CrowdSecは入れて終わりではなかった――誤検知、閾値調整、そしてLAPI障害で全403
CrowdSecをk3sへ導入した後に必要だった、ログ取得の監視、誤banの確認と解除、検知感度の調整を整理します。さらに、Traefik bouncerをliveモードで使用していた構成で、LAPI障害が複数サービスの403につながった経験と、fail-open・fail-closedの考え方を紹介します。
CrowdSecをk3sへ導入した後に必要だった、ログ取得の監視、誤banの確認と解除、検知感度の調整を整理します。さらに、Traefik bouncerをliveモードで使用していた構成で、LAPI障害が複数サービスの403につながった経験と、fail-open・fail-closedの考え方を紹介します。
k3sで複数のサービスを公開すると、DNS、TLS、不正アクセス対策、認証、ルーティングが積み重なり、どの層で止まったのか分かりにくくなります。Traefik、cert-manager、CrowdSec、OAuth2 Proxyの責務をリクエストの通過順に整理し、症状から原因を逆引きする方法を紹介します。
Docker Composeで十分な人と、k3sへ移る価値がある人の違いを、約30個のセルフホストアプリを実際に移行した経験から整理します。GitOps、更新、Secret管理、バックアップ、障害対応まで含めて、移行判断の基準を解説します。
いま読んでいるこのページがそのまま実例です。ヘッドレスCMSのDirectusとAstro SSRを個人k3sクラスタで動かし、Traefikで公開し、Matomoで計測するまでの全体構成と、静的ビルド配信からSSRへ作り直した理由、SSR化で実際に踏んだ罠を記録します。
GitOpsでKubernetesを管理すると、Secretだけが「Gitに入れられない例外」として残ります。個人k3sでraw Secret、SealedSecret、External Secrets+OpenBaoの3方式が混在するに至った経緯と、一斉移行せずに安全へ寄せていく移行期間の進め方を記録します。
Googleに依存せず、個人ブログの問い合わせフォームをスパムから守りたい。セルフホストCAPTCHA「Cap」をk3sで動かし、以前のreCAPTCHA実装で抜けていたサーバ側検証をfail-closedで入れ直すまでの設計と、実際にハマったデバッグを記録します。
セルフホスト向けソフトウェアを用途別に紹介。Nextcloud、Immich、Forgejo、FreshRSS、Stirling-PDF、認証、監視、AIなど、実際の構築・検証経験をもとに、おすすめ度、保守負担、バックアップや復元時の注意点をまとめます。
セルフホスト環境を壊れた後に戻すため、KubernetesのPV、DB dump、実ファイル、設定、Secretを分け、復旧順序と復元テストを設計する方法を解説します。