На днях перевозил небольшую серверную на новое место. Там всего 5 серверов и сетевая обвязка вокруг них. Не люблю это дело. Оборудование, которое работает годами, очень не любит, когда его выключают и куда-то перевозят. В данном случае на 100% актуален принцип - работает, не трогай.
Собрал всё на новом месте - один сервер не запустился. Сервер старый - 12 лет, ещё на SAS дисках 10k формата SFF (2.5") и железном контроллере LSI MegaRAID. Вот он то и подвёл. Просто перестал определятся. Соответственно, сам сервер работает, но диски не видит. Я и так, и сяк его покрутил, повертел, потряс, повтыкал - ничего не помогает. Сервер хоть и старый, но жаль его, свою работу он выполнял, и его 8 дисков в одном юните были очень кстати.
Это известная тема, когда выходит из строя рейд контроллер. Её всегда приводят в пример, когда спорят на тему, нужен ли он, или лучше использовать программную реализацию. Конкретно в этом споре мне довод о том, что рейд контроллер может сломаться, кажется нелепым. Сломаться может всё, что угодно. В любом случае должны быть бэкапы, чтобы не переживать за железо. У меня бэкапы были, уже развернул. Не без приключений, но всё получилось. Отдельно об этом расскажу.
Для меня выбор между железным рейдом и софтовым даже сейчас не очевиден. Да, рейд контроллер - это ещё одна точка отказа и его функциональность почти полностью может заменить программный рейд. Но в то же время отвязка системы хранения от ОС с управлением и мониторингом через BMC (Baseboard Management Controller), плюс, простая и понятная горячая замена дисков, тоже выглядят удобным. Если всё нормально настроено, сбойный диск просто начинает мигать красным. Ты его вынимаешь, заменяешь и запускается ребилд, либо диск встаёт в резерв, а ребил уже был выполнен резервным диском. Всё максимально просто, даже сервер выключать не надо.
В итоге я каждый раз ломаю голову при заказе нового сервера, брать нормальный рейд контроллер или нет, прокидывать диски в систему напрямую. А вы что предпочитаете?
По поводу переезда серверов лишний раз хочу напомнить, что если выключаете, а тем более перевозите оборудование, которое много лет работает онлайн, всегда держите в голове, что что-то может не включиться. Я много раз с этим сталкивался. Чем старее железо, тем больше вероятность, что оно не включится. И хорошо, если будет понятно, что вышло из строя, а это не всегда так. Там банально пластик пересыхает в проводах, пропадает контакт или становится нестабильным.
Конечно, хорошо полностью отвязаться от железа и арендовать облачные ресурсы. Но если взять, к примеру, этот сервер, который проработал 12 лет, и арендовать эти же ресурсы в облаке на такой же срок, то не ошибусь, если предположу, что расходов будет на порядок больше - раз в 10-20.
———
ServerAdmin:📱 Telegram | 🌐 Сайт | 📲 MAX 😩
#железо
Собрал всё на новом месте - один сервер не запустился. Сервер старый - 12 лет, ещё на SAS дисках 10k формата SFF (2.5") и железном контроллере LSI MegaRAID. Вот он то и подвёл. Просто перестал определятся. Соответственно, сам сервер работает, но диски не видит. Я и так, и сяк его покрутил, повертел, потряс, повтыкал - ничего не помогает. Сервер хоть и старый, но жаль его, свою работу он выполнял, и его 8 дисков в одном юните были очень кстати.
Это известная тема, когда выходит из строя рейд контроллер. Её всегда приводят в пример, когда спорят на тему, нужен ли он, или лучше использовать программную реализацию. Конкретно в этом споре мне довод о том, что рейд контроллер может сломаться, кажется нелепым. Сломаться может всё, что угодно. В любом случае должны быть бэкапы, чтобы не переживать за железо. У меня бэкапы были, уже развернул. Не без приключений, но всё получилось. Отдельно об этом расскажу.
Для меня выбор между железным рейдом и софтовым даже сейчас не очевиден. Да, рейд контроллер - это ещё одна точка отказа и его функциональность почти полностью может заменить программный рейд. Но в то же время отвязка системы хранения от ОС с управлением и мониторингом через BMC (Baseboard Management Controller), плюс, простая и понятная горячая замена дисков, тоже выглядят удобным. Если всё нормально настроено, сбойный диск просто начинает мигать красным. Ты его вынимаешь, заменяешь и запускается ребилд, либо диск встаёт в резерв, а ребил уже был выполнен резервным диском. Всё максимально просто, даже сервер выключать не надо.
В итоге я каждый раз ломаю голову при заказе нового сервера, брать нормальный рейд контроллер или нет, прокидывать диски в систему напрямую. А вы что предпочитаете?
По поводу переезда серверов лишний раз хочу напомнить, что если выключаете, а тем более перевозите оборудование, которое много лет работает онлайн, всегда держите в голове, что что-то может не включиться. Я много раз с этим сталкивался. Чем старее железо, тем больше вероятность, что оно не включится. И хорошо, если будет понятно, что вышло из строя, а это не всегда так. Там банально пластик пересыхает в проводах, пропадает контакт или становится нестабильным.
Конечно, хорошо полностью отвязаться от железа и арендовать облачные ресурсы. Но если взять, к примеру, этот сервер, который проработал 12 лет, и арендовать эти же ресурсы в облаке на такой же срок, то не ошибусь, если предположу, что расходов будет на порядок больше - раз в 10-20.
———
ServerAdmin:
#железо
Please open Telegram to view this post
VIEW IN TELEGRAM
👍113👎4
🫣 Вы ведь не переносите вручную данные из сервис деска в другую систему и обратно, правда?
4 июня в 11:00 МСК приглашаем на вебинар
«Как подружить ITSM 365 с другими сервисами: 4 способа настройки интеграций под ваши задачи»
Особенно ждем тех, ктокопирует и вставляет хочет улучшить автоматизацию сервисных процессов и узнать, что предлагает ITSM 365 в плане взаимодействия со сторонними системами.
А нам есть что предложить: 3 базовых варианта и 1 альтернативный способ.
📶 Готовые интеграции — легко подключить, просто управлять
📶 Интеграции через JSON RPC — для тех, кто хочет сделать сам
📶 Настройка вендором — мы реализуем, вы пользуетесь
📶 Реализация с помощью low-code платформы — весь процесс внутри ITSM 365, без всяких там внешних сервисов
Приходите, расскажем в подробностях!
🔗 Зарегистрироваться на вебинар
4 июня в 11:00 МСК приглашаем на вебинар
«Как подружить ITSM 365 с другими сервисами: 4 способа настройки интеграций под ваши задачи»
Особенно ждем тех, кто
А нам есть что предложить: 3 базовых варианта и 1 альтернативный способ.
Приходите, расскажем в подробностях!
🔗 Зарегистрироваться на вебинар
Реклама, ООО Смартнат, ИНН 6658396257, erid: 2SDnjevC3xePlease open Telegram to view this post
VIEW IN TELEGRAM
👍9👎5
И в продолжение утренней темы про переезд серверной. Как уже сказал, один из серверов не завёлся. Там был гипервизор Hyper-V. Раньше я постоянно использовал его бесплатную редакцию, потому что удобно и много инструментов для бэкапов. Последние несколько лет ставлю везде Proxmox. Тут поленился сделать заранее переезд на новый гипервизор, за что и поплатился.
С виндовым терминальным сервером пришлось повозиться. В общем случае переезд с Hyper-V на Proxmox у меня выглядел просто:
1️⃣ Импортировал VHDX образ диска из Veeam Backup & Replication в файл.
2️⃣ Подмонтировал в Proxmox шару с файлом и забрал на гипервизор.
3️⃣ Создал новую машину в PVE без дисков.
4️⃣ Сконвертирал и сразу подключил диск к новой машине:
Формат команды следующий:
Система была без EFI, так что никаких лишних заморочек. Но дальше начались свои приключения, с которыми пришлось разбираться, так как у меня почти нет практики восстановления Windows. Если в Linux мне всё понятно - загрузчик grub, стартовый образ initramfs и дальше основная система, то винда - тёмный лес. Хорошо, что для таких случаев есть ИИ, который хоть и не давал точных ответов без ошибок, но направление было понятно.
В системе не было драйверов virtio, соответственно, система не загрузилась, потому что загрузчик не нашёл диск, с которого надо грузиться. Дальше в целом понятно, что надо делать, но когда ты делаешь это в первый раз, возникает очень много нюансов, а основное неудобство в том, что работать приходится с консолью виртуальной машины, в которой не работает копирование и вставка. Всё приходилось набирать руками. И до кучи в здании не было интернета, потому что туда провели оптику, вроде как всё проверили, но когда я заехал по факту был обрыв волокна. Приехал по заявке монтажник почему-то без оборудования для варки, потому что подумал, что повреждён оптический патчкорд. В общем, всё как обычно 😱
Рассказываю суть, как чинить загрузку Windows систем при переезде в Proxmox, если про какой-то причине вы заранее не установили туда драйвера.
1️⃣ Загружаемся в режиме восстановления и запускаем cmd.
2️⃣ Запускаем diskpart, вводим команду list volume, чтобы узнать букву диска, где стоит система, и букву диска с драйверами virtio. Диск с Windows VirtIO Drivers надо скачать и подключить к машине.
3️⃣ С помощью dism можно интегрировать в неработающую систему нужные драйвера (viostor для ide и vioscsi для scsi). Для меня это было новым знанием:
4️⃣ Далее оказалось, что интеграции драйверов недостаточно, их нужно то ли активировать, то ли добавить в загрузку. К сожалению, команд не сохранил, потому что смотрел их со смартфона. В общем, надо добавить ключ в реестр, чтобы драйвер загружался. Это тоже всё делается в cmd.
5️⃣ Опять с загрузкой провал. Система не грузится и ругается на неподписанный драйвер. Это ограничение можно обойти либо опять же командой в аварийной консоли, либо выбрав режим загрузки Windows, который есть в списке вместе с различными вариантами безопасной загрузки, который позволяет использовать неподписанные драйвера.
6️⃣ После всех описанных действий система загрузилась.
Всё это заняло много времени и может показаться, что путь нерациональный с точки зрения того, что ничего не было подготовлено заранее. У меня на самом деле был подменный сервер с Hyper-V, куда бы я мог всё восстановить, но раз уж случилось, решил сразу переехать на Proxmox, чтобы потом опять не заниматься этой задачей. По ходу дела уже думал развернуть бэкап на Hyper-V, установить драйвера и вернуть на PVE, но не захотелось по сети гонять огромный образ диска. Решил вопрос на месте.
———
ServerAdmin:📱 Telegram | 🌐 Сайт | 📲 MAX 😩
#proxmox #hyperv
С виндовым терминальным сервером пришлось повозиться. В общем случае переезд с Hyper-V на Proxmox у меня выглядел просто:
# mount -t cifs //192.168.0.7/backup /mnt/fileserver -o user=backup,password=pass123# qm importdisk 107 /mnt/fileserver/terminal.vhdx localФормат команды следующий:
# qm importdisk <vmid> <source> <storage>Система была без EFI, так что никаких лишних заморочек. Но дальше начались свои приключения, с которыми пришлось разбираться, так как у меня почти нет практики восстановления Windows. Если в Linux мне всё понятно - загрузчик grub, стартовый образ initramfs и дальше основная система, то винда - тёмный лес. Хорошо, что для таких случаев есть ИИ, который хоть и не давал точных ответов без ошибок, но направление было понятно.
В системе не было драйверов virtio, соответственно, система не загрузилась, потому что загрузчик не нашёл диск, с которого надо грузиться. Дальше в целом понятно, что надо делать, но когда ты делаешь это в первый раз, возникает очень много нюансов, а основное неудобство в том, что работать приходится с консолью виртуальной машины, в которой не работает копирование и вставка. Всё приходилось набирать руками. И до кучи в здании не было интернета, потому что туда провели оптику, вроде как всё проверили, но когда я заехал по факту был обрыв волокна. Приехал по заявке монтажник почему-то без оборудования для варки, потому что подумал, что повреждён оптический патчкорд. В общем, всё как обычно 😱
Рассказываю суть, как чинить загрузку Windows систем при переезде в Proxmox, если про какой-то причине вы заранее не установили туда драйвера.
> dism /image:C:\ /add-driver /driver:D:\viostor\w10\amd64\viostor.infВсё это заняло много времени и может показаться, что путь нерациональный с точки зрения того, что ничего не было подготовлено заранее. У меня на самом деле был подменный сервер с Hyper-V, куда бы я мог всё восстановить, но раз уж случилось, решил сразу переехать на Proxmox, чтобы потом опять не заниматься этой задачей. По ходу дела уже думал развернуть бэкап на Hyper-V, установить драйвера и вернуть на PVE, но не захотелось по сети гонять огромный образ диска. Решил вопрос на месте.
———
ServerAdmin:
#proxmox #hyperv
Please open Telegram to view this post
VIEW IN TELEGRAM
👍86👎7
Решил вынести в отдельную заметку видео про Proxmox, которое мне показалось полезным, потому что некоторые советы из него я применяю сам, но никогда не собирал их в одну публикацию:
▶️ 5 полезных настроек Proxmox, которые стоит внедрить
Речь там идёт вот о чём:
1️⃣ Включить настройку Discard в свойствах диска виртуальной машины, если у вас хранилище на базе SSD дисков. По умолчанию она выключена.
Я всегда так делаю, а гостям в cron ставлю команду:
После её выполнения образ диска занимает ровно столько места, сколько реально занято в системе в госте, а не весь его объём. Это существенно экономит место на хранилище. Писал об этом подробную заметку.
2️⃣ Использование стандартных настроек CPU, которые поддерживаются всеми узлами кластера. Часто хочется указать тип host, и я так делаю, чтобы использовать все возможности ядра. Но в таком случае миграция не работает, если у вас узлы кластера с разными процессорами. Придётся установить что-то, что поддерживается всеми, типа x86-64-v2-AES, x86-64-v2 или kvm64. Тут уже по месту смотрите, из чего у вас собран кластер.
3️⃣ Автор предлагает использовать SDN вместо ручных настроек сети даже в самых простых ситуациях. Совет, конечно же логичный, но я пока костылю настройки сам без SDN. Надо бы переучиваться для унификации и переносимости.
4️⃣ Динамическая балансировка нагрузки в кластере. Она появилась в свежей версии 9.2 и автор предлагает её использовать. Собственно, почему бы и нет. Лишнее напоминание тем, кто пропустил новости с обновлением.
5️⃣ Последний совет на любителя - использовать различные панели управления и визуализации, типа Pulse или PegaProx. Я Pulse в пару мест поставил, где несколько хостов PVE. Выглядит красиво и удобно, но не сказать, что сильно надо. Можно и обойтись.
Некоторые дополнительные советы от меня по первоначальной настройке PVE:
◽️Сразу через веб интерфейс отключаю enterprise репозиторий
◽️Готовлю простенький шаблон с системой для раскатки через cloude-init.
◽️Если не будет настраиваться ограничение доступа к веб интерфейсу через файрвол, то делаю его в настройках pveproxy через указание доверенных IP.
◽️Настраиваю отправку уведомлений (email, gotify)
◽️Если используется zfs, настраиваю лимит использования памяти
❗️Если заметка вам полезна, не забудьте 👍 и забрать в закладки.
———
ServerAdmin:📱 Telegram | 🌐 Сайт | 📲 MAX 😩
#proxmox
Речь там идёт вот о чём:
Я всегда так делаю, а гостям в cron ставлю команду:
# fstrim -avПосле её выполнения образ диска занимает ровно столько места, сколько реально занято в системе в госте, а не весь его объём. Это существенно экономит место на хранилище. Писал об этом подробную заметку.
Некоторые дополнительные советы от меня по первоначальной настройке PVE:
◽️Сразу через веб интерфейс отключаю enterprise репозиторий
◽️Готовлю простенький шаблон с системой для раскатки через cloude-init.
◽️Если не будет настраиваться ограничение доступа к веб интерфейсу через файрвол, то делаю его в настройках pveproxy через указание доверенных IP.
◽️Настраиваю отправку уведомлений (email, gotify)
◽️Если используется zfs, настраиваю лимит использования памяти
❗️Если заметка вам полезна, не забудьте 👍 и забрать в закладки.
———
ServerAdmin:
#proxmox
Please open Telegram to view this post
VIEW IN TELEGRAM
YouTube
5 Proxmox Fixes Worth Doing This Weekend
If you run a Proxmox home lab, these are 5 Proxmox fixes and optimizations that are absolutely worth doing this weekend. In this video, I walk through real-world Proxmox VE settings and improvements that I have personally tested in my own environment to improve…
5👍118👎3
Как автоматизировать работу с выделенными серверами без слез и костылей
Разбираемся на бесплатном вебинаре от Selectel. Присоединяйтесь, чтобы узнать, как работать с Terraform на выделенных серверах, чем подход Infrastructure as Code может быть полезен для бизнеса и как устроен Bare Metal Cloud в Selectel.
Все участники вебинара получат промокод на 3000 бонусов в панели Selectel.
📍 Онлайн
⏰ 16 июня в 12:00
Регистрируйтесь ➡️ https://slc.tl/c1foi
Больше мероприятий для ИТ-специалистов в канале @selectel_events. Подписывайтесь!
Реклама. АО "Селектел". erid:2W5zFJF8FLd
Разбираемся на бесплатном вебинаре от Selectel. Присоединяйтесь, чтобы узнать, как работать с Terraform на выделенных серверах, чем подход Infrastructure as Code может быть полезен для бизнеса и как устроен Bare Metal Cloud в Selectel.
Все участники вебинара получат промокод на 3000 бонусов в панели Selectel.
📍 Онлайн
⏰ 16 июня в 12:00
Регистрируйтесь ➡️ https://slc.tl/c1foi
Больше мероприятий для ИТ-специалистов в канале @selectel_events. Подписывайтесь!
Реклама. АО "Селектел". erid:2W5zFJF8FLd
👍13👎2
🔝 ТОП постов за прошедший месяц май. Все самые популярные публикации по месяцам можно почитать со соответствующему хэштэгу #топ. Отдельно можно посмотреть ТОП за прошлые года: 2023 и 2024 и 2025.
Пользуясь случаем, хочу попросить проголосовать за мой канал, так как это открывает некоторые дополнительные возможности по настройке: https://t.me/boost/srv_admin.
📌 Больше всего пересылок:
◽️Моя подборка бесплатного софта для небольшой инфраструктуры (821)
◽️Использование wstunnel для SOCKS5 ппрокси (420)
◽️Ролики с женщинами на админскую тематику (379)
◽️Настройка CrowdSec как замена Fail2Ban (271)
📌 Больше всего комментариев:
◽️Моя подборка бесплатного софта для небольшой инфраструктуры (130)
◽️Новая профессия - ИИ-инженер (100)
◽️Надёжность Яндекс.Диска (94)
📌 Больше всего реакций:
◽️Моя подборка бесплатного софта для небольшой инфраструктуры (276)
◽️Перенос процесса в другую сессию SSH с помощью reptyr (179)
◽️Проблема с ядром 7-й версии в PVE (174)
📌 Больше всего просмотров:
◽️Ролики с женщинами на админскую тематику (11400)
◽️Новая профессия - ИИ-инженер (9075)
◽️XFS и EXT4, какую ФС выбирать (7930)
◽️Забавные моменты из сериала Кремниевая долина (7700)
Хотел себе парсер написать для автоматического анализа всего канала и с удивлением обнаружил, что метрики просмотров в клиенте и веб версии не совпадают. Причём расхождения приличные. Если кто-то знает, почему так и где данные более точные, подскажите.
#топ
Пользуясь случаем, хочу попросить проголосовать за мой канал, так как это открывает некоторые дополнительные возможности по настройке: https://t.me/boost/srv_admin.
📌 Больше всего пересылок:
◽️Моя подборка бесплатного софта для небольшой инфраструктуры (821)
◽️Использование wstunnel для SOCKS5 ппрокси (420)
◽️Ролики с женщинами на админскую тематику (379)
◽️Настройка CrowdSec как замена Fail2Ban (271)
📌 Больше всего комментариев:
◽️Моя подборка бесплатного софта для небольшой инфраструктуры (130)
◽️Новая профессия - ИИ-инженер (100)
◽️Надёжность Яндекс.Диска (94)
📌 Больше всего реакций:
◽️Моя подборка бесплатного софта для небольшой инфраструктуры (276)
◽️Перенос процесса в другую сессию SSH с помощью reptyr (179)
◽️Проблема с ядром 7-й версии в PVE (174)
📌 Больше всего просмотров:
◽️Ролики с женщинами на админскую тематику (11400)
◽️Новая профессия - ИИ-инженер (9075)
◽️XFS и EXT4, какую ФС выбирать (7930)
◽️Забавные моменты из сериала Кремниевая долина (7700)
Хотел себе парсер написать для автоматического анализа всего канала и с удивлением обнаружил, что метрики просмотров в клиенте и веб версии не совпадают. Причём расхождения приличные. Если кто-то знает, почему так и где данные более точные, подскажите.
#топ
Telegram
ServerAdmin.ru
🎄🔝 Под конец года имеет смысл подвести некоторые итоги. В повседневной жизни я не привык это делать. Обычно только доходы/расходы анализирую. А вот в разрезе канала было интересно посмотреть итоги.
Я подготовил ТОП публикаций за прошедший год. Это было…
Я подготовил ТОП публикаций за прошедший год. Это было…
👍29👎1
Недавно прочитал статью про настройку Fwknop. Впервые услышал про этот инструмент, как и подход в целом, хотя он не нов. Идея в том, что вы отправляете специальный зашифрованный пакет с клиента на сервер, а сервер вам открывает доступ на подключение. Открытие доступа может выражаться в разных действиях, но в общем случае - это разрешающее правило на файрволе. Получается аналог port knocking, но принцип действия немного другой, со своими плюсами и минусами.
Сразу перечислю плюсы и минусы:
➕ Достаточно отправить только 1 пакет, что позволяет обойтись без лишней логики в настройках файрвола
➕ Отправка осуществляется с помощью программы-клиента, что позволяет унифицировать использование
➕ С точки зрения безопасности это лучше, чем набор случайных нешифрованных сетевых пакетов в обычном port knocking.
➖ Пакет для аутентификации может блокироваться в каких-то сетях, то есть это менее надёжно, чем набор стандартных icmp или tcp пакетов
➖ Для корректной работы криптографии не должно быть больших расхождений по времени между клиентом и сервером
➖ Для доступа к инфраструктуре надо устанавливать и настраивать клиента
Из описания сразу понятно, что это всё своего рода костылинг. Но в современных условиях это может быть очень актуально, так как никогда не знаешь, в какой момент тот или иной vpn заблокируют и придётся искать другие способы подключения к инфраструктуре. Архитектурно fwknop и port knocking выглядят очень просто и надёжно, пока не заходит речь о разделении доступа по пользователям. Это вносит существенные ограничения на применение такого подхода.
У меня есть виртуальная инфраструктура, закрытая шлюзом на Debian с Iptables. Я сразу на нём и проверил работу fwknop для проброса портов во внутреннюю инфраструктуру.
Ставим сервер и создаём ключи:
Рисуем конфиг доступа
Здесь я на 60 секунд создаю правило проброса портов с внешнего интерфейса на 10.100.1.250:8080. Для разных пользователей можно использовать разные ключи и действия со своими наборами правил.
Рисуем конфиг
Запускаем службу:
Проверьте, что служба слушает порт udp 62201, и откройте к ней доступ на файрволе.
В качестве клиента я взял Fwknop-gui. Клиенты есть под разные системы, как с gui, так и без. Ему нужно передать ключи
В виндовом клиенте rijndael key = KEY_BASE64, а HMAC_KEY имеет идентичное именование. Пример настроек на картинке ниже. У меня в итоге всё заработало с этими настройками, но не скажу, что настройка была простая. Примеров не так много, ИИ тоже слабо помог.
Разбирался сам с помощью статьи выше. Документацию тоже всю просмотрел, но там в основном интеграция с файрволом через свой скрипт управления правилами, что мне не подходит, поэтому я сами правила записал в выполнение команды. А вообще клиент сам может выполнять разные команды на сервере после прохождения аутентификации. То есть правила для файрвола можно и в клиенте прописать, но надо на сервере разрешить исполнение. Мне схема как у меня показалась наиболее простой и удобной.
❗️Если заметка вам полезна, не забудьте 👍 и забрать в закладки.
———
ServerAdmin:📱 Telegram | 🌐 Сайт | 📲 MAX 😩
#security #gateway
Сразу перечислю плюсы и минусы:
Из описания сразу понятно, что это всё своего рода костылинг. Но в современных условиях это может быть очень актуально, так как никогда не знаешь, в какой момент тот или иной vpn заблокируют и придётся искать другие способы подключения к инфраструктуре. Архитектурно fwknop и port knocking выглядят очень просто и надёжно, пока не заходит речь о разделении доступа по пользователям. Это вносит существенные ограничения на применение такого подхода.
У меня есть виртуальная инфраструктура, закрытая шлюзом на Debian с Iptables. Я сразу на нём и проверил работу fwknop для проброса портов во внутреннюю инфраструктуру.
Ставим сервер и создаём ключи:
# apt install fwknop-server# fwknopd --key-genKEY_BASE64: tTxUvTOxidZdK3tTkXbgk1T0fbMyR8=HMAC_KEY_BASE64: 4qYZt6SX5yqiYRrHLMG0g2YwvQexYLA==Рисуем конфиг доступа
/etc/fwknop/access.conf:SOURCE ANY
KEY_BASE64 tTxUvTOxidZdK3tTkXbgk1T0fbMyR8=
HMAC_KEY_BASE64 4qYZt6SX5yqiYRrHLMG0g2YwvQexYLA==
HMAC_DIGEST_TYPE sha256
CMD_CYCLE_TIMER 60
CMD_CYCLE_OPEN /usr/sbin/iptables -t nat -A PREROUTING -p tcp --dport 8080 -i ens19 -s $PKT_SRC -j DNAT --to 10.100.1.250:8080
CMD_CYCLE_CLOSE /usr/sbin/iptables -t nat -D PREROUTING -p tcp --dport 8080 -i ens19 -s $PKT_SRC -j DNAT --to 10.100.1.250:8080
Здесь я на 60 секунд создаю правило проброса портов с внешнего интерфейса на 10.100.1.250:8080. Для разных пользователей можно использовать разные ключи и действия со своими наборами правил.
Рисуем конфиг
fwknopd.conf самой службы:ENABLE_NFQ_CAPTURE N;
NFQ_INTERFACE ens19;
NFQ_PORT 62201;
Запускаем службу:
# systemctl start fwknop-serverПроверьте, что служба слушает порт udp 62201, и откройте к ней доступ на файрволе.
В качестве клиента я взял Fwknop-gui. Клиенты есть под разные системы, как с gui, так и без. Ему нужно передать ключи
KEY_BASE64 и HMAC_KEY_BASE64. ☝️ Очень внимательно их копируйте и переносите. Я где-то хапнул лишний символ или пробел и очень долго разбирался, почему аутентификация не работает.В виндовом клиенте rijndael key = KEY_BASE64, а HMAC_KEY имеет идентичное именование. Пример настроек на картинке ниже. У меня в итоге всё заработало с этими настройками, но не скажу, что настройка была простая. Примеров не так много, ИИ тоже слабо помог.
Разбирался сам с помощью статьи выше. Документацию тоже всю просмотрел, но там в основном интеграция с файрволом через свой скрипт управления правилами, что мне не подходит, поэтому я сами правила записал в выполнение команды. А вообще клиент сам может выполнять разные команды на сервере после прохождения аутентификации. То есть правила для файрвола можно и в клиенте прописать, но надо на сервере разрешить исполнение. Мне схема как у меня показалась наиболее простой и удобной.
❗️Если заметка вам полезна, не забудьте 👍 и забрать в закладки.
———
ServerAdmin:
#security #gateway
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍55👎1
SRE тут? Нашли для вас подкаст, который вполне может пополнить ряд любимых.
Коллеги из Авито создали «В SREду на кухне», периодически собираются, зовут на запись гостей и обсуждают то, о чём не принято говорить в опенспейсе. Например, вот темы недавних выпусков:
— GitOps не волшебная таблетка;
— Зачем продукту бюджет ошибок;
— Роняем прод, чтобы стать сильнее: всё о Chaos Engineering;
— SRE больше не нужны. AI переписал правила.
Отвечая на вопрос «А при чём здесь комьюнити?» — все дополнительные инсайты, статьи и мысли на темы выпусков ребята выкладывают в канал «Avito SREда». И там уже собралась активная аудитория коллег-инженеров.
Коллеги из Авито создали «В SREду на кухне», периодически собираются, зовут на запись гостей и обсуждают то, о чём не принято говорить в опенспейсе. Например, вот темы недавних выпусков:
— GitOps не волшебная таблетка;
— Зачем продукту бюджет ошибок;
— Роняем прод, чтобы стать сильнее: всё о Chaos Engineering;
— SRE больше не нужны. AI переписал правила.
Отвечая на вопрос «А при чём здесь комьюнити?» — все дополнительные инсайты, статьи и мысли на темы выпусков ребята выкладывают в канал «Avito SREда». И там уже собралась активная аудитория коллег-инженеров.
👎12👍10
This media is not supported in your browser
VIEW IN TELEGRAM
Забавное видео попалось на ютубе, у которого было почти 200к просмотров. Вспомнил времена, когда я настраивал и внедрял Asterisk. Бросил это дело, потому что там много нюансов и очень хлопотно было поддерживать, не погружаясь в тему глубоко.
В ролике представлен один из стандартных звуковых фрагментов, который можно выбрать для воспроизведения - tt-monkeys.wav. Это запись обезьян.
То есть админ тут ничего особо и не придумывал. Просто настроил проверку существования номера. Для этого есть отдельная функция. Если номера нет, то возвращаем какую-то запись. Либо он на старые номера настроил воспроизведение звука.
Вообще, разработчики Asterisk с юмором. Там много таких забавных моментов. Пример некоторых записей:
◽️tt-monkeysintro - их унесли мартышки
◽️tt-somethingwrong - что-то тут совсем не так
◽️tt-weasels - телефонную систему съели совы
Зашёл на один из серверов, которым до сих пор управляю, и скачал эти звуки. Кому любопытно или хочет где-то использовать, можно забрать. Звук с мартышками универсальный, можно на звонок повесить :)
⇨ https://disk.yandex.ru/d/rtwlcEk610ty_g
Подобные звуки можно вместо гудков поставить, например, при звонке в какой-то отдел. Вообще, настраивать Астериск было интересно. Это такая замороченная и очень гибкая система. До сих пор есть компании, где работает IVR с моими записями фраз. Нужно быстро настроить, а кого просить записать фразы? Записывал сам. Настраивал один из телефонов на запись звонка, звонил туда и наговаривал. Это был самый простой способ получить готовую к применения запись без лишних заморочек и обработок.
#юмор #voip
В ролике представлен один из стандартных звуковых фрагментов, который можно выбрать для воспроизведения - tt-monkeys.wav. Это запись обезьян.
То есть админ тут ничего особо и не придумывал. Просто настроил проверку существования номера. Для этого есть отдельная функция. Если номера нет, то возвращаем какую-то запись. Либо он на старые номера настроил воспроизведение звука.
Вообще, разработчики Asterisk с юмором. Там много таких забавных моментов. Пример некоторых записей:
◽️tt-monkeysintro - их унесли мартышки
◽️tt-somethingwrong - что-то тут совсем не так
◽️tt-weasels - телефонную систему съели совы
Зашёл на один из серверов, которым до сих пор управляю, и скачал эти звуки. Кому любопытно или хочет где-то использовать, можно забрать. Звук с мартышками универсальный, можно на звонок повесить :)
⇨ https://disk.yandex.ru/d/rtwlcEk610ty_g
Подобные звуки можно вместо гудков поставить, например, при звонке в какой-то отдел. Вообще, настраивать Астериск было интересно. Это такая замороченная и очень гибкая система. До сих пор есть компании, где работает IVR с моими записями фраз. Нужно быстро настроить, а кого просить записать фразы? Записывал сам. Настраивал один из телефонов на запись звонка, звонил туда и наговаривал. Это был самый простой способ получить готовую к применения запись без лишних заморочек и обработок.
#юмор #voip
👍81👎4
В то время как ии-агенты сами себя улучшают и обучают, мне по старинке понадобилось вручную обновить биос одного старенького сервера Supermicro. На удивление без проблем нашёл и скачал всё, что надо на официальном сайте. Никаких подписок не понадобилось, запрета доступа тоже нет.
Помню, что была опция по обновлению биоса в IPMI панели управления сервером. Захожу в Maintenance, нахожу BIOS Update и расстраиваюсь, так как для этого нужно приобретать какую-то лицензию. А без неё обновление только с загрузочного носителя в DOS или через UEFI. Очень не хотелось со всем этим заморачиваться, поэтому решил поискать путь попроще.
И я его нашёл. Есть репозиторий supermicro-product-key. Там работающее решение по получению ключа для разблокировки расширенных возможностей IPMI. Я его проверил, способ рабочий. У меня получилось без проблем обновить bios.
Для получения самой простой лицензии, которая позволяет обновлять биос, достаточно запустить генератор ключа на основе mac адреса сервера, который можно посмотреть в IPMI панели:
Вводим код и можно обновлять биос. Я чисто из любопытства установил и самую навороченную лицензию, которая позволяет выполнять централизованное управление всеми серверами. В репозитории есть все инструкции. На практике не знаю, где это может пригодиться. У меня нету парка однотипных серверов. А вот обновление биоса очень пригодилось. Плюс, какой-то уровень лицензии добавил iKVM через HTML5, а не через глючную Java. Приятный бонус.
С учётом того, что серверы Supermicro за их стоимость довольно популярны у нас, решил написать заметку. Хотя лично я, если нужно приобрести сервер, отдаю предпочтение бушным серверам Dell.
Я заодно и прошивку IPMI обновил. И по старой русской традиции не прочитал инструкцию по обновлению. А там красным цветом с восклицательным знаком написано, что во время обновления надо поставить галочку на сброс настроек к заводским. Конечно же я этого не сделал. Мне и в голову не пришло, что это обязательное требование. В процессе был выбор - сбросить или оставить настройки. Разумеется, я оставил. Нелогично же давать выбор, когда выбора реально нет, надо обязательно сбрасывать.
В общем, после обновления IPMI он у меня сломался. Пришлось повозиться и через SUM (Supermicro Update Manager) сбросить настройки. Сервер старый, запасной, поэтому я поленился заморочиться и всё проверить. Но если будете рабочие сервера обновлять, то рекомендую всё же читать инструкции по обновлению как биоса, там и bmc.
❗️Если заметка вам полезна, не забудьте 👍 и забрать в закладки.
———
ServerAdmin:📱 Telegram | 🌐 Сайт | 📲 MAX 😩
#железо
Помню, что была опция по обновлению биоса в IPMI панели управления сервером. Захожу в Maintenance, нахожу BIOS Update и расстраиваюсь, так как для этого нужно приобретать какую-то лицензию. А без неё обновление только с загрузочного носителя в DOS или через UEFI. Очень не хотелось со всем этим заморачиваться, поэтому решил поискать путь попроще.
И я его нашёл. Есть репозиторий supermicro-product-key. Там работающее решение по получению ключа для разблокировки расширенных возможностей IPMI. Я его проверил, способ рабочий. У меня получилось без проблем обновить bios.
Для получения самой простой лицензии, которая позволяет обновлять биос, достаточно запустить генератор ключа на основе mac адреса сервера, который можно посмотреть в IPMI панели:
> supermicro-product-key.exe oob encode 3cecef123456CE27-F641-9B04-6B24-5D04-5D32Вводим код и можно обновлять биос. Я чисто из любопытства установил и самую навороченную лицензию, которая позволяет выполнять централизованное управление всеми серверами. В репозитории есть все инструкции. На практике не знаю, где это может пригодиться. У меня нету парка однотипных серверов. А вот обновление биоса очень пригодилось. Плюс, какой-то уровень лицензии добавил iKVM через HTML5, а не через глючную Java. Приятный бонус.
С учётом того, что серверы Supermicro за их стоимость довольно популярны у нас, решил написать заметку. Хотя лично я, если нужно приобрести сервер, отдаю предпочтение бушным серверам Dell.
Я заодно и прошивку IPMI обновил. И по старой русской традиции не прочитал инструкцию по обновлению. А там красным цветом с восклицательным знаком написано, что во время обновления надо поставить галочку на сброс настроек к заводским. Конечно же я этого не сделал. Мне и в голову не пришло, что это обязательное требование. В процессе был выбор - сбросить или оставить настройки. Разумеется, я оставил. Нелогично же давать выбор, когда выбора реально нет, надо обязательно сбрасывать.
В общем, после обновления IPMI он у меня сломался. Пришлось повозиться и через SUM (Supermicro Update Manager) сбросить настройки. Сервер старый, запасной, поэтому я поленился заморочиться и всё проверить. Но если будете рабочие сервера обновлять, то рекомендую всё же читать инструкции по обновлению как биоса, там и bmc.
❗️Если заметка вам полезна, не забудьте 👍 и забрать в закладки.
———
ServerAdmin:
#железо
Please open Telegram to view this post
VIEW IN TELEGRAM
👍151👎1
Выбираем IT-инфраструктуру в 2026: как сэкономить, соблюсти требования закона и заработать на партнерской программе провайдера ?
Увидимся на митапе и обсудим, что учесть при выборе инфраструктурного решения и как получить все преимущества от партнерской программы Selectel.
⏰ 18 июня, 18:30
📍 Онлайн и офлайн в Санкт-Петербурге
👥Для ИТ-руководителей, интеграторов, DevOps-инженеров и системных администраторов
Присоединяйтесь, чтобы узнать:
🔹как выбрать подходящую инфраструктуру, оптимизировать расходы и масштабировать проекты;
🔹как соблюдать требования регуляторов и избежать штрафов и потерь;
🔹как помочь с выбором инфраструктуры клиентам и заработать с партнерской программой Selectel.
Смотрите полную программу и регистрируйтесь: https://slc.tl/zms7k
Чтобы не пропустить вебинар и узнавать о других событиях и бесплатных курсах Selectel, подписывайтесь на @selectel_events
Реклама. АО "Селектел". erid:2W5zFHRSYQ9
Увидимся на митапе и обсудим, что учесть при выборе инфраструктурного решения и как получить все преимущества от партнерской программы Selectel.
⏰ 18 июня, 18:30
📍 Онлайн и офлайн в Санкт-Петербурге
👥Для ИТ-руководителей, интеграторов, DevOps-инженеров и системных администраторов
Присоединяйтесь, чтобы узнать:
🔹как выбрать подходящую инфраструктуру, оптимизировать расходы и масштабировать проекты;
🔹как соблюдать требования регуляторов и избежать штрафов и потерь;
🔹как помочь с выбором инфраструктуры клиентам и заработать с партнерской программой Selectel.
Смотрите полную программу и регистрируйтесь: https://slc.tl/zms7k
Чтобы не пропустить вебинар и узнавать о других событиях и бесплатных курсах Selectel, подписывайтесь на @selectel_events
Реклама. АО "Селектел". erid:2W5zFHRSYQ9
👎7👍3