Controller auf Raspi im Docker Container?

Hallo zusammen,

hat vielleicht jemand die Controller Software auf einem Raspi im Docker laufen? Ich suche eine gute Anleitung bzw. Antworten auf einige Fragen

- wie installiert man eigene Zertifikate?

- wie geht man vor, wenn neue Version der Software installiert werden soll?

- wie erstellt man Backups? (Ich bekomme immer Fehlermeldung, dass etwas schief gegangen ist - Datei wird zwar erstellt aber die Controller Software sieht sie nicht und kann sie nicht wieder einspielen)

Zumindest für den Moment suche ich weiter jemand der es mit Docker realisiert hat und ew. etwas zu den Fragen sagen kann. Ich habe auf dem Raspi noch USB2IP Lösung laufen damit ich meine Haussteuerung was mit RS232 ausgestattet ist umprogrammieren kann.

Mit der Zeit werde ich für beides andere Lösungen suchen und machen aber für den Moment ist es mir am liebsten mit Docker. Hierzu kommt, dass für Debian was ich immer verwende nicht so ganz ohne ist eine MongoDB Version zu finden die von UniFi unterstützt wird.

So meine Fragen bzw. Probleme habe ich inzwischen selbst lösen können

Zertifikate, Backups und auch Umgang mit neuer Version der Controller Software sollte damit für mich gelöst sein.

Nun,

Vorab - hier nur eine relativ kurze Beschreibung der aktueller Installation (Raspberry PI 3 Model B in 32 Bit Modus armhf mit Unifi Controller laufend im Dokercontainer)

Kurz, weil ich doch scheinbar gefunden habe, wie man Unifi Software auf der Plattform arm64 Installieren kann. Das werde ich die kommende Tage versuchen und dann bei Interesse auch beschreiben

Für die Installation/ Aufbau des Containers habe ich dieses Dockerfile genutzt.

FROM balenalib/rpi-raspbian:buster

RUN apt-get update && apt-get install mongodb wget gnupg ca-certificates apt-transport-https -y && \
    echo 'deb https://www.ui.com/downloads/unifi/debian stable ubiquiti' | tee /etc/apt/sources.list.d/100-ubnt-unifi.list && \
    wget -O /etc/apt/trusted.gpg.d/unifi-repo.gpg https://dl.ui.com/unifi/unifi-repo.gpg

RUN apt-get update && apt-get install unifi -y
RUN ln -s /var/lib/unifi /usr/lib/unifi/data
EXPOSE 8080/tcp 8081/tcp 8443/tcp 8843/tcp 8880/tcp 3478/udp
WORKDIR /var/lib/unifi

ENTRYPOINT ["/usr/bin/java", "-Xmx512M", "-jar", "/usr/lib/unifi/lib/ace.jar"]
CMD ["start"]

Mein Raspberry läuft mit letzter Debian Version Bullseye, Docker wegen Problemen mit der Software nutzt Pakete aus Buster

Das lief so weit ohne Probleme. Ich wollte aber meine Zertifikate eingebunden haben damit ich nicht jedes mal wegen unsicherer Verbindung gewarnt werde. Da ich selbst mit Docker bis jetzt keine Erfahrungen hatte musste ich auch suchen wie das

überhaupt gehen könnte. Diverse Anleitungen die ich im Netz gefunden habe brachten mich aber irgendwie nicht weiter. Das Problem bei dem ganzen ist, dass zuerst ein Zertifikat Request generiert werden muss und dieser dann von einer Zertifizierungsstelle

bestätigt und von der Software importiert werden muss. Das erzeugen des Requests ist ja einfach und lässt sich ohne Probleme in das Dockerfile einbauen. Die Problematik bestand das bestätigte Zertifikat wieder zu importieren.

Das stellte sich am Ende als relativ einfach umsetzbar.

Den Container hatte ich dann mit diesen Parametern gestartet:

sudo docker run --name=unifi --restart unless-stopped -d -p 1.2.3.4:8433:8433 -p 1.2.3.4:8080:8080 -v /srv/unifi/data:/var/lib/unifi -v /srv/unifi/logs:/usr/lib//unifi/logs --network=host unifi

Für den Container nutze ich eine virtuelle IP Adresse, damit es mit der FW abgeriegelt werden kann (dafür steht das 1.2.3.4). Die Angabe von den beiden Ports bedeutet, dass der ankommende Request 1:1 weitergegeben wird. Hinten den "-v" stehen Verzeichnisse wie sie zwischen Host -System und Container gemappt werden. Also alles was ich in das Verzeichnis /srv/unifi/data hineinkopiere "sieht" die Software unter eigenem /var/lib/unifi.

Zunächst habe ich in dem Dockerfile das erstellen des Requests während der Installation eingebaut.

RUN java -jar /usr/lib/unifi/lib/ace.jar new_cert unifiadm.rjap.de "Organisation Name" Stadt Bundesland Land

Hier wunderte es mich, dass ich zwar sehen konnte, dass entsprechende Dateien erstellt waren aber nach dem starten irgendwie ich darauf nicht zugreifen konnte. Also als ob die nicht da wären.. Das liegt an der Vorgehensweise wie das ganze arbeitet.. Ich hatte schon Dateien in meinem /srv/unifi/data Verzeichnis und die werden gemappt auf das /var/lib/unifi. Alles was im Hostverzeichnis nicht existiert zum Zeitpunkt wo der Container startet wird ausgeblendet. Also quasi "drübergelegt".

So hatte ich die Startparameter komplett verändert, damit ich meine Backups und Einstellungen nicht verliere

docker run --name=unifi --restart unless-stopped -d -p 1.2.3.4:8433:8433 -p 1.2.3.4:8080:8080 -v /srv/unifi/data/backup:/usr/lib/unifi/data/backup -v /srv/unifi/data/db:/usr/lib/unifi/db -v /srv/unifi/data/logs:/usr/lib/unifi/data/logs -v /srv/unifi/data/sites:/usr/lib/unifi/data/sites -v /srv/unifi/logs:/usr/lib/unifi/logs -v /srv/unifi/crt:/usr/local/crt -v /srv/unifi/dpkg:/usr/local/dpkg --network=host unifi

Jetzt konnte ich nach dem ersten Start den Zertifikatrequest aus dem Container kopieren

sudo docker cp unifi:usr/lib/data/unifi_certificate.csr.pem /tmp

Damit konnte ich den Request Signieren lassen. Jetzt ging es darum es irgendwie einzubauen.

Dazu änderte ich 2 Zeilen im Dockerfile

Aus:

ENTRYPOINT ["/usr/bin/java", "-Xmx512M", "-jar", "/usr/lib/unifi/lib/ace.jar"]
CMD ["start"]

ist:

CMD ["unifistart.sh"]

geworden.

In dem Shellskript habe ich alles untergebracht was ich haben wollte.

#/bin/sh

DEBFILE=/usr/local/deb/unifi.deb
CRTFILE=/usr/local/crt/unifi.crt


if [ -f "$DEBFILE" ]; then
        dpkg -i /usr/local/deb/unifi.deb
fi
if [ -f "$CRTFILE" ]; then
        /usr/bin/java -jar /usr/lib/unifi/lib/ace.jar import_cert /usr/local/crt/unifi.crt /usr/local/crt/CA.crt
fi
/usr/bin/java -Xmx512M -jar /usr/lib/unifi/lib/ace.jar start

Also wenn der Container startet, dann guckt das Skript ob es ein Debian Paket im angegebenen Verzeichnis liegt. Wenn ja wird es installiert (dieser Teil ist nicht getestet, kann also sein, dass ich noch ein Parameter ändern muss, damit keine Nachfragen o.ä kommen)

Dann wird geschaut ob ein Zertifikat vorliegt, wenn ja, dann werden sowohl das Server wie auch CA Zertifikate importiert und anschließend die Software gestartet.

Das Dockerfile in Endvariante sieht so aus:

 FROM balenalib/rpi-raspbian:buster

RUN apt-get update && apt-get install mongodb wget gnupg ca-certificates apt-transport-https -y && \
    echo 'deb https://www.ui.com/downloads/unifi/debian stable ubiquiti' | tee /etc/apt/sources.list.d/100-ubnt-unifi.list && \
    wget -O /etc/apt/trusted.gpg.d/unifi-repo.gpg https://dl.ui.com/unifi/unifi-repo.gpg

RUN apt-get update && apt-get install unifi -y
RUN ln -s /var/lib/unifi /usr/lib/unifi/data
EXPOSE 8080/tcp 8081/tcp 8443/tcp 8843/tcp 8880/tcp 3478/udp
WORKDIR /var/lib/unifi

ADD unifistart.sh /usr/local/bin/

RUN java -jar /usr/lib/unifi/lib/ace.jar new_cert unifiadm.rjap.de "Moments Of Time" Altenberge NRW DE

RUN cp -axv /usr/lib/unifi/data/unifi_certificate.csr.der /usr/local/share/
RUN cp -axv /usr/lib/unifi/data/unifi_certificate.csr.pem /usr/local/share/
RUN cp -axv /usr/lib/unifi/data/system.properties /usr/local/share/
RUN cp -axv /usr/lib/unifi/data/system.properties.bk /usr/local/share/

RUN mkdir /usr/local/dpkg
RUN mkdir /usr/local/crt

RUN ls -la /usr/lib/unifi/
RUN ls -la /usr/lib/unifi/data/
RUN ls -la /var/lib/unifi/
RUN chmod +x /usr/local/bin/unifistart.sh

CMD ["unifistart.sh"]

Also das große Geheimnis - zumindest für mich war die Starzeilen durch ein Shellscript zu ersetzen. Wenn man weiß, das so etwas möglich ist, dann ist alles "einfach"

Jetzt will ich das ganze aber mit 64 Bit laufen haben. Das bringt u.a den Vorteil, dass die MongoDB ein Journal hat und so robuster wird als die 32 Bit version.

Sollte jemand Fragen haben - beantworte ich gerne aber bitte hier und nicht als PN.

Moin,

ich habe mich die Tage gesetzt und geguckt wie man die Software auf einem Rasperry Pi 3 Model B und/ oder Raspberry Pi 4 (habe die 8GB Version) ans laufen bekommt.

Inzwischen läuft ja auch alles bestens. Vielleicht wird es für den einen oder anderen interessant.

Als Grundlage dienten die Debian Images

Debian 11 Raspberry Pi 4

Debian 11 Raspberry Pi3 B

Ich mag Debian, weil man da nur Grundlage bekommt auf die man aufbauen kann.

Nach dem die SD Karte fertig war habe ich folgende Pakete noch installiert:

console-data console-setup locales keyboard-configuration
wget vim gnupg screen net-tools nfs-common rsync xinetd
docker-ce docker-ce-cli

Die Docker Pakete habe ich von

deb https://download.docker.com/linux/debian bullseye stable

man muss also erst das Archiv in eigene sources.list einbinden

Damit war das so weit alles fertig und ich konnte mit der Unifi Software anfangen.

Hier musste ich doch etwas experimentieren. Ein gewissen Problem ist wohl Java Version.. Nativ also ohne Docker funktionier die Unifi-Software auch mit

openjdk-17-jre-headless

Es werden zwar einige Warnings und auch Errors angezeigt aber laufen tut es trotzdem. Im Docker aber nicht (Pi 3), oder sehr instabil (Pi 4)

So habe ich also zum

openjdk-11-jre-headless

gegriffen. Es läuft sehr stabil und gut. Wünschenswert wäre es aber auf lange Sicht schon, dass UI das Paket in einer neuerer Umgebung baut.

Mir ging es in erster Linie darum MonoDB in 64 Bit zu haben, damit auch Journal vorhanden ist. Und das ist mir doch auch gelungen.

So sieht das Dockerfile aus

FROM debian:bullseye

RUN rm -rf /etc/apt/sources.list

RUN echo "deb http://deb.debian.org/debian stable main contrib non-free" | tee /etc/apt/sources.list.d/stable.list
RUN echo "deb http://security.debian.org/debian-security stable-security main contrib non-free"| tee /etc/apt/sources.list.d/stable-security.list
RUN echo "deb http://deb.debian.org/debian bullseye-backports main contrib non-free"| tee /etc/apt/sources.list.d/backports.list
RUN echo "deb http://deb.debian.org/debian oldoldstable main contrib non-free"| tee /etc/apt/sources.list.d/oldoldstable.list
RUN echo "deb http://security.debian.org/debian-security oldoldstable/updates main contrib non-free" | tee /etc/apt/sources.list.d/oldoldstable-updates.list

RUN apt-get update
RUN apt-get install wget -y
ADD Java-Mongo.install /tmp/Java-Mongo.install
ADD UniFi.install /tmp/UniFi.install

RUN wget -O /etc/apt/trusted.gpg.d/unifi.gpg https://dl.ui.com/unifi/unifi-repo.gpg

RUN echo "deb [arch=arm64,armhf] https://www.ui.com/downloads/unifi/debian stable ubiquiti" | tee /etc/apt/sources.list.d/unifi.list

RUN apt-get update
RUN apt-get install `cat /tmp/Java-Mongo.install` -y
RUN apt-get install `cat /tmp/UniFi.install` -y

RUN ln -s /var/lib/unifi /usr/lib/unifi/data


EXPOSE 8080/tcp 8081/tcp 8443/tcp 8843/tcp 8880/tcp 3478/udp
WORKDIR /var/lib/unifi


ADD unifistart.sh /usr/local/bin/
ADD system.properties /usr/lib/unifi/data/system.properties

RUN echo 'JAVA_HOME="$( readlink -f "$( which java )" | sed "s:bin/.*$::" )"' | tee /etc/default/unifi
RUN ln -s /usr/lib/jvm/java-1.11.0-openjdk-arm64/lib/ /usr/lib/jvm/java-1.11.0-openjdk-arm64/lib/aarch64

RUN java -jar /usr/lib/unifi/lib/ace.jar new_cert unifiadm.rjap.de "Organisation" Ort Bundesland DE


RUN mkdir /usr/local/dpkg
RUN mkdir /usr/local/crt
RUN chmod +x /usr/local/bin/unifistart.sh

CMD ["unifistart.sh"]

Liste der Pakete die in ersten und zweiten Step installiert werden:

Java-Mongo.install
  alsa-topology-conf alsa-ucm-conf ca-certificates-java fontconfig-config
  fonts-dejavu-core java-common libasound2 libasound2-data libavahi-client3
  libavahi-common-data libavahi-common3 libboost-chrono1.62.0
  libboost-filesystem1.62.0 libboost-program-options1.62.0
  libboost-regex1.62.0 libboost-system1.62.0 libboost-thread1.62.0 libcups2
  libcurl3 libfontconfig1 libfreetype6 libgraphite2-3 libharfbuzz0b libicu57
  libjpeg62-turbo liblcms2-2 libnspr4 libnss3 libpcap0.8 libpcrecpp0v5
  libpng16-16 libsnappy1v5 libssl1.0.2 libstemmer0d libyaml-cpp0.5v5 mongodb
  mongodb-clients mongodb-server openjdk-11-jre-headless

UniFi.install
  binutils binutils-aarch64-linux-gnu binutils-common curl jsvc libbinutils
  libcommons-daemon-java libctf-nobfd0 libctf0 libcurl4 unifi

Docker build

docker run --name=unifi --hostname ServerName -e TZ=Europe/Berlin --restart unless-stopped -d -p 1.2.3.4:8433:8433 -p 1.2.3.4:8080:8080 -v /srv/unifi/data/backup:/usr/lib/unifi/data/backup -v /srv/unifi/data/db:/usr/lib/unifi/db -v /srv/unifi/data/logs:/usr/lib/unifi/data/logs -v /srv/unifi/data/sites:/usr/lib/unifi/data/sites -v /srv/unifi/logs:/usr/lib/unifi/logs -v /srv/unifi/crt:/usr/local/crt -v /srv/unifi/dpkg:/usr/local/dpkg --network=host unifi

Das "unifistart.sh" Skript habe ich nicht verändert. Hier warte ich erst auf eine neue Version der Software und werde dann ggf. Anpassungen machen.

So das sollte alles zu dem Thema sein.