10 draft L2

NFS mount sur VMs DMZ

OS Cible 🐧 Linux / macOS 🪟 Windows

Progression 0% 0 / 3

ⓘ

Contexte

Mount jedha:/volume1/data → /mnt/nas sur les hosts Docker DMZ (tatooine). Permet aux containers d'accéder aux volumes persistants stockés sur NAS.

▸

Actions

Contexte 2 cmd ▾

$ Commandes

$ # docker-compose.yml exemple services: vaultwarden: volumes: - /mnt/nas/apps/vaultwarden/data:/data
$ jedha (10.0.1.20) NAS Synology │ └─ NFS export /volume1/data → 10.0.0.0/16 rw,no_root_squash │ └─ tatooine (10.0.2.10) mount /mnt/nas │ └─ Docker containers → bind mounts /mnt/nas/apps/<app>
Lancer (mount sur tous docker_hosts par défaut) 2 cmd 1 verify ▾

$ Commandes

$ task nas:setup # mount sur tous docker_hosts group inventory
$ task nas:setup TARGET=tatooine

✓ Vérifications

ssh -o ProxyJump=root@10.0.1.1 packer@10.0.2.10 'mountpoint /mnt/nas'
Vérifier post-mount 1 cmd ▾

$ Commandes

$ ssh -o ProxyJump=root@10.0.1.1 packer@tatooine.minfra.in ' mount | grep /mnt/nas df -h /mnt/nas ls /mnt/nas/apps/ cat /etc/fstab | grep jedha '

📖 NFS mount sur VMs DMZ

NFS mount sur VMs DMZ

Étape 6 du DR bootstrap. Monte le partage NFS jedha sur les VMs Docker host. Nécessaire pour containers utilisant volumes /mnt/nas/<app>/.

Contexte

Les containers Docker sur tatooine référencent leurs volumes via paths NFS :

# docker-compose.yml exemple
services:
  vaultwarden:
    volumes:
      - /mnt/nas/apps/vaultwarden/data:/data

Donc /mnt/nas DOIT être monté + persistent (auto-remount au reboot via fstab).

Architecture:

jedha (10.0.1.20) NAS Synology
    │
    └─ NFS export /volume1/data → 10.0.0.0/16 rw,no_root_squash
            │
            └─ tatooine (10.0.2.10) mount /mnt/nas
                    │
                    └─ Docker containers → bind mounts /mnt/nas/apps/<app>

Prérequis

NAS jedha export NFS actif (cf 05-nas-jedha-setup)
VMs Debian déployées avec NFS client baké dans template (cf 06-template-debian12)
OPNsense FW DMZ → jedha:NFS autorisé (règle ”🤖 minfra: DMZ NFS to jedha (scoped)” dans 08-opnsense-config)

Lancer (mount sur tous docker_hosts par défaut)

task nas:setup    # mount sur tous docker_hosts group inventory

Ou ciblé :

task nas:setup TARGET=tatooine

Sous le capot :

Mount via mount -t nfs jedha:/volume1/data /mnt/nas
Persist via fstab : jedha:/volume1/data /mnt/nas nfs defaults,_netdev 0 0

Verify: ssh -o ProxyJump=root@10.0.1.1 packer@10.0.2.10 ‘mountpoint /mnt/nas’

Vérifier post-mount

ssh -o ProxyJump=root@10.0.1.1 packer@tatooine.minfra.in '
  mount | grep /mnt/nas
  df -h /mnt/nas
  ls /mnt/nas/apps/
  cat /etc/fstab | grep jedha
'

Doit retourner :

mount actif jedha.minfra.in:/volume1/data on /mnt/nas type nfs
df disponible (capacité NAS visible)
ls /mnt/nas/apps/ = dirs traefik, authentik, etc.
fstab entry présente

Troubleshooting

Mount fail “Connection refused”:

FW OPNsense bloque NFS → check règle “DMZ NFS to jedha”
NAS NFS service down → DSM Control Panel → Services → NFS → Enable

Mount fail “Permission denied”:

NFS export permissions wrong → DSM Shared Folder → data → NFS → 10.0.0.0/16 RW

Containers Docker ne lisent pas /mnt/nas:

UIDs container mismatch — utiliser no_root_squash côté NAS
SELinux/AppArmor — pas un souci sur Debian standard

Hors périmètre

NFSv4 + Kerberos — security upgrade phase 2
iSCSI alternative — pas pertinent, NFS suffit
CIFS/SMB — utilisé seulement pour Windows hosts (hoth/jakku)