docker pi hole

• 망루를 사용하시나요? 이 읽어보기 하단에 있는 망루에 관한 참고 사항을 참조하세요.

• 2023.01 부터 external.conf 파일을 통해 lighttpd에 대한 수정 사항이 있는 경우 이제 이 파일을 대신 /etc/lighttpd/conf-enabled/whateverfile.conf 에 매핑해야 합니다.

• Docker 및 libseccomp <2.5의 알려진 문제로 인해 이전 버전의 libseccomp2 (예: Debian/Raspbian Buster 또는 Ubuntu 20.04 및 CentOS 7)가 있는 호스트 시스템에서 2022.04 이상을 실행하는 데 문제가 발생할 수 있습니다.

  첫 번째 권장 사항은 libseccomp 의 최신(및 수정된) 버전을 포함하는 호스트 OS를 업그레이드하는 것입니다.

  절대 이 작업을 수행할 수 없는 경우 일부 사용자는 debian의 백포트를 통해 libseccomp2 업데이트하거나 Ubuntu의 업데이트를 통해 유사한 업데이트에 성공했다고 보고했습니다. 이 해결 방법을 직접 시도해 볼 수 있습니다 (참고: 최신 docker.io 필요할 수도 있습니다(자세한 내용은 여기 참조).

• 일부 사용자는 2022.04 이상에서 --privileged 플래그 사용과 관련된 문제를 보고했습니다. TL;DR, 해당 모드를 사용하지 말고 대신 허용되는 대문자(필요한 경우)를 명시적으로 지정하세요.

1. docker-compose.yml.example을 docker-compose.yml에 복사하고 필요에 따라 업데이트하세요. 아래 예를 참조하세요. Docker-compose 예:

 # More info at https://github.com/pi-hole/docker-pi-hole/ and https://docs.pi-hole.net/
services :
  pihole :
    container_name : pihole
    image : pihole/pihole:latest
    # For DHCP it is recommended to remove these ports and instead add: network_mode: "host"
    ports :
      - " 53:53/tcp "
      - " 53:53/udp "
      - " 67:67/udp " # Only required if you are using Pi-hole as your DHCP server
      - " 80:80/tcp "
    environment :
      TZ : ' America/Chicago '
      # WEBPASSWORD: 'set a secure password here or it will be random'
    # Volumes store your data between container upgrades
    volumes :
      - ' ./etc-pihole:/etc/pihole '
      - ' ./etc-dnsmasq.d:/etc/dnsmasq.d '
    #   https://github.com/pi-hole/docker-pi-hole#note-on-capabilities
    cap_add :
      - NET_ADMIN # Required if you are using Pi-hole as your DHCP server, else not needed
    restart : unless-stopped

2. docker compose up -d 실행하여 pi-hole을 빌드하고 시작합니다(이전 시스템에서는 구문이 docker-compose 일 수 있음).
3. Docker의 기본 bridge 네트워크 설정을 사용하는 경우 Pi-hole 웹 UI를 사용하여 DNS 설정 인터페이스 수신 동작을 "모든 인터페이스에서 수신하고 모든 원본 허용"으로 변경합니다. (이는 환경 변수 DNSMASQ_LISTENING all 로 설정하여 달성할 수도 있습니다)

다음은 동등한 docker 실행 스크립트입니다.

Pi-hole 기능을 갖춘 경량 x86 및 ARM 컨테이너를 만드는 Docker 프로젝트입니다.

1. 해당 링크를 사용하여 x86-64 시스템 또는 ARMv7 시스템용 Docker를 설치하십시오. Docker-compose도 권장됩니다.
2. 위의 빠른 시작 예를 사용하고 원하는 경우 사용자 정의하세요.
3. 즐기다!

이 컨테이너는 2개의 인기 있는 포트인 포트 53과 포트 80을 사용하므로 기존 애플리케이션 포트와 충돌할 수 있습니다 . 포트 53/80을 사용하는 다른 서비스나 Docker 컨테이너가 없는 경우(있는 경우 역방향 프록시 예를 보려면 아래를 계속 읽으십시오) 이 컨테이너를 실행하는 데 필요한 최소 인수는 docker_run.sh 스크립트에 있습니다.

SELinux 시행 정책과 함께 Red Hat 기반 배포판을 사용하는 경우 다음과 같이 볼륨 줄에 :z 추가하세요.

    -v "$(pwd)/etc-pihole:/etc/pihole:z" 
    -v "$(pwd)/etc-dnsmasq.d:/etc/dnsmasq.d:z" 

이미지 업데이트를 위해 컨테이너를 다시 생성할 때 데이터를 유지하려면 볼륨을 사용하는 것이 좋습니다. IP 조회 변수는 모든 사람에게 작동하지 않을 수 있습니다. 해당 값을 검토하고 필요한 경우 IP 및 IPv6를 하드 코딩하십시오.

docker_run.sh 호출할 때 PIHOLE_BASE 환경 변수를 설정하여 영구 데이터를 저장할 위치를 사용자 정의할 수 있습니다(예: PIHOLE_BASE=/opt/pihole-storage ./docker_run.sh ). PIHOLE_BASE 설정되지 않은 경우 스크립트를 호출하면 파일이 현재 디렉터리에 저장됩니다.

자동 광고 목록 업데이트 - 3.0 이상 릴리스부터 cron 이 컨테이너에 내장되어 목록의 최신 버전을 가져와 로그를 플러시합니다. 자정 로그 회전이 해당 시간대의 자정과 동기화되도록 TZ 환경 변수를 설정하십시오 .

Docker Pi-hole 컨테이너 내에서 DHCP를 실행하는 방법은 여러 가지가 있지만 이는 약간 더 발전된 방식이며 하나의 크기가 모든 것에 적합하지는 않습니다. DHCP 및 Docker의 다중 네트워크 모드는 당사 문서 사이트인 Docker DHCP 및 네트워크 모드에서 자세히 다룹니다.

Docker 컨테이너 내부의 다양한 항목을 사용자 정의하려는 경우 다른 환경 변수가 있습니다.

이러한 기능은 여전히 ​​작동할 수 있지만 향후 버전에서는 제거될 가능성이 높습니다. 해당되는 경우 대체 변수 이름이 표시됩니다. 대체 변수의 사용법은 위의 표를 검토하세요.

docker 실행 형식 스타일에서 이러한 환경 변수를 사용하려면 다음과 같이 하십시오: -e DNS1=1.1.1.1

다음은 docker-compose/docker 실행에 대한 다른 인수에 대한 요약입니다.

• 제대로 작동하는지 테스트하는 좋은 방법은 http://pi.hole/admin/ 페이지를 로드하는 것입니다.
• 웹 인터페이스 비밀번호를 어떻게 설정하거나 재설정합니까?
  • docker exec -it pihole_container_name pihole -a -p - 프롬프트에 비밀번호를 입력하세요.
• 포트 충돌? 서버의 기존 DNS/웹 서비스를 중지합니다.
  • 재부팅 후 서비스가 다시 자동 시작되지 않도록 중지하는 것을 잊지 마세요.
  • Ubuntu 사용자는 아래에서 자세한 내용을 확인하세요.
• 기본 차단 모드를 사용하는 경우 -p 8080:80 과 같은 docker의 포트 전달을 사용하여 다른 포트를 Pi-hole 포트 80에 매핑할 수 있습니다. 레거시 IP 차단 모드를 사용하는 경우 이 포트를 다시 매핑하면 안 됩니다.
  • 다음은 다른 포트에 Pi-hole이 있는 내 포트 80에서 nginxproxy/nginx-proxy(docker용 nginx 자동 구성 docker 역방향 프록시)를 사용하여 실행하는 예입니다. Pi-hole은 nginxproxy/nginx-proxy에서 DEFAULT_HOST 환경이어야 하며 Pi-hole 컨테이너에 대해 일치하는 VIRTUAL_HOST 를 설정해야 합니다. 문제가 있는 경우 자세한 내용은 nginxproxy/nginx-proxy 추가 정보를 읽어보세요.
• Docker의 기본 네트워크 모드 bridge 호스트 네트워크에서 컨테이너를 격리합니다. 이는 보다 안전한 설정이지만 인터페이스 수신 동작 에 대한 Pi-hole DNS 옵션을 "모든 인터페이스에서 수신하고 모든 출처 허용"으로 설정해야 합니다.

Ubuntu(17.10+) 및 Fedora(33+)의 최신 릴리스에는 기본적으로 캐싱 DNS 스텁 확인자를 구현하도록 구성된 systemd-resolved 가 포함되어 있습니다. 이렇게 하면 pi-hole이 포트 53에서 수신 대기하는 것을 방지할 수 있습니다. 스텁 확인자는 sudo sed -r -i.orig 's/#?DNSStubListener=yes/DNSStubListener=no/g' /etc/systemd/resolved.conf

이는 스텁 확인자를 가리키는 네임서버 설정을 변경하지 않으므로 DNS 확인을 방지합니다. /etc/resolv.conf 심볼릭 링크를 /run/systemd/resolve/resolv.conf 가리키도록 변경합니다. 이는 시스템의 netplan 따르도록 자동으로 업데이트됩니다. sudo sh -c 'rm /etc/resolv.conf && ln -s /run/systemd/resolve/resolv.conf /etc/resolv.conf' 이렇게 변경한 후에는 systemctl restart systemd-resolved 사용하여 systemd-resolved를 다시 시작해야 합니다.

pi-hole이 설치되면 이를 사용하도록 클라이언트를 구성해야 합니다(여기 참조). 위의 심볼릭 링크를 사용한 경우 Docker 호스트는 DHCP에서 제공하는 모든 항목이나 구성한 정적 설정을 사용합니다. Docker 호스트의 네임서버를 명시적으로 설정하려면 /etc/netplan 에 있는 netplan을 편집한 다음 sudo netplan apply 실행하세요. 예시 넷플랜:

 network :
    ethernets :
        ens160 :
            dhcp4 : true
            dhcp4-overrides :
                use-dns : false
            nameservers :
                addresses : [127.0.0.1]
    version : 2

systemd-resolved 완전히 비활성화하는 것도 가능합니다. 그러나 이로 인해 VPN의 이름 확인에 문제가 발생할 수 있습니다(버그 보고서 참조). 또한 systemd-resolved가 기본 렌더러로 사용되므로 netplan의 기능도 비활성화됩니다( man netplan 참조). 서비스를 비활성화하기로 선택한 경우, 예를 들어 새 /etc/resolv.conf 생성하여 네임서버를 수동으로 설정해야 합니다.

이전 Ubuntu 릴리스(약 17.04) 사용자는 dnsmasq를 비활성화해야 합니다.

@Rikj000님이 Dokku에 Pi-hole을 설치하는 사용자를 돕기 위한 가이드를 제작했습니다.

기본 Docker 태그는 다음 표에 설명되어 있습니다. 전체 태그 목록을 보려면 여기를 클릭하세요. 릴리스에 포함된 Pi-hole Core, 웹 및 FTL의 특정 버전을 보려면 GitHub 릴리스 노트를 참조하세요.

날짜 기반(증분된 "패치" 버전 포함)은 어떤 종류의 의미론적 버전 번호와도 관련이 없으며 오히려 날짜는 새 버전과 이전 버전을 구별하는 데 사용됩니다. 릴리스 노트에는 핵심 Pi-hole 구성 요소에 대한 변경 사항을 포함하여 컨테이너 변경 사항에 대한 전체 세부 정보가 항상 포함됩니다.

표준 Pi-hole 사용자 정의 기능은 이 도커에 적용되지만 도커 볼륨 마운트를 사용하여 컨테이너 기본값에 호스트 저장 파일 구성을 매핑하는 등의 도커 변형이 있습니다. 그러나 이러한 구성 파일을 읽기 전용으로 마운트하는 것은 피해야 합니다. 일반적인 Docker 업그레이드 패턴인 Pi-hole 컨테이너를 제거한 경우 구성을 유지하기 위해 볼륨도 중요합니다.

업그레이드( pihole -up ) 또는 재구성( pihole -r )을 시도하지 마십시오. 업그레이드를 위해 새 이미지가 출시됩니다. 기존 컨테이너를 새로 업그레이드된 이미지로 교체하여 업그레이드하는 것이 'Docker 방식'입니다. 오래 지속되는 도커 컨테이너는 이식성과 재현성을 목표로 하기 때문에 도커 방식이 아닙니다. 자주 다시 만드는 것은 어떨까요? 당신이 할 수 있다는 것을 증명하기 위해서입니다.

0. 이 Docker 릴리스와 Pi-hole 릴리스에 대한 릴리스 노트를 읽어보세요.
   • 이렇게 하면 업그레이드 또는 새로 필요한 인수 또는 변수와 관련된 알려진 문제로 인한 일반적인 문제를 방지하는 데 도움이 됩니다.
   • 우리는 이 Readme의 상단에도 일반적인 중단/수정 사항을 넣으려고 노력할 것입니다.
1. 이미지의 최신 버전을 다운로드하세요: docker pull pihole/pihole
2. 컨테이너를 버리세요: docker rm -f pihole
   • 경고 파이홀 컨테이너를 제거할 때 3단계까지 DNS 없이 정체될 수 있습니다. DNS 중단을 방지하려면 docker rm -f 전에 docker pull을 실행 하거나 이 문제를 완전히 방지하려면 항상 DHCP에 폴백 DNS 서버를 구성하세요.
   • 데이터(로그/사용자 지정)에 관심이 있는 경우 볼륨 매핑이 있는지 확인하세요. 그렇지 않으면 이 단계에서 삭제됩니다.
3. 최신 기본 이미지로 컨테이너를 시작합니다. docker run <args> pihole/pihole ( <args> 기본 실행 볼륨 및 환경 변수임)

이런 업그레이드 스타일이 왜 좋은가요? 몇 가지 이유: 모든 사람이 테스트를 거쳐 작동하는 것으로 알려진 동일한 기본 이미지에서 시작합니다. 업데이트를 롤아웃할 때 A에서 B로, B에서 C로, A에서 C로 업그레이드하는 것에 대해 걱정할 필요가 없습니다. 이를 통해 복잡성이 줄어들고 볼륨에 대한 사용자 정의를 유지하면서 매번 '새로 시작'할 수 있습니다. 기본적으로 저는 귀하의 컨테이너에 대해 Phoenix 서버 원칙을 권장합니다.

Pi-hole을 재구성하려면 기존 컨테이너 환경 변수를 사용해야 하며, 필요한 변수가 없는 경우 웹 UI 또는 CLI 명령을 사용하십시오.

다음은 Pi-hole 문서의 관련 위키 페이지입니다. 웹 인터페이스 또는 명령줄 도구를 사용하여 pihole에 대한 변경 사항을 구현할 수 있습니다.

내장된 pihole 명령이 다음과 같이 docker exec <container> <command> 통해 작동하도록 모든 pihole 유틸리티를 설치합니다.

• docker exec pihole_container_name pihole updateGravity
• docker exec pihole_container_name pihole -w spclient.wg.spotify.com
• docker exec pihole_container_name pihole -wild example.com

필요한 경우 컨테이너 내부의 웹서버와 DNS 서비스를 맞춤 설정할 수 있습니다. /etc/dnsmasq.d/ 에 볼륨 마운트하는 모든 구성 파일은 컨테이너가 시작되거나 다시 시작될 때 dnsmasq에 의해 로드되거나 Pi-hole 구성을 수정해야 하는 경우 /etc/dnsmasq.d/01-pihole.conf 에 있습니다. /etc/dnsmasq.d/01-pihole.conf . docker 시작 스크립트는 시작하기 전에 구성 테스트를 실행하므로 docker 로그의 오류에 대해 알려줍니다.

마찬가지로 웹서버의 경우 /etc/lighthttpd에서 구성을 사용자 정의할 수 있습니다.

부팅 시 docker 시스템 서비스가 자동으로 시작되고 --restart=unless-stopped 사용하여 컨테이너를 실행하는 한 컨테이너는 항상 부팅 시 시작되고 충돌 시 다시 시작되어야 합니다. 대신 Docker 컨테이너를 systemd 서비스로 실행하려면 pihole.service 파일을 "/etc/systemd/system"에 추가하세요. 컨테이너 이름이 무엇이든 사용자 정의하고 docker 실행에서 --restart=unless-stopped 제거하세요. 그런 다음 위의 docker run 명령을 사용하여 처음으로 docker 컨테이너를 생성한 후 "systemctl start pihole" 또는 "systemctl stop pihole"( docker start / docker stop 대신)을 사용하여 이를 제어할 수 있습니다. "systemctl 활성화 pihole"을 사용하여 부팅 시 자동 시작되도록 활성화할 수도 있습니다( --restart=unless-stopped 및 부팅 시 docker 서비스 자동 시작을 확인하는 것과 반대).

참고: 초기 실행 후 systemctl이 컨테이너 제어를 시작하기 전에 "docker stop pihole"을 사용하여 docker 컨테이너를 수동으로 중지해야 할 수도 있습니다.

DNSMasq/FTLDNS는 다음과 같은 기능을 사용할 수 있을 것으로 예상합니다.

• CAP_NET_BIND_SERVICE : 1024 미만의 TCP/UDP 소켓에 대한 FTLDNS 바인딩을 허용합니다(특히 포트 53의 DNS 서비스).
• CAP_NET_RAW : 원시 및 패킷 소켓 사용(DHCPv6 요청을 처리하고 IP를 임대하기 전에 사용 중이 아닌지 확인하는 데 필요함)
• CAP_NET_ADMIN : 라우팅 테이블 및 기타 네트워크 관련 작업 수정(특히 유니캐스트 패킷을 사용하여 DHCP 요청에 응답하기 위해 인접 테이블에 항목 삽입)
• CAP_SYS_NICE : FTL은 처리 시간이 부족한 경우 처리 시간을 더 확보하기 위해 자신을 중요한 프로세스로 설정합니다.
• CAP_CHOWN : FTL이 pihole 과 다른 사용자로 시작된 경우 로그 파일 및 데이터베이스의 소유권을 변경할 수 있어야 합니다.

이 이미지는 루트가 아닌 사용자로 실행되는 경우에도 해당 기능(사용 가능한 경우)을 FTLDNS 프로세스에 자동으로 부여합니다.
기본적으로 docker에는 권한이 없는 컨테이너에 대한 NET_ADMIN 기능이 포함되어 있지 않으며 --cap-add=NET_ADMIN 사용하여 명시적으로 컨테이너에 추가하는 것이 좋습니다.
그러나 DHCP 및 IPv6 라우터 광고를 사용하지 않는 경우 건너뛰어도 안전합니다. 대부분의 편집증 환자의 경우 FTLDNS가 자동으로 해당 기능을 얻지 못하도록 NET_RAW 기능을 명시적으로 삭제하는 것도 가능해야 합니다.

우리는 많은 사람들이 Pi-hole 컨테이너를 최신 상태로 유지하기 위해 Watchtower를 사용한다는 것을 알았습니다. 같은 이유로 베어 메탈 설치 시 자동 업데이트 기능을 제공하지 않으므로 시스템이 Pi-hole 컨테이너를 자동으로 업데이트하도록 해서는 안 됩니다 . 특히 무인. 문제가 발생하지 않도록 최선을 다하는 만큼 때로는 문제가 발생할 수 있으므로 실행하려는 컨테이너 버전을 수동으로 가져와서 업데이트할 시간을 확보해야 합니다. 업그레이드 프로세스는 다음과 같이 진행되어야 합니다.

• 중요 : 릴리스 노트를 읽어보세요. 때로는 이미지를 업데이트하는 것 외에 변경이 필요한 경우도 있습니다.
• 새 이미지 가져오기
• 작동중인 Pi-hole 용기를 정지 및 제거
  • 데이터(로그/사용자 지정)에 관심이 있는 경우 볼륨 매핑이 있는지 확인하세요. 그렇지 않으면 이 단계에서 삭제됩니다.
• 새 이미지를 사용하여 컨테이너를 다시 만듭니다.

Pi-hole은 네트워크의 필수적인 부분이므로 한밤중에 무인 업데이트로 인해 무너지지 않도록 하십시오.

Docker와 관련된 것으로 의심되는 경우 GitHub 프로젝트에 문제를 보고해 주세요. Pi-hole 또는 일반적인 Docker 질문에 대한 답변은 사용자 포럼에서 가장 잘 답변됩니다.