使用 Docker + traefik 部署 ente 全家桶

前言#

其实早在之前我就因为寻找 2FA 的软件找到了 Ente Auth，并且知道了服务端是支持自部署的。但是由于 Ente 是一个全家桶服务，但是我也只需要 2FA 的功能，再之当时我部署了 Immich 不需要 Ente Photos 的功能，服务器的配置也不足以支持全家桶，我就没有部署了。

现在为什么又需要了呢，因为我的 Immich 的存储位置是通过挂载S3的方式进行的，效率奇差，我也确实需要 2FA 自动备份的功能，当时我使用的是 Aegis，只能自动备份到本地，还是不太方便。得益于 Ente Photos 支持 S3 存储，Ente Auth 自动备份云端，且 Ente 全家桶优美的UI布局和我购置了一台 4C16G 的轻量服务器，已经有条件有需求部署 Ente 全家桶，遂进行。

环境#

可以访问外网的 Linux 服务器
Docker
Docker Compose
域名

如下是我的配置：

1
root@10-23-233-143:~# echo "🔹 系统版本: $(lsb_release -d | cut -f2-)"; echo "🔹 CPU 核心数: $(nproc) 核"; echo "🔹 内存大小: $(free -h | awk '/^Mem:/ {print $2}')"; echo "🔹 磁盘空间 (根目录): $(df -h / | awk 'NR==2 {print "总计 " $2 " | 已用 " $3 " | 可用 " $4 " | 使用率 " $5}')"
2
🔹 系统版本: Ubuntu 24.04.4 LTS
3
🔹 CPU 核心数: 4 核
4
🔹 内存大小: 15Gi
5
🔹 磁盘空间 (根目录): 总计 96G | 已用 14G | 可用 83G | 使用率 14%

部署#

TIP
此处默认已经安装 Docker、Docker Compose 和 traefik，如未安装，可参考如下安装教程：

Docker：Docker 安装

Docker Compose：Docker Compose 安装

traefik：使用 Traefik 作为 Docker 的反向代理

创建目录 /opt/docker/ente 作为容器运行目录。

1
mkdir -p /opt/docker/ente

cd 进入该目录，创建必要的一些文件，并且使用你熟悉的编辑器进行编辑，在此处我使用 vim。

1
cd /opt/docker/ente
2
touch docker-compose.yml .env museum.yaml

docker-compose.yml 键入以下内容：

1
services:
2
  museum:
3
    image: ghcr.io/ente-io/server:latest
4
    container_name: ente-museum
5
    depends_on:
6
      postgres:
7
        condition: service_healthy
8
    env_file:
9
      - .env
10
    volumes:
11
      - ./museum.yaml:/museum.yaml:ro
12
      - ./data/museum:/data:ro
13
    networks:
14
      - proxy
15
    labels:
16
      - "traefik.enable=true"
17
      - "traefik.docker.network=proxy"
18
      - "traefik.http.routers.museum.rule=Host(`api.ente.peean.net`)" # 服务器端点，自行修改
19
      - "traefik.http.routers.museum.entrypoints=websecure"
20
      - "traefik.http.routers.museum.tls.certresolver=edgeone" # 我使用的腾讯云边缘加速 EdgeOne，根据自己 traefik 配置自行修改
21
      - "traefik.http.routers.museum.service=museum"
22
      - "traefik.http.services.museum.loadbalancer.server.port=8080"
23

24
  postgres:
25
    image: postgres:15
26
    container_name: ente-postgresql
27
    env_file:
28
      - .env
29
    environment:
30
      - POSTGRES_USER=${POSTGRES_USER}
31
      - POSTGRES_PASSWORD=${POSTGRES_PASSWORD}
32
      - POSTGRES_DB=${POSTGRES_DB}
33
    networks:
34
      - proxy
35
    healthcheck:
36
      test: ["CMD-SHELL", "pg_isready -d $${POSTGRES_DB} -U $${POSTGRES_USER}"]
37
      start_period: 40s
38
      start_interval: 1s
39
    volumes:
40
      - ./data/postgresql:/var/lib/postgresql/data
41

42
  web:
43
    image: ghcr.io/ente-io/web
44
    container_name: ente-web
45
    env_file:
46
      - .env
47
    environment:
48
      - ENTE_API_ORIGIN=${ENTE_API_ORIGIN}
49
      - ENTE_ALBUMS_ORIGIN=${ENTE_ALBUMS_ORIGIN}
50
      - ENTE_PHOTOS_ORIGIN=${ENTE_PHOTOS_ORIGIN}
51
    networks:
52
      - proxy
53
    labels:
54
      - "traefik.enable=true"
55
      - "traefik.docker.network=proxy"
56
      - "traefik.http.routers.web.rule=Host(`photos.ente.peean.net`)" # Photos
57
      - "traefik.http.routers.web.entrypoints=websecure"
58
      - "traefik.http.routers.web.tls.certresolver=edgeone"
59
      - "traefik.http.routers.web.service=web"
60
      - "traefik.http.services.web.loadbalancer.server.port=3000"
61

62
      - "traefik.http.routers.accounts.rule=Host(`accounts.ente.peean.net`)" # Accounts
63
      - "traefik.http.routers.accounts.entrypoints=websecure"
64
      - "traefik.http.routers.accounts.tls.certresolver=edgeone"
65
      - "traefik.http.routers.accounts.service=accounts"
66
      - "traefik.http.services.accounts.loadbalancer.server.port=3001"
67

68
      - "traefik.http.routers.albums.rule=Host(`albums.ente.peean.net`)" # Albums
69
      - "traefik.http.routers.albums.entrypoints=websecure"
70
      - "traefik.http.routers.albums.tls.certresolver=edgeone"
71
      - "traefik.http.routers.albums.service=albums"
72
      - "traefik.http.services.albums.loadbalancer.server.port=3002"
73

74
      - "traefik.http.routers.auth.rule=Host(`auth.ente.peean.net`)" # Auth
75
      - "traefik.http.routers.auth.entrypoints=websecure"
76
      - "traefik.http.routers.auth.tls.certresolver=edgeone"
77
      - "traefik.http.routers.auth.service=auth"
78
      - "traefik.http.services.auth.loadbalancer.server.port=3003"
79

80
      - "traefik.http.routers.cast.rule=Host(`cast.ente.peean.net`)" # Cast
81
      - "traefik.http.routers.cast.entrypoints=websecure"
82
      - "traefik.http.routers.cast.tls.certresolver=edgeone"
83
      - "traefik.http.routers.cast.service=cast"
84
      - "traefik.http.services.cast.loadbalancer.server.port=3004"
85

86
      - "traefik.http.routers.share.rule=Host(`share.ente.peean.net`)" # Locker
87
      - "traefik.http.routers.share.entrypoints=websecure"
88
      - "traefik.http.routers.share.tls.certresolver=edgeone"
89
      - "traefik.http.routers.share.service=share"
90
      - "traefik.http.services.share.loadbalancer.server.port=3005"
91

92
      - "traefik.http.routers.embed.rule=Host(`embed.ente.peean.net`)" # Embed
93
      - "traefik.http.routers.embed.entrypoints=websecure"
94
      - "traefik.http.routers.embed.tls.certresolver=edgeone"
95
      - "traefik.http.routers.embed.service=embed"
96
      - "traefik.http.services.embed.loadbalancer.server.port=3006"
97

98
      - "traefik.http.routers.paste.rule=Host(`paste.ente.peean.net`)" # Paste
99
      - "traefik.http.routers.paste.entrypoints=websecure"
100
      - "traefik.http.routers.paste.tls.certresolver=edgeone"
101
      - "traefik.http.routers.paste.service=paste"
102
      - "traefik.http.services.paste.loadbalancer.server.port=3008"
103

104
networks:
105
  proxy:
106
    external: true

traefik 相关配置请根据自己的实际情况配置。

.env 键入以下内容：

1
# Copy this file to .env in the same directory in which this file is present
2
# This file contains the environment variables needed for Ente's cluster to run properly.
3
# This file is split based on services declared in Docker Compose file
4
#
5
# Service: Postgres
6
# This is used for storing data in database pertaining to collections, files, users, subscriptions, etc.
7
# These credentials are needed for accessing the database via Museum.
8
# Please set a strong password for accessing the database.
9
# Enter these values in museum.yaml file under `db`.
10
# This need not be defined if using external DB (i. e. no Compose service for PostgreSQL is used)
11
POSTGRES_USER=ente
12
POSTGRES_PASSWORD=<STRONG_STRONG_POSTGRES_PASSWORD>
13
POSTGRES_DB=ente
14

15
# Service: Web
16
# This is used for configuring public albums, API endpoints, etc.
17
# Replace the below endpoints to the correct subdomains of your choice.
18
ENTE_API_ORIGIN=https://api.ente.peean.net
19
ENTE_ALBUMS_ORIGIN=https://albums.ente.peean.net
20
ENTE_PHOTOS_ORIGIN=https://photos.ente.peean.net

其中，各项配置根据实际情况调整，POSTGRES_PASSWORD 请一定要替换为强密码。更多配置请参照官方文档对于 Environment Variables 的描述。

museum.yaml 键入以下内容：

1
# Database
2
db:
3
    host: postgres
4
    port: 5432
5
    name: ente
6
    user: ente
7
    password: <STRONG_STRONG_POSTGRES_PASSWORD>
8

9
# Object Storage
10
s3:
11
    # Change this to false if enabling SSL
12
    are_local_buckets: false
13
    # Only path-style URL works if disabling are_local_buckets with MinIO
14
    use_path_style_urls: false
15
    # Primary hot storage bucket configuration
16
    b2-eu-cen:
17
      # Uncomment the below configuration to override the top-level configuration
18
      key: <ACCESS_KEY_ID>
19
      secret: <SECRET_ACCESS_KEY>
20
      endpoint: <ENDPOINT_ADDRESS>
21
      region: <REGION_AREA>
22
      bucket: <BUCKET_NAME>
23
    # Secondary hot storage configuration
24
    wasabi-eu-central-2-v3:
25
      key: <ACCESS_KEY_ID>
26
      secret: <SECRET_ACCESS_KEY>
27
      endpoint: <ENDPOINT_ADDRESS>
28
      region: <REGION_AREA>
29
      bucket: <BUCKET_NAME>
30
      compliance: false
31
    # Cold storage bucket configuration
32
    scw-eu-fr-v3:
33
      key: <ACCESS_KEY_ID>
34
      secret: <SECRET_ACCESS_KEY>
35
      endpoint: <ENDPOINT_ADDRESS>
36
      region: <REGION_AREA>
37
      bucket: <BUCKET_NAME>
38

39
# App Endpoints
40
apps:
41
    # If you're running a self hosted instance and wish to serve public links,
42
    # set this to the URL where your albums web app is running.
43
    public-albums: https://albums.ente.peean.net
44
    public-locker: https://share.ente.peean.net
45
    public-paste: https://paste.ente.peean.net
46
    cast: https://cast.ente.peean.net
47
    # Embed app base endpoint for embedded sharing
48
    embed-albums: https://embed.ente.peean.net
49
    # Set this to the URL where your accounts web app is running, primarily used for
50
    # passkey based 2FA.
51
    accounts: https://accounts.ente.peean.net
52

53
# Encryption Keys
54
key:
55
    # Key for encrypting user emails
56
    encryption: <ENCRYPTION_kEY>
57
    # Hash key
58
    hash: <HASH_KEY>
59

60
# JWT
61
jwt:
62
    # Secret for signing JWTs
63
    secret: <JWT_SECRET>
64

65
# Email
66
smtp:
67
    host: smtp.feishu.cn
68
    port: 465
69
    # Optional username and password if using local relay server
70
    username: <SMTP_USERNAME>
71
    password: <SMTP_PASSWORD>
72
    # Email address used for sending emails (this mail's credentials have to be provided)
73
    email: <SMTP_EMAIL>
74
    # Optional name for sender
75
    sender-name: <SMTP_SENDER_NAME>
76
    # Optional encryption, encryption method (tls, ssl)
77
    encryption: ssl
78

79
# WebAuthn Passkey Support
80
webauthn:
81
    rpid: ente.peean.net
82
    rporigins:
83
        - https://albums.ente.peean.net
84
        - https://share.ente.peean.net
85
        - https://paste.ente.peean.net
86
        - https://cast.ente.peean.net
87
        - https://embed.ente.peean.net
88
        - https://accounts.ente.peean.net
89

90
# Replication
91
# By default, replication of objects (photos, thumbnails, videos) is disabled and only one bucket is used.
92
# To enable replication, set replication.enabled to true. For this to work, 3 buckets have to be configured in total.
93
replication:
94
    # Enable replication across buckets
95
    enabled: true
96
    # Number of goroutines for replication
97
    worker-count: 6
98
    # Temp directory for replication
99
    tmp-storage: tmp/replication

其中，以下几点注意修改：

db.password 必须与 .env 中的 POSTGRES_PASSWORD 一致。
s3 的配置根据需求修改，具体可参照官方文档的 Object Storage 部分，这里我启用了冷热备份，故需要三个存储桶。
apps 部分使用自己的域名进行替换。

key 和 jwt 部分可以 clone 官方 git 仓库生成，如果不想可使用如下命令生成：

1
echo "key.encryption: $(openssl rand -base64 32)"; echo "key.hash: $(openssl rand -base64 64 | tr -d '\n')"; echo "jwt.secret: $(openssl rand -base64 32 | tr '/+' '_-' | tr -d '=')"

smtp 部分使用你将使用的邮件提供商的配置，我这选择的是飞书的免费域名邮箱。由于配置了 SMTP，首次进入系统注册时将会通过 SMTP 向注册邮箱发送验证码，所以这块配置必须正确，否则将会因为无法发送验证码而报错，这边 encryption 必须配置，虽然写着可选，但是由于我未配置出现问题了，找半天问题才找到。如果不配置SMTP，验证码将会通过容器日志的方式进行打印，具体还请参考官方文档 Step 1: Creating first user。

webauthn 关系到是否可以使用 Passkey，rpid 使用主域名，比如：

1
webauthn:
2
    rpid: example.com
3
    rporigins:
4
        - https://auth.example.com
5
        - https://photos.example.com

replication 决定了是否启用存储桶复制，如果不需要，就不用配置三个存储桶了。

接下来就可以愉快的启动容器了！

1
docker compose pull && docker compose up -d

启动成功后即可通过 photos.ente.peean.net 访问 Ente Photos 了，注册第一个账户。

服务端配置#

此时，你应该发现并且发问：为什么存储只有 10G？

是的，默认空间就是 10G，由于 Ente Photos 没有可视化控制界面，所以扩容需要通过官方的 CLI 工具进行修改。

这边选择直接下载 CLI 工具的二进制包的方式。

ente-cli#

其实这一块官方文档亦有详细描述，可参照 Ente CLI for self-hosted instance。

release 请查看：ente-cli。

1
mkdir -p /opt/ente-cli/export && cd /opt/ente-cli
2
wget https://github.com/ente-io/ente/releases/download/cli-v0.2.3/ente-cli-v0.2.3-linux-amd64.tar.gz
3
tar -zxvf ente-cli-v0.2.3-linux-amd64.tar.gz && rm ente-cli-v0.2.3-linux-amd64.tar.gz

先导入环境变量，否则会报错。(无需先行创建 secrets.txt)

1
export ENTE_CLI_SECRETS_PATH=./secrets.txt

接下来在该目录下创建配置文件 config.yml，并且键入以下内容（域名替换为自己的）：

1
# Set the API endpoint to your domain where Museum is being served.
2
endpoint:
3
    api: https://api.ente.peean.net

然后添加账户 ./ente account add，根据交互性提示操作即可：

1
root@10-23-233-143:/opt/ente-cli# ./ente account add
2
Enter app type (default: photos): photos
3
Enter export directory: export
4
Enter email address: <EMAIL_ADDR>
5
Enter password:
6
Please wait authenticating...
7
Enter TOTP: 981304
8
Account added successfully
9
run `ente export` to initiate export of your account data

TIP
此处键入密码是不显示的，不是没有输进去，接着操作即可。

输入账号密码，如果启用了双因素认证，还需要输入 TOTP，然后一切照常就能 successfully 了。

查看账户 ./ente account list：

1
root@10-23-233-143:/opt/ente-cli# ./ente account list
2
Configured accounts: 1
3
====================================
4
Email:     <EMAIL_ADDR>
5
ID:        1580559962386438
6
App:       photos
7
ExportDir: export
8
====================================

如果仅自用，可以禁用注册。

1
cd /opt/docker/ente
2
vim museum.yaml

编辑 museum.yaml 文件，新增以下内容：

1
# Internal
2
internal:
3
    # List of admin user IDs
4
    admins:
5
        - 1580559962386438
6
    # Disable user registration
7
    disable-registration: true

internal.admins 配置管理员列表，这里只添加了刚刚注册的用户，用户 ID 在上述步骤 ./ente account list 可以查看到。
internal.disable-registration 代表禁用注册。

然后重启服务：

1
docker compose down
2
docker compose up -d

回到 cli 目录，进行扩容操作：

1
./ente admin update-subscription -u <EMAIL_ADDR>

回到网页端再次查看，可以看到空间变成 100T 了，便完成了扩容操作。

客户端配置#

此处以 Ente Photos 为例，Ente Auth 和 Ente Locker 配置差不多，自行探究。

软件下载地址：Installing Ente Photos | Ente Help，根据使用平台自行选择下载渠道。

打开软件进入初始化界面，默认链接的是官方服务器端点，直接注册登录将链接到 https://api.ente.io，但是我们这需要链接到我们自部署的服务器端点。

软件初始化界面

快速点击 7 次界面上的 ducky（就是界面上的鸭鸭啦！），将会弹出开发者设置弹窗，点击 是。

开发者设置

现在，可以修改服务器端点，比如我这是 https://api.ente.peean.net。

修改服务器端点

修改完后再进行登录，登录后会要求文件管理权限，因为要备份照片嘛。授予权限后将会快速扫描设备，要求你选择需要备份的文件夹，此处先选择 稍后再说。

备份选择

先进入设置，配置好备份设置。路径 备份 → 备份设置，开启 仅备份新照片，然后再选择需要备份的文件夹开始备份吧！如果不开启 仅备份新照片，退出登录重新登录，又会全部扫描一遍再显示上传，虽然并不会重复上传，但还是避免这种情况为好。

备份设置

更新日志

创建文章

前言#

环境#

部署#

服务端配置#

ente-cli#

客户端配置#

参考#