Synology NAS Container Manager: Projekt nicht bei Systemstart starten?

[Pfandfinder]

hallo,

ich habe meine Docker-Volumes in einem verschlüsselten Ordner und somit macht es kein Sinn dass die Docker Container beim NAS Neustart mitstarten, ich muss den Ordner erst entschlüsseln. aber egal was ich in der compose als "restart" angebe, die Container starten irgendwie trotzdem beim Neustart, zumindest teilweise. meine Immich-Testinstanz war jetzt bei einem Test nicht hochgefahren, das Produktivsystem schon. das test-system lief vor dem Neustart nicht. kann es sein, dass einfach alle Projekte wieder gestartet werden die vor dem Neustart liefen ? müsste ich die also alle vor dem Neustart beenden ? geht das nicht auch anders ?

 

[Mojo1987]

Soweit ich weis sind verschlüsselte Ordner für Container doch eigentlich garnicht unterstützt.
Mich wundert nicht das er damit nicht klar kommt.

Und ja, normalerweise übernimmt er den Zustand vor dem letzten Reboot, bedeutet wenn der Container gelaufen ist versucht er diesen wieder zu starten (könnte ja sein das der Neustart ein Wartungsneustart oder wegen Stromausfall oder was auch immer war und man danach typischerweise den Ursprungszustand gerne wieder hat)

 

[und tschüss]

Offiziell unterstützt Synology Docker kein verschlüsseltes Volumen. Dass es auch über Umwege geht, habe ich schon in deinem anderen Beitrag geschrieben. Du musst schon verstehen, was da passiert und was für Auswirkungen die Einstellungen haben. Es nützt ja nichts, alles mehrfach zu diskutieren. Nicht ohne Grund ist es so, wie es ist! Das heißt aber nicht, dass es nicht einen anderen Weg gibt. Gefährlich wird es immer dann, wenn man sich etwas dahinbastelt, ohne auf die Basics und die Dokumentation zu achten.

Zu deinem Problem: Der Container Manager startet die Container, welche beim Herunterfahren von DSM auch aktiv waren. Alle ausgeschalteten Container werden auch nicht beim Reboot neu gestartet. Der "restart" in dem Stack behandelt, was passieren soll, wenn der Container z. B. abstürzt oder andere Fehler auftreten. Das hat also nicht wirklich etwas mit dem Container selbst zu tun.

Du hast 2 Möglichkeiten:
1. den Container vor dem Herunterfahren auszuschalten, ggf. über eine Aufgabe mit der API
2. den Synology Schlüsselmanager nutzen

Ich halte die 2. Variante für die bessere Lösung. Sobald das Gerät zurückgesetzt wird, wird auch der Schlüssel aus dem Schlüsselmanager gelöscht. Dann kann nur noch der Key manuell eingetragen werden, um wieder an die Daten zu kommen. Der Schlüsselmanager ist sicher auf der Systempartition und gesichert gespeichert. Dann musst du dich nicht um den Key beim Neustart kümmern und auch nicht mehr die Container manuell neu starten. Das gilt für verschlüsselte Ordner und Volumes bzw. beides in Kombination.

Bevor du jetzt wieder nach der Aufgabe fragst:

synowebapi --exec api=SYNO.Docker.Container version=1 method=stop name="containername"

Den Befehl kannst du mit start oder restart bei method=stop ändern, für den jeweiligen Zweck. Es versteht sich von selbst, dass der Containername angepasst werden muss.

Als Trigger wählst du im Aufgabenplaner die Ausgelöste Aufgabe und wählst als Ereignis "Herunterfahren" aus.

 

[Pfandfinder]

Danke, was ich aber nicht verstehe ist, inwiefern es dann sicher ist, wenn sich das System beim Start selbst entschlüsselt. Derzeit kann das NAS ja bei mir gestohlen werden, niemand kommt aber an die Daten. wenn ich es über den Schlüsselmanager mache, kann doch jeder das NAS starten und hat die Daten ?

Und der genannte befehl ist für Variante 1, dass die Container beim Systemneustart nicht mehr automatisch starten ? Kann ich die 3 Skripte einfach so untereinander schreiben ?

 

[und tschüss]

Danke, was ich aber nicht verstehe ist, inwiefern es dann sicher ist, wenn sich das System beim Start selbst entschlüsselt.

Das System entschlüsselt sich selbst, das ist richtig, aber der Dieb kommt ja nicht an das System, weil er deine Zugangsdaten und im besten Fall 2FA nicht hat. Einzige Möglichkeit ist dann nur noch das Passwort zurückzusehen, um sich wieder anmelden zu können. Dadurch wird aber der Key im Manager gelöscht und nur noch eine manuelle Entschlüsselung ist möglich.

Und der genannte befehl ist für Variante 1, dass die Container beim Systemneustart nicht mehr automatisch starten ?

Ich habe doch geschrieben, was der Auslöser für das Starten der Container im Container Manager als auch in Docker (alte Anwendung). Schalte doch einfach die Container manuell aus und starte die DS neu und beobachte, was passiert, bevor du mit irgendwelchen Aufgaben anfängst.

ann ich die 3 Skripte einfach so untereinander schreiben ?

Ja kannst du.

Bei diesem "abkürzen", was so nicht vorgesehen ist, kann es immer komische Nebeneffekte oder Probleme geben. Ich rate daher zum Schlüsselmanager. Wenn du so viel Angst um dein Gerät hast, gleich mit der Volumen-Verschlüsselung oder mit der doppelten Verschlüsselung (geht aber auf die Performance).