Эксперименты с контейнерами в RouterOS

В рамках данного эксперимента я попробую развернуть в RouterOS контейнеры с различными сервисами и дать оценку, насколько это удобно и эффективно. Может ли роутер Mikrotik стать альтернативой, скажем, SBC (Single Board Computer). И есть ли перспективы у “умных роутеров”.

В качестве подопытного кролика я возьму Mikrotik RB4011iGS+5HacQ2HnD-IN, который на момент теста стоил $250. Его ключевые характеристики - https://i.mt.lv/cdn/product_files/RB4011-IN_240134.pdf. Это CPU AL21400 4 ядра ARM Cortex-A15 1.4GHz, 1GB RAM, 512MB NAND, 10x 1Gbit Ethernet, 1x SFP+. К сожалению, возможностей для расширения практически не предусмотрено. Есть только внутренняя карта Mini PCIe, использовать которую в целом проблематично.

В штатном состоянии достаточно много свободных ресурсов (/system resource print)

RAM: 921.2/1024.0 free
CPU: 0.0/100%
HDD: 423.1/512.3MiB free

Установка containers

В команде /system resource print смотрю архитектуру в строке “architecture-name”.
Загружаю external packages со страницы https://mikrotik.com/download для данной архитектуры. И WinBox, если он ещё не был установлен.
Запускаю WinBox, подключаюсь к роутеру и перед началом работы стоит обновить прошивку (/system routerboard upgrade).
Открываю Files и перетаскиваю туда файл container-*version*.npk из скачанного архива. Перезагружаю роутер и в меню должен появиться “Container”. Также можно проверить командой /system package print.
После этого надо активировать этот пакет командой /system/device-mode/update container=yes
Последний шаг - указать репозиторий для загрузки образов контейнеров /container/config/set registry-url=https://registry-1.docker.io

Контейнер Traefik

Для начала я решил провести эксперимент с достаточно практичной задачей. Организовать обратный прокси для внутренних сервисов. Для этого я решил использовать Traefik, который уже успешно применял до этого и в части поддержики Let’s Encrypt он мне показался намного проще, чем nginx.

Создадми виртуальную сетевую карту для контейнера в некоторой выдуманной сети /interface/veth/add name=veth-traefik address=172.94.0.2/24 gateway=172.94.0.1
Поднимаем контейнер с Traefik используя созданный сетевой интерфейс (logging=yes для отладки, можно не использовать). /container/add remote-image=traefik:latest interface=veth-traefik start-on-boot=yes logging=yes
Смотрим номер созданного контейнера командой /container/print для последующих операций. Если это у нас первый, то скороее всего его индекс будет 0.
Запускам контейнер командой /container/start 0 и можем в него зайти /container/shell 0
В шелле команда netstat -an должна показать, что порт 80 слушается. Но попытки пропинговать, например, ping 1.1.1.1 не дадут успеха, надо настроить сеть.

Настройка сети

Создадим бридж, который будет объединять все контейнеры /interface/bridge/add name=containers
Подключим нашу виртуальную сетевую карту в этот бридж /interface/bridge/port/add bridge=containers interface=veth-traefik
Физическая сеть настроена, пора настроить L3 и обеспечить роутинг
Настраиваем gateway /ip/address/add address=172.94.0.1/24 interface=containers
Обеспечиваем исходящий трафик через NAT /ip/firewall/nat/add chain=srcnat action=masquerade src-address=172.94.0.0/24 comment="containers"
После этого ping 1.1.1.1 из нашего контейнера должен заработать
Предположим, LAN роутера у нас 192.168.1.0/24, а сам роутер имеет адрес 192.168.1.1. Тогда мы можем сделать проброс порта 8097 на 80 внутри контейнера. /ip firewall nat add action=dst-nat chain=dstnat dst-address=192.168.1.1 dst-port=8097 protocol=tcp to-addresses=172.94.0.2 to-ports=80 comment="traefik"
После этого, если мы зайдём в браузере на http://192.168.1.1:8097, то увидим страницу 404. Не смотря на ошибку, это означает, что проброс порта работает и Traefik отвечает, просто он ещё не настроен.
Если мы планируем публиковать сайты, нужно чтобы правила применялись только к WAN-интерфейсу. Например, если его имя “ether1”, то: /ip firewall nat add in-interface=ether1 chain=dstnat action=dst-nat protocol=tcp dst-port=443 to-addresses=192.168.1.5 to-ports=443
Для поддержки HTTP/3 стоит сделать правила для TCP и UDP трафика.

Настройка Traefik

Предположим, внутри LAN есть работающий веб-сервер по адресу http://192.168.1.14:8073
Его можно проверить из контейнера Traefik: wget http://192.168.1.14:8073
Создаём папку для конфигурации Traefik mkdir /etc/traefik и основной конфигурационный файл vi /etc/traefik/traefik.yml следующего содержания:

global:
  checkNewVersion: true
  sendAnonymousUsage: false

entryPoints:
  http:
    address: ":80"

providers:
  file:
    filename: "/etc/traefik/config.yml"
    watch: true

Внутри он ссылается на файл с динамической конфигурацией, который также создаём vi /etc/traefik/config.yml:

http:
  routers:
    my-test:
      entryPoints:
      - http
      service: my-test
      rule: "Host(`test.local`)"
  services:
    my-test:
      loadBalancer:
        servers:
        - url: "http://192.168.1.14:8073"

Конфигурацию Traefik достаточно удобно отлаживать, если скачать его исполняемый файл (https://github.com/traefik/traefik/releases) и запускать локально ./traefik -f traefik.yml.
После этого возможно придётся перезапустить контейнер, чтобы он прочитал новую конфигурацию. Командами /container/stop 0 и /container/start 0.
Итак, у нас есть прокси-сервер по адресу 192.168.1.1:8097, который запросы к домену test.local перенаправляет на веб-сервер по адресу 192.168.1.14:8073. Чтобы это проверить, на любой машине в LAN попробуем запустить curl 192.168.1.1:8097 -H "Host: test.local". Если всё работает, то мы должны увидеть содержимое страницы веб-сервера, на который хотели перенаправить запросы.

По итогам мы получаем следующее состояние доступных ресурсов (/system resource print)

RAM: 831.4/1024.0 free
CPU: 0.0/100%
HDD: 352.1/512.3MiB free

Эксперимент с Caddy

До этого я никогда им не пользовался, но кажущая простота настройки подкупила. Настройка осуществляется аналогичным образом за исключением конфигурационного файла vi /etc/caddy/Caddyfile:

{
    local_certs
}

test.local {
  reverse_proxy http://192.168.1.4:8073 
}

Если заменить local_certs на email "my-mail@domain.com" и поставить публичный домен, то Caddy самостоятельно сгенерирует сертификаты для домена используя Let’s Encrypt.

Предварительные итоги

Главный вопрос к RouterOS, зачём учить её, если есть Linux? Который я могу легко настраивать через Ansible в универсальном стиле и получить доступ ко всему богатству возможностей. Например, использование eBFP (в том числе в виде Cillium).
По ощущениям и мониторам ресурсов можно предположить, что RouterOS хорошо оптимизирована. С другой стороны, BusyBox, Alpine уже давно продемонстрировали, что большого количества ресурсов не нужно.