Multitenancy

[kik-krsk]

Опишу свое решение по запуску нескольки контейнеров mikopbx на одной машине. Я не эксперт в docker и linux системах, поэтому решение не идеально. Критикуйте предлагайте
Решение описанное на вики не подходило потому что в режиме --net=host, т.к. iptables был един для всех контейнеров.
Решение с пробросом портов тоже имеет недостатки: куча правил в iptables(докер не умеет нормально создавать правило с одним диапазоном) и нельзя пробрасывать больше 100 портов (вроде можно но работать начинает медленней).
Поэтому я пришел к пути использования сервесы systemd для управления контейнером.

cat /etc/systemd/system/default.target.wants/docker.mikopbx.service 
[Unit]
Description=Mikopbx container service
After=docker.service
Requires=docker.service

[Service]
TimeoutStartSec=0
Restart=always
EnvironmentFile=/root/mikopbx/.env
ExecStartPre=-/usr/bin/docker container stop ${NAME}
ExecStartPre=-/usr/bin/docker container rm ${NAME}
ExecStartPre=-/usr/bin/docker pull ghcr.io/mikopbx/mikopbx-x86-64
ExecStart=/usr/bin/docker run --cap-add=NET_ADMIN --rm\
            -p xxx.xxx.xxx.xxx:${WEB_PORT}:${WEB_PORT} -p  xxx.xxx.xxx.xxx:${SIP_PORT}:${SIP_PORT}/udp \
            --name ${NAME} --env-file /root/mikopbx/.env \
            -v /var/spool/${NAME}/cf:/cf \
            -v /var/spool/${NAME}/storage:/storage \
            -e ID_WWW_USER="$(id -u www-data)" \
            -e ID_WWW_GROUP="$(id -g www-data)" --tty\
            ghcr.io/mikopbx/mikopbx-x86-64
ExecStartPost=-/bin/sleep 5
ExecStartPost=-/opt/docker/firewall-start.sh ${NAME} ${RTP_FROM} ${RTP_TO}

ExecStop=-/opt/docker/firewall-stop.sh ${NAME} ${RTP_FROM} ${RTP_TO}
ExecStop=/usr/bin/docker container stop ${NAME}

[Install]
WantedBy=default.target

Тут xxx.xxx.xxx.xxx ip адрес вашей хост системы. Так же можно добавить аналогично и другие порты, мне они пока что не нужны.

 cat /root/mikopbx/.env
NAME=mikopbx
SSH_PORT=10000
WEB_PORT=10001
WEB_HTTPS_PORT=10002
SIP_PORT=10003
RTP_FROM=10011
RTP_TO=10099
IAX_PORT=10004
AMI_PORT=10005
AJAM_PORT=10006
AJAM_PORT_TLS=10007
BEANSTALK_PORT=10008
REDIS_PORT=10009
GNATS_PORT=10010

cat /opt/docker/firewall-start.sh
#!/bin/bash

CIP=$(docker inspect -f '{{range.NetworkSettings.Networks}}{{.IPAddress}}{{end}}' $1)

iptables -A DOCKER -t nat -p udp -m udp ! -i docker0 --dport $2:$3 -j DNAT --to-destination $CIP:$2-$3
iptables -A DOCKER -p udp -m udp -d $CIP/32 ! -i docker0 -o docker0 --dport $2:$3 -j ACCEPT
iptables -A POSTROUTING -t nat -p udp -m udp -s $CIP/32 -d $CIP/32 --dport $2:$3 -j MASQUERADE

/opt/docker/firewall-stop.sh аналогичен, только правила удаляем -D.
Так же я сделал проксирование на хост системе в nginx чтобы можно было попадать в веб без указания порта по доменном имени.

cat /etc/nginx/sites-enabled/mikopbx
server {
    if ($host = mikopbx.domen.ru) {
        return 301 https://$host$request_uri;
    }
    listen 80;
    server_name mikopbx.domen.ru;
    return 404;

}

server {
    listen 443 ssl;
    server_name mikopbx.domen.ru;
    access_log /var/log/nginx/mikopbx-access.log;
    error_log /var/log/nginx/mikopbx-error.log;

    ssl_certificate          /etc/letsencrypt/live/mikopbx.domen.ru/fullchain.pem;
    ssl_certificate_key      /etc/letsencrypt/live/mikopbx.domen.ru/privkey.pem;
    ssl_trusted_certificate  /etc/letsencrypt/live/mikopbx.domen.ru/chain.pem;

location /.well-known {
    alias /var/www/mikopbx.domen.ru/.well-known;
}

location / {
    proxy_pass http://mikopbx.domen.ru:10001;
    proxy_set_header Host $host;
    proxy_set_header   X-Real-IP          $remote_addr;
    proxy_set_header   X-Forwarded-For    $proxy_add_x_forwarded_for;
    }
}

Единственное что я не спроксировать чтобы ip откуда пришел запрос пробрасывался внутрь контейнера. Можно создать отдельное правило в кастомизации /etc/firewall_additional.

[boffart]

Прошу описать подробно с какими ошибками.
Что мешает полноценно использовать такой подход.

[kik-krsk]

Такой как я описал или как описан на вики?