Stack edge

Point d'entrée réseau & sécurité. Fichier : compose/edge/docker-compose.yml. Voir aussi Réseau & reverse proxy et Sécurité.

nginx (Nginx Proxy Manager) — 172.16.0.2

• Image : jc21/nginx-proxy-manager:latest. Rôle : reverse-proxy HTTPS + gestion certs.
• Ports : 80, 443 (IPv4+IPv6) ; 127.0.0.1:81 = UI admin (LAN only).
• Volumes : volumes/nginx/data (config + database.sqlite + confs proxy_host/*.conf), volumes/nginx/certs (/etc/letsencrypt).
• Config = via UI/API, pas de fichier nginx à la main. Mapping des domaines : Réseau.
• ⚠️ Désactiver « Force SSL » pendant un renouvellement de cert (sinon ACME échoue).

authelia — 172.16.0.39

• Image : authelia/authelia:4.39. Rôle : IdP OIDC (« Connexion avec Authelia », ex. Immich) + forward-auth via NPM pour protéger les apps sans auth native.
• Portail : auth.tichnou.fr → authelia:9091.
• Conf déclarative : volumes/authelia/configuration.yml + users_database.yml (bcrypt). Stockage SQLite, sessions sur Redis DB 5, notifier fichier (à passer en SMTP mailu).
• Forward-auth (à mettre en place pour le wiki) : endpoint …/api/authz/forward-auth + règle access_control — voir Runbook Ajouter un conteneur.

crowdsec — 172.16.0.38

• Image : crowdsecurity/crowdsec:latest. Rôle : détection d'intrusion (IPS).
• Collections : crowdsecurity/{linux,sshd,nginx-proxy-manager}.
• Sources de logs : /var/log, /var/log/journal, logs NPM (volumes/nginx/data/logs), socket Docker.
• Port : 8082 (LAPI). Healthcheck : cscli metrics.

crowdsec-bouncer

• Image : ghcr.io/shgew/cs-firewall-bouncer-docker:latest. network_mode: host (modifie le firewall hôte), cap_add: NET_ADMIN,NET_RAW. Bannit les IP signalées par CrowdSec.

wireguard — 172.16.0.13 (wg-easy)

• Image : ghcr.io/wg-easy/wg-easy. Ports : 51820/udp (tunnel), 51821/tcp (UI).
• Env : WG_HOST=tichnou.fr, subnet 10.8.0.0/24, PASSWORD_HASH (dans le compose → Sécurité). cap_add: NET_ADMIN,SYS_MODULE, ip_forward=1.