¶ 手把手教你用群晖Docker部署雷池WAF
作者: 知产二大爷 (社区52群)
¶ 写在前面
上回书说到如何使用PVE部署雷池AWF,之所以用PVE部署,主要是考虑与其他服务尤其是群晖进行隔离,在一定程度上可以增加安全性。
应求,本文介绍通过「群晖Docker部署雷池AWF」。
¶ 项目简介
略,详情看雷池介绍文档
¶ 我的软硬件环境
「群晖920+(系统版本DSM7.2)」
「安装环境:Docker」
「勤劳的双手和聪明的大脑」
第一步:部署雷池
第一步:部署雷池
群晖内新建一个“「leichi」”文件夹(文件夹名称随意,要注意和下面的路径映射保持一致)。
下载这个压缩包:https://wwzb.lanzouw.com/b0sx5z7gf 密码:bpuf
压缩包里的文件内容如下(「注意:两个文件夹内均为空文件夹,如果不上传或创建这些空文件的话安装会报错」):
用记事本打开“ 「.env」”文件,编辑内容(只编辑「SAFELINE_DIR」和「MGT_PORT」两个变量,其他的不变):
SAFELINE_DIR=这里写你的映射路径,该路径与上面新建的文件夹路径一致,如:/volume1/docker/leichi
IMAGE_TAG=latest
MGT_PORT=这里写你的管理后台访问端口号,如:9443
POSTGRES_PASSWORD=R031uaOo5jdxJen5FJhQMzimV5jiyMAX
SUBNET_PREFIX=172.22.222
IMAGE_PREFIX=swr.cn-east-3.myhuaweicloud.com/chaitin-safeline
保存后连同其他文件一并上传到前面设置的“「leichi」”文件夹内,如图:
进入群晖Container Manager(即docker),点击“「项目」”→“「新增」”→「填写项目名称」→点击“「设置路径」”→选择前面新建的“「leichi」”文件夹。
选择“「使用现有的docker-compose.yml来创建项目」”并点击确定。
点击下一步→后面「全部选择默认设置。」
勾选“「创建项目后立即启动」”→点击“「完成」”。
等待容器拉取镜像并创建完成,这里会「比较慢」,耐心等待。
项目创建完成后,会自动部署7个服务容器。
此时就可以正常访问控制台了,地址是你群晖的IP地址+前面“ 「.env」”文件中你设置的端口号,我这里是:https://192.168.31.83:9443
如果无法正常访问控制台,说明设置可能有问题,需要重复检查前面的设置步骤(这里可以等等看,有可能是还没部署完成)。
「此时我们还没有登录密码,因此还需要重置一下登录密码。」 群晖打开SSH功能:控制面板→终端机→启动SSH功能→点击“应用”保存。
注意,端口可以自定义,但要和下面保持一致。
「用和群辉同局域网的电脑」,Windows + R 打开运行窗口,输入 “「Powershell」” 唤起“「Windows PowerShell」”。
在“「Windows PowerShell」”中,输入:「ssh erdaye@192.168.31.83 -p 6666」
⚠️注意:
1、其中“erdaye”部分是你的群晖管理员用户名,可以是中文。
2、-p后面是你在上一步设置的端口号。
3、注意有3处空格不要删除(ssh 「这里有空格」erdaye@192.168.31.6 「这里有空格」-p 「这里有空格」6666)。
回车后,在弹出的一行输入群晖管理员用户的密码。
注意,这里输入时不会显示字符,输入完成直接回车即可。
如果密码正确则会弹出如下图所示的几段文字,并且弹出的用户名改变,如果没有弹出,则重复上述步骤。
输入“sudo -i”并回车,再次输入密码后回车,此时将进入“root”用户权限。
输入“docker exec safeline-mgt resetadmin”,回车重置密码,稍等片刻弹出如下所示即表示密码重置完成。
复制重置后的密码即可登录控制台,「此时别忘了去群晖控制面板关闭SSH功能」。
第二步:设置雷池WAF
访问控制台,地址是你前面设置的IP地址,端口9443:https://192.168.31.83:9443
出现这个提示,点高级,点继续访问即可:
输入前面重置生成的账号密码。
进入控制台界面
其他设置可参考《手把手教你用PVE部署“雷池WAF”,不让黑客越雷池一步(折腾NAS系列五)》中的相关内容,及官方文档,不再赘述。
第三步:雷池WAF的升级
进入雷池的docker项目,点击“「操作」”→点击“「清除」”,「等待提示清除完成后」,重新进入项目点击“「构建」”,即可完成升级。
「好的,到这里整个配置已经全部完成,你可以愉快地使用它了。」
「希望我的教程能够帮助到你,如果你感觉有用的话,三连请走一波。」
知乎,公众号搜知产二大爷即可找到