型落ちノートPCでDockerサービスを公開したい
の編集
Top
/ 型落ちノートPCでDockerサービスを公開したい
[
トップ
] [
編集
|
差分
|
バックアップ
|
添付
|
リロード
] [
新規
|
一覧
|
単語検索
|
最終更新
|
ヘルプ
]
-- 雛形とするページ --
.git/info/exclude の使い方と活用シーン - 個人的なファイルをローカルだけで除外する方法
10の質問
2024/09月時点でのおすすめAI
ABC予想
AGIアーキテクチャ設計図:自己参照型注意モデル_SRAM
AGI時代の「評価の一元化」が奪う再起の権利
AI
AI API
AI Scheduler MCP導入手順 - Google Tasks/CalendarをMCP経由で操作
AI プロンプト
AIが詳細を避けがちな合法分野
AIでつかわれているtransformerのまとめ
AIとIDEの共存:ドキュメント整合性のための新しいアプローチ
AIとの効果的な協働のための設計アプローチ:S式とコード生成テンプレートの活用
AIと上手に付き合うコツ:「自分らしさ」を失わないために
AIと共存する時代のソフトウェア開発:コンパイラー開発からの学び
AIの男女と美醜について学習の問題点
AIの話題
AIエージェント階層PMシステムのGit基盤選択
AIチャットの文脈を記憶する!Apache UnomiとModel Context Protocolで実現する次世代のAIチャット管理
AI大規模開発とTDDの意外な関係
AI時代でもエンジニアだらけにならない説
AI開発の「いきなり統合」から脱却!層別テスト駆動開発のテンプレート集
AI開発の現在と未来:統計的限界を超えるために
AI関連の自分がよく見るチャンネル
ANTLR
ANTLR v3 FAQ よくある質問
ANTLR 独学
ANTLR4 独学
ANTLRでOracleのDDLを解析してみる
ANTLRチュートリアル
AOP
API
ARMマイコン基盤
ATOM SHELL理論
Access VBAメモ
Access-Control-Allow-Origin
AndroidとTensorflow
Android開発
Android開発 入門
AngularJS
Anko
Apache Bench
ArchUnitを学ぶ
Axiosとは
Axis2
BI Publisherで始めるデータ駆動型レポート作成
BPMNの勉強
BackTrack4
Blog from iPhone
Bootstrapとは
BracketName
C3 AI Applications
C3 AI エクスマキナ
CSS備忘録
CentOS
ChatGPTの話題
Chevrotainのパーサメソッド
Chevrotain一覧
Chromeエクステンション
Claud MCP
Claude CodeがWindows Nativeサポート開始!Claude-Flowで究極のAI駆動開発体験
Claude Codeサブエージェントで実現する「AIチーム開発」
Claude DesktopのNeo4j接続でCypher構文エラーが出る時の対処法
Claude sonnet computer useを実践投入してみる
ClaudeCode のRalph Wiggum Plugin活用テクニック
ClaudeやMCPでGoogle CalendarにTODO(タスク)を記入できるMCPサーバまとめ
Clojureの実行のお作法
Clojureの3万個以上あるライブラリエコシステム
Clojureをつかってみる
Cocoa Touch Static Library
CoffeeScript
Confluent Control Centerやってみる
C言語でオブジェクト志向な記述方法
DDD ドメイン駆動設計
DDL生成ツール
DJUnit
DMM.comのAPIとか
DOSコマンドメモ
DX人材とUMLによる「設計可視化」の実践ガイド
Dashcode
DeepFloyd IF
Dockerが動かない場合の対処
DockerでLillyMolを爆速起動!化学式から合成経路を探る旅に出よう!
DuckDB導入メモ
ES2015
Eclipse Monkey
Eclipse Plugin
Eclipseの色設定
Eclipse使いがXCode使い初めて知りたいこと
ElasticMQメモ
Elixir
Emmet
Erlangメモ
ExcelファイルをAIに読ませる
Exceptionを見やすく
Expression Tree
FLEX
FLEX リフレクション
Firebase App Check
Firebase Emulator Suite
Fisheye
FlashやJavascriptを使った演出
FlutterとReactとOptiWeb
Flutterの開発環境をDockerで整える
FlyonUI
Forgejo MCP環境設定ガイド
FormattingRules
FrontPage
GAE
GAE Data Store API
GENERAL SQL PARSER JAVA を試してみる
GLOBAL
GPT4ALL
GQL
GUIからMacPortsを管理するアプリケーション - Porticus
Generative Adversarial Networks
Gin JavaScriptで構文解析
Git Blame
Git リポジトリのクローンができないときの解決法
GitHubアクションを使ったトロイの木馬のまとめ
GitLab
GitLabRunnerを増やす
GitLabでPlantUML使ってみる
GitLabでプロジェクト管理する
GitLabの機能をそのまま使って認証システム作ったらどこまでできる?
GitLabサーバインストールとメンテ注意事項
GitとAntとSpringとJUnit
Google Antigravity
Google ClientID
Google Cloud Platform
Google Cloud Platform (GCP) と gcloud CLI 入門
Google MCP Toolbox for Databases と BigQuery で Google Sheets を SQL 操作するガイド
Google Maps Platformを学ぶ
GoogleMapレンダリング
Googleの裏技
Google認定プロジェクトマネージャの勉強メモ
Gradioで簡単GUI作成
Grails
GraphHopperを使用した住所のジオコーディング例
GraphQL
HTM 階層型時間メモリ
HTML スクレイピング
HTML パース
HTML5
HTML5 Canvas
Hadoop
Help
If Then Maybe プログラミング
Inkscape script
InterWiki
InterWikiName
InterWikiSandBox
JAVAの記事一覧
JBoss
JDBC テーブル一覧を得る
JDBC カラム一覧を得る
JDT eclipse
JGRIB
JHIPSTER JDL
JHIPSTER OpenAPI
JHIPSTER エンティティをフィルタリングする
JHIPSTER6.1.2
JHIPSTERでスマホサイト
JHIPSTERのBLUEPRINTを作る
JHIPSTER一覧
JHipster
JHipster API FirstDepelop
JHipster エンティティを更新する
JHipster7をつかってみる
JHipsterでBuleprintを使いこなす
JHipsterのコード生成を改造
JHipsterのプロジェクトをGitLabでCI/CDする
JHipsterのプロジェクトをデプロイする
JIRAをAPI使って操作する
JMeter
JOOQとは
JSFとStruts
JSqlParser
Java Closure
Java Compiler API
Java Function
Java SQL Parserを調査する
Java Spring AOP
Java Spriteを設計してみる
Java オブジェクトのダンプ
Java ドラックできる曲線
Java 備忘録
Java 文字化け
Java11以降のJRE
Java7サンプルコード
JavaFx
JavaScriptでパーサを作る Chevrotain
Javaasist 動的にクラスを編集
Javascript グラフィックライブラリ
Javascript コーディングパターン
Javascript界隈
Javassist
JavaでSVG
Javaで関数型で引数をとる
JavaのジェネリクスTip
Javaのラムダ式
Javaの有名なライブラリ紹介
Javaは、IDEのテンプレートを使いこなせばいいよ
Javaプログラマ向けモナド
Javaメモリリーク
Jenkins
Jenkins(Hudson)メモ
Jestとは
Jhipsterマイグレーション
Json Yaml Xml Hash Scala
KIROナレッジ蓄積フォルダ構成
Kafka REST Proxy さわってみる
Kotolin
LDAPサーバをdockerで立ち上げる
LINE Bot AI翻訳システム構築記(2):n8nでMySQL・翻訳API連携を実装する
LISPで自分の言語を作る
LibreOfficeのCalcをハックしてみる
Linux メモ
LiquiBaseとは
Lispの学び
Lombok
MCP「ここまでのチャットを整理して保存しておいて」
MDBをコンパクトにするVBA
MQL5 半値インジケータ作った
MQL5 小作品
MT4
MT5 EA
MT5お気に入りのインジケータ
MYSQL
MYSQLのバックアップとローカル利用
MacTool
Macにしゃべらせる
Mac用のメモ
Mattermostを使ってオンプレミスでチャット環境を作る
Maven
Mementoパターン
MenuBar
MoonsharpとLuaとUnityについて学ぶ
NILScript
Neo4j バックアップ・復元ガイド
Neo4jでシステムダウン!グラフデータベース選択の失敗談と安全な代替案
NetBeanでプロファイル
Network Service Desk Engineer
Nimbalyst活用メモ
Node-RED
Node-Red
Notion MCP関連について学ぶ
NumPy
OQL オブジェクト問い合わせ言語
OSコマンドインジェクション
ObjctiveC サウンド
ObjectMapperの備忘録
ObjectiveC NSString
ObjectiveC サーバ
ObjectiveC ターミナル用コマンドを作る
ObjectiveC バックグラウンド
ObjectiveC ワーニング
Obsidian MCP インストール
Obsidianの使い方:プロ開発者のための必須プラグインガイド
Obsidianは「メモ帳」ではなく「圧縮帳」である
Oculusアプリの開発
OpenAI Swarm Examples Basic
OpenAI Swarmについて学ぶ
OpenAI Swarmについて認識を深める
OpenFeint
OpenOffice
OpenResty
OpenStreetMapを利用した車両ルーティング問題(VRP)のOptaPlanner解決例
OptaPlanner
OptaPlannerとは
OptaWeb
Outlook VBA
PHP
POSTGRESQL
Pandas Python Data Analysis Library
PdfBox Java用PDFライブラリ
Plagger
Playwrightの実用ガイド:MCPとの統合による新たな可能性
PostgreSQL+AGEでNeo4jの代替え環境構築
PrismaでGraphQL APIを自動生成しよう - チュートリアル
PrismaとGraphQLで作るシンプルなAPI - クイックスタート
PukiWiki
PukiWiki/1.4
PukiWiki/1.4/Manual
PukiWiki/1.4/Manual/Plugin
PukiWiki/1.4/Manual/Plugin/A-D
PukiWiki/1.4/Manual/Plugin/E-G
PukiWiki/1.4/Manual/Plugin/H-K
PukiWiki/1.4/Manual/Plugin/L-N
PukiWiki/1.4/Manual/Plugin/O-R
PukiWiki/1.4/Manual/Plugin/S-U
PukiWiki/1.4/Manual/Plugin/V-Z
PyHipster
QuartzCore
RAD
REST
RWKV
Rails3
Railsと差分開発についての考察
React.js
React.js モーダル画面
RecentDeleted
RedmineLE
Redshift
Relumeでサイトの骨格を作る
Require.js
Roo Codeを使う
Rubycocoa
RubyでScalaをコンパイルするツールをつくる
Rubyアソシエーション認定証
Ruby入門
SCALA REPL
SCALA support tool
SCALAの記事一覧
SDL3で始めるクロスプラットフォームゲーム開発 - 環境構築ガイド
SELinux
SEO
SEO Yahoo対策
SEO対策一覧
SPAM対策
SQLite
SRP×A2A×MCP まとめ:kagentとGoogle A2A Project比較メモ
SSH
SST OpenCode:Claude Codeを超える次世代AIコーディングエージェント
SVNをJavaで操作
SakuraZencoding
SandBox
Scala / Hadoop
Scala Process exec
Scala 遅延評価
Scala/LiftでSlim3
ScalaSigParser
ScalaWithExcel
Scala チュートリアル
Scalaで3D
ScalaでLisp
ScalaとGroovyのPOJO比較
ScalaのIDEについて
Scala言語を学ぶやさしいツール「Kojo」
Slack API やってみる
SocketAppender
Spring
Spring bootでのテストのTIPS
SpringBoot-JPA-NotAManagedType解決記録
SpringBootとSeleniumとJunitの連携
SpringBootのSTSの新規プロジェクトでるエラーの対応
SpringSecurity SAML
Sqlite
Squirrel
StringTemplate
Stringクラス拡張
TALEND
ThreadLocal
Todo一覧
Trac Lightning
Twitter
UltraEdit
UnityでClojureCLRをREPLで使う
UnityでClojureCLRを使いたい
Unityでシューティングゲーム作る際のメモ
VBAでREST通信
VBAのコード
VBAをOpenOffice.org Basicにする
VBAをOpenOffice.org+Basicにする
VPN構築の勉強メモ
VPSやIaaSメモ
VSCodeでRuby開発
VSCodeメモ
VSCode用ChatGptのPlugin
VSCode設定
VirtualBox On Mac
Visual Studio Code プラグイン開発
Vuexとは
WBS管理の弊害
WIN32API
WSDL
WSL2 + Podman 環境を快適にする Flatnet CLI を公開しました
Watson
WebDesign探訪
WebLogic フィルタ
WikiEngines
WikiName
WikiWikiWeb
Windows10のPowerShell でキーボードの言語切り替え
WindowsTool
WindowsでRustからGPUアセンブリ(PTX)を生成する
Windows上でOpenCode + MCP連携環境構築 - 実際のハマりポイントと解決法
Windows環境でJavaバージョンを制御する方法 - Java Shimと環境変数の活用
Windsurf
Windsurf能紹介:カスタムワークフロー(Workflow)とファイルベースルール(Rules)紹介
Windsurf+PlantUMLでAWTエラーに遭遇した話
Worker Thread パターン
XBee
XDOCLET
XForms
XPath
XSL
YahooPIPES
Yahooインフォセンター
Yet Another Pragger
YouTuber
Youtubuのあれ
YukiWiki
anacondaをcygwinで使う
ansible
antlr snippet
antlr 再入門
antlrと日本語
autoit
automator
bluemix
bootstrap2
bower
ccze Colorize log files on CentOS and Ubuntu using ccze tool
centos7
cglibを使って動的コード生成
claude-bridgeでローカルLLMを使い放題
cocos2d
collection/collection.dart
cygwin
diff
dockerのローカルイメージをDocker-in-Dockerで参照する
eclipse設定
emacs 備忘録
emacs 文字列置換
emacsをviライクにする
excel tips
excelのdiff
expectで自動化
figmaにプラグインをインストールする
firebase デプロイ
flutterで、google認証させてFirebaseAuthするメモ
flutterをngrok経由で動作させる
flutter環境設定
ftp自動化
gemini
generator-jhipster-gql
git diffを使った構成管理の省力化
goをやってみる
go言語でファイルサーバ
grizzly
gulp
homebrew
iPhone Bluetoothプログラミング
iPhone iAd
iPhone 実機テスト手続き
iPhoneでグラフィックのHellowWorld
iPhoneとGmailメール
iPhoneに実機転送
iPhoneプログラミング
iPhoneプログラミング/ビューを理解すればiPhoneアプリの基礎を押さえられる
iPhoneプログラミング一覧
iPhoneプログラミング入門
iPhone開発/Interface Builder Plug-in
iPhone開発/キャプチャの取り方
intra-mart
jQuery.Flickableのメモ
java spring boot 認証 memo
jersey
jhipster-codeにアノテーション追加してみる
jhipsterのテンプレート改造準備
jparsecドキュメント日本語訳
jparsec入門
kafkaの勉強
log4j2の脆弱性
mac diff
mailcowのインストール
marmaid
mcp-atlassian バージョン互換性の問題と解決方法
memcached
metabaseはダッシュボードなのか
minecraft マイクラ あるきながら、高速ダンジョン作成
mqttの勉強
n8nとDockerでLINE翻訳ボットを作る時に遭遇した5つの罠とその解決法
n8n入門:Docker-composeでWebhook→データ処理→ファイル保存のワークフローを作る
nginx_lua
nginxのメモ
ngrokを利用したLINE Webhookの動的更新 - グローバルIP不要の開発環境構築
node_moduleをnpm linkを使って自分用にする
npm
openapi generator
openapi-generatorをコンパイル
openstack
oraclerac
play framework 1.2.5 sample
play! framework
play!framework selenium
playframework テンプレート
postmanとopenapi
postman使ってみる
prezi プレゼン
pukiwikiで行動管理
pukiwikiに類似したツール
pukiwiki勉強
pukiwiki記事一覧
python
python3のwindowsでの日本語文字化け対応
pythonでseleniumを使う
pythonのテストに使うライブラリ
rails5
rate.jsを使ってみる
reactでポップアップ表示
redmine
ruby on rails 6.0.0
scala
scala 99problem 32~
scala prototype.zip
scala repl
scala sbaz
scala spring
scala/インストール
scalaでまだ不勉強なところ
scalaのインストール
selenium
skills
slack api
spark
spring boot
spring initializerをつかってプロジェクトのひな型をゲットする
spring-test
springboot
springboot env
storybook
sublimetext2
swagger
tracについて
ubuntu
vaadin
vue を typescriptで開発
vue 共通部品作成
vue.js memo
vue.jsとは
vue.jsのデバッグ
vue一覧
webの編集画面のよくあるパターン
windows版のwindsurfのアップデートが失敗する場合、com surrogateが原因かもしれない
windows環境構築
windsurfでフロント開発用プラグイン
wordpress
xamppについて
•Axis2の本家のスタートガイドによるWebサービスの作り方
「AIによる動的実行」と「従来の静的最適化済みコード」が棲み分けられる時代
「AI促進法」国会審議をDXする提案メモ
「Computer use」Claude 3.5 SonnetでPCを操作
【Javascript】【CLIライブラリ】commanderの勉強
【MQL5】KuniRangeBreakoutEA
【初心者必見】テーマだけ決めてスムーズに話せる!動画撮影のコツと練習法
【実践Tips】Node.jsでレスポンス切替型モックAPIを超シンプルに作る方法
いまさらながらC++
おすすめされたフリーソフト
びっくりする短いコード
もう合成ルート探索で迷わない! ASKCOSでスマートに逆合成解析!
アクター
アニメーション
アノテーション
アプリコット
アプリコット PukiWiki
アプリコード
アプリコード林邦行
イラストのエフェクト
インテンショナルプログラミング
オープンソースLSPプロバイダーのMCPであるSerenaの紹介
カスタマイズjhipster7.9.3イメージ
カブロボ
ガイガーカウンター
クラスとハッシュマップの関係
クラック対策
クロス集計
コマンドラインという概念への考察
コマンドラインの出力に色を付ける
コミニュケーション
コラッツ予想:シンプルな数学の問題が隠す深遠な謎
コード生成
サロゲートキーを使ったテーブル設計
シェルのサンプル
シェルサンプル
スクレイピング
スマートコントラクト開発環境Hardhatを学ぶ
スレッドプログラミングメモ
ソースtoソース変形
ターミナルをAppleScriptで制御
テキストエディタ作成javascriptフレームワーク
テスト用まっさらDBをdockerでたてる
テスト駆動
テレワーク環境の比較
ドキュメント指摘AIエージェント定義
ドット絵
ナイアシンと脂質代謝に関する新仮説
ハーネスフォルダを作ってSWE改善
バイオビルダー合成生物学メモ
バグの少ない設計のためのValueObject
パフォーマンスチューニング
フロントエンドとバックエンド(API)を1つのリポジトリで管理するメリット
フロントエンドのテストの結合テストを減らすには?
プッシュ技術
プログラマーじゃない人に覚えてほしいプログラムのコメントの書き方
プロジェクト管理スプレッドシート
プロンプトエンジニア以外のこれからのAI技術者
マイクラ 有名ディメンション モッド
マクスウェル方程式
メタ
ライフハック_選挙を楽しむ方法
ラムダ計算について考える
リベリカJava13いいみたい
リモートワークでのプロジェクト注意点
レイアウトツール
ログ解析
世界の構文解析グラマーたち
予定表
予定表/2009-12-14
予定表/2009-12-18
予定表/2009-12-19
予定表/2009-12-22
予定表/2009-12-23
予定表/2009-12-24
事業の心構え
事業計画方針
五蘊と経営を磨く徳目表
五蘊と経営を磨く徳目表:ウェルビーイング対応一覧
人工知能とCUDA
人工知能コンペKaggle
仕様書のフォーマットについての考察
他言語サイトサンプル作成
仮説Oracleの罠
作曲と効果音作り
僕が無意識に使っていた設計パターンたちに、ちゃんと名前があった話
免疫型社会モデル:性善説でも性悪説でもない第三の道
共和分
効率的なAI活用戦略:S式ベースの問題解決ライブラリの構築
厚黒学から見た日本の構造的脆弱性
口コミ
古いRails5を入れる
哲学
型落ちノートPCでDockerサービスを公開したい
大文字小文字変換
契約書で避けたい条項リスト(エンジニア視点)
学習をHackする
扶養とシステム
投薬のみのガンの治療薬
擬似コーディングのすすめ
放射能対策
数学を学んでいて気づいた物理学との驚くべきつながり
数式を扱う
文章を書く
新エネルギー
新年の抱負2010
新技術 プログラム編
日本のゼネコン式IT開発が失敗する理由
日本半導体産業の敗北から学ぶ経営の本質
最近更新したページ
未来のAIは「私はここまでできます、ここからは専門家にお任せを!」と語りかける
未来技術/新技術
枯れた技術の水平思考
株価データ
業界の動向
構文解析の記事一覧
正規表現
気象データ
流れるようなインタフェース
究極の集中状態を実現する:プログラマーのためのディープワーク実践ガイド
管理画面の生成におけるopenapiとJDLなどの考察
細胞の若返り
経済のことをまとめてみる
脆弱性
脳腫瘍の開発中治療薬LY367385とリンゴ酢
自分でPlaggerみたいなのを作るためのメモ
虚数軸への新たな視点
話せるAIの記事のリンク
論語/学而第一
負荷テスト
販売/デスクトップPC
販売/ノートパソコン
販売/外部ストレージ
起業
超小型ローカルLLM
酸化グラフェン
開発哲学
電子出版
電子出版の記事一覧
非可換幾何学
顧客分析のデシル分析とRFM分析
DIコンテナについて考える
MP3から携帯着うたを作る方法
* 目次 [#y94c36c7] #contents * 型落ちノートPCでDockerサービスを公開したい ― WSL2の多段NAT地獄をNebulaで乗り越える [#fd14b54d] ** はじめに [#p7d08d57] 部署で余った型落ちのWindows 10ノートPC。捨てるにはもったいないが、業務の第一線で使うにはスペックが心許ない。「WSL2でDockerを動かして、チーム用のForgejoでも立てれば有効活用できるのでは?」と思いついた。専用サーバの稟議を通す必要もなく、手元ですぐ始められる。 お手軽で最高――と思いきや、思わぬ落とし穴があった。''多段NAT''である。 本記事では、WSL2上のDockerコンテナで立てたサービスに、同じフロアの開発メンバーからアクセスできるようにするまでに直面した多段NATの問題と、OSSのメッシュVPN ''Nebula'' で解決した話を紹介する。 ** WSL2の多段NAT構造 [#d3be4432] WSL2上のDockerコンテナでサービスを公開しようとすると、ネットワーク的にはこうなる。 [社内LAN上のメンバーPC] └─ [ルーター / 社内NW] ← NAT① └─ [Windows 10 ホスト] └─ [WSL2 仮想ネットワーク] ← NAT② └─ [Docker bridge network] ← NAT③ ├─ Forgejo (port 3000) └─ DinD Runner NATが3重。localhostでは動いているのに、隣の席の同僚からアクセスできない。これが多段NATの厄介さだ。 ** 試行錯誤:どれもしっくりこない [#m5dbd57f] いくつかの方法を試したが、どれも決め手に欠けた。 *** portproxy(netsh interface portproxy) [#w54a56e4] Windows標準のポート転送機能。追加ソフト不要で手軽だが、WSL2のIPアドレスが再起動のたびに変わる。起動時にスクリプトで毎回再設定する必要があり、Windows Updateでファイアウォールがリセットされるリスクもある。さらに、''TCPのみ対応でUDPは転送できない''という制約もある。動くけど、運用が地味に辛い。 *** Windows 11のミラードネットワーキング [#j67f358b] WSL2のネットワークをホストとミラーリングする機能。今回の環境はWindows 10なので、この選択肢自体が使えない。 *** Tailscale [#r8d933dd] 手軽さは抜群。ただしコーディネーションサーバがTailscale社に依存しており、完全なOSSではない。同じフロアの仲間内で使うだけなのに、外部サービスに依存するのは少し大げさに感じた。 *** ngrok [#r167baee] 一時的なデモ共有には便利だが、常時運用には向かない。 ** Nebulaにたどり着いた [#da5df50f] 最初にAIに相談したときは、portproxyやTailscaleなど「よくある解決策」しか出てこなかった。そこで方針を変えて、解決策を直接聞くのではなく、問題点を構造的に整理する壁打ちをした。NAT越えの方式を体系的に比較していく中で、''Nebula'' というツールの存在を知った。 ** Nebulaとは [#p57b04f4] Nebulaは、Slackのエンジニアが社内インフラ向けに開発し、2019年にOSS化されたオーバーレイネットワークツールだ。 https://slack.engineering/introducing-nebula-the-open-source-global-overlay-network-from-slack/ |~項目|~内容| |ライセンス|MIT(完全OSS)| |開発言語|Go| |対応OS|Linux, macOS, Windows, iOS, Android| |暗号方式|Noise Protocol Framework / AES-256-GCM| |NATの扱い|UDPホールパンチング + Lighthouse(ディスカバリノード)| |本番実績|Slackで5万台以上のホストが稼働| |GitHub|[[slackhq/nebula>https://github.com/slackhq/nebula]]| ざっくり言うと、各マシンにNebulaをインストールして証明書を置くだけで、NATの有無に関係なく仮想的なプライベートネットワークで直接つながる。WSL2の多段NATも、Docker内のNATも、まるごとスキップできる。 ** 仲間内なら証明書管理は怖くない [#gc051e58] Nebulaの紹介記事を読むと「自分でCA(認証局)を作って、証明書を発行して…」という説明が出てきて、ちょっと身構えるかもしれない。実際、Nebulaの作者が設立したDefined Networking社は、この証明書管理を自動化する有料サービス(Managed Nebula)を提供しているぐらいだ。 しかし、それは数百〜数千台規模でメンバーの出入りが頻繁な組織の話。同じフロアの気心知れた3人で使うなら、事情はまったく違う。 *** 証明書の有効期限は自分で決められる [#x1e6c933] デフォルトは1年だが、-duration フラグで自由に設定できる。仲間内で使うだけなら、10年にしておけば実質メンテナンスフリーだ。 *** 発行するのは初回の数枚だけ [#n62521c6] 3人チームなら発行する証明書はこれだけだ。 # CA(認証局)を作る(10年有効) nebula-cert ca -name "our-team" -duration 87600h # 各ホスト用の証明書を発行(10年有効) nebula-cert sign -name "lighthouse" -ip "192.168.100.1/24" -duration 87600h nebula-cert sign -name "member1" -ip "192.168.100.2/24" -duration 87600h nebula-cert sign -name "member2" -ip "192.168.100.3/24" -duration 87600h nebula-cert sign -name "member3" -ip "192.168.100.4/24" -duration 87600h コマンド5つ。1分もかからない。あとはファイルを各メンバーに渡すだけ。USBメモリでもSlackのDMでも、渡し方は何でもいい。同じフロアに座っているのだから。 *** CAの秘密鍵の管理も気楽でいい [#v0cb3219] 大規模組織なら ca.key は厳重に暗号化して金庫に入れるべきだ。しかし仲間内の3人なら、自分のPCの適当なフォルダに保管しておけば十分だ。万が一漏れたところで、このネットワークにアクセスできるのは同じフロアにいる顔見知りだけである。 *** メンバーの追加・削除 [#b30e71dd] 誰かがチームに加わったら、コマンド1つで証明書を発行して渡すだけ。辞めた人がいたら、その証明書をブロックリストに追加すればいい。3人規模なら、そもそも滅多に発生しないイベントだ。 ** 同一LANならLighthouseも手元でいい [#w087c7f9] Nebulaのネットワークには、ノード同士がお互いを発見するための Lighthouse(灯台)が必要だ。インターネット越しに使う場合はVPSなどに置く必要があるが、全員が同じ社内LANにいるなら、Forgejoを動かしている型落ちノートPC自身をLighthouseにしてしまえばいい。追加のサーバは不要だ。 ** 構成まとめ [#vb5b698d] 最終的な構成はこうなる。 [社内LAN: 192.168.179.0/24] │ ├─ 型落ちノートPC (192.168.179.17) │ │ │ ├─ [Windows側] │ │ └─ UDPリレー (UDP 4242 → WSL2へ転送) │ │ │ └─ [WSL2側] │ ├─ Nebula Lighthouse (192.168.100.1) │ └─ Docker │ ├─ Forgejo (port 3000) │ └─ DinD Runner │ ├─ メンバー1 PC ── Nebula (192.168.100.2) ├─ メンバー2 PC ── Nebula (192.168.100.3) └─ メンバー3 PC ── Nebula (192.168.100.4) 各メンバーは http://192.168.100.1:3000 でForgejoにアクセスする。NATが何重だろうが関係ない。Nebulaのオーバーレイネットワークがすべてをバイパスしてくれる。 ''ポイント'': NebulaをWSL2で動かすことで、Dockerと同じネットワークスタックに配置。これにより、Nebula経由のアクセスが自然にDockerコンテナに到達する。ただし、外部からのUDP接続をWSL2に転送するためのUDPリレーがWindows側で必要になる。 ** 検証:実際にやってみた [#y0568e53] *** 検証環境 [#f1f94938] |~項目|~内容| |ホストOS|Windows 10 Pro| |WSL2|Ubuntu 24.04 LTS| |Docker|Docker Engine on WSL2| |サービス|Forgejo 9 + Forgejo Runner (DinD)| |Nebula|v1.10.2| |クライアント|同一フロアのWindows PC × 3台| *** ステップ1: Nebulaバイナリの準備 [#step1] [[GitHub Releases>https://github.com/slackhq/nebula/releases]]から以下をダウンロード: - Linux版(WSL2用): nebula-linux-amd64.tar.gz - Windows版(メンバー用): nebula-windows-amd64.zip # WSL2で作業ディレクトリを作成 mkdir -p ~/nebula cd ~/nebula # Linux版を展開 tar xzf nebula-linux-amd64.tar.gz # Windows版も展開してメンバー配布用に準備 mkdir -p windows unzip nebula-windows-amd64.zip -d windows/ *** ステップ2: CA・証明書の発行 [#step2] cd ~/nebula # CA作成(10年有効) ./nebula-cert ca -name "our-team" -duration 87600h # Lighthouse用 ./nebula-cert sign -name "lighthouse" -ip "192.168.100.1/24" -duration 87600h # メンバー用 ./nebula-cert sign -name "member1" -ip "192.168.100.2/24" -duration 87600h ./nebula-cert sign -name "member2" -ip "192.168.100.3/24" -duration 87600h ./nebula-cert sign -name "member3" -ip "192.168.100.4/24" -duration 87600h 証明書の確認: ./nebula-cert print -path lighthouse.crt 出力例: { "details": { "name": "lighthouse", "networks": ["192.168.100.1/24"], "notAfter": "2036-02-03T...", "notBefore": "2026-02-05T..." } } *** ステップ3: Lighthouse設定ファイル作成(WSL2用) [#step3] ~/nebula/config-lighthouse.yml を作成: pki: ca: /home/YOUR_USER/nebula/ca.crt cert: /home/YOUR_USER/nebula/lighthouse.crt key: /home/YOUR_USER/nebula/lighthouse.key lighthouse: am_lighthouse: true interval: 60 listen: host: 0.0.0.0 port: 4242 punchy: punch: true respond: true tun: dev: nebula1 mtu: 1300 logging: level: info format: text firewall: outbound: - port: any proto: any host: any inbound: - port: any proto: any host: any ※YOUR_USER は実際のユーザー名に置き換える。 *** ステップ4: メンバー用設定ファイル作成 [#step4] windows/config.yml を作成(メンバー配布用): pki: ca: ca.crt cert: host.crt key: host.key static_host_map: # LighthouseのNebula IP: サーバPCのLAN IP "192.168.100.1": ["192.168.179.17:4242"] lighthouse: am_lighthouse: false interval: 60 hosts: - "192.168.100.1" listen: host: 0.0.0.0 port: 4242 punchy: punch: true respond: true tun: dev: nebula1 mtu: 1300 logging: level: info format: text firewall: outbound: - port: any proto: any host: any inbound: - port: any proto: any host: any ''注意'': static_host_map の 192.168.179.17 は、Lighthouseを動かすWindowsホストのLAN IPに置き換える。確認方法: コマンドプロンプトで ipconfig を実行。 *** ステップ5: UDPリレースクリプト作成(Windows用) [#step5] NebulaはUDPで通信するが、netsh portproxyはTCPのみ対応。そのため、PowerShellでUDPリレーを動かす必要がある。 C:\nebula\udp-relay.ps1 を作成: # UDP Relay: Forward UDP 4242 to WSL2 # Run as Administrator $wslIP = "172.31.58.140" # WSL2のIP(WSL2で hostname -I で確認) $port = 4242 Write-Host "=== Nebula UDP Relay ===" -ForegroundColor Green Write-Host "Listening on 0.0.0.0:$port" Write-Host "Forwarding to ${wslIP}:$port" Write-Host "Press Ctrl+C to stop" -ForegroundColor Yellow Write-Host "" $listener = New-Object System.Net.Sockets.UdpClient($port) $listener.Client.ReceiveTimeout = 1000 $wslEndpoint = New-Object System.Net.IPEndPoint([System.Net.IPAddress]::Parse($wslIP), $port) $clients = @{} while ($true) { try { $clientEP = New-Object System.Net.IPEndPoint([System.Net.IPAddress]::Any, 0) $data = $listener.Receive([ref]$clientEP) $clientKey = $clientEP.ToString() $now = Get-Date if ($clientEP.Address.ToString() -eq $wslIP) { foreach ($key in $clients.Keys) { $listener.Send($data, $data.Length, $clients[$key].Endpoint) | Out-Null Write-Host "$(Get-Date -Format 'HH:mm:ss') <- WSL2 -> $key ($($data.Length) bytes)" } } else { $clients[$clientKey] = @{Endpoint = $clientEP; LastSeen = $now} $listener.Send($data, $data.Length, $wslEndpoint) | Out-Null Write-Host "$(Get-Date -Format 'HH:mm:ss') $clientKey -> WSL2 ($($data.Length) bytes)" } $cutoff = $now.AddMinutes(-5) $oldClients = $clients.Keys | Where-Object { $clients[$_].LastSeen -lt $cutoff } foreach ($old in $oldClients) { $clients.Remove($old) } } catch [System.Net.Sockets.SocketException] { } catch { Write-Host "Error: $_" -ForegroundColor Red } } ''注意'': $wslIP はWSL2のIPアドレス。WSL2で hostname -I を実行して確認し、スクリプト内の値を更新する。 *** ステップ6: メンバー用配布セット作成 [#step6] 各メンバー用にフォルダを作成: mkdir -p dist/member1 dist/member2 dist/member3 for i in 1 2 3; do cp windows/nebula.exe dist/member${i}/ cp ca.crt dist/member${i}/ cp member${i}.crt dist/member${i}/host.crt cp member${i}.key dist/member${i}/host.key cp windows/config.yml dist/member${i}/ # wintun.dllのディレクトリ構造を作成 mkdir -p dist/member${i}/dist/windows/wintun/bin/amd64 cp windows/dist/windows/wintun/bin/amd64/wintun.dll \ dist/member${i}/dist/windows/wintun/bin/amd64/ done ''重要'': Windows版Nebulaはwintun.dllが必要。Nebulaは特定のパスでwintun.dllを探すため、以下のディレクトリ構造で配置する: member1/ ├── nebula.exe ├── config.yml ├── ca.crt ├── host.crt ├── host.key └── dist/ └── windows/ └── wintun/ └── bin/ └── amd64/ └── wintun.dll wintunはNebulaのWindows版リリースに同梱されている。 配布用にzip化(PowerShellで): cd dist Compress-Archive -Path member1 -DestinationPath nebula-member1.zip Compress-Archive -Path member2 -DestinationPath nebula-member2.zip Compress-Archive -Path member3 -DestinationPath nebula-member3.zip Google DriveやSlack等で各メンバーに配布する。 *** ステップ7: サーバー側の起動(起動順序が重要) [#step7] '''1. WSL2でLighthouseを起動''' cd ~/nebula sudo ./nebula -config config-lighthouse.yml 正常起動時のログ: level=info msg="Nebula interface is active" interface=nebula1 networks="[192.168.100.1/24]" udpAddr="0.0.0.0:4242" '''2. Windows側でUDPリレーを起動''' ''別のターミナル''で、管理者権限のPowerShellを開いて: cd C:\nebula Set-ExecutionPolicy -Scope Process Bypass .\udp-relay.ps1 表示例: === Nebula UDP Relay === Listening on 0.0.0.0:4242 Forwarding to 172.31.58.140:4242 *** ステップ8: ローカルテストで動作確認 [#step8] メンバーに配布する前に、サーバーPC上でローカルテストを行う。これにより、メンバーに渡す前に問題を発見できる。 ローカルテスト用設定ファイル C:\nebula\config-local-test.yml を作成: pki: ca: ca.crt cert: host.crt key: host.key static_host_map: # ローカルテストはWSL2に直接接続 "192.168.100.1": ["172.31.58.140:4242"] lighthouse: am_lighthouse: false interval: 60 hosts: - "192.168.100.1" listen: host: 0.0.0.0 port: 4243 # Lighthouseと競合しないよう別ポート punchy: punch: true respond: true tun: dev: nebula_test mtu: 1300 logging: level: info format: text firewall: outbound: - port: any proto: any host: any inbound: - port: any proto: any host: any member1の証明書をC:\nebulaにコピー: copy dist\member1\host.crt C:\nebula\ copy dist\member1\host.key C:\nebula\ copy dist\member1\ca.crt C:\nebula\ ''重要: UDPリレーを停止(Ctrl+C)してから''テストを実行する。ローカルテストではWSL2に直接接続するため、UDPリレーは不要。 管理者権限のPowerShellで: cd C:\nebula .\nebula.exe -config config-local-test.yml 正常接続時のログ: level=info msg="Handshake message received" certName=lighthouse ... level=info msg="Nebula interface is active" networks="[192.168.100.2/24]" 別のコマンドプロンプトで確認: ping 192.168.100.1 curl http://192.168.100.1:3000 ブラウザで http://192.168.100.1:3000 を開き、Forgejoが表示されれば成功。 ''テスト完了後'': テスト用Nebulaを停止(Ctrl+C)し、''UDPリレーを再起動''する。外部メンバーの接続にはUDPリレーが必要。 *** ステップ9: メンバーPCでの起動 [#step9] メンバーは配布されたzipファイルを展開し、管理者権限のコマンドプロンプトで実行: cd C:\nebula\member1 nebula.exe -config config.yml 正常接続時のログ: level=info msg="Handshake message received" certName=lighthouse ... level=info msg="Nebula interface is active" networks="[192.168.100.2/24]" *** ステップ10: 接続確認 [#step10] メンバーPCから: ping 192.168.100.1 ブラウザで http://192.168.100.1:3000 を開き、Forgejoが表示されれば成功。 *** 検証結果 [#c9268ba0] |~テスト項目|~結果| |WSL2でLighthouse起動|OK| |UDPリレー起動|OK| |ローカルテスト(同一PC)|OK| |メンバーからのHandshake|OK| |ping 192.168.100.1|OK (TTL=64, <1ms)| |Forgejo Web UI (http://192.168.100.1:3000)|OK| |git clone via SSH (port 2222)|OK| ** メンバー向けクイックスタート [#quickstart] 配布されたzipファイルを受け取ったメンバー向けの手順: +zipファイルを C:\nebula に展開 +''管理者権限''でコマンドプロンプトを開く +以下を実行: cd C:\nebula\member1 nebula.exe -config config.yml +「Handshake message received」と表示されれば接続成功 +ブラウザで http://192.168.100.1:3000 を開く +Forgejoが表示されれば完了 ** ハマりポイントと対処法 [#trouble] *** wintun.dll not found [#wintun] 症状: Failed to get a tun/tap device" error="can not load the wintun driver Nebulaは特定のパスでwintun.dllを探す。nebula.exeと同じフォルダに置いても見つからない。以下の構造で配置: C:\nebula\dist\windows\wintun\bin\amd64\wintun.dll *** netsh portproxyが効かない [#portproxy] netsh portproxyはTCPのみ対応。NebulaはUDPを使うため、PowerShellのUDPリレーが必要。 また、netsh portproxyをNebulaの仮想インターフェース(192.168.100.1)に対して設定しても機能しなかった。これはTUN/TAPデバイスの特性によるもの。解決策として、NebulaをWSL2で動かし、Dockerと同じネットワークスタックに配置した。 *** WSL2のIPが変わる [#wslip] WSL2のIPは再起動で変わることがある。UDPリレーのスクリプト内の $wslIP を更新する必要がある。 起動時に自動取得する場合: $wslIP = (wsl hostname -I).Trim().Split()[0] *** 管理者権限が必要 [#admin] Nebulaは仮想ネットワークインターフェースを作成するため、Windows/Linux両方で管理者権限(sudo)が必要。 ** 運用Tips [#tips] *** サーバー起動チェックリスト [#checklist] 毎回の起動時に確認すること: +WSL2が起動していること +WSL2でNebulaが起動していること(sudo ./nebula -config ...) +Windows側でUDPリレーが起動していること(.\udp-relay.ps1) *** 自動起動の設定 [#autostart] WSL2側のNebulaはsystemdサービス化、Windows側のUDPリレーはタスクスケジューラで自動起動できる。 *** ファイアウォール [#firewall] Windows FirewallでUDP 4242の受信を許可する必要がある場合: netsh advfirewall firewall add rule name="Nebula UDP" dir=in action=allow protocol=UDP localport=4242 ** 所感 [#i55b258e] 型落ちノートPCの有効活用という軽い気持ちで始めたが、WSL2の多段NATは想像以上に厄介だった。portproxyのスクリプト化やミラードモードなど、対症療法を繰り返していたら、おそらくどこかで嫌になっていたと思う。 Nebulaは、この問題をオーバーレイネットワークで根本的に解決してくれる。しかもMITライセンスの完全OSSだ。 証明書管理が大変そうに見えるのがNebulaのとっつきにくさだが、仲間内で使う分には有効期限を10年にして最初に数枚発行すれば、あとはほぼ放置でいい。同じフロアの顔見知り同士なら、セキュリティもそこまで神経質にならなくていい。 WSL2でNebulaを動かす場合のUDPリレーは少し面倒だが、一度設定すれば安定して動作する。Windows側でNebulaを直接動かす選択肢もあるが、その場合はDockerへのポートフォワーディングで別の問題が発生するため、WSL2側で動かすのがシンプルだった。 同じようにWSL2のNAT越えで困っている方は、選択肢のひとつとして検討してみてほしい。 ** 補足:もっと本格的に使いたくなったら [#o1554add] Nebulaの作者が設立したDefined Networking社が提供する ''Managed Nebula'' というサービスがある。証明書の自動管理、Web UI、SSO連携が付いて、100デバイスまで無料(クレジットカード不要)で使える。チームが大きくなったり、リモートワークで社外からもアクセスしたくなったりしたときの次のステップとして覚えておくと良い。 -[[Defined Networking(Managed Nebula)>https://www.defined.net/]] *** 初回のみ管理者権限で動作するようにするには [#p28b209e] Nebulaをサービス化すれば解決します。管理者が初回のみ設定すれば、以降は自動起動または一般ユーザーでも操作可能になります。 NSSM(Non-Sucking Service Manager) を使う方法が簡単です。 メンバー向けセットアップ(管理者が初回のみ実行) 1. NSSMをダウンロード: https://nssm.cc/download 2. 管理者cmdで: nssm install NebulaMember C:\nebula\member1\nebula.exe -config C:\nebula\member1\config.yml nssm set NebulaMember Start SERVICE_AUTO_START nssm start NebulaMember これでPC起動時に自動でNebulaが起動し、メンバーは何もしなくてよくなります。 ** 参考リンク [#z599c6ad] -[[Nebula公式ドキュメント>https://nebula.defined.net/docs/]] -[[GitHub: slackhq/nebula>https://github.com/slackhq/nebula]] -[[Introducing Nebula(Slack Engineering Blog)>https://slack.engineering/introducing-nebula-the-open-source-global-overlay-network-from-slack/]] -[[Wintun(Windows TUN driver)>https://www.wintun.net/]]
spamではない場合はチェックをいれてください。
タイムスタンプを変更しない
* 目次 [#y94c36c7] #contents * 型落ちノートPCでDockerサービスを公開したい ― WSL2の多段NAT地獄をNebulaで乗り越える [#fd14b54d] ** はじめに [#p7d08d57] 部署で余った型落ちのWindows 10ノートPC。捨てるにはもったいないが、業務の第一線で使うにはスペックが心許ない。「WSL2でDockerを動かして、チーム用のForgejoでも立てれば有効活用できるのでは?」と思いついた。専用サーバの稟議を通す必要もなく、手元ですぐ始められる。 お手軽で最高――と思いきや、思わぬ落とし穴があった。''多段NAT''である。 本記事では、WSL2上のDockerコンテナで立てたサービスに、同じフロアの開発メンバーからアクセスできるようにするまでに直面した多段NATの問題と、OSSのメッシュVPN ''Nebula'' で解決した話を紹介する。 ** WSL2の多段NAT構造 [#d3be4432] WSL2上のDockerコンテナでサービスを公開しようとすると、ネットワーク的にはこうなる。 [社内LAN上のメンバーPC] └─ [ルーター / 社内NW] ← NAT① └─ [Windows 10 ホスト] └─ [WSL2 仮想ネットワーク] ← NAT② └─ [Docker bridge network] ← NAT③ ├─ Forgejo (port 3000) └─ DinD Runner NATが3重。localhostでは動いているのに、隣の席の同僚からアクセスできない。これが多段NATの厄介さだ。 ** 試行錯誤:どれもしっくりこない [#m5dbd57f] いくつかの方法を試したが、どれも決め手に欠けた。 *** portproxy(netsh interface portproxy) [#w54a56e4] Windows標準のポート転送機能。追加ソフト不要で手軽だが、WSL2のIPアドレスが再起動のたびに変わる。起動時にスクリプトで毎回再設定する必要があり、Windows Updateでファイアウォールがリセットされるリスクもある。さらに、''TCPのみ対応でUDPは転送できない''という制約もある。動くけど、運用が地味に辛い。 *** Windows 11のミラードネットワーキング [#j67f358b] WSL2のネットワークをホストとミラーリングする機能。今回の環境はWindows 10なので、この選択肢自体が使えない。 *** Tailscale [#r8d933dd] 手軽さは抜群。ただしコーディネーションサーバがTailscale社に依存しており、完全なOSSではない。同じフロアの仲間内で使うだけなのに、外部サービスに依存するのは少し大げさに感じた。 *** ngrok [#r167baee] 一時的なデモ共有には便利だが、常時運用には向かない。 ** Nebulaにたどり着いた [#da5df50f] 最初にAIに相談したときは、portproxyやTailscaleなど「よくある解決策」しか出てこなかった。そこで方針を変えて、解決策を直接聞くのではなく、問題点を構造的に整理する壁打ちをした。NAT越えの方式を体系的に比較していく中で、''Nebula'' というツールの存在を知った。 ** Nebulaとは [#p57b04f4] Nebulaは、Slackのエンジニアが社内インフラ向けに開発し、2019年にOSS化されたオーバーレイネットワークツールだ。 https://slack.engineering/introducing-nebula-the-open-source-global-overlay-network-from-slack/ |~項目|~内容| |ライセンス|MIT(完全OSS)| |開発言語|Go| |対応OS|Linux, macOS, Windows, iOS, Android| |暗号方式|Noise Protocol Framework / AES-256-GCM| |NATの扱い|UDPホールパンチング + Lighthouse(ディスカバリノード)| |本番実績|Slackで5万台以上のホストが稼働| |GitHub|[[slackhq/nebula>https://github.com/slackhq/nebula]]| ざっくり言うと、各マシンにNebulaをインストールして証明書を置くだけで、NATの有無に関係なく仮想的なプライベートネットワークで直接つながる。WSL2の多段NATも、Docker内のNATも、まるごとスキップできる。 ** 仲間内なら証明書管理は怖くない [#gc051e58] Nebulaの紹介記事を読むと「自分でCA(認証局)を作って、証明書を発行して…」という説明が出てきて、ちょっと身構えるかもしれない。実際、Nebulaの作者が設立したDefined Networking社は、この証明書管理を自動化する有料サービス(Managed Nebula)を提供しているぐらいだ。 しかし、それは数百〜数千台規模でメンバーの出入りが頻繁な組織の話。同じフロアの気心知れた3人で使うなら、事情はまったく違う。 *** 証明書の有効期限は自分で決められる [#x1e6c933] デフォルトは1年だが、-duration フラグで自由に設定できる。仲間内で使うだけなら、10年にしておけば実質メンテナンスフリーだ。 *** 発行するのは初回の数枚だけ [#n62521c6] 3人チームなら発行する証明書はこれだけだ。 # CA(認証局)を作る(10年有効) nebula-cert ca -name "our-team" -duration 87600h # 各ホスト用の証明書を発行(10年有効) nebula-cert sign -name "lighthouse" -ip "192.168.100.1/24" -duration 87600h nebula-cert sign -name "member1" -ip "192.168.100.2/24" -duration 87600h nebula-cert sign -name "member2" -ip "192.168.100.3/24" -duration 87600h nebula-cert sign -name "member3" -ip "192.168.100.4/24" -duration 87600h コマンド5つ。1分もかからない。あとはファイルを各メンバーに渡すだけ。USBメモリでもSlackのDMでも、渡し方は何でもいい。同じフロアに座っているのだから。 *** CAの秘密鍵の管理も気楽でいい [#v0cb3219] 大規模組織なら ca.key は厳重に暗号化して金庫に入れるべきだ。しかし仲間内の3人なら、自分のPCの適当なフォルダに保管しておけば十分だ。万が一漏れたところで、このネットワークにアクセスできるのは同じフロアにいる顔見知りだけである。 *** メンバーの追加・削除 [#b30e71dd] 誰かがチームに加わったら、コマンド1つで証明書を発行して渡すだけ。辞めた人がいたら、その証明書をブロックリストに追加すればいい。3人規模なら、そもそも滅多に発生しないイベントだ。 ** 同一LANならLighthouseも手元でいい [#w087c7f9] Nebulaのネットワークには、ノード同士がお互いを発見するための Lighthouse(灯台)が必要だ。インターネット越しに使う場合はVPSなどに置く必要があるが、全員が同じ社内LANにいるなら、Forgejoを動かしている型落ちノートPC自身をLighthouseにしてしまえばいい。追加のサーバは不要だ。 ** 構成まとめ [#vb5b698d] 最終的な構成はこうなる。 [社内LAN: 192.168.179.0/24] │ ├─ 型落ちノートPC (192.168.179.17) │ │ │ ├─ [Windows側] │ │ └─ UDPリレー (UDP 4242 → WSL2へ転送) │ │ │ └─ [WSL2側] │ ├─ Nebula Lighthouse (192.168.100.1) │ └─ Docker │ ├─ Forgejo (port 3000) │ └─ DinD Runner │ ├─ メンバー1 PC ── Nebula (192.168.100.2) ├─ メンバー2 PC ── Nebula (192.168.100.3) └─ メンバー3 PC ── Nebula (192.168.100.4) 各メンバーは http://192.168.100.1:3000 でForgejoにアクセスする。NATが何重だろうが関係ない。Nebulaのオーバーレイネットワークがすべてをバイパスしてくれる。 ''ポイント'': NebulaをWSL2で動かすことで、Dockerと同じネットワークスタックに配置。これにより、Nebula経由のアクセスが自然にDockerコンテナに到達する。ただし、外部からのUDP接続をWSL2に転送するためのUDPリレーがWindows側で必要になる。 ** 検証:実際にやってみた [#y0568e53] *** 検証環境 [#f1f94938] |~項目|~内容| |ホストOS|Windows 10 Pro| |WSL2|Ubuntu 24.04 LTS| |Docker|Docker Engine on WSL2| |サービス|Forgejo 9 + Forgejo Runner (DinD)| |Nebula|v1.10.2| |クライアント|同一フロアのWindows PC × 3台| *** ステップ1: Nebulaバイナリの準備 [#step1] [[GitHub Releases>https://github.com/slackhq/nebula/releases]]から以下をダウンロード: - Linux版(WSL2用): nebula-linux-amd64.tar.gz - Windows版(メンバー用): nebula-windows-amd64.zip # WSL2で作業ディレクトリを作成 mkdir -p ~/nebula cd ~/nebula # Linux版を展開 tar xzf nebula-linux-amd64.tar.gz # Windows版も展開してメンバー配布用に準備 mkdir -p windows unzip nebula-windows-amd64.zip -d windows/ *** ステップ2: CA・証明書の発行 [#step2] cd ~/nebula # CA作成(10年有効) ./nebula-cert ca -name "our-team" -duration 87600h # Lighthouse用 ./nebula-cert sign -name "lighthouse" -ip "192.168.100.1/24" -duration 87600h # メンバー用 ./nebula-cert sign -name "member1" -ip "192.168.100.2/24" -duration 87600h ./nebula-cert sign -name "member2" -ip "192.168.100.3/24" -duration 87600h ./nebula-cert sign -name "member3" -ip "192.168.100.4/24" -duration 87600h 証明書の確認: ./nebula-cert print -path lighthouse.crt 出力例: { "details": { "name": "lighthouse", "networks": ["192.168.100.1/24"], "notAfter": "2036-02-03T...", "notBefore": "2026-02-05T..." } } *** ステップ3: Lighthouse設定ファイル作成(WSL2用) [#step3] ~/nebula/config-lighthouse.yml を作成: pki: ca: /home/YOUR_USER/nebula/ca.crt cert: /home/YOUR_USER/nebula/lighthouse.crt key: /home/YOUR_USER/nebula/lighthouse.key lighthouse: am_lighthouse: true interval: 60 listen: host: 0.0.0.0 port: 4242 punchy: punch: true respond: true tun: dev: nebula1 mtu: 1300 logging: level: info format: text firewall: outbound: - port: any proto: any host: any inbound: - port: any proto: any host: any ※YOUR_USER は実際のユーザー名に置き換える。 *** ステップ4: メンバー用設定ファイル作成 [#step4] windows/config.yml を作成(メンバー配布用): pki: ca: ca.crt cert: host.crt key: host.key static_host_map: # LighthouseのNebula IP: サーバPCのLAN IP "192.168.100.1": ["192.168.179.17:4242"] lighthouse: am_lighthouse: false interval: 60 hosts: - "192.168.100.1" listen: host: 0.0.0.0 port: 4242 punchy: punch: true respond: true tun: dev: nebula1 mtu: 1300 logging: level: info format: text firewall: outbound: - port: any proto: any host: any inbound: - port: any proto: any host: any ''注意'': static_host_map の 192.168.179.17 は、Lighthouseを動かすWindowsホストのLAN IPに置き換える。確認方法: コマンドプロンプトで ipconfig を実行。 *** ステップ5: UDPリレースクリプト作成(Windows用) [#step5] NebulaはUDPで通信するが、netsh portproxyはTCPのみ対応。そのため、PowerShellでUDPリレーを動かす必要がある。 C:\nebula\udp-relay.ps1 を作成: # UDP Relay: Forward UDP 4242 to WSL2 # Run as Administrator $wslIP = "172.31.58.140" # WSL2のIP(WSL2で hostname -I で確認) $port = 4242 Write-Host "=== Nebula UDP Relay ===" -ForegroundColor Green Write-Host "Listening on 0.0.0.0:$port" Write-Host "Forwarding to ${wslIP}:$port" Write-Host "Press Ctrl+C to stop" -ForegroundColor Yellow Write-Host "" $listener = New-Object System.Net.Sockets.UdpClient($port) $listener.Client.ReceiveTimeout = 1000 $wslEndpoint = New-Object System.Net.IPEndPoint([System.Net.IPAddress]::Parse($wslIP), $port) $clients = @{} while ($true) { try { $clientEP = New-Object System.Net.IPEndPoint([System.Net.IPAddress]::Any, 0) $data = $listener.Receive([ref]$clientEP) $clientKey = $clientEP.ToString() $now = Get-Date if ($clientEP.Address.ToString() -eq $wslIP) { foreach ($key in $clients.Keys) { $listener.Send($data, $data.Length, $clients[$key].Endpoint) | Out-Null Write-Host "$(Get-Date -Format 'HH:mm:ss') <- WSL2 -> $key ($($data.Length) bytes)" } } else { $clients[$clientKey] = @{Endpoint = $clientEP; LastSeen = $now} $listener.Send($data, $data.Length, $wslEndpoint) | Out-Null Write-Host "$(Get-Date -Format 'HH:mm:ss') $clientKey -> WSL2 ($($data.Length) bytes)" } $cutoff = $now.AddMinutes(-5) $oldClients = $clients.Keys | Where-Object { $clients[$_].LastSeen -lt $cutoff } foreach ($old in $oldClients) { $clients.Remove($old) } } catch [System.Net.Sockets.SocketException] { } catch { Write-Host "Error: $_" -ForegroundColor Red } } ''注意'': $wslIP はWSL2のIPアドレス。WSL2で hostname -I を実行して確認し、スクリプト内の値を更新する。 *** ステップ6: メンバー用配布セット作成 [#step6] 各メンバー用にフォルダを作成: mkdir -p dist/member1 dist/member2 dist/member3 for i in 1 2 3; do cp windows/nebula.exe dist/member${i}/ cp ca.crt dist/member${i}/ cp member${i}.crt dist/member${i}/host.crt cp member${i}.key dist/member${i}/host.key cp windows/config.yml dist/member${i}/ # wintun.dllのディレクトリ構造を作成 mkdir -p dist/member${i}/dist/windows/wintun/bin/amd64 cp windows/dist/windows/wintun/bin/amd64/wintun.dll \ dist/member${i}/dist/windows/wintun/bin/amd64/ done ''重要'': Windows版Nebulaはwintun.dllが必要。Nebulaは特定のパスでwintun.dllを探すため、以下のディレクトリ構造で配置する: member1/ ├── nebula.exe ├── config.yml ├── ca.crt ├── host.crt ├── host.key └── dist/ └── windows/ └── wintun/ └── bin/ └── amd64/ └── wintun.dll wintunはNebulaのWindows版リリースに同梱されている。 配布用にzip化(PowerShellで): cd dist Compress-Archive -Path member1 -DestinationPath nebula-member1.zip Compress-Archive -Path member2 -DestinationPath nebula-member2.zip Compress-Archive -Path member3 -DestinationPath nebula-member3.zip Google DriveやSlack等で各メンバーに配布する。 *** ステップ7: サーバー側の起動(起動順序が重要) [#step7] '''1. WSL2でLighthouseを起動''' cd ~/nebula sudo ./nebula -config config-lighthouse.yml 正常起動時のログ: level=info msg="Nebula interface is active" interface=nebula1 networks="[192.168.100.1/24]" udpAddr="0.0.0.0:4242" '''2. Windows側でUDPリレーを起動''' ''別のターミナル''で、管理者権限のPowerShellを開いて: cd C:\nebula Set-ExecutionPolicy -Scope Process Bypass .\udp-relay.ps1 表示例: === Nebula UDP Relay === Listening on 0.0.0.0:4242 Forwarding to 172.31.58.140:4242 *** ステップ8: ローカルテストで動作確認 [#step8] メンバーに配布する前に、サーバーPC上でローカルテストを行う。これにより、メンバーに渡す前に問題を発見できる。 ローカルテスト用設定ファイル C:\nebula\config-local-test.yml を作成: pki: ca: ca.crt cert: host.crt key: host.key static_host_map: # ローカルテストはWSL2に直接接続 "192.168.100.1": ["172.31.58.140:4242"] lighthouse: am_lighthouse: false interval: 60 hosts: - "192.168.100.1" listen: host: 0.0.0.0 port: 4243 # Lighthouseと競合しないよう別ポート punchy: punch: true respond: true tun: dev: nebula_test mtu: 1300 logging: level: info format: text firewall: outbound: - port: any proto: any host: any inbound: - port: any proto: any host: any member1の証明書をC:\nebulaにコピー: copy dist\member1\host.crt C:\nebula\ copy dist\member1\host.key C:\nebula\ copy dist\member1\ca.crt C:\nebula\ ''重要: UDPリレーを停止(Ctrl+C)してから''テストを実行する。ローカルテストではWSL2に直接接続するため、UDPリレーは不要。 管理者権限のPowerShellで: cd C:\nebula .\nebula.exe -config config-local-test.yml 正常接続時のログ: level=info msg="Handshake message received" certName=lighthouse ... level=info msg="Nebula interface is active" networks="[192.168.100.2/24]" 別のコマンドプロンプトで確認: ping 192.168.100.1 curl http://192.168.100.1:3000 ブラウザで http://192.168.100.1:3000 を開き、Forgejoが表示されれば成功。 ''テスト完了後'': テスト用Nebulaを停止(Ctrl+C)し、''UDPリレーを再起動''する。外部メンバーの接続にはUDPリレーが必要。 *** ステップ9: メンバーPCでの起動 [#step9] メンバーは配布されたzipファイルを展開し、管理者権限のコマンドプロンプトで実行: cd C:\nebula\member1 nebula.exe -config config.yml 正常接続時のログ: level=info msg="Handshake message received" certName=lighthouse ... level=info msg="Nebula interface is active" networks="[192.168.100.2/24]" *** ステップ10: 接続確認 [#step10] メンバーPCから: ping 192.168.100.1 ブラウザで http://192.168.100.1:3000 を開き、Forgejoが表示されれば成功。 *** 検証結果 [#c9268ba0] |~テスト項目|~結果| |WSL2でLighthouse起動|OK| |UDPリレー起動|OK| |ローカルテスト(同一PC)|OK| |メンバーからのHandshake|OK| |ping 192.168.100.1|OK (TTL=64, <1ms)| |Forgejo Web UI (http://192.168.100.1:3000)|OK| |git clone via SSH (port 2222)|OK| ** メンバー向けクイックスタート [#quickstart] 配布されたzipファイルを受け取ったメンバー向けの手順: +zipファイルを C:\nebula に展開 +''管理者権限''でコマンドプロンプトを開く +以下を実行: cd C:\nebula\member1 nebula.exe -config config.yml +「Handshake message received」と表示されれば接続成功 +ブラウザで http://192.168.100.1:3000 を開く +Forgejoが表示されれば完了 ** ハマりポイントと対処法 [#trouble] *** wintun.dll not found [#wintun] 症状: Failed to get a tun/tap device" error="can not load the wintun driver Nebulaは特定のパスでwintun.dllを探す。nebula.exeと同じフォルダに置いても見つからない。以下の構造で配置: C:\nebula\dist\windows\wintun\bin\amd64\wintun.dll *** netsh portproxyが効かない [#portproxy] netsh portproxyはTCPのみ対応。NebulaはUDPを使うため、PowerShellのUDPリレーが必要。 また、netsh portproxyをNebulaの仮想インターフェース(192.168.100.1)に対して設定しても機能しなかった。これはTUN/TAPデバイスの特性によるもの。解決策として、NebulaをWSL2で動かし、Dockerと同じネットワークスタックに配置した。 *** WSL2のIPが変わる [#wslip] WSL2のIPは再起動で変わることがある。UDPリレーのスクリプト内の $wslIP を更新する必要がある。 起動時に自動取得する場合: $wslIP = (wsl hostname -I).Trim().Split()[0] *** 管理者権限が必要 [#admin] Nebulaは仮想ネットワークインターフェースを作成するため、Windows/Linux両方で管理者権限(sudo)が必要。 ** 運用Tips [#tips] *** サーバー起動チェックリスト [#checklist] 毎回の起動時に確認すること: +WSL2が起動していること +WSL2でNebulaが起動していること(sudo ./nebula -config ...) +Windows側でUDPリレーが起動していること(.\udp-relay.ps1) *** 自動起動の設定 [#autostart] WSL2側のNebulaはsystemdサービス化、Windows側のUDPリレーはタスクスケジューラで自動起動できる。 *** ファイアウォール [#firewall] Windows FirewallでUDP 4242の受信を許可する必要がある場合: netsh advfirewall firewall add rule name="Nebula UDP" dir=in action=allow protocol=UDP localport=4242 ** 所感 [#i55b258e] 型落ちノートPCの有効活用という軽い気持ちで始めたが、WSL2の多段NATは想像以上に厄介だった。portproxyのスクリプト化やミラードモードなど、対症療法を繰り返していたら、おそらくどこかで嫌になっていたと思う。 Nebulaは、この問題をオーバーレイネットワークで根本的に解決してくれる。しかもMITライセンスの完全OSSだ。 証明書管理が大変そうに見えるのがNebulaのとっつきにくさだが、仲間内で使う分には有効期限を10年にして最初に数枚発行すれば、あとはほぼ放置でいい。同じフロアの顔見知り同士なら、セキュリティもそこまで神経質にならなくていい。 WSL2でNebulaを動かす場合のUDPリレーは少し面倒だが、一度設定すれば安定して動作する。Windows側でNebulaを直接動かす選択肢もあるが、その場合はDockerへのポートフォワーディングで別の問題が発生するため、WSL2側で動かすのがシンプルだった。 同じようにWSL2のNAT越えで困っている方は、選択肢のひとつとして検討してみてほしい。 ** 補足:もっと本格的に使いたくなったら [#o1554add] Nebulaの作者が設立したDefined Networking社が提供する ''Managed Nebula'' というサービスがある。証明書の自動管理、Web UI、SSO連携が付いて、100デバイスまで無料(クレジットカード不要)で使える。チームが大きくなったり、リモートワークで社外からもアクセスしたくなったりしたときの次のステップとして覚えておくと良い。 -[[Defined Networking(Managed Nebula)>https://www.defined.net/]] *** 初回のみ管理者権限で動作するようにするには [#p28b209e] Nebulaをサービス化すれば解決します。管理者が初回のみ設定すれば、以降は自動起動または一般ユーザーでも操作可能になります。 NSSM(Non-Sucking Service Manager) を使う方法が簡単です。 メンバー向けセットアップ(管理者が初回のみ実行) 1. NSSMをダウンロード: https://nssm.cc/download 2. 管理者cmdで: nssm install NebulaMember C:\nebula\member1\nebula.exe -config C:\nebula\member1\config.yml nssm set NebulaMember Start SERVICE_AUTO_START nssm start NebulaMember これでPC起動時に自動でNebulaが起動し、メンバーは何もしなくてよくなります。 ** 参考リンク [#z599c6ad] -[[Nebula公式ドキュメント>https://nebula.defined.net/docs/]] -[[GitHub: slackhq/nebula>https://github.com/slackhq/nebula]] -[[Introducing Nebula(Slack Engineering Blog)>https://slack.engineering/introducing-nebula-the-open-source-global-overlay-network-from-slack/]] -[[Wintun(Windows TUN driver)>https://www.wintun.net/]]
テキスト整形のルールを表示する
