscale :

tailscale up --login-server YOUR_HEADSCALE_URL

См. пример ниже.

# tailscale up --login-server http://192.168.20.11:8080

To authenticate, visit:
  http://192.168.20.11:8080/register/nodekey:410155d1792d0f81a5f39415a1a418f882208751570c2e5195f7a6842ca44e6a

Открытие ссылок дает команды, которые необходимо выполнить на сервере Headscale для регистрации устройства.

Список всех пользователей, созданных на сервере Headscale:

$ docker exec headscale headscale user list
ID | Name              | Created
1  | computingforgeeks | 2023-10-05 22:50:40
2  | myuser            | 2023-10-05 22:52:18
3  | user2             | 2023-10-05 22:59:03

Не забудьте заменить USERNAME действительным именем пользователя при выполнении команд.

$ docker exec headscale \
  headscale nodes register --user computingforgeeks --key nodekey:410155d1792d0f81a5f39415a1a418f882208751570c2e5195f7a6842ca44e6a
Machine rocky8 registered

Общий синтаксис регистрации машины с помощью headscale:

docker exec headscale \
  headscale --user <username> nodes register --key <YOU_+MACHINE_KEY>

Список всех машин, добавленных в ячеистую сеть Headscale.

# docker exec headscale headscale node list
ID | Hostname | Name  | MachineKey | NodeKey | User              | IP addresses                  | Ephemeral | Last seen           | Expiration          | Online | Expired
1  | jammy    | jammy | [cN/Um]    | [r1KTf] | computingforgeeks | 100.64.0.1, fd7a:115c:a1e0::1 | false     | 2023-10-05 23:39:04 | 0001-01-01 00:00:00 | online | no

Зарегистрируйте машину, используя предварительно аутентифицированный ключ

Вы также можете зарегистрировать новую машину, используя предварительно проверенный ключ.

Сначала сгенерируйте ключ с помощью командной строки:

docker exec headscale \
  headscale --user <username> preauthkeys create --reusable --expiration 24h

Выполнение команды возвращает предварительно проверенный ключ, используемый для подключения узла к headscale при запуске команды tailscale :

tailscale up --login-server <YOUR_HEADSCALE_URL> --authkey <YOUR_AUTH_KEY>

Давайте посмотрим пример ниже.

# On Headscale server
# docker exec headscale headscale --user jkmutai preauthkeys create --reusable --expiration 24h
4763c4f4293b260eff230065378e5668c13db44f4569ed7b

# On Machine to be registered
# tailscale up --login-server http://vpn.hirebestengineers.com --authkey 4763c4f4293b260eff230065378e5668c13db44f4569ed7b

Команда регистрации машины с предварительно проверенным ключом не дает никаких результатов. Но вы можете проверить, добавлены ли новые узлы, из CLI сервера Headscale.

# docker exec headscale headscale node list
ID | Hostname | Name   | MachineKey | NodeKey | User    | IP addresses                  | Ephemeral | Last seen           | Expiration          | Online | Expired
1  | rocky8   | rocky8 | [s+TG9]    | [QQFV0] | jkmutai | 100.64.0.1, fd7a:115c:a1e0::1 | false     | 2023-10-05 17:05:58 | 0001-01-01 00:00:00 | online | no
2  | mail     | mail   | [V8WI2]    | [OvPLb] | jkmutai | 100.64.0.2, fd7a:115c:a1e0::2 | false     | 2023-10-05 17:06:32 | 0001-01-01 00:00:00 | online | no

6) Полезные команды Headscale

Удалите узел в вашей сети.

docker exec headscale \
  headscale node delete -i <ID>

Переместить узел другому пользователю

docker exec headscale \
  headscale node move  -i  <ID> -u <New-User>

Переименуйте машину в вашей сети

docker exec headscale \
  headscale node rename  -i  <ID>  <NEW_NAME>

Истечь (выйти из системы) на машине в вашей сети

docker exec headscale \
  headscale node expire -i <ID> 

Создайте ключ API:

docker exec headscale \
  headscale apikeys create --expiration 90d

Список ключей API:

docker exec headscale \
  headscale apikeys list

Срок действия ключа API истекает:

docker exec headscale \
  headscale apikeys expire --prefix "<PREFIX>"

7) Доступ к пользовательскому интерфейсу Headscale

Сгенерируйте ключ API на сервере Headscale.

docker exec headscale \
  headscale apikeys create --expiration 120d

Это дает результат, подобный этому.

8bnNOGwOkw.bjQXvEB4Vk9Ia1R9HupEB0yB9PFthth_Or8QcHncKmw

Откройте пользовательский интерфейс Headscale на http://ServerIP_or_hostname:9080/web/settings.html

Введите URL-адрес сервера Headscale и сгенерированный токен в поля. Примеры:

  • URL-адрес заголовка: //api.computingforgeeks.com
  • Ключ API Headscale: 8bnNOGwOkw.bjQXvEB4Vk9Ia1R9HupEB0yB9PFthth_Or8QcHncKmw

Следующая статья, которую стоит посмотреть:

  • Присоединение pfSense к Tailscale/Headscale VPN Mesh
  • Как включить и запустить SSH-сервер на OPNsense
  • Как установить и настроить клиент Tailscale в OPNsense

Заключение

Headscale — идеальное решение для малых и средних компаний, желающих создать ячеистую сеть Tailscale и подключить к ней устройства. Это мощное, безопасное и надежное решение, альтернативное настройке VPN-сервера. Это дает вам полный контроль над ячеистой сетью и сервером координации. Mesh VPN используют одноранговую модель (P2P) для создания безопасной общей среды для своих пользователей.