Aller au contenu

Pièges & spécificités

Le non-évident, les bugs contournés, les leçons apprises. À enrichir en continu.

Réseau & IP

Conflit d'IP .23 (Immich)

172.16.0.23 est déclaré à la fois pour immich_server (désactivé) et un backend tradingbot hors /srv/docker. Réassigner IP_IMMICH_SERVER avant de réactiver Immich.

DNS « hairpin » du mail depuis dockernet

Un conteneur sur dockernet joignant mail.tichnou.fr par le nom public peut échouer (pas de hairpin NAT). Utiliser l'IP interne 172.16.0.30 ou une entrée DNS interne.

IP en dur dans actions-manager

actions-manager référence timescaledb:5432 en dur (résolution par nom dockernet) au lieu de ${IP_TIMESCALEDB}. Fonctionne, mais déroge à la convention IP centralisée.

Stockage & boot

Garde-fou RequiresMountsFor (Docker couplé à un disque)

Si /etc/systemd/system/docker.service.d/ssd-mount.conf (ou équivalent) existe encore, le démon Docker refuse de démarrer si le disque est absent. À supprimer : 

sudo rm -f /etc/systemd/system/docker.service.d/ssd-mount.conf
sudo systemctl daemon-reload && sudo systemctl start docker

RAID1 ≠ sauvegarde

md0 protège d'une panne disque, pas d'une suppression/corruption. Library Immich et données critiques doivent aussi être sauvegardées.

Immich create_host_path: false

Si /mnt/raid n'est pas monté, Immich échoue proprement (pas de library vide sur /). Vérifier le montage RAID avant up.

Backup HA vers /zfs-pool/...

update-homeassistant.sh écrit dans /zfs-pool/backup/homeassistant/aucun pool ZFS actif. Vérifier/rediriger ce chemin (ex. /mnt/hdd).

Sécurité

Mot de passe maître réutilisé

Un même ${PASSWORD} sert pour plusieurs bases/UIs. À segmenter (cf. Sécurité).

Bruit Winbind / NordVPN

samba-ad-dc enabled mais non configuré → erreurs Winbind dans les logs SSH. NordVPN souvent déconnecté (app à mettre à jour). Désactiver si inutiles.

Reverse proxy

« Force SSL » pendant le renouvellement de cert

Laisser « Force SSL » actif peut faire échouer le challenge ACME. Le désactiver le temps du renouvellement, puis le réactiver.

Divers

  • Dossiers orphelins sous volumes/ à trier : certbot, ddclient, openvpn, mopidy, jackett, radarr, sonarr, influxdb, brands_temp, resonance_detector
  • Ponts Docker legacy (docker0, 172.17.0.0/16) inactifs → nettoyage possible.
  • Ressources serrées : 2 cœurs / 15 GiB, swap souvent sollicité, / ~70 %. Surveiller.