Construire l’environnement d’auto-hébergement ultime

C’est génial !

Commentaires Hacker News

• Pour que la famille ou les amis puissent l’utiliser facilement, l’objectif est de donner à chacun un seul compte de connexion pour accéder à plusieurs services via du SSO (single sign-on). C’est vraiment la partie la plus difficile, mais aussi la plus élégante. L’open source et Linux sont profondément paradoxaux : ils sont utilisés partout et gèrent tous les protocoles, mais dès qu’il s’agit de l’environnement client réel, c’est-à-dire relier des gens entre eux et construire directement des fonctions de groupware, cela devient au contraire plus complexe. Le simple fait d’intégrer organiquement plusieurs systèmes et de mettre en place une infrastructure d’annuaire est déjà impressionnant. Je ne pensais pas qu’un jour j’exploiterais moi-même FreeIPA ou un service d’annuaire compatible Windows, mais ces derniers temps j’ai l’impression que l’écosystème basé sur OpenID commence réellement à se stabiliser.

  • Merci pour ton message de soutien. La simplicité de connexion et l’accessibilité étaient les exigences les plus difficiles de ce projet, et je pense que c’est précisément ce qui détermine si les gens l’utiliseront vraiment ou non. L’open source est réellement partout, mais les problèmes commencent dès qu’un utilisateur ordinaire essaie d’utiliser quelque chose lui-même. À mon avis, ce paradoxe vient du fait que chaque projet veut innover de son côté. L’absence d’un acteur qui tire tout dans une seule direction est à la fois une force et une faiblesse. Cela dit, rien qu’en regardant le self-hosting de ces cinq dernières années, j’ai l’impression que l’installation et l’usage sont devenus bien plus simples.

  • Je suis tout à fait d’accord avec ce paradoxe. Hier encore, j’ai publié sur ma plateforme de validation au sujet du manque d’accessibilité du FOSS pour les non-techniciens. Je me demande si la solution ne pourrait pas être une sorte de plateforme d’intégrateurs système reliant des utilisateurs techniques à des particuliers non techniques.

  • En réalité, ce n’est pas si difficile. Si on ne s’attache pas à un service précis et qu’on fait du support SSO le premier critère de sélection, l’installation est étonnamment simple. Moi aussi, j’avais très peu d’expérience au départ, mais j’ai rapidement monté un système self-hosted avec caddy et authentik. Sinon, yunohost est une distribution très simple qui configure même le SSO automatiquement.

  • J’utilise authentik avec l’authentification SSO Google, Discord et GitHub. Cela fonctionne très bien pour tout le monde.

• Je sais qu’il peut falloir du temps à chacun pour trouver son propre système « parfaitement adapté », car les objectifs, préférences et environnements diffèrent. J’aimerais donc partager dans un billet de blog le cheminement complet vers ma configuration finale : objectifs et exigences, technologies utilisées, architecture et résolution des problèmes. Ma méthode ne conviendra pas à tout le monde, mais j’espère qu’elle pourra servir de référence à d’autres. J’ai moi-même beaucoup progressé grâce à de nombreux contenus et logiciels gratuits, alors j’aimerais continuer à transmettre cette aide.

  • Je serais curieux d’avoir ton retour sur Nix dans un homelab. De mon côté, cela fait plus de 7 ans que je fais tourner de manière assez hardcore un rack 25U avec du petit kubernetes, ceph et Talos Linux, mais j’ai de plus en plus envie de simplifier, et curieusement je finis toujours par revenir à Nix et ZFS. Les difficultés dont tu parles me sont très familières. N’hésite pas à poser des questions si tu veux.

  • Est-ce que tu as envisagé d’utiliser coolify ? Cela fait plus d’un an que je l’utilise, et j’aime beaucoup le fait qu’il déploie automatiquement depuis GitHub aussi facilement que Heroku. https://coolify.io/

  • J’aimerais savoir si tu utilises aussi le chiffrement ZFS. J’exécutais autrefois plusieurs VM comme FreeIPA sur Debian+ZFS, puis pour simplifier j’ai basculé vers une structure où seule la bibliothèque chiffrée Seafile tourne sur un VPS, avec une sauvegarde vers le serveur de la maison via ZFS send/receive. Ce serveur s’allume chaque nuit, fait les mises à jour et la synchro, puis se rendort. Pour aller plus loin en sécurité, j’envisage de faire tourner le ZFS de mon desktop Linux (Fedora) en chiffrement complet. Comme mon dataset principal est déjà chiffré, la synchro vers un disque externe ou le cloud devient beaucoup plus simple. Mettre toute ma photothèque sur Seafile hébergé sur le VPS coûte trop cher, donc je cherche une autre solution.

  • Ton retour d’installation et les explications détaillées étaient très utiles. Je ne peux pas l’adopter immédiatement comme toi, mais j’ai décidé d’installer flame comme tableau de bord pour faire des essais avec la famille.

  • Ravi de te lire, ce que tu fais est vraiment intéressant. Je travaille moi aussi sur un projet similaire basé sur NixOS. Mon objectif est de créer un petit boîtier au style Apple, quasi sans configuration, que n’importe qui pourrait brancher sur son modem puis installer via un simple assistant web. C’est encore tôt, mais il tourne déjà chez moi. Il fait à la fois office de routeur hybride (OPNSense/PFSense) et de serveur d’applications (Nextcloud, Synology, Yunohost, etc.). Toute la configuration est gérée dans une seule page de modules Nix, avec DNS dynamique, certificats Let's encrypt, attribution automatique de sous-domaines pour chaque application, blocage des pubs et headscale intégré. Je travaille maintenant sur le SSO, et je vais reprendre quelques idées de ton article. Plus d’infos ici : https://homefree.host

• Quand je regarde parfois mon réseau domestique, j’imagine le préjudice que cela causerait à ma famille si je mourais, ou à quel point il serait difficile pour quelqu’un d’extérieur de comprendre mon installation. Le « jeu du homelab » répond en fait à quelque chose de similaire au vieux hobby de certains « papas » qui construisent des réseaux miniatures de trains. Je ne dis pas ça de façon péjorative ; j’ai simplement l’impression que certaines personnes ont l’instinct de vouloir leur propre monde miniature totalement contrôlable.

  • Je me suis fait exactement la même réflexion, donc j’ai rédigé de la documentation au cas où. La partie 1 parle de l’argent et de l’emplacement des documents importants ; la partie 2 explique comment rendre la maison « plus stupide » à nouveau. Par exemple, comment supprimer les interrupteurs intelligents et remettre des interrupteurs classiques, comment migrer des services de clés comme Bitwarden vers le cloud, les coûts de maintien des domaines et des e-mails, ou encore comment remettre le routeur fourni par l’ISP. Ma femme n’était pas très enthousiaste à l’égard de la maison connectée, mais elle a été rassurée en apprenant qu’on pouvait à tout moment revenir à une « maison bête ». Honnêtement, je ne sais pas à quel point la disparition de tout cela serait gênante, mais je me console en me disant que ce ne serait plus mon problème.

  • Je stocke nos photos de famille sur un home lab en RAID1, et chaque nuit je fais une sauvegarde rsync sur un disque externe branché à l’ordinateur chez mes beaux-parents. Le but est qu’en cas de problème, la famille puisse y accéder facilement. Ma femme ne s’intéresse pas à l’IT, donc je lui ai simplement dit : « Tu branches l’USB et tout est là. »

  • Je pense qu’on peut ignorer les scénarios de menace peu utiles, comme le vol de disques physiques. En pratique, il vaut mieux conserver toutes les photos et les documents importants sans chiffrement, avec des explications faciles à comprendre. C’est plutôt le volet domotique qui m’inquiète davantage.

  • Réfléchir à l’avance à ce qui se passera si l’administrateur du homelab s’absente longtemps ou disparaît est vraiment important en pratique. Je n’ai pas spécialement conçu mon installation dans ce but, mais je pense qu’il faut y réfléchir davantage. L’essentiel est de laisser les données importantes et les identifiants permettant d’y accéder. Utiliser un service comme Nextcloud pour que les données se synchronisent automatiquement sur les appareils de la famille est une bonne idée, tout comme faire en sorte que la famille ou les amis manipulent eux-mêmes réellement les services. Chez nous aussi, j’essaie de faire de Home Assistant un équipement quasiment indispensable, utilisé aussi par mon conjoint. C’est plus facile à gérer quand cela existe sous forme physique plutôt que comme simple VM. Bien sûr, tout cela relève beaucoup du vœu pieux, donc il est important d’établir un vrai plan détaillé au moins avec ses proches.

  • J’y ai beaucoup réfléchi moi aussi. Je pars du principe que le NAS et les services Docker ne redémarreront pas correctement sans moi. Quant aux sauvegardes de mots de passe hors site, j’ai l’impression qu’elles seraient impossibles à restaurer sans aide professionnelle. Du coup, j’enregistre simplement chaque jour des snapshots incrémentaux dans de nouveaux dossiers sur un disque dur externe NTFS via cron. Cela prend moins de 50 Go, donc c’est peu coûteux à dupliquer. En cas de décès, il suffit de brancher ce disque et de copier les dossiers. J’ai aussi une copie complète de la bibliothèque Seafile sur chaque laptop. J’ai prépayé le domaine mail pour 10 ans et il est hébergé chez iCloud ; comme les photos de famille en pièce jointe saturent la capacité et font rebondir les e-mails, j’envisage peut-être migadu.

• Ce domaine m’intéresse aussi beaucoup. Je voudrais prévenir que si l’on se lance dans une activité indépendante ou une startup IT, l’envie de homelab devient encore plus forte. À force, faire tourner de simples conteneurs ne suffit plus ; on finit par déposer toutes sortes de papiers pour obtenir un vrai DBA et un ASN, puis on évolue vers son propre ISP avec son propre bloc d’IP/IPV6. Beaucoup résolvent le problème de l’ingress avec tailscale, mais c’est vraiment difficile. En théorie, une architecture basée sur STUN/TURN, avec mise en cache côté serveur uniquement des fichiers statiques et accès dynamique authentifié via un mur de connexion avec magic link par e-mail, ne me semble ni particulièrement risquée ni particulièrement coûteuse. Quand on met en place un environnement de développement à distance, on trouve même un prétexte de plus pour creuser ces sujets. Liens utiles : https://en.wikipedia.org/wiki/Traversal_Using_Relays_around_NAT, https://en.wikipedia.org/wiki/STUN

  • J’ai monté mon ingress avec Fly.io, avec un cache nginx côté distant et un conteneur pair Fly Wireguard ajouté au pod d’ingress. Ce n’est pas gratuit, mais c’est la solution la plus raisonnable en termes de coût tout en offrant un ingress anycast, sans avoir à ouvrir directement le moindre port chez soi.

• En ce moment, je bricole avec Immich, et à chaque fois j’hésite : l’utiliser uniquement via tailscale depuis l’extérieur, ou bien ajouter un reverse proxy sur un VPS. Ce qui me préoccupe le plus, c’est de trouver une solution de monitoring/sécurité conviviale capable de détecter qui tente des attaques sur le VPS.

  • Je me pose la même question. Si tu as trouvé des informations sur une solution de sécurité/monitoring, je veux bien que tu les partages.

• Mon installation est bien plus simple.

  • une seule machine
  • proxy nginx
  • plusieurs services sur cette même machine ; certains internes, d’autres exposés publiquement, mais tous accessibles via le web
  • pour les services internes, mot de passe HTTP basic auth long (gestionnaire de mots de passe intégré de Firefox)
  • pour les services externes, public ou OAuth Google
  • tout a été codé à la main depuis zéro, et c’est précisément le but du homelab
  • que ce soit des images ou des vidéos, le navigateur les lit très bien tout seul
  • la partie difficile est toujours le backend ; le frontend a presque une allure de HTML des années 90

  • HTTP envoie les mots de passe en clair, donc il est au minimum prudent d’utiliser un certificat autosigné.

  • Construire soi-même l’infra ou les services directement en code, c’est tout simplement excellent pour apprendre. Le fait de pouvoir coller exactement à ses propres besoins est aussi très appréciable.

• J’aimerais bien faire tourner ce genre de homelab, mais je n’ai pas le temps. Je peux installer quelque chose le week-end, mais je n’ai pas la disponibilité nécessaire pour assurer ensuite la maintenance et les mises à jour. Du coup, je laisse tout ça à un fournisseur cloud et je n’y pense plus. Je serais curieux de savoir comment ceux qui, comme moi, n’utilisent que le cloud abordent la question.

  • Moi aussi, avec mon ancienne installation, la maintenance n’était pas suffisamment assurée et cela me stressait. C’est ce qui m’a fait apprécier NixOS et ZFS : avec les deux, le rollback est vraiment facile. Tu fais une mise à jour, et s’il y a un problème, tu reviens immédiatement à la version précédente. Le débogage peut attendre le moment où tu as du temps. Et si l’option cloud te convient, je pense que c’est aussi très bien. Monter son propre système demande clairement du temps ; l’important est donc de comparer le coût et la valeur que chacun y trouve.

  • J’auto-héberge une douzaine de services, et en général les mises à jour ne prennent même pas une minute par mois. Chaque service a son dossier avec sa stack docker-compose et ses données ; pour mettre à jour, il suffit de faire docker compose pull puis up -d. Il peut arriver, rarement, qu’une mise à jour nécessite un changement de configuration, mais dans la plupart des cas cela se règle en quelques minutes. Sans VM, et uniquement avec Docker Compose, je pense que le self-hosting entièrement automatisé est l’approche la plus simple.

  • Ce n’est pas juste un truc qui se règle en une journée de week-end. Dans mon cas, tout a commencé avec l’installation de Plex, et un an plus tard j’avais une structure complexe avec Proxmox et toutes sortes de briques de domotique intégrées. À moitié pour plaisanter, à moitié sérieusement : pour une configuration minimale, commence avec docker compose, c’est simple à gérer et les mises à jour restent faciles.

• Je me demande s’il est vraiment nécessaire d’introduire du SSO. Si la famille ou les amis utilisent un client wireguard — c’est très simple même sur iOS — ils peuvent rejoindre le réseau domestique d’un simple bouton, puis utiliser tous les services internes sans avoir besoin de SSO séparé. À l’échelle d’un petit réseau familial, les avantages me semblent largement supérieurs aux inconvénients.

  • Les services que nous utilisons, comme Nextcloud ou Mealie, ont de toute façon des comptes utilisateur individuels. Grâce au SSO, chacun peut accéder à tous les services avec le même compte, et je n’ai plus à gérer moi-même les mots de passe. L’installation est un peu plus complexe, mais l’exploitation devient au contraire plus simple, ce qui augmente les chances que la famille les utilise réellement.

  • J’auto-héberge 20 applications, et je suis excédé à l’idée de gérer l’authentification séparément pour chacune, donc je suis en train de mettre en place du SSO. Quand on veut aussi exposer certaines applications à la famille, le fait de pouvoir gérer l’authentification en un seul endroit est prioritaire. Je ne suis pas vraiment d’accord avec la méthode mentionnée plus haut.

• Je me demande pourquoi utiliser flame à tout prix. Cela revient à introduire des dizaines, voire des centaines de dépendances tierces comme node, react, redux, etc. dans un « royaume de la sécurité », alors qu’une page d’accueil pourrait très bien n’être qu’un simple fichier HTML listant des liens.

  • J’utilisais déjà flame, donc j’y suis habitué et cela me permet de résoudre le problème rapidement. J’aime aussi son design, et comme il est placé derrière Tailscale et Authelia, je n’ai pas vraiment d’inquiétude particulière côté sécurité. J’examinerai peut-être des alternatives plus tard.

• J’aimerais essayer le self-hosting avec NixOS, mais je ne suis jamais passé à l’action. Mon environnement actuel est géré avec quelques VM et un fichier docker compose par VM, avec un playbook ansible qui ne fait que copier les fichiers compose, et je garde Fedora Server une release derrière puis je fais la mise à niveau à expiration. Comme j’utilise déjà nix-darwin sur Mac, je comprends bien les avantages de la configuration Nix, mais je n’ai pas encore ressenti un gain d’efficacité ou un retour sur temps suffisant pour porter mon environnement réel vers Nix. Peut-être que ce serait différent si un LLM (grande IA) pouvait au moins me dicter les fichiers de configuration, mais pour l’instant je manque de motivation pour me lancer.

  • J’ai moi aussi essayé NixOS, et en une semaine j’avais migré tout mon réseau domestique ainsi que deux vrais serveurs. Cela fait maintenant 3 ou 4 mois, et j’en suis satisfait au-delà de mes attentes. Migrer des serveurs a même été plus facile que migrer des stations de travail. Récemment, je m’amuse aussi à configurer un Jetson Orin Nano sous NixOS, ce qui aurait été impensable pour moi à l’époque de Gentoo. Ce qui m’agaçait le plus avec Gentoo, c’était les temps de compilation absurdes sur du vieux matériel ; par exemple, compiler GHC sur un XPS 2019 pouvait prendre 6 heures.

  • Pour moi, la plus grande différence avec NixOS, c’est la facilité incroyable du rollback quand quelque chose se casse. Avec une base ansible ou compose, la sauvegarde et la restauration sont possibles aussi, mais cela suppose d’écrire et de maintenir soi-même tout ce système. Cela dit, si tu es satisfait de ton installation actuelle, c’est très bien ainsi.

  • Si tu fais déjà un peu d’IaC, je n’ai pas trouvé que NixOS apportait un gain d’efficacité supplémentaire si important.