[이벤트참여] 취미로 만드는 홈서버입니다.
### 2/2 하드웨어 사진과 사용중인 동영상관련 어플들에 대한 소개를 추가하였습니다.
대략 5~6년전에 헤놀로지를 이용해 홈서버를 처음 구축하기 시작했습니다.
그 당시엔 도커를 적극적으로 사용하지 않아 exsi에 NginX로 역방향 프록시를 연결하고
freeBSD에 방화벽을 올려서 운영했었습니다.
그러다가 반년전에 데이터하드가 고장난김에 새로 싹 바꿔보기로 결심하고 바닥부터 새롭게 구축하게 되었습니다.
그때 이곳 서버포럼을 알게 되었고 많은 도움을 받았습니다.
달소님을 비롯한 회원님들께 감사하단 말씀을 드리고자 합니다.
시스템 사양
보시는 것처럼 상남자식 선정리를 지향합니다. 본컴은 예쁘게 정리해서 사용합니다. :)
케이스는 아주아주 오래전에 구입한 이름모를 슬림케이스 입니다.
파워는 dc to dc 60w 짜리를 사용중입니다. 구매당시에는 j1900을 이용한 시스템이어서 충분한 파워였는데
지금은 30~40w 정도에 피크때는 50w 정도가 찍히기도 해서 살짝 불안하긴 합니다.
시피유는 i3-6100을 사용하다가 몇일전에 G7400으로 업그레이드를 하였습니다.
전반적으로 빠른 응답성능을 보여 만족스럽습니다.
램은 삼성램 32G 입니다.
메인보드는 asus b660m v5 d4를 사용중입니다.
램 오버를 할 생각은 없지만 시피유가 G7400 이라 그런가 바이오스에서 램오버 항목이 안보입니다.
리얼택 PCI랜카드를 하나 추가해서 외부망 연결 전용으로 사용하고 있습니다.
저장장치로 m.2 nvme 250G SSD에 각 가상 머신을 올려서 사용하고
128G SSD를 proxmox전용으로 , 500G SSD와 3T HDD를 데이터 보관용으로 사용하고 있습니다.
주로 안쓰거나 얻은 장비들로 구성한 서버라 저장장치 용량이 조촐합니다.
서비스
- 예전에는 exsi를 사용하다가 새로 서버를 만들면서 proxmox로 바꾸게 되었습니다.
- 큰 불편없이 사용하고 있으며 zfs의 스냅샷기능과 PBS의 백업기능을 유용하게 사용하고 있습니다.
- 방화벽으로 OPNsense를 이용중입니다. 외부망은 suricata, crowdsec을 이용하고 내부망에는 zenarmor 적용해서 사용중입니다.
- 램을 적게 할당하면 자주 서비스가 죽어서 14G정도 할당해서 사용중입니다.
- CPU를 업그레이드하기 전에는 헤놀로지에서 docker-compose를 이용해서 위의 모든 도커를 올렸습니다만, 살짝 느린 반응속도와 관리측면의 복잡함으로 모든 도커를 우분투서버로 옮겨서 관리중입니다.
- 헤놀로지는 포토스 기능이 마음에 들어 사용중입니다. 사실 모든 도커를 우분투로 옮기면서 아예 사용하지 않을 생각도 했습니다만, 예전부터 사용하던 시스템이고 뭔가 마음의 고향같은 느낌이어서 삭제하지는 않고 ldap서버와 사진들의 관리 및 백업정도에 사용하고 있습니다.
- 역방향 프록시는 traefik을 이용해 구성하였습니다. 설정과 관련하여 링크한 사이트의 도움이 컸습니다. 참고하시면 좋을것 같습니다.
- 2FA 인증과 OIDC기능을 이용하기 위해 authelia를 사용중입니다. 여기에 헤놀로지의 LDAP서버를 연동해 사용자를 관리하고 있습니다. 불량아이피 및 의심스러운 접속 차단을 위해 crowdsec을 설치하였고 cloudflare와 traefik plugin 및 OPNsense에 crwodsec bouncer를 올려서 운용하고 있습니다.
- 프로메테우스는 헤놀로지와 crowdsec 정보를 얻어오도록 설정하였고 그라파나를 이용해서 시각화 하였습니다. 메인페이지는 과거에는 heimdall을 이용하였다가 지금은 homepage를 이용중입니다. 각종 위젯을 설치 할 수있어 애용중입니다.
- glances는 우분투서버의 모니터링 도구이며 dozzle은 로그관리 프로그램, goaccess는 사이트 접속 모니터링 도구입니다. 사실상 저혼자 사용하는 서버라 의미는 없습니다.
- 오라클 오사카 리전에 프리티어 서버를 만들어서 주로 와이어가드 VPN으로 사용하고있습니다. 200G 공간이 남게되어 간단한 외부 저장소로 사용중입니다.
- 파일관리 프로그램은 filerun을 이용중입니다. 압도적인 속도와 편의성으로 사실상 헤놀로지를 버리게 만든 1등공신입니다. 그전에는 비슷한 퍼포먼스와 더 단순한 구성을 가진 filebrowser를 사용했었지만 대용량 파일을 업로드 할 때 cloudflare의 100mb 업로드 제한을 피하기위한 분할업로드 방식을 지원하지 않아서 안쓰게 되었습니다.
- gokapi를 이용해 외부에 간단하게 파일 공유를 할때 사용하고있습니다. filerun과 기능중복이지만 더 단순한 공유과정을 제공합니다.
- snapdrop은 속도가 느린 관계로 작은파일이나 텍스트등을 공유할때 사용합니다.
- zerotier를 사용해서 오라클과 홈서버, 아이패드 기타 모바일 장치들을 동일 아이피대역으로 묶어서 내부망으로 사용합니다. 오라클 원격서버에 불필요한 포트개방을 줄일 수 있어서 편리한것 같습니다.
- 도커설정을 하기위해 매번 터미널 열고 접속하는게 귀찮아 코드서버를 설치해 yml파일 및 도커들 환경설정을 해주고 있습니다.
- wetty는 SSH포트개방 없이 우분투 서버를 접속하게 해줍니다.
- ghost로 만든 블로그입니다. 사실 외부공개 목적으로 만들던 블로그입니다만 지속적인 업데이트를 할 시간과 열정이 없어서 만들다 만 블로그입니다. 그렇다고 버리긴 아까워 그냥놔두고 있습니다.
- 시놀로지 포토스는 얼굴인식 기능이 신기하기도 하고 사진관리도 편해서 사용중입니다. 기존 i3-6100에서 한세월 걸리던 인식 과정이 G7400에선 매우 빠르게 완료되던 것이 인상적이었습니다.
- whoogle은 구글검색에서 불필요한 광고를 제거해주고 더 단순한 검색결과창을 제공해 줍니다.
- shiori는 북마크 프로그램이며 추가로 아카이브기능이 있습니다. 매우적은 메모리 사용량과 매우빠른 반응속도가 인상적으로 기존에 사용하던 archivebox를 대체해서 사용하게 되었습니다.
- yourls는 웹주소 단축프로그램입니다. 살짝 무거운 단점은 있으나 다양한 플러그인과 통계화면 제공으로 단점을 커버해 주어서 사용중입니다.
- PBS를 이용해 백업을하고 rclone과 시놀로지를 이용해 바이두와 구글클라우드에 2차백업을 해주고있습니다. 기존에는 헤놀로지를 하나 더 이용해서 백업서버를 운용했으나 크게 실익이 없어 보여 시피유업글하면서 제거했습니다.
- 영상 저장 및 재생과 관련해서는 부모님이 좋아하시는 예전 사극 드라마를 minidlna를 이용해 DLNA로 제공하고 있습니다. 과거에는 영화나 드라마들을 저장해서 플렉스로 스트리밍 하기도 했지만 쿠팡과 넷플을 사용하면서 자주 사용하지 않게 되어 이제는 주로 제한적인 영상 재생용으로 활용하고 있습니다.
- stash는 바로 위의 제한적인 용도로 사용하는 어플입니다. 플렉스 같은 방대한 규모의 영상 정보는 표시되지 않지만 스크래퍼를 통해 수동으로 나름 이쁘게 정리할 수 있습니다. 기능적 측면에서 영상에 마우스를 올리면 미리보기 영상이 제공되며 다이렉트 플레이와 여러 형식으로 변환된 동영상을 감상할 수 있습니다. 720, 480으로 트랜스코딩 되는 것 같은데 자세히는 모르겠습니다.
- 한 화면에서 여러 동영상의 미리보기가 동시에 재생되는 것을 보면 뭔가 웅장해 보이기도 합니다.
- 그러나 실용적 측면에서 webdav로 nplayer를 이용하는게 편하기에 그냥 자기만족용이라 보시면 될 듯 합니다.
마치며
서버를 구축하면서 막히는 부분이 나올때마다 구글 검색을 해보면 대부분 서버포럼의 자료들이 검색되었습니다.
항상 정보를 얻기만 하다가 이번 이벤트에 참가 할겸 글을 올렸습니다.
사실 이렇게 만든 서버로 별로 하는일은 없습니다. 그저 만들고 문제를 해결해 가는 과정이 즐거웠던 것 같습니다.
끝으로 홈서버 관련 자주 살펴보는 사이트 몇개 링크해 드리고 글을 마치겠습니다.
봐주셔서 감사해요~
1등
초보나스 2023.02.02. 00:38
와우 멋지시네요
2등
DarkAcid 2023.02.02. 03:51
이야 멋져요! 혹시 나중에 보안 설정에 관해서 한번 올려주실 수있을까요?!
DarkAcid
zenarmor는 예전에 sensei로 불리던 것으로 이곳을 참고 하시면 좋을것 같습니다.
https://docs.opnsense.org/vendor/sunnyvalley/zenarmor.html
suricata는 달소님의 글과 아래의 사이트에서 도움을 받았습니다.
https://www.google.com/amp/s/it-svr.com/opnsense-ips-enable/amp/
https://homenetworkguy.com/how-to/configure-intrusion-detection-opnsense/
crowdsec은 fail2ban처럼 로그를 읽고 차단여부를 결정하는 프로그램입니다. authelia와 traefik로그를 연결해서 주기적으로 다운로드되는 불량아이피와 비정상접속을 시도하는 아이피를 차단해 줍니다.
아래 사이트에서 자세한 설명과 가이드를 제공해 줍니다.
https://www.smarthomebeginner.com/crowdsec-docker-compose-1-fw-bouncer/
crowdsec자체로는 차단동작은 하지않고 bouncer를 연결해서 각 bouncer에서 차단을 해줍니다. 바운서는 여러가지가 있고 저는 3개를 설치했습니다.
cloudflare bouncer
https://docs.crowdsec.net/docs/bouncers/cloudflare/
단 무료플랜에서는 아이피 차단한도가 10000개라서 crowdsec설정에따라 한도초과로 통과하는 아이피가 발생할 수 있습니다.
traefik bouncer plugin
https://github.com/maxlerebourg/crowdsec-bouncer-traefik-plugin
traefik의 플러그인으로 동작하는 bouncer 입니다.
같은 역할을 해주는 프로그램으로
https://github.com/fbonalair/traefik-crowdsec-bouncer
가 있습니다만 전자는 redis를 사용할수 있고 후자는 몇몇 오류로그를 해결하지 못해서 전자를 사용중 입니다.
opnsense bouncer
위의 2개 바운서는 도메인 네임으로 접근하는 아이피에만 적용되는 단점이 있습니다. opnsense의 플러그인으로 pf를 통해 차단활동을 수행합니다.
https://docs.crowdsec.net/docs/getting_started/install_crowdsec_opnsense/
authelia는 많이들 사용하시는 어플입니다. 단 사용자의 추가 변동을 설정파일에서 하나하나 변경해야 하는 귀찮음이 있어서 시놀로지의 LDAP을 이용하고 있습니다.
https://www.authelia.com/configuration/first-factor/ldap/
oidc를 지원해주는 어플들은 authelia와 연동해서 한번 로그인하면 버튼만 클릭해 주는것만으로 로그인이 가능해 사용중입니다. portainer, grafana, synology, proxmox등에 적용가능합니다.
https://www.authelia.com/configuration/identity-providers/open-id-connect/
https://www.authelia.com/integration/openid-connect/
비전공 문돌이의 얕은 지식이라 따로 글을 올리는건 부담스러워 참고한 사이트들을 적었습니다.
도움이 되면 좋겠습니다.
https://docs.opnsense.org/vendor/sunnyvalley/zenarmor.html
suricata는 달소님의 글과 아래의 사이트에서 도움을 받았습니다.
https://www.google.com/amp/s/it-svr.com/opnsense-ips-enable/amp/
https://homenetworkguy.com/how-to/configure-intrusion-detection-opnsense/
crowdsec은 fail2ban처럼 로그를 읽고 차단여부를 결정하는 프로그램입니다. authelia와 traefik로그를 연결해서 주기적으로 다운로드되는 불량아이피와 비정상접속을 시도하는 아이피를 차단해 줍니다.
아래 사이트에서 자세한 설명과 가이드를 제공해 줍니다.
https://www.smarthomebeginner.com/crowdsec-docker-compose-1-fw-bouncer/
crowdsec자체로는 차단동작은 하지않고 bouncer를 연결해서 각 bouncer에서 차단을 해줍니다. 바운서는 여러가지가 있고 저는 3개를 설치했습니다.
cloudflare bouncer
https://docs.crowdsec.net/docs/bouncers/cloudflare/
단 무료플랜에서는 아이피 차단한도가 10000개라서 crowdsec설정에따라 한도초과로 통과하는 아이피가 발생할 수 있습니다.
traefik bouncer plugin
https://github.com/maxlerebourg/crowdsec-bouncer-traefik-plugin
traefik의 플러그인으로 동작하는 bouncer 입니다.
같은 역할을 해주는 프로그램으로
https://github.com/fbonalair/traefik-crowdsec-bouncer
가 있습니다만 전자는 redis를 사용할수 있고 후자는 몇몇 오류로그를 해결하지 못해서 전자를 사용중 입니다.
opnsense bouncer
위의 2개 바운서는 도메인 네임으로 접근하는 아이피에만 적용되는 단점이 있습니다. opnsense의 플러그인으로 pf를 통해 차단활동을 수행합니다.
https://docs.crowdsec.net/docs/getting_started/install_crowdsec_opnsense/
authelia는 많이들 사용하시는 어플입니다. 단 사용자의 추가 변동을 설정파일에서 하나하나 변경해야 하는 귀찮음이 있어서 시놀로지의 LDAP을 이용하고 있습니다.
https://www.authelia.com/configuration/first-factor/ldap/
oidc를 지원해주는 어플들은 authelia와 연동해서 한번 로그인하면 버튼만 클릭해 주는것만으로 로그인이 가능해 사용중입니다. portainer, grafana, synology, proxmox등에 적용가능합니다.
https://www.authelia.com/configuration/identity-providers/open-id-connect/
https://www.authelia.com/integration/openid-connect/
비전공 문돌이의 얕은 지식이라 따로 글을 올리는건 부담스러워 참고한 사이트들을 적었습니다.
도움이 되면 좋겠습니다.
DarkAcid 2023.02.02. 10:41
미오뜨
너무 자세한 설명 감사합니다!
ExpBox 2023.02.02. 21:56
미오뜨
좋네요. 저도 나중에 참고하겠습니다. 감사합니다.
3등
SNFAIUWQ 2023.02.02. 12:09
이야.... 다 vm 으로 올리신건가요?
SNFAIUWQ
예 lxc도 사용해 봤는데 가볍고 빠른성능은 만족했지만 언프리빌리지 상태로 쓰려다 보니 권한 설정이나 기타 여러부분이 까다로와서 그냥 우분투에 모두 도커로 올려서 사용중입니다.
굿럭 2023.02.02. 15:16
와 여기는 또 별세계네요 ㅎㅎ glance는 HP UX 쓸 때 모니터링 도구였는데 우분투걸로도 있나보네용. 우분투는 잘 안써봐서ㅜㅜ 나중에 참고할께용!
cmt alert
신고
"님의 댓글"
이 댓글을 신고하시겠습니까?
