ServerAdmin.ru

🎥 Вебинар по сетям: IS-IS. Введение

👉 Что будет на занятии: - Что такое IS-IS: Отличия от OSPF и сфера применения. - Разбираемся в основах: Уровни маршрутизации, NET-адрес и типы пакетов. - Как строится связность: Процесс обмена LSP и построение базы данных LSDB. - Живые примеры конфигурации и ответы на ваши вопросы в прямом эфире. 💪 В результате : Вы получите четкое понимание принципов работы IS-IS и сможете оценить его возможности для применения в своей сети.

🎁 Проходит в преддверии старта курса «Network engineer. Basic». Все участники вебинара получат специальные условия на полное обучение курса. 👉 Регистрируйтесь для участия: https://clck.ru/3PxWpK Реклама. ООО «Отус онлайн-образование», ОГРН 1177746618576

Я всегда без исключения в Linux использую swap в виде отдельного файла, а не раздела. Причина очень простая - это намного удобнее. Из глубины веков тянется шлейф убеждений, что отдельный раздел работает быстрее, чем файл. Теоретически - да, практически не понятно. Во-первых, swap в принципе редко используется интенсивно. Во-вторых, как замерить скорость его работы на реальной нагрузке? В-третьих, разница если и будет, то незначительная. Swap в виде файла позволяет на лету менять свой размер или вовсе его отключать, если экстренно понадобится доступное место. Это весомое преимущество, которое стоит использовать. Swap в 1 ГБ добавляю так: # dd if=/dev/zero of=/swap bs=1024 count=1000000 # mkswap /swap # chmod 0600 /swap # swapon /swap Если всё ок, то добавляю в /etc/fstab: /swap swap swap defaults 0 0 Отдельно отмечу, что не рекомендуется создавать пустой файл с помощью truncate или fallocate: # truncate -s 1G /swap # fallocate -l 1G /swap Он создастся мгновенно, в отличие от dd, которая явно пишет туда нули. Не помню, в какой документации читал, но запомнил, что swap лучше нулями сразу записать, а не создавать пустым. Если swap уже настроен в виде раздела, то трогать уже не буду, если только это не пустая виртуалка. Иногда попадаются виртуалки с lvm, где swap в виде отдельного lv раздела. Это стандартная схема установки в Debian. В этом случае его можно удалить, объединить с основным, а swap сделать в виде файла. Все эти операции безопасны и могут быть выполнены без перезагрузки. Но как я уже сказал, на работающих серверах не рекомендую это делать, так как потом корневой раздел надо будет увеличивать. Это потенциально небезопасная операция. Но если сильно прижмёт, то сделать можно. Я так делал и не раз. Последовательность действий тут такая. Смотрим список разделов: # lvs root   web-01-vg -wi-ao---- <27.51g swap_1 web-01-vg -wi-ao---- <1.54g Небольшая виртуалка с диском на 30 ГБ, где 1,5 отдано под swap. Уберём этот раздел и объединим с основным. Отключаем этот swap: # swapoff -a И сразу же проверьте файл /etc/fstab. Там нужно удалить строку с подключением этого раздела. Выглядит примерно так: /dev/mapper/web--01--vg-swap_1 none      swap  sw       0    0 Закомментируйте её. Удаляем раздел со свапом: # lvremove /dev/web-01-vg/swap_1 Do you really want to remove active logical volume web-01-vg/swap_1? [y/n]: y  Logical volume "swap_1" successfully removed. Расширяем корневой раздел: # lvextend -l +100%FREE /dev/web-01-vg/root  Size of logical volume web-01-vg/root changed from <27.51 GiB (7042 extents) to 29.04 GiB (7435 extents).  Logical volume web-01-vg/root successfully resized. И растягиваем файловую систему на весь раздел, так как увеличение раздела не подразумевает её автоматическое увеличение. Она ничего не знает об увеличенном разделе, если ей об этом не сказать. # resize2fs /dev/web-01-vg/root resize2fs 1.47.2 (1-Jan-2025) Filesystem at /dev/web-01-vg/root is mounted on /; on-line resizing required old_desc_blocks = 4, new_desc_blocks = 4 The filesystem on /dev/web-01-vg/root is now 7613440 (4k) blocks long. Проверяем, что получилось: # df -h | grep root /dev/mapper/web--01--vg-root  29G 4.7G  23G 18% / Раздел стал 29G против предыдущих 27.5G. Дальше можно добавлять swap в виде файла, как я показал в начале. И обязательно, когда всё закончите, перезагрузите виртуалку и убедитесь, что всё в порядке. Все эти операции не требуют перезагрузки, но если где-то ошиблись, особенно в fstab, можете получить проблемы во время загрузки. По горячим следам это легко исправить, а если reboot случится через полгода и система не загрузится, можно сразу не сообразить, из-за чего это. ❗️Если заметка вам полезна, не забудьте 👍 и забрать в закладки. ——— ServerAdmin: 📱 Telegram | 🌐 Сайт | 📲 MAX #linux #terminal #совет

▶️ Очередная подборка авторских IT роликов, которые я лично посмотрел и посчитал интересными/полезными. Это видео из моих подписок за последнее время (обычно беру период в 2 недели), что мне понравились. 🔥RAID не спасет твои данные! Проверил на реальном сервере. RAID 0, RAID 1, RAID 5, RAID 6, RAID 10 Автор на горячую вытаскивает диски из RAID10 и показывает, к чему это приводит. Мотайте сразу на середину, когда диски начнут вынимать. Как и ожидалось, ничего особенного не произошло. Получился наглядный пример, чем удобны железные рейды. Их удобно эксплуатировать и обслуживать. ⇨ Mail Archiver - архив всех Mail аккаунтов на одном центральном сервере. Свежий софт на тему бэкапа почтовых ящиков. Увидел её упоминание в нескольких источников. Выглядит удобный и полезным инструментом. Надо будет тоже попробовать. ⇨ Как установить и настроить Authelia в Docker с Traefik — Полный гайд Подробная инструкция по настройке Authelia в связке с Traefik. Authelia считается наиболее простой бесплатной платформой для для аутентификации и авторизации. Её часто используют для личных нужд. ⇨ Оптимизация метрики LCP (WebVitals) за счет приоритизации картинок Практический пример того, как ускорить загрузку и визуализацию загружаемой страницы. Актуально для тех, кто обслуживает сайты. Я одно время занимался подобными оптимизациями и неплохо их знаю. 🔥Балансировка и проксирование L4-трафика (TCP/UDP) в Angie Описание с примерами потокового модуля stream, который позволяет проксировать не только HTTP трафик. Например, подключения к СУБД, к DNS, к почте, или, к примеру, к VPN серверам. Можно ограничивать соединения, балансировать нагрузку и многое другое. Очень удобно, особенно если подобную функциональность не поддерживает сам сервис, на который мы отправляем подключения. ⇨ Мониторинг Angie с помощью Console Light и API Разбор встроенных возможностей Angie для мониторинга веб сервера. ⇨ Запускайте модели ИИ с помощью Docker — без настройки, без головной боли Описание встроенной функциональности докера по запуску ИИ моделей - Docker Model Runner. Нововведение не так давно зарелизили. Я и не слышал о нём. Это аналог ollama. Для разового запуска особого удобства нет, но основной смысл - держать всё приложение вместе с моделью в одной конфигурации Docker. ⇨ Self-hosting GitLab: A complete HomeLab deployment Описание и примеры использования GitLab. Актуально будет тем, кто не знаком с этим продуктом. Автор на своих примерах показал, как он использует GitLab. Он там в том числе рассмотрел вопрос, как снизить потребление ресурсов. Я об этом тоже писал. Кому интересно - смотрите параметры в заметке. ⇨ Прекратите неправильную установку Docker на Proxmox (вот правильный способ) Автор рассмотрел, как надо и как не надо запускать Docker в Proxmox. Ожидаемо, удобнее всего запускать Docker в LXC контейнере. Это не добавляет лишнюю вложенность и перерасход ресурсов, так как обе эти технологии используют cgroups2 и работают в её контексте. #видео

🎥 Вебинар по Linux: Отказоустойчивое хранилище Drbd (Distributed Replicated Storage System) 👉 На вебинаре вы узнаете: - Что такое DRBD и как он работает для создания отказоустойчивых систем. - Основные виды репликации данных с использованием Drbd. - Практические аспекты настройки и управления Drbd. 💪 В результате вебинара вы: - Научитесь основным принципам работы Drbd и его применению. - Сможете настроить репликацию данных между серверами. - Освоите способы устранения сбоев и восстановления системы. - Поймете, как интегрировать Drbd в высоконагруженные системы. 🎁 Все участники вебинара получат специальные условия на полное обучение курса "Инфраструктура высоконагруженных систем" 👉 Для участия зарегистрируйтесь: https://clck.ru/3Pu6Bx Реклама. ООО «Отус онлайн-образование», ОГРН 1177746618576

Сейчас появилось очень много программ для построения mesh-сетей. Это локальные сети поверх других сетей, где хосты могут соединяться друг с другом напрямую, если есть возможность. А каждый из членов сети может выступать маршрутизатором для доступа к другим ресурсами. Известными представителями подобных продуктов являются Nebula, Tailscale, Netmaker, Netbird и ZeroTier. На последнем я бы хотел остановиться поподробнее. Он выделяется из этого списка своим протоколом передачи данных, в то время как остальные в основном используют WireGuard. Плюс, Mikrotik в RouterOS7 имеет реализацию, как клиента, так и своего контроллера на базе ZeroTier. Я раньше только слышал про него, сам не пробовал. Решил исправить это, развернул и протестировал. Сразу скажу, что это не инструмент для обхода блокировок. Он не для этого придуман и в данной роли работает плохо. Не стоит эту тему развивать. ZeroTier - платный SaaS сервис. Регистрируетесь, платите деньги и получаете личный кабинет для управления всеми своими сетями. Но при этом серверная часть выложена в open source. Каждый может развернуть свой локальный сервер и управлять им через CLI. Я немного изучил команды, там на самом деле всё относительно просто. В связи с этим появилось очень много реализаций бесплатного веб интерфейса для управления сервером. Я недавно читал статью про настройку Self-Hosted ZeroTier с помощью интерфейса ZTNET, поэтому не стал смотреть другие интерфейсы, а их много, взял сразу этот. В целом, там всё необходимое для управления есть. Запускаем так:

    
        # wget -O docker-compose.yml https://raw.githubusercontent.com/sinamics/ztnet/main/docker-compose.yml
# sed -i "s|http://localhost:3000|http://$(hostname -I | cut -d' ' -f1):3000|" docker-compose.yml
# docker compose up -d{}
    

Можно и вручную всё это сделать. В репозитории есть описание. Теперь можно идти на 3000 порт сервера и регистрировать учётку админа. Принцип объединения устройств в единую сеть следующий: 1️⃣ Скачиваете клиента под свою систему (есть под все, в том числе мобильные) 2️⃣ В клиенте указываете Network ID или сканируете QR код, который видно в веб интерфейсе. В этом ID, как я понял, закодирован IP контроллера. 3️⃣ Клиент подключается к серверу, на сервере вы подтверждаете его подключение. 4️⃣ Клиент получает IP адрес внутренней сети. Я объединил Windows, Linux и Mikrotik. Получилось всё без проблем. Узлы сети сразу же напрямую увидели себя по внутренним адресам сети ZeroTier. Заработали RDP, SSH, Winbox. Вы можете назначить Mikrotik шлюзом для какой-то подсети, которая находится за ним. Клиенты, которые подключатся к общей mesh-сети, могут ходить в ту сеть через него. А какой-нибудь Linux сервер назначить шлюзом для доступа в другую инфраструктуру. То есть каждый узел может выступать в роли и клиента, и шлюза для других. Настраивается это очень просто, буквально в несколько кликов в веб интерфейсе. Если клиенты не видят друг друга напрямую, то общаются через контроллер. По умолчанию локальный ZeroTier подключается к набору публичных серверов для связи клиентов, которые не могут через ваш сервер увидеть друг-друга. Например, если сервер не в публичном доступе для всех. В ZTNET это отключается в разделе настроек ZT Controller, где вы можете создать так называемый Custom Planet, который будет работать только локально и никуда подключаться не будет. Вам нужно будет обеспечить к нему прямой доступ всех клиентов, либо опубликовав контроллер напрямую в интернете, либо пробросив к нему порт 9993/udp. Я всё это настроил. Разобрался со всем за пару-тройку часов. Не могу подробно расписать установку клиентов и команды, потому что лимит на длину заметки. В сети всё это есть, там ничего сложного. Продукт простой, функциональный, бесплатный и известный. Много кем поддерживается. Так что если нужно что-то подобное, то можете смело использовать. Единственное, я бы поискал какой-то другой GUI. Этот показался немного кривоват, хотя вся необходимая функциональность присутствует. ❗️Если заметка вам полезна, не забудьте 👍 и забрать в закладки. ——— ServerAdmin: 📱 Telegram | 🌐 Сайт | 📲 MAX #vpn #network

🔥Выгодная инфраструктура с GPU для проектов любого масштаба О проблеме поиска выгодных GPU можно забыть с Selectel. Здесь есть мощные облачные серверы с видеокартами для решения задач любой сложности всего от 29 ₽/час. Почему стоит выбрать аренду серверов с GPU в Selectel: - Широкий выбор видеокарт: Более 10 моделей карт — от GTX 1080 до профессиональных А100 (40 и 80 ГБ). - Гибкость и масштабируемость: Мгновенное масштабирование под растущие нагрузки, стандартные и индивидуальные конфигурации с нужной видеокартой. - Безопасность: серверы Selectel соответствуют международным и российским стандартам безопасности, включая 152-ФЗ (УЗ-1), PCI DSS, ISO 27001, 27017 и 27018. Разверните ваш проект в облаке с GPU от Selectel: https://slc.tl/nihpa Реклама. АО "Селектел". erid:2W5zFJPzZaY

Помните, я рассказывал историю про проблемы в СУБД, когда бились ни с того ни с сего таблицы в MySQL? Уже почти год прошёл 😱 Как время летит. Вот эти заметки: ◽️первая ошибка ◽️её анализ на восстановленной копии виртуалки ◽️повторение через полгода Кратко поясню для тех, кто не хочет всё это читать. Возникла ошибка, когда небольшая часть записей в одной таблице побилась, не снимался полный дамп. При этом база в целом работала нормально, если не трогать повреждённые записи. При восстановлении виртуалки на другом сервере ошибка не воспроизводилась. Через полгода ошибка повторилась и я понял, что надо переехать на другое железо, хотя явных показаний к этому не было. Всесторонний анализ возникающей ошибки ни к какой конкретике не привёл. В итоге я заказал новый сервер и переехал туда. Ошибка больше не повторялась. Вспомнил об этой истории на днях, когда один из читателей попросил совета. Не буду всё рассказывать, передам только суть. Арендовали новый ProLiant DL360 Gen10 железным рейдом. Массив средствами контроллера собирать не стали, прокинули диски напрямую. Установили туда Proxmox на ZFS. Настроили виртуалки. Периодически гипервизор начал падать с kernel panic. Долго разбирались сами, крутили настройки. Гуглили ошибки и мучали ИИ. То же самое делал хостер. В итоге ничего не помогло. Падать стали реже, но всё равно раз в несколько дней зависание. Вопрос, что с этим делать. Я посоветовал следующее: 1️⃣ Сервер арендованный. Первое, что сделал бы я - заменил его. Либо просто договорился с хостером о прозрачной замене, либо, если он не согласен, дождался бы окончания аренды (она обычно помесячная) и заказал заново другой. По этой причине не люблю оплачивать сразу больше, чем на месяц. У тебя сужается пространство для манёвра. 2️⃣ Если тип виртуализации не критичен, заменил бы гипервизор. Вместо KVM взял бы ESXI или Hyper-V. Рейд собрал бы средствами железного контроллера. Железо иногда глючит, даже новое брендовое. Хоть и не часто, но такое бывает. И мой пример с СУБД как раз из этой серии. И я с этим сталкивался не раз. В дополнение к этому глючит иногда связка железа с конкретной системой. Можно много времени потратить на решение проблемы в текущем железе и софте и не решить её. Самое простое в этом случае - сначала заменить железо, если не поможет - гипервизор. Может так оказаться, что больше ничего делать и не придётся. А перекинуть виртуалки дело несложное, тем более если система ещё не в проде. Даже если проблема не с железом, то потом уже спокойно без задних мыслей решаем последовательно проблему дальше. Если же при таких ошибках не поменять железо, а пытаться решить проблему прошивками и настройками, то даже если на первый взгляд поможет, нет гарантий, что не стрельнет через месяц-два. Эти проблемы бывают сильно растянуты по времени. Надо по возможности сразу сужать проблемную область. Эти советы не универсальные и по месту могут применяться разные подходы. Делаю акцент именно на том, что если есть возможность поменять железо и систему, то лучше начать именно с этого. Иногда это может сразу решить проблему на 100% без длительной диагностики и выявления закономерностей. ——— ServerAdmin: 📱 Telegram | 🌐 Сайт | 📲 MAX #железо #совет

Расскажу про одну простую настройку в Nginx/Angie, которую использую постоянно, но с некоторыми нюансами, про которые возможно кто-то не знает. По крайней мере я не сразу об этом узнал. Речь пойдёт про basic_auth. Я уже много раз упоминал про эту настройку, которая позволяет очень просто и быстро скрыть от посторонних глаз какой-то сервис с помощью простой аутентификации с использованием имени пользователя и пароля. Делается это примерно так: # sh -c "echo -n 'user01:' >> /etc/nginx/.htpasswd" # sh -c "openssl passwd -apr1 >> /etc/nginx/.htpasswd" Создали файл .htpasswd, куда добавили пользователя user01 и задали ему интерактивно пароль. Теперь настраиваем Nginx/Angie, добавляя в секцию server или отдельной location настройку: location / { auth_basic "Access Denied"; auth_basic_user_file /etc/nginx/.htpasswd; try_files $uri $uri/ =404; } Теперь при попытке открыть сайт, будет выскакивать окно с аутентификацией. И пока не введешь логин с паролем, невозможно узнать, что в принципе находится на сайте. Таким способом очень удобно скрывать различные непубличные сервисы или технические панели. Например, я всегда так закрываю публикацию баз 1C, доступ в Phpmyadmin, Zabbix, Grafana, Apache Guacamole, какую-нибудь веб панель для управления, если используется и т.д. В общем, всё, что не для широкой публики лучше скрыть от посторонних глаз. Иногда хочется, чтобы кого-то пускало напрямую без аутентификации. Первое, что приходит в голову, добавить директивы allow и deny, потому что они тоже часто используются. По крайней мере я постоянно использую. Но они напрямую не работают с basic_auth, либо одно, либо другое. Нужен ещё один параметр - satisfy. location / { satisfy any; allow 192.168.137.0/24; deny all; auth_basic "Access Denied"; auth_basic_user_file /etc/nginx/.htpasswd; try_files $uri $uri/ =404; } В этом примере пользователи из подсети 192.168.137.0/24 зайдут на ресурс напрямую без аутентификации, а всем остальным нужно будет ввести пароль. Это удобно для той же публикации 1С, когда люди из офиса ходят напрямую в локальную базу, а снаружи с аутентификацией. В случае публикации на внешнем сервере удобно разрешить доступ с внешнего IP адреса офиса прямой доступ, а всем остальным с паролем. Точно так же удобно открыть прямой доступ к техническим панелям администраторам или только себе лично напрямую, а всем остальным закрыть паролем. Точнее даже не всем остальным, а тоже себе, если вдруг придётся подключаться с каких-то недоверенных адресов. Если нужно указать несколько подсетей и отдельных IP адресов, то их можно добавлять новыми строками, примерно так: allow 192.168.0.0/24; allow 10.20.5.0/24; allow 185.25.48.189; Повторю на всякий случай ещё раз, что не оставляйте ничего лишнего в прямом доступе из интернета. Вопрос времени, когда в нём найдётся какая-нибудь уязвимость. И хорошо, если для неё выйдет исправление, а вы успеете обновиться. Иногда люди забывают о чём-то и панели годами висят без обновления, пока не случится какая-нибудь беда с ними. Basic_auth простая и надёжная технология. Не припоминаю, чтобы хоть раз была какая-то уязвимость в обход неё. Пароль можно только перехватить, если не используется HTTPS, либо сбрутить, но это трудно, так как во-первых, стоит настраивать ограничение в веб-сервере на количество одновременных запросов. Я всегда это делаю по умолчанию. Плюс, производительности веб сервера будет недостаточно, чтобы подбирать сложный пароль с хорошей скоростью. Это не локально брутить. По интернету несловарный сложный пароль не подобрать. ❗️Если заметка вам полезна, не забудьте 👍 и забрать в закладки. ——— ServerAdmin: 📱 Telegram | 🌐 Сайт | 📲 MAX #nginx #angie