Сабж

Скоро (ближе к концу января) буду вводить в эксплуатацию сервер, хочу потестить производительность ZFS.

Цели:

• выявить и исправить косяки в конфигурации
• определить готовность ZFS к разного вида нагрузкам
• лучше понять, как тестировать дисковую подсистему
• лучше понять, как настраивать ZFS

Тестировать буду Intel P5800X (Optane) и Samsung PM1735 (TLC). Будет средний сервер на Xeon’e. Дистрибутив — Proxmox VE.

Принимаются пожелания (в виде указаний по настройке ZFS и конфигов/команд fio).

Предыдущее тестирование (2019 г.)

Тема в reddit/zfs. Может там чего-нибудь дельного посоветуют.

Предыдущее обсуждение в архиве, открываю новое.

Хочу взять Western Digital SN 770 (WDS100T3X0E) — см. datasheet, к нему куплю простенький радиатор типа такого.

ОК? Или лучше взять что-нибудь другое?

Хочу к одному выходу DisplayPort подключать два монитора через штуку типа такой.

На Intel HD 620 (который в i5-6300U) это заработает?

При получении нового сертификата для PBS, меняется fingerprint, и серверы Proxmox VE не могут подключиться к PBS => бэкап не работает.

Это у них by design или я чего-то не понял?

Планирую обходить это путём создания скрипта, который не просто получает и устанавливает сертификат для PBS, но и лезет на все PVE и обновляет там fingerprint для соответствующего storage.

Есть идеи лучше?

Я правильно понимаю, что в OpenZFS этого сейчас нет?

Под writeback cache я имею в виду, когда данные сначала пишутся на быстрые накопители, затем с них — переписываются на медленные.

https://www.opennet.ru/opennews/art.shtml?num=57996

Критическая уязвимость в OpenSSL затрагивает только ветку 3.0.x, выпуски 1.1.1x уязвимости не подвержены. Ветка OpenSSL 3.0 уже используется в таких дистрибутивах, как Ubuntu 22.04, CentOS Stream 9, RHEL 9, OpenMandriva 4.2, Gentoo, Fedora 36, Debian Testing/Unstable. В SUSE Linux Enterprise 15 SP4 и openSUSE Leap 15.4 пакеты с OpenSSL 3.0 доступны опционально, системные пакеты используют ветку 1.1.1. На ветках OpenSSL 1.x остаются Debian 11, Arch Linux, Void Linux, Ubuntu 20.04, Slackware, ALT Linux, RHEL 8, OpenWrt, Alpine Linux 3.16.

Уязвимость отнесена к категории критических, подробности пока не сообщаются, но по уровню опасности проблема близка к нашумевшей уязвимости Heartbleed. Критический уровень опасности подразумевает возможность совершения удалённой атаки на типовые конфигурации. К критическим могут быть отнесены проблемы приводящие к удалённым утечкам содержимого памяти сервера, выполнению кода атакующего или компрометации серверных закрытых ключей. Исправление OpenSSL 3.0.7 с устранением проблемы и информация о сути уязвимости будет опубликована 1 ноября.

Имеется хост c 20 физическими ядрами. Имеются гостевые VM (KVM), которым представлено суммарно ~50 ядер. Вопрос: повысит ли включение HyperThreading на хосте производительность в гостевых VM?

Какие минусы у включения HyperThreading в этих условиях?

Гостевые ОС - 70% windows server + 30% linux.

Не пойму, как через qemu monitor изменить virtual size для блочного устройства.

block_resize, как я понял, пытается поменять размер underlay диска (что актуально для qcow, но не актуально для болчного устройства, представленного как raw).

# qm monitor 208                                                            
Entering Qemu Monitor for VM 208 - type 'help' for help
qm> info block -v
drive-scsi1 (#block395): /dev/zvol/fastpool/vm/vm-208-disk-2 (raw)
    Attached to:      scsi1
    Cache mode:       writeback, direct
    Detect zeroes:    unmap

Images:
image: /dev/zvol/fastpool/vm/vm-208-disk-2
file format: raw
virtual size: 1.27 TiB (1395864371200 bytes)
disk size: 0 B
qm> block_resize drive-scsi1 1621350154240
Error: Cannot grow device files
qm> 

Версии:

• pve-qemu-kvm_5.2.0
• pve-qemu-kvm_6.1.1

Есть 2 офиса. В каждом - по 2 провайдера. Настроено 4 vpn-канала (отказоустойчивость каналов провайдеров). При падении канала - срабатывает переключение трафика. При деградации (сильное снижение скорости, дроп пакетов), переключения не происходит.

Вопрос: какая есть теория и практика выявления деградации в автоматическом режиме и переключения трафика?

Если что: снаружи статика, внутри OSPF. VPN - wireguard. Делается всё на VyOS.

RoCE использует кто-нибудь?

Если использовать обычное сетевое оборудование (eltex MES5324 в моём случае) - что будет?

Добрый день!

Планирую приводить названия активного оборудования, объектов СКС, и т.д. к единому стандарту.

Можете кинуть стандартные/общепринятые схемы именования для:

• коммутаторов, маршрутизаторов (в разных ролях)
• маршрутизаторов (в разных ролях)
• шкафов, стоек, патч-панелей
• физических серверов
• VM, контейнеров
• подключений провайдеров, ip-адресов
• площадок/зданий/офисов/рабочих мест
• оргтехники

и т.д.

Отдельный вопрос - что делать, если хочется отражать в названии оборудования принадлежность к разным компаниям?

Добрый день!

Сейчас использую под роутеры 1U серверы supermicro (SYS-5018D-FN8T или Supermicro SYS-5019A-FTN4), но во многих местах они избыточны (не везде 100+ т.р. выделяют).

Хочется перейти на использование чего-нибудь более компактного и дешевого (до 20 т.р.), а городить колхоз из самосбора не хочется. По железу нужно: amd64/1+ Гб RAM/2+Gb SSD. Минимум 2, а лучше 4 сетевых интерфейса. Желательно, но не обязательно — ECC и IPMI.

Софт - VyOS (вот их hardware capability list, кстати).

Кто что использует под зюзероутеры?

Что будет, если на одном роутере добавить одну и ту же сеть в разные зоны? Например:

• R1: Area 10: network 10.0.0.0/8
• R2: Area 20: network 10.0.0.0/8

frr 8.3-24, если говорить о реализации.

Смотрю в сторону организации Wireguard для организации VPN.

Не пойму, там надо клиентские ключи прописывать на каждом сервере?

Можно там как OpenVPN сделать, когда кидаешь ca.cert на серверы и дальше к ним коннектятся любые пользователи, у которых сертификат тем же CA выдан?

Или как там вообще проблема масштабирования решается?

Всем привет!

Хочется запускать плейбуки через telegram. Что лучше для этого использовать?

Пока используем голый ansible, планирую развернуть rundeck (но могу забить на rundeck и взять AWX, например, если на нём задача проще реализуется).

PS: хочется готовое решение (а-ля StackStorm), без изобретения велосипедов (написания решения самому).

Использую mbsync для бэкапа писем с сервера.

Что хочется:

• удаляю письма на сервере -> удаляются локальные письма

Что получается:

• удаляю письма в подпапках (Inbox/subfolder/*) -> письма удаляются локально
• удаляю письма в Inbox -> письма локально не удаляюся

Есть идеи, почему Inbox пропускается?

PS: если влом отвечать - можете просто скинуть ваш конфиг :)

PPS: Под удалением локальных писем я имею в виду удаление файлов с ними.

Конфиг:

IMAPAccount IMAP-account
Host {{ server }}
User {{ mailbox }}@{{ domain }}
Pass {{ password }}
TLSType IMAPS
Port 993
TLSType IMAPS
AuthMechs LOGIN
TLSVersions +1.2
Timeout 120

IMAPStore remote
Account IMAP-account
PathDelimiter "/"

MaildirStore local
Path /mail/
Inbox /mail/Inbox
Subfolders Verbatim
AltMap yes

Channel backup-all-mail
Far :remote:
Near :local:
Pattern *
Create Near
Expunge Near
SyncState *
Sync Pull Gone
CopyArrivalDate yes

mbsync 1.5.0 из git.

Добрый день!

Какая есть практика использования ИБП для серверов? Обязательно ли использовать online (с двойным преобразованием) или можно брать линейно-интерактивные ИБП?

Смотрю на продукцию Eaton 5/9 серий, если что.

На серверах СУБД + приложения.

# durep -td 1 mail | head -n 1
[ /srv/mail-backup-2022/mail   443.2G (0 files, 80 dirs) ]

# du -sh mail
412G    mail

# echo 443-412 | bc
31

Откуда разница в 31 Гб?

Дополнительная информация:

# find mail | wc -l
397840

# mount | grep `pwd`
bpool/mail-backup-2022 on /srv/mail-backup-2022 type zfs (rw,noatime,xattr,noacl)

# durep -v
durep version 0.9

# dpkg -l | grep durep | awk '{print $3}'
0.9-3.1

Всем привет.

Что использовать, graylog (v. 4.3) или graylog2 (v. 0.9)?