Takovej selfhosting Notionu bez fancy tabulek.
Outline je open-source nástroj pro tvorbu a správu interní dokumentace a znalostních bází.

Použité technologie

Nginx

Nginx je výkonný webový server a reverzní proxy, který se používá pro obsluhu statického obsahu, směrování požadavků na backend služby a vyvažování zátěže. Je známý svou rychlostí, nízkou spotřebou paměti a spolehlivostí při vysoké zátěži.

Outline

Outline je open-source nástroj pro tvorbu a správu interní dokumentace a znalostních bází. Poskytuje jednoduché a přehledné uživatelské rozhraní pro týmovou spolupráci, verzování a rychlé vyhledávání obsahu.

Dex

Dex je open-source identitní služba, která funguje jako „OpenID Connect“ provider. Slouží k centralizovanému ověřování uživatelů a umožňuje propojit různé aplikace s externími identity providery (např. Google, GitHub nebo LDAP).

Postgres

PostgreSQL (Postgres) je pokročilý open-source relační databázový systém. Nabízí podporu pro komplexní dotazy, transakce, indexy, JSON data a rozšiřitelnost pomocí vlastních funkcí, čímž se hodí pro širokou škálu aplikací od menších po enterprise řešení.

Redis

Redis je in-memory databáze a cache systém, který umožňuje velmi rychlý přístup k datům. Často se používá pro ukládání relací, front, výsledků výpočtů nebo jako prostředník pro komunikaci mezi službami díky podpoře publikace a odběru zpráv (pub/sub).

Docker / Docker Compose

Docker je platforma pro kontejnerizaci aplikací, která umožňuje spouštět software izolovaně s veškerými závislostmi. Docker Compose pak usnadňuje definování a správu vícekontejnerových aplikací pomocí jednoduchého konfiguračního souboru.

Diagram

Postřehy

Outline

Outline neumožňuje přihlašování pomocí uživatelského jména a hesla, což je poněkud nepříjemné. Musí se nakonfigurovat jedna z podporovaných služeb. Aplikace umí pracovat se Slack identitami, Google identitami a dalšími poskytovateli. Pokud nemůžete použít žádnou z těchto služeb, je tam naštěstí možnost Magic Link via Email. Je to sice nepříjemné, ale funkční řešení. Pokaždé, když se chcete přihlásit, pošle vám aplikace email s přihlašovacím odkazem. V mém setupu jsem se rozhodl použít Dex jako OIDC službu, přes kterou se mohu přihlašovat pomocí emailu a hesla.

Dex

Dex je velmi minimalistický, takže nemá webové rozhraní. Navíc jeho dokumentace je hodně nekvalitní. Nejjednodušším způsobem, jak vše rozchodit, je přidat statického klienta a uživatele přímo do konfiguračního souboru. Musíte si ale vytvořit bcrypt hashovaná hesla. Vycházel jsem z tohoto návodu.

SMTP

Aby fungovalo odesílání emailů, je potřeba nakonfigurovat SMTP server. Pokud žádný po ruce nemáte, můžete použít váš Gmail účet. V nastavení Gmailu se musí vytvořit aplikační klíč, který se pak vloží do .env souboru do SMTP sekce.

Setup

.env

URL=https://outline.<domain.com>
PORT=3050
WEB_CONCURRENCY=1
SECRET_KEY=<secret key>
UTILS_SECRET=<utils secret>
DATABASE_URL=postgres://outline:<db password>@outline-postgres:5432/outline
PGSSLMODE=disable

POSTGRES_USER=outline
POSTGRES_PASSWORD=<db password>
POSTGRES_DB=outline

REDIS_URL=redis://outline-redis:6379

FILE_STORAGE=local

FORCE_HTTPS=true

OIDC_CLIENT_ID=outline
OIDC_CLIENT_SECRET=<oidc client secret>
OIDC_AUTH_URI=https://auth.<domain.com>/dex/auth
OIDC_TOKEN_URI=http://dex:5556/dex/token
OIDC_USERINFO_URI=http://dex:5556/dex/userinfo
OIDC_USERNAME_CLAIM=email
OIDC_DISPLAY_NAME=OIDC Provider
OIDC_SCOPES=openid profile email

SMTP_SERVICE=gmail
SMTP_USERNAME=<you>@gmail.com
SMTP_PASSWORD="<app code>"
SMTP_FROM_EMAIL=<you>@gmail.com

RATE_LIMITER_ENABLED=true
RATE_LIMITER_REQUESTS=1000
RATE_LIMITER_DURATION_WINDOW=60

ENABLE_UPDATES=true
DEBUG=http
LOG_LEVEL=info

DEX Config (config.yaml)

issuer: https://auth.<domain.com>/dex

storage:
  type: sqlite3
  config:
    file: /var/dex/dex.db

web:
  http: 0.0.0.0:5556

staticClients:
  - id: outline
    redirectURIs:
      - "https://outline.<domain.com>/auth/oidc.callback"
    name: "Knowledge Base"
    secret: <oidc client secret>

oauth2:
  skipApprovalScreen: true

enablePasswordDB: true

staticPasswords:
  # Admin
  - email: "<admin>@gmail.com"
    hash: "<bcrypt password hash>"
    username: "admin"
    userID: "admin-001"

  - email: "<user>@gmail.com"
    hash: "<bcript password hash>"
    username: "user"
    userID: "user-001"

# Pro debug
logger:
  level: "info"
  format: "text"

Docker Compose

services:
  outline:
    image: docker.getoutline.com/outlinewiki/outline:latest
    env_file: ./.env
    ports:
      - "3050:3050"
    expose:
      - "3050"
    volumes:
      - storage-data:/var/lib/outline/data
    depends_on:
      - outline-postgres
      - outline-redis

  outline-redis:
    image: redis
    env_file: ./.env
    expose:
      - "6379"
    volumes:
      - ./redis.conf:/redis.conf
    command: ["redis-server", "/redis.conf"]
    healthcheck:
      test: ["CMD", "redis-cli", "ping"]
      interval: 10s
      timeout: 30s
      retries: 3

  outline-postgres:
    image: postgres
    env_file: ./.env
    expose:
      - "5432"
    volumes:
      - database-data:/var/lib/postgresql/data
    healthcheck:
      test: ["CMD", "pg_isready", "-d", "outline", "-U", "user"]
      interval: 30s
      timeout: 20s
      retries: 3

  dex:
    image: dexidp/dex:v2.37.0
    ports:
      - "5556:5556"  # Vystaveno pro nginx proxy
    expose:
      - "5556"
    volumes:
      - ./dex-config:/etc/dex:ro  # Read-only mount konfigurace
      - dex-data:/var/dex         # Persistentni SQLite databáze
    command: ["dex", "serve", "/etc/dex/config.yaml"]
    healthcheck:
      test: ["CMD", "wget", "--no-verbose", "--tries=1", "--spider", "http://localhost:5556/dex/healthz"]
      interval: 30s
      timeout: 10s
      retries: 3
    restart: unless-stopped

volumes:
  storage-data:
  database-data:
  dex-data:

Nginx

auth.

server {
    listen 80;
    server_name auth.<domain.com>;

    # P┼Öesm─Ťrov├ín├ş HTTP na HTTPS
    return 301 https://$server_name$request_uri;
}

server {
    listen 443 ssl http2;
    server_name auth.<domain.com>;

    # SSL certifik├íty (upravte cestu podle va┼í├ş konfigurace)
    ssl_certificate /etc/nginx/ssl/<domain.com>/fullchain.pem;
    ssl_certificate_key /etc/nginx/ssl/<domain.com>/privkey.pem;

    # SSL konfigurace
    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_ciphers ECDHE-RSA-AES256-GCM-SHA512:DHE-RSA-AES256-GCM-SHA512:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384;
    ssl_prefer_server_ciphers on;
    ssl_session_cache shared:SSL:10m;

    # Proxy nastaven├ş pro Home Assistant
    location / {
        proxy_pass http://<service ip>:5556;
        proxy_set_header Host $http_host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;

        proxy_http_version 1.1;
        proxy_set_header Upgrade $http_upgrade;
        proxy_set_header Connection "upgrade";

        # Timeout nastaven├ş
        proxy_connect_timeout 60s;
        proxy_send_timeout 60s;
        proxy_read_timeout 60s;

        # Buffering nastaven├ş
        proxy_buffering off;
        proxy_request_buffering off;
    }

    # Logov├ín├ş
    access_log /var/log/nginx/auth.<domain.com>.access.log;
    error_log /var/log/nginx/auth.<domain.com>.error.log;
}

outline.

server {
    listen 80;
    server_name outline.<domain.com>;

    # P┼Öesm─Ťrov├ín├ş HTTP na HTTPS
    return 301 https://$server_name$request_uri;
}

server {
    listen 443 ssl http2;
    server_name outline.<domain.com>;

    # SSL certifik├íty (upravte cestu podle va┼í├ş konfigurace)
    ssl_certificate /etc/nginx/ssl/<domain.com>/fullchain.pem;
    ssl_certificate_key /etc/nginx/ssl/<domain.com>/privkey.pem;

    # SSL konfigurace
    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_ciphers ECDHE-RSA-AES256-GCM-SHA512:DHE-RSA-AES256-GCM-SHA512:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384;
    ssl_prefer_server_ciphers on;
    ssl_session_cache shared:SSL:10m;

    # Proxy nastaven├ş pro Home Assistant
    location / {
        proxy_pass http://<service ip>:3050;
        proxy_set_header Host $http_host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;

        proxy_http_version 1.1;
        proxy_set_header Upgrade $http_upgrade;
        proxy_set_header Connection "upgrade";

        # Timeout nastaven├ş
        proxy_connect_timeout 60s;
        proxy_send_timeout 60s;
        proxy_read_timeout 60s;

        # Buffering nastaven├ş
        proxy_buffering off;
        proxy_request_buffering off;
    }

    # Logov├ín├ş
    access_log /var/log/nginx/outline.<domain.com>.access.log;
    error_log /var/log/nginx/outline.<domain.com>.error.log;
}

The post Outline – selfhostovaná znalostní báze first appeared on Hard Wired.

Volné pokračování Gitea v Dockeru s daty na Synology. Tentokrát nastavíme aby nám naše self-hostovaná Gitea jela na naší veřejné doméně.

Předpoklady

• Máme nainstalovanou Giteu podle předchozího návodu.
• Máme koupenou vlastní doménu. (pro tutoriál to bude example.com)
• Používáme Nginx jako reverzní proxy.
• Máme přistup do routeru nebo možnost přesměrovávat porty.
• Už jste Giteu jednou spustili a nastavili admin účet.

Nastavení reverzní proxy

Vytvoříme soubor gitea.example.com.

nano /etc/nginx/sites-available/gitea.example.com

server {
    listen 80;
    server_name gitea.example.com;

    location / {
        return 301 https://$host$request_uri;
    }
}

server {
    listen 443 ssl;
    server_name gitea.example.com;

    ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;

    location / {
        proxy_pass http://:3000;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;
    }
}

Při zadání gitea.example.com budou všechny požadavky přesměrovávány na server, kde sedí Gitea a naslouchá na portu 3000. Také se automaticky provede přesměrování z HTTP na HTTPS.

Certifikáty jsou pomocí Let's Encrypt a Certbot, ale to je na jiný návod.

Poté je potřeba dostat symlink do /etc/nginx/sites-enabled.

sudo ln -s /etc/nginx/sites-available/gitea.example.com /etc/nginx/sites-enabled/

Pak je dobré zkontrolovat, jestli Nginx naši novou konfiguraci vezme za svou.

sudo nginx -t

Jestli je vše OK, tak bude potřeba Nginx restartovat.

sudo systemctl restart nginx

Od teď bude gitea.example.com směrovat na naši Giteu.

Nastavení Gitea

Předpoklad je, že Gitea běží v kontejneru. Musíme upravit nastavení. Do Docker kontejneru se můžete dostat pomocí příkazové řádky docker exec -it <container_name_or_id> /bin/bash. Pokud máte rozchozený Portainer, stačí v něm kliknout na ikonku shellu a připojíte se do kontejneru jako root.

Po připojení do kontejneru bude pravděpodobně jako uživatel root. Gitea (v závislosti na typu image) má data uložena v /data. Ale jako uživatel git. Proto než začnete něco měnit, tak je dobré se přepnout za uživatele git. To provedete pomocí su git.

Bude potřeba udělat pár úprav v souboru app.ini, ten se nachází v /data/gitea/conf. (v Gitea kontejneru je dostupný editor VI)

DOMIAN = gitea.example.com
SSH_DOMAIN = gitea.example.com
ROOT_URL = https://gitea.example.com

Tím nastavíme Giteu na naši doménu.

Je předpoklad, že je to soukromý git server, takže nechceme aby se tam mohli lidé samovolně registrovat. Takže je potřeba vypnout registrace.

DISABLE_REGISTRATIONS = true

Poté je potřeba kontejner restartovat.

Přesměrování portů

Gitea cotainer (pokud jste to nezměnili) propaguje porty 3000 (web) a 222 (ssh). Proto je potřeba zajistit aby byl port 222 zvenku dostupný a přesměrovával na server kde Gitea sedí. Jestli máte domácí router který sedí na veřejné IP adrese tak provedete přesměrování portů na něm.

Závěr

Existují ještě další nastavení, ale po těchto pár krocích by už měla Gitea fungovat na vaší doméně.

The post Gitea na veřejné subdoméně first appeared on Hard Wired.

Máme ve vnitřní síti několik služeb, ke kterým chceme přistupovat z internetu nebo někomu chceme umožnit přístup. Máme koupenou doménu a nechceme zadávat example.com/xyz nebo example.com:63268 pro přístup ke službě běžící na lokální síti.

Jedno z možných řešení je použití Nginx jako reverzní proxy. To nám umožní používat sub domény pro přístup k lokálním službám. Například ke Grafaně zobrazující měření z meteostanice můžeme přistupovat pomocí grafana.example.com.

Na většině linuxových systémů lze jednoduše nainstalovat Nginx. Například na Ubuntu pomocí balíčkovacího systému APT.

sudo apt install nginx

Po úspěšné instalaci bude Nginx naslouchat na portu 80. Když zadáte do prohlížeče adresu stroje na kterém běží, měli byste vidět klasickou Welcome to nginx! stránku.

Konfigurační soubory Nginx se nacházejí v /etc/nginx. Nás budou zajímat dvě složky /etc/nginx/sites-available a /etc/nginx/sites-enabled. sites-available obsahuje konfigurační soubory  a sites-enabled symlinky na soubory v sites-available.  To co je v sites-enabled je to, co je používáno.

Mějme stroj na kterém běží Nginx na 192.168.1.2 a stroj na kterém běží Grafana na 192.168.1.22. Předpokládejme, že jsme Grafanu úspěšně rozeběhli na 192.168.1.22:8080. Náš předpoklad je, že chceme na službu přistupovat přes grafana.example.com.

K tomu budeme muset vytvořit konfigurační soubor v /etc/nginx/sites-available. Jméno toho souboru je libovolné, ale zpravidla se používá název domény.

sudo nano /etc/nginx/sites-available/grafana.example.com

V konfiguračním souboru budeme mít dvě sekce. Jedna pro obsluhu nešifrované komunikace na portu 80 a druhou šifrovanou na portu 443. Předpokládáme, že nechceme nešifrovanou verzi komunikace. V dnešní době je už možné jednoduše získat certifikát, například přes službu LetsEncrypt.

První sekce pro obsluhu požadavku na port 80 řeší pouze přesměrování na port 443.

server {
    listen 80;
    server_name grafana.example.com;
    return 301 https://$host$request_uri;
}

Druhá sekce řeší požadavek na portu 443 a samotné vyřízení požadavku s Grafanou na stroji 192.168.1.22.

server {
    listen 443;

    server_name grafana.example.com;

    ssl on;
    ssl_certificate /etc/nginx/ssl/example.com.cert;
    ssl_certificate_key /etc/nginx/ssl/example.com.key;

    location / {
        proxy_pass http://192.168.1.22:8080;
        proxy_http_version 1.1;
        proxy_set_header Upgrade $http_upgrade;
        proxy_set_header Connection 'upgrade';
        proxy_set_header Host $host;
        proxy_cache_bypass $http_upgrade;
    }
}

Protože se jedná o šifrovanou komunikaci přes HTTPS protokol je nutné přidat cesty k certifikátům.

Kompletní soubor by mohl vypadat nějak takto.

server {
    listen 80;
    server_name grafana.example.com;
    return 301 https://$host$request_uri;
}

server {
    listen 443;

    server_name grafana.example.com;

    ssl on;
    ssl_certificate /etc/nginx/ssl/example.com.cert;
    ssl_certificate_key /etc/nginx/ssl/example.com.key;

    location / {
        proxy_pass http://192.168.1.22:8080;
        proxy_http_version 1.1;
        proxy_set_header Upgrade $http_upgrade;
        proxy_set_header Connection 'upgrade';
        proxy_set_header Host $host;
        proxy_cache_bypass $http_upgrade;
    }
}

Poté co máme konfiguraci uloženou v sites-available potřebujeme udělat symlink do adresáře sites-enabled. Tím konfiguraci aktivujeme a po restartu ji Nginx bude brát v potaz.

sudo ln -s /etc/nginx/sites-available/grafana.example.com /etc/nginx/sites-enabled/

Předtím než restartujeme Nginx je dobré nechat Nginx zkontrolovat jestli je konfigurace OK.

nginx -t

Pokud je vše v pořádku stačí Nginx restartovat.

sudo systemctl restart nginx

Od této chvíle Nginx na 192.168.1.2 přijímá požadavky a pokud dojde požadavek na grafana.example.com, začne komunikovat s Grafanou na 192.168.1.22:8080.

Pokud to rozjíždíte doma, tak se s pravděpodobně nacházíte za domácím routerem. (pravděpodobnost hraničící s jistotou ) Tam je nutné přesměrovat porty 80 a 443 na stroj s Nginx. A další nutná věc je samozřejmě veřejná IP. Bez té to bude docela naprd.

The post Nginx jako reverzní proxy first appeared on Hard Wired.