Beszel

一个轻量级的服务器资源监控中心,具有历史数据、Docker 统计和告警功能。

特性

• 轻量级: 比主流解决方案体积更小、资源消耗更少。
• Docker 统计: 每个容器的 CPU 和内存使用历史。
• 告警: 可配置 CPU、内存、磁盘使用率和系统状态的告警。
• 多用户: 每个用户拥有自己的系统。管理员可以在用户间共享系统。
• 简单: 易于设置,无需任何内容对外公开。
• OAuth / OIDC: 支持多种 OAuth2 提供商。可禁用密码认证。
• 自动备份: 将数据保存和恢复到磁盘或 S3 兼容存储。
• REST API: 在自己的脚本和应用中使用指标。

介绍

Beszel 有两个组件:中心和代理。

中心是一个 Web 应用,提供查看和管理已连接系统的仪表板。它基于 PocketBase 构建。

代理在每个你想监控的系统上运行。它创建一个最小的 SSH 服务器,通过该服务器向中心传输系统指标。

开始使用

如果不使用 Docker,请忽略步骤 4-5,直接使用二进制文件运行代理。

1. 启动中心(参见安装)。
2. 打开 http://localhost:8090 并创建一个管理员用户。
3. 点击"添加系统"。输入你想监控的系统的名称和主机。
4. 点击"复制 docker compose"将代理的 docker-compose.yml 文件复制到剪贴板。
5. 在代理系统上创建 compose 文件并运行 docker compose up 启动代理。
6. 返回中心,点击对话框中的"添加系统"按钮完成系统添加。

如果一切顺利,你应该看到系统变为绿色。如果变为红色,请查看日志页面,并参考故障排除提示。

法语教程

法语教程请访问 https://belginux.com/installer-beszel-avec-docker/

安装

你可以将中心和代理安装为单个二进制文件,或使用 Docker。

Docker

中心: 参见示例 docker-compose.yml 文件。

代理: 中心提供代理的 compose 内容,但你也可以参考示例 docker-compose.yml 文件。

代理使用主机网络模式以访问网络接口统计。这会自动暴露端口,如果需要请使用环境变量更改端口。

如果不需要网络统计,从 compose 文件中删除该行并手动映射端口。

注意: Docker 版本的代理无法自动检测用于磁盘 I/O 统计的文件系统,所以如果你希望它工作,请包含 FILESYSTEM 环境变量(说明在此)。

二进制文件

[!提示] 如果使用 Linux,请参阅 guides/systemd.md 获取将中心或代理安装为系统服务的脚本。代理安装程序将在未来内置到 Web UI 中。

从发布页面下载并运行最新的二进制文件,或使用以下命令。

中心

curl -sL "https://github.com/henrygd/beszel/releases/latest/download/beszel_$(uname -s)_$(uname -m | sed 's/x86_64/amd64/' | sed 's/armv7l/arm/' | sed 's/aarch64/arm64/').tar.gz" | tar -xz -O beszel | tee ./beszel >/dev/null && chmod +x beszel && ls beszel

直接运行中心:

./beszel serve

代理

curl -sL "https://github.com/henrygd/beszel/releases/latest/download/beszel-agent_$(uname -s)_$(uname -m | sed 's/x86_64/amd64/' | sed 's/armv7l/arm/' | sed 's/aarch64/arm64/').tar.gz" | tar -xz -O beszel-agent | tee ./beszel-agent >/dev/null && chmod +x beszel-agent && ls beszel-agent

直接运行代理:

PORT=45876 KEY="{粘贴你的密钥}" ./beszel-agent

更新

使用 ./beszel update 和 ./beszel-agent update 更新到最新版本。

环境变量

中心

代理

OAuth / OIDC 设置

Beszel 支持 OpenID Connect 和许多 OAuth2 认证提供商(见下方列表)。

访问"认证提供商"页面以启用你的提供商。重定向/回调 URL 应为 <你的beszel-url>/api/oauth2-redirect。

REST API

由于 Beszel 基于 PocketBase 构建,你可以使用 PocketBase 的Web API和客户端 SDK从 Beszel 外部读取或更新数据。

安全性

中心和代理通过 SSH 通信,所以它们不需要暴露在互联网上。即使你在中心前面放置自己的认证网关(如 Authelia),连接也不会中断。 当集线器首次启动时，它会生成一个ED25519密钥对。

代理的SSH服务器被配置为仅使用此密钥接受连接。它不提供伪终端或接受输入，因此即使您的私钥被泄露，也无法在代理上执行命令。

用户角色

管理员

假定在PocketBase中拥有管理员账户，因此在集线器中显示备份、SMTP设置等链接。

第一个创建的用户自动成为管理员，并可以登录PocketBase。

请注意，更改用户角色不会为他们创建PocketBase管理员账户。如果您想这样做，请前往PocketBase的"设置>管理员"并在那里添加他们。

用户

可以创建自己的系统和警报。集线器中不显示PocketBase设置的链接。

只读

无法创建系统，但可以查看管理员与他们共享的任何系统。可以创建警报。

常见问题 / 故障排除

代理无法连接

假设代理正在运行，连接可能被防火墙阻止。您有两个选择：

1. 在代理系统的防火墙中添加入站规则，允许TCP连接到该端口。检查任何活动的防火墙，如iptables，以及您的云提供商账户（如适用）。
2. 或者，可以使用Cloudflare Tunnel、WireGuard或Tailscale等软件安全地绕过防火墙。

可以通过运行telnet <代理IP> <端口>来测试连接。

在同一系统上使用Docker连接集线器和代理

如果代理使用主机网络模式但集线器不使用，您可以使用主机名host.docker.internal添加系统，该主机名解析为主机使用的内部IP地址。请参阅示例docker-compose.yml。

如果两者都使用主机网络，您可以使用localhost作为主机名。

否则，如果两者在同一Docker网络中，可以使用代理的container_name作为主机名。

找到正确的文件系统

用于磁盘I/O统计的文件系统/分区在FILESYSTEM环境变量中指定。

如果未设置，代理将尝试找到挂载在/上的文件系统并使用它。这在容器中似乎不起作用，因此建议设置此值。以下方法之一应该可行（通常需要挂载在/上的选项）：

• 运行df -h并在"Filesystem"下选择一个选项
• 运行lsblk并在"NAME"下选择一个选项
• 运行sudo fdisk -l并在"Device"下选择一个选项

Docker容器未可靠填充

尝试升级代理系统上的Docker版本。我在运行版本24的机器上遇到了这个问题。升级到版本27后问题得到解决。

月/周记录未可靠填充

较长时间段的记录是通过对较短时间段的统计数据取平均值得出的。它们需要代理不间断运行足够长的时间以获得完整的数据集。

如果您暂停/恢复代理超过一分钟，数据将不完整，当前间隔的计时将重置。

编译

集线器和代理都是用Go编写的，因此您可以轻松地自己构建它们，或为不同平台交叉编译。如果您还没有安装Go，请先安装。

代理

cd agent
# 准备 / 安装依赖
go mod tidy
# 在当前目录创建二进制文件
CGO_ENABLED=0 go build -ldflags "-w -s" .

集线器

集线器在二进制文件中嵌入了Web UI，因此您必须先构建网站。我使用Bun，但如果您喜欢，也可以使用Node.js：

cd hub/site
bun install
bun run build

然后回到hub目录：

go mod tidy
CGO_ENABLED=0 go build -ldflags "-w -s" .

交叉编译

您可以使用GOOS和GOARCH环境变量为不同平台交叉编译。

例如，要为Linux ARM64构建：

GOOS=linux GOARCH=arm64 CGO_ENABLED=0 go build -ldflags "-w -s" .

您可以通过运行go tool dist list查看有效选项列表。