唐辛子って腐らないねん
中の通信を全部信頼する私的なWireGuradネットワークとVPSと自宅サーバーを結んでインターネットからのVPSのアクセスを自宅サーバーに横流しするWireGuardネットワークがあり、それぞれ別のポートで通信して別のインターフェース扱いにしてるけど、これインターフェースもポートも1つでいい可能性あるな?いやファイヤーウォールとかを考えるとそうでもないか? でもインターフェースでfirewalldのゾーンを指定せずにサブネットで指定すればいいのかな
コンテナのIPアドレスはDHCPで取ってきてコンテナ間の通信とかのためにDDNSを用意しようかなと思ったけど固定IPでいいだろになった。余裕があればやるかも(そんな暇があるなら大学の方に力を入れたほうがいい)
systemd-nspawnコンテナたち、ネットワークよくわからないのでネットワーク名前空間なしで動かしてたけどLinuxのbridgeインターフェース?(本当は仮想スイッチらしい?)を準備したのでネットワーク名前空間を有効化できそうになってきた
Nextcloudの中身をsftpでアクセスできるようにするの、他のユーザーがアクセスできないようにしたり新しいユーザーも自分のファイルを見れるようにしたりするの大変そうだし後回しにしようかな
https://1inguini.com についてちょくちょくつぶやいてるけど、フォロワーとかって https://1inguini.com 見てるのかな。見たことあるよって人リアクションしてみて
でも同じサービスのRedisとPostreSQLとPHPと...みたいなのは同じコンテナのほうがUNIXドメインソケットとかlocalhostとかで通信できてよさそうな気もする。ネートワーク名前空間の分け方とかバインドマウントを工夫すればいいだけの気もするけど
インターネット ←IPv6→ VPS ←IPv4(WireGuard)→ 自宅サーバーでも動いてるような雰囲気のタイミングもあったけどよくわからん。IPv4とIPv6って基本は混ぜられない(IPv4 over IPv6は仕組みがあるっぽい)んじゃないの?
systemd-nspawn、自動でユーザーをマッピングするがファイルシステム上ではuidが変わらない非特権(実行するにはrootがいるが中身がroot権限なしになるので非特権)コンテナが便利
systemd-nspawn使ってるんだから1つのコンテナに全部詰めればいいという説はあるが、サービスごとにコンテナを分けたい心もある。s6でアプリケーションコンテナをオーケストレーションしたいのかもしれん
よし! VPSがWireGuardのVPNサーバーとしてもちゃんと動くようになった! IPv6にも対応した!
IPv6で https://1inguini.com にアクセスできない〜とかやってたら急に動くようになった。nftablesの設定いじってたところ戻したのに