使用 Watchtower 自动更新 Docker 容器基础镜像

对开发运维人员来说，保持 Docker 容器为最新版本是重要工作之一。手动更新 Docker 容器是一项耗时的工作。这篇文章解释了 Watchtower 是什么，如何安装它，以及在 Linux 中如何 使用 Watchtower 自动更新正在运行的 Docker 容器 。

Watchtower 是什么？

Watchtower 是一款自由开源的应用，用来监控运行中的 Docker 容器，并且当它发现基础镜像被更改后，可以自动的更新容器。

若 Watchtower 发现一个运行中的容器需要更新，它会以发送 SIGTERM 信号的方式，优雅的结束运行中容器的运行。

它会下载新镜像，然后以最初部署时使用的方式，重启容器。所有文件会在后台自动下载，因此不需要用户的介入。

在这份指南中，我们将会明白如何在类 Unix 系统中使用 Watchtower 自动更新正在运行的 Docker 容器。

我已经在 CentOS 和 Ubuntu 中测试了这份指南，所有的 Linux 发行版中操作过程都一样。

在 Linux 中安装 Watchtower

可以通过 Docker 镜像的方式下载 Watchtower 。因此，部署它是小事一桩。在你的 Linux 中安装 Docker 镜像，然后运行 Watchtower 立即开始监控 Docker 容器。

参考下方指导在基于 PRM 和 DEB 包管理系统中安装 Docker

• 如何在 CentOS 中安装 Docker
• 如何在 Ubuntu 中安装 Docker
• 适用于 Linux 的 Docker 桌面初学者手册

安装 Docker 后，你可以使用以下命令以 root 用户身份部署 Watchtower 容器：

# docker run -d --name watchtower -v /var/run/docker.sock:/var/run/docker.sock containrrr/watchtower

如果你已经安装了 Docker 桌面版，以普通用户运行 Watchtower 容器。

$ docker run -d --name watchtower -v /var/run/docker.sock:/var/run/docker.sock containrrr/watchtower

该命令会拉取最新版的 watchtower 镜像，并运行 watchtower 容器。

输出样例：

Unable to find image 'containrrr/watchtower:latest' locally
latest: Pulling from containrrr/watchtower
1045b2f97fda: Pull complete 
35a104a262d3: Pull complete 
1a0671483169: Pull complete 
Digest: sha256:bbf9794a691b59ed2ed3089fec53844f14ada249ee5e372ff0e595b73f4e9ab3
Status: Downloaded newer image for containrrr/watchtower:latest
91c104ef0e9896e8cd5ff30d9f13e728dbfad66443830ec2ac85dde6d7d37564

使用 Watchtower 自动更新 Docker 容器

在你的系统上，Watchtower 正在和其他容器一起运行。你可以使用一下命令查看运行中的 Docker 容器列表：

$ docker ps

输出样例：

CONTAINER ID   IMAGE                       COMMAND                  CREATED          STATUS          PORTS                                         NAMES
91c104ef0e98   containrrr/watchtower       "/watchtower"            14 minutes ago   Up 14 minutes   8080/tcp                                      watchtower
f90b462b0712   bitnami/wordpress-nginx:6   "/opt/bitnami/script…"   19 minutes ago   Up 19 minutes   0.0.0.0:80->8080/tcp, 0.0.0.0:443->8443/tcp   ostechnix-wordpress-1

正如上方输出所示，watchtower 容器正在和名为 ostechnix-wordpress-1 的容器一起运行。从现在开始，watchtower 会每隔几分钟会检查该容器。

如果 Watchtower 发现该容器的基础镜像的任何变化，它会优雅的关闭 ostechnix-wordpress-1 容器，然后使用与最初启动它时使用的相同方式，启动新的镜像。

类似的，它会自动地每隔几分钟检查所有的运行中容器，并自动更新它们。

Watchtower 如何更新多连接的容器？

在监视多连接容器时，Watchtower 十分智能。

假设我们现在运行两个容器。

$ docker ps

输出样例：

CONTAINER ID   IMAGE                       COMMAND                  CREATED          STATUS          PORTS                                         NAMES
91c104ef0e98   containrrr/watchtower       "/watchtower"            14 minutes ago   Up 14 minutes   8080/tcp                                      watchtower
f90b462b0712   bitnami/wordpress-nginx:6   "/opt/bitnami/script…"   19 minutes ago   Up 19 minutes   0.0.0.0:80->8080/tcp, 0.0.0.0:443->8443/tcp   ostechnix-wordpress-1
a895f082438a   bitnami/mariadb:10.6        "/opt/bitnami/script…"   20 minutes ago   Up 19 minutes   3306/tcp                                      ostechnix-mariadb-1

正如你看到的，我们正在运行 ostechnix-wordpress-1 和 ostechnix-mariadb-1 这两个容器。ostechnix-mariadb-1 容器链接到 ostechnix-wordpress-1 容器。

如果 Watchtower 发现 ostechnix-wordpress-1 容器有个新版本，它会先关闭与之相连接的 ostechnix-mariadb-1 容器 ，然后才会关闭 ostechnix-wordpress-1 容器。

更新 ostechnix-wordpress-1 容器后，Watchtower 会以正确的顺序，且与最初启动它们时使用的相同方式，重启这两个容器，以便应用程序正确恢复。在我们的例子中，首先启动的是 ostechnix-mariadb-1 容器，然后是 ostechnix-wordpress-1 容器，以确保连接能够继续运行。

监控特定容器

默认情况下，Watchtower 将监控在它所指向的 Docker 守护进程中运行的所有 Docker 容器。

不过，你可以像下面这样，通过指定容器名称限制 Watchtower 监视特定的 Docker 容器。

$ docker run -d --name watchtower -v /var/run/docker.sock:/var/run/docker.sock containrrr/watchtower ostechnix-wordpress-1

在上方的例子中，watchtower 会忽略其他容器，只监视名为 ostechnix-wordpress-1 的容器更新情况。

如果你不指定任何参数，Watchtower 会照常监视所有运行中的 Docker 容器。

发送提示

或许你想收到容器更新的通知。你可以通过电子邮件、Slack 、MSTeams 以及 Gotify 发送通知。

下面这个例子展示了如何通过电子邮件发送通知。假设你已经设置了 SMTP 服务器。

docker run -d \
  --name watchtower \
  -v /var/run/docker.sock:/var/run/docker.sock \
  -e WATCHTOWER_NOTIFICATIONS=email \
  -e [email protected] \
  -e [email protected] \
  -e WATCHTOWER_NOTIFICATION_EMAIL_SERVER=smtp.gmail.com \
  -e WATCHTOWER_NOTIFICATION_EMAIL_SERVER_PORT=587 \
  -e [email protected] \
  -e WATCHTOWER_NOTIFICATION_EMAIL_SERVER_PASSWORD=app_password \
  -e WATCHTOWER_NOTIFICATION_EMAIL_DELAY=2 \
  containrrr/watchtower

参考下方 Watchtower Github 仓库和 Watchtower 官方主页获取更多信息：

资料

• Watchtower GitHub
• Watchtower 主页

via: https://ostechnix.com/automatically-update-running-docker-containers/

作者：sk 选题：lkxed 译者：Donkey 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

我喜欢使用本地 SMTP 守护进程从我的笔记本电脑发送电子邮件，因为这样我即使在断开连接的情况下也可以发送电子邮件，而且，即使是在网络正常的情况下，因为我不需要等待网络协议在远程 smarthost 上完成。哦，我还需要本地邮件投递。

多年来，我一直使用 Postfix 来达到这些目的。它具有可接受的简单配置。但最近我开始喜欢 VPN（mullvad，如果你想知道的话），而在 /etc/resolv.conf 发生变化时会变得混乱（例如，你在 Postfix 的服务启动后才启动 VPN）。我找到了一个非常简单的替代方案：OpenSMTPD。

假设我想在使用 [email protected] 发送电子邮件时使用 SMTP 服务器 fencepost.gnu.org，而在我的 From 头中使用 [email protected] 或 [email protected] 时使用 smtp.jao.io。OpenSMTPD 让你通过一个非常简单的配置文件 /etc/smtpd.conf 来实现：

（这是我的 Debian 机器中的默认配置文件。另一个流行的替代方案是 /etc/openstmpd.conf）。

table aliases file:/etc/aliases
table secrets db:/etc/mail/secrets.db

table sendergnu { [email protected] }
table senderjao { [email protected], [email protected] }

listen on localhost

action "local" mbox alias <aliases>
action "relaygnu" relay host smtp+tls://[email protected]:587 auth <secrets>
action "relayjao" relay host smtps://[email protected]:465 auth <secrets>

match for local action "local"
match for any from mail-from <sendergnu> action "relaygnu"
match for any from mail-from <senderjao> action "relaygan"

我们还为此配置了本地投递。这是完整的配置文件！唯一需要的另一件事是生成 secrets.db 文件，其中包含与键 gnu 和 jao 对应的用户和密码（这些只是任意名称）。为此，我们使用它们创建一个纯文本文件，使用形式为 <key> <user>:<password> 的条目：

gnu  jao:my fencepost password
jao  [email protected]:xxxxxxxxxxxxxxxxx

fencepost.gnu.org 用户是 jao，smtp.jao.io 的用户是 [email protected]（你看，不需要转义空格或 ats）。然后我们使用程序 makemap 来创建密钥数据库：

makemap secrets && rm secrets

via: https://jao.io/blog/2021-11-09-relaying-mail-to-multiple-smarthosts.html

作者：jao 选题：lujun9972 译者：geekpi 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

Zeek 是一个开源的网络安全监控工具。本文讨论了如何将 Zeek 与 ELK 集成。

在本杂志 2022 年 3 月版发表的题为“用 Zeek 轻松实现网络安全监控”的文章中，我们研究了 Zeek 的功能，并学习了如何开始使用它。现在我们将把我们的学习经验再进一步，看看如何将其与 ELK（即 Elasticsearch、Kibana、Beats 和 Logstash）整合。

为此，我们将使用一个叫做 Filebeat 的工具，它可以监控、收集并转发日志到 Elasticsearch。我们将把 Filebeat 和 Zeek 配置在一起，这样后者收集的数据将被转发并集中到我们的 Kibana 仪表盘上。

安装 Filebeat

让我们首先将 Filebeat 与 Zeek 安装在一起。使用 apt 来安装 Filebeat，使用以下命令：

sudo apt install filebeat

接下来，我们需要配置 .yml 文件，它位于 /etc/filebeat/ 文件夹中：

sudo nano /etc/filebeat/filebeat.yml

我们只需要在这里配置两件事。在 Filebeat 输入部分，将类型改为 log，并取消对 enabled:false 的注释，将其改为 true。我们还需要指定存储日志的路径，也就是说，我们需要指定 /opt/zeek/logs/current/*.log。

完成这些后，设置的第一部分应该类似于图 1 所示的内容。

第二件要修改的事情是在输出下的 Elasticsearch 输出部分，取消对 output.elasticsearch 和 hosts 的注释。确保主机的 URL 和端口号与你安装 ELK 时配置的相似。我们把它保持为 localhost，端口号为 9200。

在同一部分中，取消底部的用户名和密码的注释，输入安装后配置 ELK 时生成的 Elasticsearch 用户的用户名和密码。完成这些后，参考图 2，检查设置。

现在我们已经完成了安装和配置，我们需要配置 Zeek，使其以 JSON 格式存储日志。为此，确保你的 Zeek 实例已经停止。如果没有，执行下面的命令来停止它：

cd /opt/zeek/bin
./zeekctl stop

现在我们需要在 local.zeek 中添加一小行，它存在于 opt/zeek/share/zeek/site/ 目录中。

以 root 身份打开该文件，添加以下行：

@load policy/tuning/json-logs.zeek

参考图 3，确保设置正确。

由于我们改变了 Zeek 的一些配置，我们需要重新部署它，这可以通过执行以下命令来完成：

cd /opt/zeek/bin
./zeekctl deploy

现在我们需要在 Filebeat 中启用 Zeek 模块，以便它转发 Zeek 的日志。执行下面的命令：

sudo filebeat modules enable zeek

我们几乎要好了。在最后一步，配置 zeek.yml 文件要记录什么类型的数据。这可以通过修改 /etc/filebeat/modules.d/zeek.yml 文件完成。

在这个 .yml 文件中，我们必须提到这些指定的日志存放在哪个目录下。我们知道，这些日志存储在当前文件夹中，其中有几个文件，如 dns.log、conn.log、dhcp.log 等等。我们需要在每个部分提到每个路径。如果而且只有在你不需要该文件/程序的日志时，你可以通过把启用值改为 false 来舍弃不需要的文件。

例如，对于 dns，确保启用值为 true，并且路径被配置：

var.paths: [ “/opt/zeek/logs/current/dns.log”, “/opt/zeek/logs/*.dns.json” ]

对其余的文件重复这样做。我们对一些我们需要的文件做了这个处理。我们添加了所有主要需要的文件。你也可以这样做。请参考图 4。

现在是启动 Filebeat 的时候了。执行以下命令：

sudo filebeat setup
sudo service filebeat start

现在一切都完成了，让我们移动到 Kibana 仪表板，检查我们是否通过 Filebeat 接收到来自 Zeek 的数据。

进入仪表板。你可以看到它所捕获的数据的清晰统计分析（图 5 和图 6）。

现在让我们进入发现选项卡，通过使用查询进行过滤来检查结果：

event.module: "zeek"

这个查询将过滤它在一定时间内收到的所有数据，只向我们显示名为 Zeek 的模块的数据（图 7）。

鸣谢

作者感谢 VIT-AP 计算机科学与工程学院的 Sibi Chakkaravarthy Sethuraman、Sudhakar Ilango、Nandha Kumar R.和Anupama Namburu 的不断指导和支持。特别感谢人工智能和机器人技术卓越中心（AIR）。

via: https://www.opensourceforu.com/2022/06/integrating-zeek-with-elk-stack/

作者：Tridev Reddy 选题：lkxed 译者：geekpi 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

你好，技术兄弟，最近红帽发布了最新的操作系统 RHEL 9，RHEL 9 满足了混合云的所有要求。它可以安装在物理服务器、虚拟机和容器镜像中。

当我们没有订阅的时候，想安装软件包来做实验，那么设置本地的 Yum 或 DNF 仓库将是很方便的。

在本指南中，我们将介绍如何在 RHEL 9 上使用 DVD 或 ISO 文件一步一步地创建本地 Yum/DNF 资源库。

创建本地 Yum/DNF 资源库的先决条件:

• 最小化安装 RHEL 9 系统
• 具有管理权限的 sudo 用户
• RHEL 9 DVD 或 ISO 文件

1）挂载 RHEL 9 ISO 文件或 DVD

我们假设 RHEL 9 iso 文件已经被复制到系统中。运行下面的挂载命令，将 ISO 文件挂载到 /opt/repo 文件夹。

$ sudo mkdir /var/repo
$ sudo mount -o loop rhel-baseos-9.0-x86_64-dvd.iso /var/repo/

如果是 DVD 光盘，运行：

$ sudo mount /dev/sr0 /var/repo/

2）在 /etc/yum.repos.d/ 目录中创建仓库文件

在 /etc/yum.repos.d/ 目录下创建一个名为 “rhel9-local.repo` 的仓库文件，内容如下：

$ sudo vi /etc/yum.repos.d/rhel9-local.repo
[Local-BaseOS]
name=Red Hat Enterprise Linux 9 - BaseOS
metadata_expire=-1
gpgcheck=1
enabled=1
baseurl=file:///var/repo//BaseOS/
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-redhat-release

[Local-AppStream]
name=Red Hat Enterprise Linux 9 - AppStream
metadata_expire=-1
gpgcheck=1
enabled=1
baseurl=file:///var/repo//AppStream/
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-redhat-release

保存并关闭该文件。

3）刷新 Yum/DNF 和订阅管理器的缓存

执行以下命令来清理 Yum 或 DNF 和订阅管理器的缓存。

$ sudo dnf clean all
$ sudo subscription-manager clean

在上面的输出中，我们得到一个警告信息 This system is not registered with an entitlement（系统没有注册权限）。所以，为了抑制这个警告信息，编辑文件 /etc/yum/pluginconf.d/subscription-manager.conf，将参数 enabled=1 改为 enabled=0。

$ sudo vi /etc/yum/pluginconf.d/subscription-manager.conf

保存并退出该文件。

4）使用本地仓库安装软件包

现在我们都准备好测试我们的本地仓库了。运行下面的命令来查看配置仓库。

$ sudo dnf repolist

输出：

现在，试试用 dnf 命令通过上面配置的本地仓库安装软件包。

$ sudo dnf install nfs-utils

输出：

完美，上述输出证实了 nfs-utils 包及其依赖项已经通过本地配置的 Yum 或 DNF 仓库成功安装。

这就是本指南的全部内容。我希望你觉得它有参考价值。请在下面的评论区发表你的疑问和反馈。

via: https://www.linuxtechi.com/create-local-yum-dnf-repository-rhel/

作者：Pradeep Kumar 选题：lkxed 译者：geekpi 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

KVM 是 基于内核的虚拟机 Kernel-based Virtual Machine 的首字母缩写，这是一项集成在内核中的开源虚拟化技术。它是一种类型一（裸机）的 管理程序 hypervisor ，可以使内核能够作为一个 裸机管理程序 bare-metal hypervisor 。

在 KVM 之上可以运行 Windows 和 Liunx 虚拟机。每个虚拟机都独立于其它虚拟机和底层操作系统（宿主机系统），并拥有自己的 CPU、内存、网络接口、存储设备等计算资源。

本文将介绍在 Ubuntu 22.04 LTS（Jammy Jellyfish）中如何安装 KVM 。在文末，我们也将演示如何在安装 KVM 完成之后创建一台虚拟机。

1、更新 Ubuntu 22.04

在一切开始前，打开终端并通过如下命令更新本地的软件包索引：

$ sudo apt update

2、检查虚拟化是否开启

在进一步行动之前，首先需要检查你的 CPU 是否支持 KVM 虚拟化，确保你系统中有 VT-x（ vmx）英特尔处理器或 AMD-V（svm）处理器。

你可以通过运行如下命令，如果输出值大于 0，那么虚拟化被启用。否则，虚拟化被禁用，你需要启用它：

$ egrep -c '(vmx|svm)' /proc/cpuinfo

根据上方命令输出，你可以推断出虚拟化功能已经启用，因为输出结果大于 0。如果虚拟化功能没有启用，请确保在系统的 BIOS 设置中启用虚拟化功能。

另外，你可以通过如下命令判断 KVM 虚拟化是否已经在运行：

$ kvm-ok

运行该命令之前，请确保你已经安装了 cpu-checker 软件包，否则将提示未找到该命令的报错。

直接就在下面，你会得到如何解决这个问题的指示，那就是安装 cpu-checker 包。

随后，通过如下命令安装 cpu-checker 软件包：

$ sudo apt install -y cpu-checker

接着再运行 kvm-ok 命令，如果 KVM 已经启动，你将看到如下输出：

$ kvm-ok

3、在 Ubuntu 22.04 上安装 KVM

随后，通过如下命令在 Ubuntu 22.04 中安装 KVM 以及其他相关虚拟化软件包：

$ sudo apt install -y qemu-kvm virt-manager libvirt-daemon-system virtinst libvirt-clients bridge-utils

以下为你解释刚刚安装了哪些软件包：

• qemu-kvm – 一个提供硬件仿真的开源仿真器和虚拟化包
• virt-manager – 一款通过 libvirt 守护进程，基于 QT 的图形界面的虚拟机管理工具
• libvirt-daemon-system – 为运行 libvirt 进程提供必要配置文件的工具
• virtinst – 一套为置备和修改虚拟机提供的命令行工具
• libvirt-clients – 一组客户端的库和API，用于从命令行管理和控制虚拟机和管理程序
• bridge-utils – 一套用于创建和管理桥接设备的工具

4、启用虚拟化守护进程（libvirtd）

在所有软件包安装完毕之后，通过如下命令启用并启动 libvirt 守护进程：

$ sudo systemctl enable --now libvirtd
$ sudo systemctl start libvirtd

你可以通过如下命令验证该虚拟化守护进程是否已经运行：

$ sudo systemctl status libvirtd

另外，请将当前登录用户加入 kvm 和 libvirt 用户组，以便能够创建和管理虚拟机。

$ sudo usermod -aG kvm $USER
$ sudo usermod -aG libvirt $USER

$USER 环境变量引用的即为当前登录的用户名。你需要重新登录才能使得配置生效。

5、创建网桥（br0）

如果你打算从本机（Ubuntu 22.04）之外访问 KVM 虚拟机，你必须将虚拟机的网卡映射至网桥。virbr0 网桥是 KVM 安装完成后自动创建的，仅做测试用途。

你可以通过如下内容在 /etc/netplan 目录下创建文件 01-netcfg.yaml 来新建网桥：

$ sudo vi /etc/netplan/01-netcfg.yaml
network:
  ethernets:
    enp0s3:
      dhcp4: false
      dhcp6: false
  # add configuration for bridge interface
  bridges:
    br0:
      interfaces: [enp0s3]
      dhcp4: false
      addresses: [192.168.1.162/24]
      macaddress: 08:00:27:4b:1d:45
      routes:
        - to: default
          via: 192.168.1.1
          metric: 100
      nameservers:
        addresses: [4.2.2.2]
      parameters:
        stp: false
      dhcp6: false
  version: 2

保存并退出文件。

注：上述文件的配置是我环境中的，请根据你实际环境替换 IP 地址、网口名称以及 MAC 地址。

你可以通过运行 netplan apply 命令应用上述变更。

$ sudo netplan apply

你可以通过如下 ip 命令，验证网桥 br0：

$ ip add show

6、启动 KVM 虚拟机管理器

当 KVM 安装完成后，你可以使用图形管理工具 virt-manager 创建虚拟机。你可以在 GNOME 搜索工具中搜索 Virtual Machine Manager 以启动。

点击搜索出来的图标即可：

虚拟机管理器界面如下所示：

你可以点击 “ 文件 File ” 并选择 “ 新建虚拟机 New Virtual Machine ”。你也可以点击下图所示的图标：

在弹出的虚拟机安装向导将看到如下四个选项：

• 本地安装介质（ISO 镜像或 CDROM）
• 网络安装（HTTP、HTTPS 和 FTP）
• 导入现有磁盘镜像
• 手动安装

本文使用已下载的 ISO 镜像，你可以选择自己的 ISO 镜像，选择第一个选项，并点击 “ 向前 Forward ”。

下一步中，点击 “ 浏览 Browse ” 选择 ISO 镜像位置。

在下一个窗口中点击 “ 浏览本地 Browse local ” 选取本机中 ISO 镜像。

如下所示，我们选择了 Debian 11 ISO 镜像，随后点击 “ 打开 Open ”。

当 ISO 镜像选择后，点击 “ 向前 Forward ” 进入下一步。

接着定义虚拟机所用内存大小以及 CPU 核心数，并点击 “ 向前 Forward ” 。

下一步中，输入虚拟机磁盘空间，并点击 “ 向前 Forward ” 继续。

如你需要将虚拟机网卡连接至网桥，点击 “ 选择网络 Network selection ” 并选择 br0 网桥。

最后，点击 “ 完成 Finish ” 按钮结束设置虚拟机。

稍等片刻，虚拟机的创建过程将开始。

当创建结束时，虚拟机将开机并进入系统安装界面。如下是 Debian 11 的安装选项。在这里你可以根据需要进行系统安装。

小结

至此，本文向你演示了如何在 Ubuntu 22.04 上 安装 KVM 虚拟化引擎。你的反馈对我们至关重要。

via: https://www.linuxtechi.com/how-to-install-kvm-on-ubuntu-22-04/

作者：James Kiarie 选题：lkxed 译者：turbokernel 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

ZeroTier 是一个加密的虚拟主干网，允许多台机器像在一个网络上一样通信。

自动化是现在的一个热门话题。在我作为网站可靠性工程师（SRE）的日常工作中，我的部分职责是将尽可能多的重复性任务自动化。但是我们当中有多少人在日常生活、非工作生活中这样做呢？ 今年，我专注于自动化工作，以便我们可以专注于重要的事情。

在实现一切自动化的同时，我在一些远程站点上遇到了困难。我不是一个网络专家，所以我开始研究我的选择。在研究了各种虚拟专用网络（VPN）、硬件端点、防火墙规则以及支持多个远程站点的所有东西后，我感到困惑、暴躁，并对这一切的复杂性感到沮丧。

然后我发现了 ZeroTier。ZeroTier 是一个加密的虚拟主干网，允许多台机器像在一个网络上一样通信。代码全部是开源的，你可以自行托管控制器，或者使用 ZeroTierOne 服务，有免费或付费计划。我现在使用的是它们的免费计划，它很强大、可靠，而且非常稳定。

因为我使用的是 Web 服务，所以我不打算详细介绍运行控制器和根服务。ZeroTier 在他们的 文档 中对如何做到这一点有完整的参考，而且非常好。

在 Web 用户界面中创建了我自己的虚拟网络之后，客户端的安装几乎是微不足道的。ZeroTier 有 APT、RPM、FreeBSD 和许多其他平台的软件包，所以让第一个节点上线不需要什么努力。

安装完毕后，客户端就会连接到控制器服务，并为节点生成一个唯一的 ID。在 Linux 上，你使用 zerotier-cli 命令来加入一个网络，使用 zerotier-cli join NETWORKID 命令：

$ sudo zerotier-cli info
200 info 469584783a 1.x.x ONLINE

你也可以使用 zerotier-cli 来获得连接和可用节点的列表，改变网络设置，以及离开网络。

在加入一个网络后，你必须批准该节点的访问，可以通过网络控制台或调用应用程序编程接口（API）。这两种方法在 ZeroTier 网站上都有文档说明。连接两个节点后，无论你身在何处或位于防火墙的哪一侧，你都可以相互连接，就像你们在同一个建筑的同一个网络中。我的主要用例之一是 远程访问我的家庭助理环境，而不需要打开防火墙端口或将其暴露在互联网上（关于我的家庭助理设置和相关服务的更多信息，见后文）。

我自己做的一件事是为内部 DNS 设置了一个 Beta ZeroNDS 服务。这为我管理自己的名称服务或为我所有的私人主机和 IP 地址创建公共记录减少了很多复杂性。我发现操作说明非常简单直白，并且能够在大约 5 分钟内为我的私人网络建立一个 DNS 服务器。每个客户端必须允许 Zerotier 设置 DNS，这在 GUI 客户端中非常简单。要使它在 Linux 客户端上使用，请使用：

$ sudo zerotier-cli setNETWORKID allowDNS=1

在你添加和删除主机时，不需要其他更新，它“就能工作”。

$ sudo zerotier-cli info
200 info 469584845a 1.x.y ONLINE
$ sudo zerotier-cli join
93afae596398153a 200 join OK
$ sudo zerotier-cli peers
200 peers
<ztaddr> <ver> <role> <lat> <link> <TX> <RX> <path>
61d294b9cb - PLANET 112 DIRECT 7946 2812 50.7.73.34/9993
62f865ae71 - PLANET 264 DIRECT 7946 2681 50.7.76.38/9993
778cde7190 - PLANET 61 DIRECT 2944 2901 103.195.13.66/9993
93afae5963 1.x LEAF 77 DIRECT 2945 2886 35.188.31.177/41848
992fcf1db7 - PLANET RECT 79124 DI47 2813 195. 181.173.159/9993

我只提到了它所有功能的表面。ZeroTier 还允许在 ZeroTier 网络之间建立桥接、高级路由规则等。它们甚至有一个 Terraform 提供者 和一个 很棒的 Zerotier 资源 清单。到今天为止，我正在使用 ZeroTier 连接四个物理站点的机器，其中三个在 NAT 防火墙后面。Zerotier 的设置很简单，而且管理起来几乎完全不费力。

via: https://opensource.com/article/22/5/zerotier-network

作者：Kevin Sonney 选题：lkxed 译者：geekpi 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出