Réseau & reverse proxy¶
Comment les domaines publics arrivent jusqu'aux services. Couche réseau hôte : Système → Réseau hôte. Plan dockernet : Docker → Réseau dockernet.
Chaîne d'accès externe¶
Internet ──▶ routeur 192.168.2.1 (NAT 80/443) ──▶ NUC eno1 192.168.2.2
──▶ Nginx Proxy Manager (172.16.0.2, TLS Let's Encrypt)
──▶ [Authelia forward-auth si activé] ──▶ service cible (172.16.0.x)
- TLS : Let's Encrypt (ACME) géré par NPM, certs dans
volumes/nginx/certs. - Admin NPM :
http://127.0.0.1:81(LAN only). Confs générées :volumes/nginx/data/nginx/proxy_host/*.conf. - Accès interne / Claude : direct sur l'IP dockernet (sans NPM ni auth), réseau de confiance.
Mapping *.tichnou.fr → service¶
| Domaine | Cible | Domaine | Cible |
|---|---|---|---|
homeassistant |
172.16.0.4:8123 |
pgadmin |
172.16.0.21:5055 |
portainer |
172.16.0.3 |
comptes |
172.16.0.40 |
nginx |
127.0.0.1:81 (admin NPM) |
backend.comptes |
172.16.0.41 |
zigbee2mqtt |
172.16.0.5 |
deluge |
172.16.0.17 |
emqx |
172.16.0.6 |
mail |
172.16.0.30 |
grafana |
172.16.0.9 |
frigate |
172.16.0.25 |
jellyfin |
172.16.0.16 |
immich |
172.16.0.23 |
esphome |
172.16.0.19 |
auth (Authelia) |
172.16.0.39:9091 |
adguard |
192.168.2.1:81 |
camera1/camera2 |
192.168.2.30/.31 (RTSP) |
mainsail |
192.168.2.5 (Voron) |
ironscribe-api |
172.16.0.1:17432 (hôte) |
wiki (nouveau) |
172.16.0.51:8000 |
État actuel de l'auth
Aucun proxy host n'utilise encore le forward-auth Authelia (Authelia ne sert pour l'instant que d'IdP OIDC, ex. Immich). Le wiki introduit le premier forward-auth — procédure dans Runbook Ajouter un conteneur.
Ajouter un domaine¶
Via l'UI NPM (:81) : Proxy Host → sousdomaine.tichnou.fr → Forward Hostname/IP =
172.16.0.x, port du service, SSL (Let's Encrypt, Force SSL, HTTP/2, Websockets). Optionnel :
forward-auth Authelia (snippet Advanced).