Как запустить Headscale с пользовательским интерфейсом в контейнере Docker
В этой статье мы покажем, как можно запускать Headscale и пользовательский интерфейс Headscale с помощью Docker-контейнеров. Наша недавняя статья была посвящена установке Headscale в системе Ubuntu Linux с использованием пакета .deb
. Ссылка на пост размещена по ссылке ниже.
- Установите и настройте Headscale в Ubuntu
Если вы не предпочитаете пакетную установку Headscale, эта статья предназначена для вас. Headscale — это очень мощное решение с открытым исходным кодом, альтернативное координационному серверу Tailscale. Он создан для самостоятельного размещения в вашей собственной инфраструктуре. Headscale разработан независимо и не имеет никаких отношений с компанией Tailscale, за исключением переработанной версии координационного сервера Tailscale.
Следуйте инструкциям, описанным в этом сообщении блога, чтобы настроить выделенный сервер Headscale, работающий в контейнере Docker. Эту же процедуру можно повторно использовать для настройки Podman/Podman Compose с небольшими изменениями. Мы также включили установку пользовательского интерфейса Headscale в докер.
1) Установите Docker Engine
Начните настройку, убедившись, что Docker Engine установлен и работает. Обратитесь к следующему руководству по установке Docker в системах Linux.
- Как установить Docker CE в системах Linux
После установки вы можете проверить версию.
$ docker --version
Docker version 24.0.7, build afdd53b
Также проверьте, установлен ли плагин Compose.
$ docker compose version
Docker Compose version v2.21.0
2) Определите файл Docker Compose.
Давайте создадим каталог, в котором будут храниться конфигурации и данные Headscale.
mkdir -p ~/headscale && cd ~/headscale
Создайте пустую базу данных SQlite в каталоге headscale:
mkdir ./config
touch ./config/db.sqlite
Создайте новый файл с именем docker-compose.yml
.
vim docker-compose.yml
Вставьте и измените содержимое ниже. Если вам не нужен запуск Headscale в Docker-контейнере, удалите его разделы.
version: '3.9'
services:
headscale:
container_name: headscale
image: headscale/headscale:latest
command: headscale serve
restart: unless-stopped
ports:
- 8080:8080
- 9090:9090
volumes:
- ./config:/etc/headscale/
- ./data:/var/lib/headscale/
headscale-ui:
container_name: headscale-ui
image: ghcr.io/gurucomputing/headscale-ui:latest
pull_policy: always
restart: unless-stopped
ports:
- 9080:80
В нашем файле компоновки мы:
- Монтирование
config/
в/etc/headscale
- Монтирование
data/
в/var/lib/headscale/
- Переадресация порта 8080 из контейнера headscale, чтобы экземпляр
headscale
становился доступным. - Переадресация порта 9080 из контейнера headscale-ui, чтобы экземпляр
headscale-ui
становился доступным.
Если вы используете https в пользовательском интерфейсе, вы можете сопоставить отдельные порты, как показано ниже.
- 9443:443
3) Запустите контейнеры Headscale.
Загрузите файл шаблона конфигурации.
mkdir {config,data}
wget https://raw.githubusercontent.com/juanfont/headscale/main/config-example.yaml -O config/config.yaml
Измените файл конфигурации в соответствии со своими предпочтениями перед запуском контейнера Docker. Вот некоторые настройки, которые вам, вероятно, понадобятся:
# Change to your hostname or host IP
# server_url: //vpn.computingforgeeks.com:8080
server_url: http://192.168.20.11:8080
# Listen to 0.0.0.0 so it's accessible outside the container
metrics_listen_addr: 0.0.0.0:9090
Запустите контейнеры с помощью команды docker compose
. Опция -d
означает отключение, чтобы они работали в фоновом режиме.
$ docker compose up -d
[+] Running 19/19
✔ headscale-ui 13 layers [⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿] 0B/0B Pulled 3.2s
✔ 8921db27df28 Pull complete 0.5s
✔ 5e0dab5e7f18 Pull complete 0.5s
✔ e7466e9238c6 Pull complete 0.5s
✔ 9aca5eef2d98 Pull complete 0.7s
✔ 4f4fb700ef54 Pull complete 0.8s
✔ 5007d4d43f68 Pull complete 0.8s
✔ 2ebc6f305da4 Pull complete 1.0s
✔ 712d06ffc498 Pull complete 1.1s
✔ ac473b17e437 Pull complete 1.7s
✔ 36f5767e6555 Pull complete 1.7s
✔ 7c6ac0210a21 Pull complete 1.8s
✔ 7765e166cec5 Pull complete 1.8s
✔ 896f16a8f15c Pull complete 2.0s
✔ headscale 4 layers [⣿⣿⣿⣿] 0B/0B Pulled 4.4s
✔ 9e3ea8720c6d Pull complete 2.3s
✔ 71273269cd97 Pull complete 2.4s
✔ 007b622b7a95 Pull complete 2.5s
✔ 50a37fbfee41 Pull complete 2.5s
[+] Running 3/3
✔ Network headscale_default Created 0.1s
✔ Container headscale-ui Started 0.6s
✔ Container headscale Started
Проверьте статус созданных контейнеров.
$ docker compose ps
NAME IMAGE COMMAND SERVICE CREATED STATUS PORTS
headscale headscale/headscale:latest "headscale serve" headscale 45 seconds ago Up 43 seconds 0.0.0.0:8080->8080/tcp, :::8080->8080/tcp, 0.0.0.0:9090->9090/tcp, :::9090->9090/tcp
headscale-ui ghcr.io/gurucomputing/headscale-ui:latest "/bin/sh -c '/bin/sh…" headscale-ui 45 seconds ago Up 43 seconds 443/tcp, 0.0.0.0:9080->80/tcp, :::9080->80/tcp
Вы можете следить за журналами контейнера, чтобы увидеть, что происходит внутри, запустив его.
$ docker logs --follow headscale
2023-10-05T23:29:19Z INF go/src/headscale/hscontrol/protocol_common.go:574 > Successfully sent auth url AuthURL=http://192.168.20.11:8080/register/nodekey:af52937e8bc375a0d73a01cd453fd2f814144796b0270cedb0d126a39518c306 machine=jammy noise=true
$ docker logs --follow headscale-ui
no Caddyfile detected, copying across default config
Starting Caddy
{"level":"info","ts":1696545638.4848695,"msg":"using provided configuration","config_file":"/data/Caddyfile","config_adapter":"caddyfile"}
{"level":"info","ts":1696545638.4858341,"logger":"admin","msg":"admin endpoint started","address":"localhost:2019","enforce_origin":false,"origins":["//localhost:2019","//[::1]:2019","//127.0.0.1:2019"]}
{"level":"info","ts":1696545638.4859416,"logger":"tls.cache.maintenance","msg":"started background certificate maintenance","cache":"0xc000544fc0"}
{"level":"info","ts":1696545638.486509,"logger":"http","msg":"server is listening only on the HTTPS port but has no TLS connection policies; adding one to enable TLS","server_name":"srv0","https_port":443}
{"level":"warn","ts":1696545638.4865189,"logger":"http","msg":"automatic HTTP->HTTPS redirects are disabled","server_name":"srv0"}
{"level":"warn","ts":1696545638.4865253,"logger":"http","msg":"server is listening only on the HTTP port, so no automatic HTTPS will be applied to this server","server_name":"srv1","http_port":80}
{"level":"info","ts":1696545638.4865966,"logger":"pki.ca.local","msg":"root certificate trust store installation disabled; unconfigured clients may show warnings","path":"storage:pki/authorities/local/root.crt"}
{"level":"warn","ts":1696545638.4866195,"logger":"tls","msg":"YOUR SERVER MAY BE VULNERABLE TO ABUSE: on-demand TLS is enabled, but no protections are in place","docs":"https://caddyserver.com/docs/automatic-https#on-demand-tls"}
{"level":"info","ts":1696545638.48668,"logger":"http.log","msg":"server running","name":"srv1","protocols":["h1","h2","h3"]}
{"level":"info","ts":1696545638.486689,"logger":"tls","msg":"cleaning storage unit","description":"FileStorage:/home/appuser/.local/share/caddy"}
{"level":"info","ts":1696545638.4867213,"logger":"http","msg":"enabling HTTP/3 listener","addr":":443"}
{"level":"info","ts":1696545638.4867342,"logger":"tls","msg":"finished cleaning storage units"}
{"level":"info","ts":1696545638.4867566,"msg":"failed to sufficiently increase receive buffer size (was: 208 kiB, wanted: 2048 kiB, got: 416 kiB). See https://github.com/lucas-clemente/quic-go/wiki/UDP-Receive-Buffer-Size for details."}
{"level":"info","ts":1696545638.4868112,"logger":"http.log","msg":"server running","name":"srv0","protocols":["h1","h2","h3"]}
{"level":"info","ts":1696545638.486932,"msg":"autosaved config (load with --resume flag)","file":"/home/appuser/.config/caddy/autosave.json"}
{"level":"info","ts":1696545638.4869497,"msg":"serving initial configuration"}
Команду ss
можно использовать для проверки привязанности портов на хосте.
$ ss -tunlp|egrep '8080|9080'
tcp LISTEN 0 4096 0.0.0.0:9080 0.0.0.0:* users:(("docker-proxy",pid=364448,fd=4))
tcp LISTEN 0 4096 0.0.0.0:8080 0.0.0.0:* users:(("docker-proxy",pid=364428,fd=4))
tcp LISTEN 0 4096 [::]:9080 [::]:* users:(("docker-proxy",pid=364455,fd=4))
tcp LISTEN 0 4096 [::]:8080 [::]:* users:(("docker-proxy",pid=364434,fd=4))
4) Доступ к оболочке контейнера
Вы можете получить доступ к оболочке контейнера headscale
, выполнив:
docker exec -ti headscale bash
Для запуска headscale-ui:
docker exec -ti headscale-ui sh
Мы можем протестировать функциональность, создав пользователя в экземпляре Headscale.
root@4f2fbe02c029:/# headscale users create computingforgeeks
Будет выполнено однострочное выполнение команды без входа в оболочку контейнера.
docker exec headscale \
headscale users create myuser
5) Присоедините клиентские устройства к сети Headscale.
Вам нужен пользователь, созданный на вашем сервере Headscale. Мы создадим его под названием computingforgeeks.
$ docker exec headscale headscale users create computingforgeeks
User created
Установка клиентов Tailscale на ваши устройства
- Windows-клиент
- iOS
- Андроид
- Линукс
- macOS
Установка Tailscale в Linux/BSD
Для систем на базе Linux и BSD выполните команды:
curl -fsSL https://tailscale.com/install.sh | sudo sh
Проверить версию Tailscale можно с помощью команд ниже.
$ tailscale --version
1.50.1
tailscale commit: f45c02bfcf5ee5790c3af278c9e974c9b9b0e771
other commit: 36a20760a45bd1936686879b34c35146cc0c4ec1
go version: go1.21.1
Установка на macOS
Вы можете установить с помощью Homebrew:
brew install tailscale
Или запустив скрипт.
curl -fsSL https://tailscale.com/install.sh | sudo sh
Зарегистрируйте машину (обычный вход в систему)
На клиентском компьютере выполните команду входа tailscale
:
tailscale up --login-server YOUR_HEADSCALE_URL
См. пример ниже.
# tailscale up --login-server http://192.168.20.11:8080
To authenticate, visit:
http://192.168.20.11:8080/register/nodekey:410155d1792d0f81a5f39415a1a418f882208751570c2e5195f7a6842ca44e6a
Открытие ссылок дает команды, которые необходимо выполнить на сервере Headscale для регистрации устройства.
Список всех пользователей, созданных на сервере Headscale:
$ docker exec headscale headscale user list
ID | Name | Created
1 | computingforgeeks | 2023-10-05 22:50:40
2 | myuser | 2023-10-05 22:52:18
3 | user2 | 2023-10-05 22:59:03
Не забудьте заменить USERNAME действительным именем пользователя при выполнении команд.
$ docker exec headscale \
headscale nodes register --user computingforgeeks --key nodekey:410155d1792d0f81a5f39415a1a418f882208751570c2e5195f7a6842ca44e6a
Machine rocky8 registered
Общий синтаксис регистрации машины с помощью headscale
:
docker exec headscale \
headscale --user <username> nodes register --key <YOU_+MACHINE_KEY>
Список всех машин, добавленных в ячеистую сеть Headscale.
# docker exec headscale headscale node list
ID | Hostname | Name | MachineKey | NodeKey | User | IP addresses | Ephemeral | Last seen | Expiration | Online | Expired
1 | jammy | jammy | [cN/Um] | [r1KTf] | computingforgeeks | 100.64.0.1, fd7a:115c:a1e0::1 | false | 2023-10-05 23:39:04 | 0001-01-01 00:00:00 | online | no
Зарегистрируйте машину, используя предварительно аутентифицированный ключ
Вы также можете зарегистрировать новую машину, используя предварительно проверенный ключ.
Сначала сгенерируйте ключ с помощью командной строки:
docker exec headscale \
headscale --user <username> preauthkeys create --reusable --expiration 24h
Выполнение команды возвращает предварительно проверенный ключ, используемый для подключения узла к headscale
при запуске команды tailscale
:
tailscale up --login-server <YOUR_HEADSCALE_URL> --authkey <YOUR_AUTH_KEY>
Давайте посмотрим пример ниже.
# On Headscale server
# docker exec headscale headscale --user jkmutai preauthkeys create --reusable --expiration 24h
4763c4f4293b260eff230065378e5668c13db44f4569ed7b
# On Machine to be registered
# tailscale up --login-server http://vpn.hirebestengineers.com --authkey 4763c4f4293b260eff230065378e5668c13db44f4569ed7b
Команда регистрации машины с предварительно проверенным ключом не дает никаких результатов. Но вы можете проверить, добавлены ли новые узлы, из CLI сервера Headscale.
# docker exec headscale headscale node list
ID | Hostname | Name | MachineKey | NodeKey | User | IP addresses | Ephemeral | Last seen | Expiration | Online | Expired
1 | rocky8 | rocky8 | [s+TG9] | [QQFV0] | jkmutai | 100.64.0.1, fd7a:115c:a1e0::1 | false | 2023-10-05 17:05:58 | 0001-01-01 00:00:00 | online | no
2 | mail | mail | [V8WI2] | [OvPLb] | jkmutai | 100.64.0.2, fd7a:115c:a1e0::2 | false | 2023-10-05 17:06:32 | 0001-01-01 00:00:00 | online | no
6) Полезные команды Headscale
Удалите узел в вашей сети.
docker exec headscale \
headscale node delete -i <ID>
Переместить узел другому пользователю
docker exec headscale \
headscale node move -i <ID> -u <New-User>
Переименуйте машину в вашей сети
docker exec headscale \
headscale node rename -i <ID> <NEW_NAME>
Истечь (выйти из системы) на машине в вашей сети
docker exec headscale \
headscale node expire -i <ID>
Создайте ключ API:
docker exec headscale \
headscale apikeys create --expiration 90d
Список ключей API:
docker exec headscale \
headscale apikeys list
Срок действия ключа API истекает:
docker exec headscale \
headscale apikeys expire --prefix "<PREFIX>"
7) Доступ к пользовательскому интерфейсу Headscale
Сгенерируйте ключ API на сервере Headscale.
docker exec headscale \
headscale apikeys create --expiration 120d
Это дает результат, подобный этому.
8bnNOGwOkw.bjQXvEB4Vk9Ia1R9HupEB0yB9PFthth_Or8QcHncKmw
Откройте пользовательский интерфейс Headscale на http://ServerIP_or_hostname:9080/web/settings.html
Введите URL-адрес сервера Headscale и сгенерированный токен в поля. Примеры:
- URL-адрес заголовка: //api.computingforgeeks.com
- Ключ API Headscale: 8bnNOGwOkw.bjQXvEB4Vk9Ia1R9HupEB0yB9PFthth_Or8QcHncKmw
Следующая статья, которую стоит посмотреть:
- Присоединение pfSense к Tailscale/Headscale VPN Mesh
- Как включить и запустить SSH-сервер на OPNsense
- Как установить и настроить клиент Tailscale в OPNsense
Заключение
Headscale — идеальное решение для малых и средних компаний, желающих создать ячеистую сеть Tailscale и подключить к ней устройства. Это мощное, безопасное и надежное решение, альтернативное настройке VPN-сервера. Это дает вам полный контроль над ячеистой сетью и сервером координации. Mesh VPN используют одноранговую модель (P2P) для создания безопасной общей среды для своих пользователей.