docker pi hole

• ものみの塔を使用していますか?この Readme の下部にある Watchtower に関する注記を参照してください。

• 2023.01以降、 external.confファイル経由で lighttpd を変更した場合、このファイルは代わりに/etc/lighttpd/conf-enabled/whateverfile.confにマップされる必要があります。

• Docker および libseccomp <2.5 に関する既知の問題により、古いバージョンのlibseccomp2 (Debian/Raspbian Buster または Ubuntu 20.04、および場合によっては CentOS 7 など) を使用するホスト システムで2022.04以降を実行すると問題が発生する可能性があります。

  最初の推奨事項は、ホスト OS をアップグレードすることです。これには、より最新の (修正された) バージョンのlibseccompが含まれます。

  これを絶対に実行できない場合、一部のユーザーは、debian のバックポート経由でlibseccomp2更新したり、Ubuntu のアップデート経由で同様に成功したと報告しています。この回避策はご自身の責任で試すことができます(最新のdocker.io必要になる場合もあります (詳細はこちら))

• 一部のユーザーから、 2022.04以降での--privilegedフラグの使用に関する問題が報告されています。注意: そのモードは使用せず、代わりに許可される上限を (必要に応じて) 明示的に指定してください。

1. docker-compose.yml.example を docker-compose.yml にコピーし、必要に応じて更新します。以下の例を参照してください: Docker-compose の例:

 # More info at https://github.com/pi-hole/docker-pi-hole/ and https://docs.pi-hole.net/
services :
  pihole :
    container_name : pihole
    image : pihole/pihole:latest
    # For DHCP it is recommended to remove these ports and instead add: network_mode: "host"
    ports :
      - " 53:53/tcp "
      - " 53:53/udp "
      - " 67:67/udp " # Only required if you are using Pi-hole as your DHCP server
      - " 80:80/tcp "
    environment :
      TZ : ' America/Chicago '
      # WEBPASSWORD: 'set a secure password here or it will be random'
    # Volumes store your data between container upgrades
    volumes :
      - ' ./etc-pihole:/etc/pihole '
      - ' ./etc-dnsmasq.d:/etc/dnsmasq.d '
    #   https://github.com/pi-hole/docker-pi-hole#note-on-capabilities
    cap_add :
      - NET_ADMIN # Required if you are using Pi-hole as your DHCP server, else not needed
    restart : unless-stopped

2. docker compose up -d実行して pi-hole をビルドして開始します (古いシステムでは構文がdocker-composeになる場合があります)
3. Docker のデフォルトのbridgeネットワーク設定を使用している場合は、Pi-hole Web UI を使用して、DNS 設定インターフェイスのリスニング動作を「すべてのインターフェイスでリッスンし、すべてのオリジンを許可する」に変更します。 (これは、環境変数DNSMASQ_LISTENING allに設定することによっても実現できます)

以下は同等の docker run スクリプトです。

Pi-hole 機能を備えた軽量の x86 および ARM コンテナーを作成する Docker プロジェクト。

1. これらのリンクを使用して、x86-64 システムまたは ARMv7 システム用の Docker をインストールします。 Docker-compose も推奨されます。
2. 上記のクイック スタートの例を使用し、必要に応じてカスタマイズします。
3. 楽しむ！

このコンテナは、ポート 53 とポート 80 の 2 つの一般的なポートを使用するため、既存のアプリケーションのポートと競合する可能性があります。ポート 53/80 を使用する他のサービスや Docker コンテナがない場合 (ある場合は、以下のリバース プロキシの例を読み続けてください)、このコンテナを実行するために必要な最小限の引数はスクリプト docker_run.sh にあります。

SELinux Enforcing ポリシーを備えた Red Hat ベースのディストリビューションを使用している場合は、次のようにボリュームの行に:zを追加します。

    -v "$(pwd)/etc-pihole:/etc/pihole:z" 
    -v "$(pwd)/etc-dnsmasq.d:/etc/dnsmasq.d:z" 

イメージを更新するためにコンテナーを再作成してもデータを保持するには、ボリュームを使用することをお勧めします。 IP ルックアップ変数はすべての人に機能するとは限りません。値を確認し、必要に応じて IP と IPv6 をハードコードしてください。

docker_run.shの呼び出し時にPIHOLE_BASE環境変数を設定することで、永続データの保存場所をカスタマイズできます (例: PIHOLE_BASE=/opt/pihole-storage ./docker_run.sh )。 PIHOLE_BASEが設定されていない場合、スクリプトを呼び出すと、ファイルは現在のディレクトリに保存されます。

広告リストの自動更新- 3.0 以降のリリースでは、 cronがコンテナに組み込まれ、リストの最新バージョンを取得してログをフラッシュします。 TZ 環境変数を設定して、午前 0 時のログ ローテーションがタイムゾーンの午前 0 時と同期するようにします。

Docker Pi-hole コンテナー内から DHCP を実行するには複数の異なる方法がありますが、それは少し高度であり、1 つの方法ですべてに適合するわけではありません。 DHCP と Docker の複数のネットワーク モードについては、ドキュメント サイト「Docker DHCP とネットワーク モード」で詳しく説明されています。

Docker コンテナー内でさまざまなことをカスタマイズしたい場合は、他の環境変数もあります。

これらはまだ機能する可能性がありますが、将来のバージョンでは削除される可能性があります。該当する場合は、代替変数名が示されています。代替変数の使用法については、上の表を確認してください。

これらの環境変数を docker run 形式で使用するには、次のような形式にします: -e DNS1=1.1.1.1

docker-compose / docker run のその他の引数の概要を次に示します。

• 正常に動作していることをテストする良い方法は、このページをロードすることです: http://pi.hole/admin/
• Web インターフェースのパスワードを設定またはリセットするにはどうすればよいですか?
  • docker exec -it pihole_container_name pihole -a -p - プロンプトにパスワードを入力します
• ポートの競合?サーバーの既存の DNS / Web サービスを停止します。
  • 再起動後にサービスが再び自動起動しないように忘れずに停止してください
  • Ubuntu ユーザーの場合は、詳細については以下を参照してください。
• デフォルトのブロッキング モードを使用している場合は、 -p 8080:80のように Docker のポート転送を使用して、他のポートを Pi ホール ポート 80 にマップできます。レガシー IP ブロッキング モードを使用している場合は、このポートを再マップしないでください。
  • これは、ポート 80 で nginxproxy/nginx-proxy (Docker 用の nginx 自動構成 Docker リバース プロキシ) を使用し、別のポートで Pi-hole を実行する例です。 Pi ホールは nginxproxy/nginx-proxy のDEFAULT_HOST環境である必要があり、Pi ホールのコンテナーに一致するVIRTUAL_HOST設定する必要があります。問題が発生した場合は、nginxproxy/nginx-proxy readme を読んで詳細を確認してください。
• Docker のデフォルトのネットワーク モードbridgeコンテナをホストのネットワークから分離します。これはより安全な設定ですが、インターフェイス リスニング動作の Pi-hole DNS オプションを「すべてのインターフェイスでリッスンし、すべての発信元を許可する」に設定する必要があります。

Ubuntu (17.10 以降) および Fedora (33 以降) の最新リリースには、キャッシュ DNS スタブリゾルバーを実装するようにデフォルトで構成されたsystemd-resolvedが含まれています。これにより、pi-hole がポート 53 でリッスンできなくなります。スタブ リゾルバーはsudo sed -r -i.orig 's/#?DNSStubListener=yes/DNSStubListener=no/g' /etc/systemd/resolved.conf

これによりネームサーバー設定は変更されず、ネームサーバー設定はスタブリゾルバーを指すため、DNS 解決が妨げられます。 /etc/resolv.confシンボリックリンクを/run/systemd/resolve/resolv.confを指すように変更します。これはシステムのnetplanに従って自動的に更新されます: sudo sh -c 'rm /etc/resolv.conf && ln -s /run/systemd/resolve/resolv.conf /etc/resolv.conf'これらの変更を行った後、 systemctl restart systemd-resolvedを使用して systemd-resolved を再起動する必要があります。 systemctl restart systemd-resolved

pi-hole がインストールされたら、それを使用するようにクライアントを構成する必要があります (ここを参照)。上記のシンボリックリンクを使用した場合、Docker ホストは DHCP によって提供されるもの、または構成した静的設定を使用します。 Docker ホストのネームサーバーを明示的に設定したい場合は、 /etc/netplanにあるネットプランを編集し、 sudo netplan applyを実行します。ネットプランの例:

 network :
    ethernets :
        ens160 :
            dhcp4 : true
            dhcp4-overrides :
                use-dns : false
            nameservers :
                addresses : [127.0.0.1]
    version : 2

systemd-resolved完全に無効にすることも可能であることに注意してください。ただし、これにより、VPN での名前解決で問題が発生する可能性があります (バグ レポートを参照)。また、 systemd-resolved がデフォルトのレンダラーとして使用されるため、 netplan の機能も無効になります ( man netplanを参照)。サービスを無効にすることを選択した場合は、新しい/etc/resolv.confを作成するなどして、ネームサーバーを手動で設定する必要があります。

古い Ubuntu リリース (17.04 頃) のユーザーは、dnsmasq を無効にする必要があります。

@Rikk000 は、ユーザーが Dokku に Pi-hole をインストールするのを支援するガイドを作成しました。

主要な Docker タグについては、次の表で説明します。タグの完全なリストを表示するには、ここをクリックしてください。リリースに含まれる Pi-hole Core、Web、および FTL の特定のバージョンを確認するには、GitHub リリース ノートを参照してください。

日付ベース (増分された「パッチ」バージョンを含む) は、いかなる種類のセマンティック バージョン番号にも関係せず、日付は新しいバージョンと古いバージョンを区別するために使用されるだけであり、それ以上のものではありません。リリース ノートには、コア Pi-hole コンポーネントへの変更を含む、コンテナ内の変更の完全な詳細が常に含まれます。

標準の Pi-hole カスタマイズ機能はこの Docker に適用されますが、Docker ボリューム マウントを使用してホストに保存されたファイル構成をコンテナーのデフォルトにマッピングするなど、Docker に工夫が加えられています。ただし、これらの構成ファイルを読み取り専用としてマウントすることは避けてください。ボリュームは、典型的な Docker アップグレード パターンである Pi-hole コンテナーを削除した場合に構成を永続化するためにも重要です。

アップグレード ( pihole -up ) または再構成 ( pihole -r ) を試みないでください。新しいイメージはアップグレード用にリリースされます。古いコンテナーを新しいアップグレードされたイメージに置き換えてアップグレードするのが「Docker 方法」です。寿命の長い Docker コンテナは、移植可能で再現可能であることを目的としているため、Docker のやり方ではありません。頻繁に再作成してはいかがでしょうか。それができることを証明するためだけに。

0. この Docker リリースと Pi-hole リリースの両方のリリース ノートをお読みください
   • これは、アップグレードに関する既知の問題や、新たに必要な引数や変数による一般的な問題を回避するのに役立ちます。
   • この Readme の先頭にも共通のブレーク/修正を記載するよう努めます。
1. 最新バージョンのイメージをダウンロードします: docker pull pihole/pihole
2. コンテナを破棄します: docker rm -f pihole
   • 警告pihole コンテナを削除する場合、ステップ 3 まで DNS なしでスタックする可能性があります。 DNS の中断を避けるためにdocker rm -f の前にdocker pull を実行するか、この問題を完全に回避するために常に DHCP でフォールバック DNS サーバーを構成してください。
   • データ (ログ/カスタマイズ) が気になる場合は、ボリューム マップされていることを確認してください。そうでない場合は、この手順で削除されます。
3. 新しい基本イメージでコンテナーを起動します: docker run <args> pihole/pihole ( <args>は優先実行ボリュームと環境変数です)

なぜこのスタイルのアップグレードが良いのでしょうか?理由はいくつかあります。誰もが、動作することがテスト済みである同じベース イメージから開始しています。更新をロールアウトするときに、A から B、B から C、または A から C へのアップグレードを心配する必要はありません。複雑さが軽減され、ボリュームのカスタマイズを維持しながら、毎回「新たに開始」することが可能になります。基本的に、私はコンテナーに対してフェニックスサーバーの原則を推奨しています。

Pi-hole を再構成するには、既存のコンテナ環境変数を使用するか、必要な変数がない場合は Web UI または CLI コマンドを使用する必要があります。

ここでは、Pi-hole のドキュメントからの関連する Wiki ページをいくつか紹介します。 Web インターフェイスまたはコマンド ライン ツールを使用して、pihole への変更を実装できます。

すべての pihole ユーティリティをインストールすると、組み込みの pihole コマンドが次のようにdocker exec <container> <command>経由で機能するようになります。

• docker exec pihole_container_name pihole updateGravity
• docker exec pihole_container_name pihole -w spclient.wg.spotify.com
• docker exec pihole_container_name pihole -wild example.com

コンテナ内の Web サーバーと DNS サービスは、必要に応じてカスタマイズできます。 /etc/dnsmasq.d/にボリュームマウントした構成ファイルは、コンテナーの起動時または再起動時に、または/etc/dnsmasq.d/01-pihole.confにある Pi ホール構成を変更する必要がある場合に、dnsmasq によってロードされます。 /etc/dnsmasq.d/01-pihole.conf 。 docker 開始スクリプトは開始前に構成テストを実行するため、docker ログ内のエラーが通知されます。

ウェブサーバーについても同様に、/etc/lighttpd で構成をカスタマイズできます。

Docker システム サービスが起動時に自動で開始され、 --restart=unless-stoppedを指定してコンテナを実行している限り、コンテナは常に起動時に起動し、クラッシュ時に再起動する必要があります。代わりに Docker コンテナを systemd サービスとして実行したい場合は、ファイル pihole.service を「/etc/systemd/system」に追加します。コンテナー名をカスタマイズし、Docker の実行から--restart=unless-stoppedを削除します。上記の docker run コマンドを使用して docker コンテナを最初に作成した後、( docker start / docker stopの代わりに) "systemctl start pihole" または "systemctl stop pihole" を使用してコンテナを制御できます。 「systemctl Enable pihole」を使用して、起動時に自動起動するように有効にすることもできます ( --restart=unless-stopped使用して起動時に Docker サービスが自動起動するようにするのとは対照的です)。

注: 最初の実行後、systemctl がコンテナーの制御を開始する前に、「docker stop pihole」を使用して Docker コンテナーを手動で停止する必要がある場合があります。

DNSMasq / FTLDNS は、次の機能を利用できることを期待しています。

• CAP_NET_BIND_SERVICE : 1024 未満の TCP/UDP ソケット (特にポート 53 の DNS サービス) への FTLDNS バインディングを許可します。
• CAP_NET_RAW : raw ソケットとパケット ソケットを使用します (DHCPv6 リクエストを処理し、IP をリースする前に使用されていないことを確認するために必要です)
• CAP_NET_ADMIN : ルーティング テーブルおよびその他のネットワーク関連操作を変更します (特に、ユニキャスト パケットを使用して DHCP 要求に応答するために近隣テーブルにエントリを挿入します)。
• CAP_SYS_NICE : FTL が自身を重要なプロセスとして設定し、後者の処理時間が不足している場合に処理時間をさらに確保します。
• CAP_CHOWN : FTL がpiholeとは異なるユーザーとして開始された場合に備えて、ログ ファイルとデータベースの所有権を変更できる必要があります。

このイメージは、非 root として実行されている場合でも、これらの機能が利用可能な場合は FTLDNS プロセスに自動的に付与します。
デフォルトでは、docker には非特権コンテナーのNET_ADMIN機能が含まれていないため、 --cap-add=NET_ADMIN使用してコンテナーに明示的に追加することをお勧めします。
ただし、DHCP および IPv6 ルーター アドバタイズメントが使用されていない場合は、スキップしても安全です。最も偏執的な人にとっては、FTLDNS が自動的にNET_RAW機能を明示的に削除できるはずです。

多くの人が Watchtower を使用して Pi-hole コンテナーを最新の状態に維持していることに気づきました。同じ理由で、ベア メタル インストールには自動更新機能が提供されていないため、システムに Pi-hole コンテナーを自動的に更新させるべきではありません。特に無人。何も問題が起こらないように努めていますが、場合によっては問題が発生することもあります。そのため、実行するコンテナーのバージョンを手動で取得して更新する時間を確保する必要があります。アップグレード プロセスは次のように行う必要があります。

• 重要: リリースノートをお読みください。場合によっては、画像を更新するだけでなく変更を加える必要がある場合があります。
• 新しいイメージをプルします
• 実行中のPi-holeコンテナを停止して削除します
  • データ (ログ/カスタマイズ) が気になる場合は、ボリューム マップされていることを確認してください。そうでない場合は、この手順で削除されます。
• 新しいイメージを使用してコンテナを再作成します

Pi-hole はネットワークの不可欠な部分です。真夜中に無人の更新が原因で Pi-hole がダウンしないようにしてください。

Docker 関連の疑いがある場合は、GitHub プロジェクトの問題を報告してください。 Pi ホールまたは Docker に関する一般的な質問については、ユーザー フォーラムで最もよく回答されます。