[черновик]
Варианты, которые могут быть:
1) комп-комп
2) комп-сеть
3) сеть-комп
4) сеть-сеть
TAP симулирует Ethernet устройство и работает на канальном уровне модели OSI, оперируя кадрами Ethernet. TUN (сетевой туннель) работает на сетевом уровне модели OSI, оперируя IP пакетами.
TAP используется для создания сетевого моста, тогда как TUN для маршрутизации.
wiki
Возможно создать Layer 3-based IP туннель, называемый TUN, и Layer 2-based Ethernet — TAP, способный передавать Ethernet трафик.
В принципе, все варианты можно реализовать на обоих видах, но с некоторыми оговорками. Например, мультикасты и броадкасты по L3 сами по себе не побегут.
Также есть отличия в настройке для linux, *bsd, windows.
[дальше варианты настроек]
1.1 Комп-комп, TUN
1.2 Комп-комп, TAP
2.1 Комп-сеть, TUN
2.2 Комп-сеть, TAP
3.1 Сеть-комп, TUN
3.2 Сеть-комп, TAP
4.1 Сеть-сеть, TUN
4.2 Сеть-сеть, TAP
Ссылки
http://openvpn.net/index.php/open-source/documentation/howto.html
http://ru.wikipedia.org/wiki/OpenVPN
http://ru.wikipedia.org/wiki/TUN/TAP
http://www.lissyara.su/doc/man/safety/openvpn/
http://www.anfes.ru/e107_plugins/content/content.php?content.6
http://tuxnotes.ru/articles.php?a_id=26
openvpn в centos
http://wolandblog.com/1103-ustanovka-i-nastrojka-openvpn-na-centos-5-3/
Показаны сообщения с ярлыком черновики. Показать все сообщения
Показаны сообщения с ярлыком черновики. Показать все сообщения
вторник, 14 февраля 2012 г.
среда, 15 июня 2011 г.
ssh-keys на пальцах
[черновик]
Представим, что есть 2 жилых дома, у каждого есть хозяин (root), жильцы (users) и обслуживающий персонал (daemons), а также бывают гости. У этих домов есть адреса, чтобы жители других домов могли найти нужный дом. При "сдаче в эксплуатацию" (первый запуск sshd) выдаётся уникальный набор документов (генерация ключей, которые лежат в /etc/ssh/)
Захотел житель из дома А зайти в гости в дом Б. Узнал он адрес, по адресу узнал, куда идти (занёс этот адрес в known_hosts), попутно запомнил, как этот дом выглядит - вдруг кто-то ночью этот дом подменит?.. :) Но обстановка на улице напряжённая, нельзя доверять всем подряд. Получаем от этого дома информацию (рупор - плохо, домофон?)
Заходит.. Стучится в нужную квартиру и знакомится с жильцом
Хозяин имеет право ходить по квартирам и проверять, всё ли в порядке (root имеет полный доступ), поэтому по умолчанию хозяин не может придти "с улицы" (вход под root запрещён), им может стать только жилец дома. Все жильцы имеют право получать права хозяина (su), а есть те, кто могут стать исполняющими обязанности (группа wheel)
Представим, что есть 2 жилых дома, у каждого есть хозяин (root), жильцы (users) и обслуживающий персонал (daemons), а также бывают гости. У этих домов есть адреса, чтобы жители других домов могли найти нужный дом. При "сдаче в эксплуатацию" (первый запуск sshd) выдаётся уникальный набор документов (генерация ключей, которые лежат в /etc/ssh/)
Захотел житель из дома А зайти в гости в дом Б. Узнал он адрес, по адресу узнал, куда идти (занёс этот адрес в known_hosts), попутно запомнил, как этот дом выглядит - вдруг кто-то ночью этот дом подменит?.. :) Но обстановка на улице напряжённая, нельзя доверять всем подряд. Получаем от этого дома информацию (рупор - плохо, домофон?)
Заходит.. Стучится в нужную квартиру и знакомится с жильцом
Хозяин имеет право ходить по квартирам и проверять, всё ли в порядке (root имеет полный доступ), поэтому по умолчанию хозяин не может придти "с улицы" (вход под root запрещён), им может стать только жилец дома. Все жильцы имеют право получать права хозяина (su), а есть те, кто могут стать исполняющими обязанности (группа wheel)
вторник, 29 марта 2011 г.
NFS: учимся монтировать
[черновик]
Большая дока
http://www.time-travellers.org/shane/papers/NFS_considered_harmful.html
Основной файл с тем, что экспортируем - /etc/exports
А вот то, что там пишется, в centos и freebsd отличается.
Пример задачи: монтируем /mnt, с возможностью монтировать любую папку оттуда, на запись
Есть ещё проблема - 3 и 4 версии весьма отличаются, демонами, параметрами итд.
FreeBSD:
/mnt -maproot=0 -alldirs
CentOS:
/mnt 192.168.2.0/24(rw,no_root_squash)
Про solaris: http://solarisblog.ru/networks/osnovy-nfs-v-os-solaris
Варианты монтирования клиентом:
вручную через mount -t nfs
через fstab
через automount
Оптимизация
rsize - "буфер чтения", число байт для чтения файла от сервера. На стадии установления соединения выясняется максимальный размер этого буфера. Чем больше, тем быстрее работа NFS, но в случае сбоя и больше времени на восстановление. На плохом канале большой буфер может сделать соединение нерабочим. В локалке можно выставить 32768
wsize - "буфер записи". См выше.
Выставляется в лине и фре по разному.
linux: rsize=16384,wsize=16384
freebsd: -w=32768,-r=32768
Более того, вывод будет отличаться:
linux: (rw,rsize=16384,wsize=16384,addr=192.168.2.15)
freebsd: (nfs, asynchronous, noatime)
Опции немного разные, но главное - в лине прописаны эти буферы, а во фре -- нет.
Монтирование на клиенте.
1) fstab
Стандартная строка выгляжит так:
server:/url /local/url nfs defaults 0 0
Дополнительные ключи
Размеры буфера чтения и записи.
freebsd: (rw|ro),(tcp|udp),(intr|nointr),(hard|soft),noatime,(nfsv3|nfsv4),(bg|fg),-w=32768,-r=32768,timeo=300
Есть (не)маленький шанс поймать в messages ошибки
kernel: lockd: server nfs-server not responding, timed out
last message repeated 15 times
В частности, у меня была такая ошибка при линковке линя к фря-серверу. Думаю, надо тюнить систему, но не совсем понятно, куда. Или это просто баг?
В общем, использование tcp даже в локалке обязательно. Сильно повышает стабильность. А на гигабите udp может быть и опасен.
Большая дока
http://www.time-travellers.org/shane/papers/NFS_considered_harmful.html
Основной файл с тем, что экспортируем - /etc/exports
А вот то, что там пишется, в centos и freebsd отличается.
Пример задачи: монтируем /mnt, с возможностью монтировать любую папку оттуда, на запись
Есть ещё проблема - 3 и 4 версии весьма отличаются, демонами, параметрами итд.
FreeBSD:
/mnt -maproot=0 -alldirs
CentOS:
/mnt 192.168.2.0/24(rw,no_root_squash)
Про solaris: http://solarisblog.ru/networks/osnovy-nfs-v-os-solaris
Варианты монтирования клиентом:
вручную через mount -t nfs
через fstab
через automount
Оптимизация
rsize - "буфер чтения", число байт для чтения файла от сервера. На стадии установления соединения выясняется максимальный размер этого буфера. Чем больше, тем быстрее работа NFS, но в случае сбоя и больше времени на восстановление. На плохом канале большой буфер может сделать соединение нерабочим. В локалке можно выставить 32768
wsize - "буфер записи". См выше.
Выставляется в лине и фре по разному.
linux: rsize=16384,wsize=16384
freebsd: -w=32768,-r=32768
Более того, вывод будет отличаться:
linux: (rw,rsize=16384,wsize=16384,addr=192.168.2.15)
freebsd: (nfs, asynchronous, noatime)
Опции немного разные, но главное - в лине прописаны эти буферы, а во фре -- нет.
Монтирование на клиенте.
1) fstab
Стандартная строка выгляжит так:
server:/url /local/url nfs defaults 0 0
Дополнительные ключи
Размеры буфера чтения и записи.
freebsd: (rw|ro),(tcp|udp),(intr|nointr),(hard|soft),noatime,(nfsv3|nfsv4),(bg|fg),-w=32768,-r=32768,timeo=300
Есть (не)маленький шанс поймать в messages ошибки
kernel: lockd: server nfs-server not responding, timed out
last message repeated 15 times
В частности, у меня была такая ошибка при линковке линя к фря-серверу. Думаю, надо тюнить систему, но не совсем понятно, куда. Или это просто баг?
В общем, использование tcp даже в локалке обязательно. Сильно повышает стабильность. А на гигабите udp может быть и опасен.
пятница, 4 февраля 2011 г.
О том, как довелось собирать первый сервер с нормальным бюджетом
[черновик]
Потребовалось собрать сервер для одного проекта, 1-вершковый. Не первый - был уже intel sr1530sh, с бюджетом около 35к. Но в этот раз бюджет был раз в 5 выше. Может даже на совсем_бренд хватить.
Продукция фирмы intel была откинута сразу -- я не могу назвать их продукцию серьезным железом. Особенно учитывая их болезни вроде "эту память не возьму, с этим двд грузиться не буду и никакие прошивки не заставят меня дальше биоса пройти, для работы с таким процом надо прошивать биос, и не важно, что он уже как 2 года вышел..." Как конструкторы сверх-дешевого уровня оно неплохо, да, но поддержка таких вещей как KVM-over-IP только сторонними платами -- перебор.
Также интел славится вещами вплоть до умирания дисков от дребезга, создаваемого кулером. Есть у меня такой в закромах. Баг официально признан и есть на сайте.
[линк]
Dell
Говорят, проблемы с наличием, сроками поставки, гарантией. Но они, черт возьми, красивы! Причем передняя решетка не просто красива - она же является защитой от извлечения дисков посторонними. Так что похоже не в этот раз, но через несколько лет надо будет снова посмотреть на них...
Пример подходящего варианта:
http://www1.euro.dell.com/ru/ru/business/%D0%A1%D0%B5%D1%80%D0%B2%D0%B5%D1%80%D1%8B/server-poweredge-r610/pd.aspx?refid=server-poweredge-r610&s=bsd&cs=rubsdc
R610
в 3D и подробно
Хотя даже в таком можно увидеть обычные конденсаторы (не твердотельные).
Обнаружил еще момент. На пустом месте такие статьи не рождаются. Начали тоже барыжить дисками?..
ветка на хоботе
IBM
Как попытался что-то узнать, с первых же минут начались проблемы. Сайт кривой, непонятно где что, тормозил исправно, вдобавок его перекосило.
Попытался позвонить на 8-800 -- звонки срывались, потом переводили долго на специалиста, опять начали срываться звонки.. В общем, телефонная система у них просто отвратительна! На другой день все-таки дозвонился, узнал что нужно, но желание с ними работать отпало напрочь, а сайт добавил негатива.
А еще -- они страшные. Пример строгого стиля -- супермикра. А у ibm стиля нет.
Могут быть проблемы с поставками -- хотели заказать их сервер под один проект, срок поставки был 3-6 месяцев. А если бы он сломался, замена ехала бы тоже 3-6 месяцев?
1.5 модели - почти как dell.
x3550 M2/x3550 M3
А вот с дешевыми моделями грустно - если надо сервер под бытовой проц типа i5 или банальный Q6600, и без дублирования БП - похоже, тут пусто.
Supermicro
Пожалуй, самая сбалансированная фирма. Есть модели на любой вкус - под 2.5" диски, под 3.5; с 1 БП или несколькими; под 1 проц или больше; разные форматы плат... Есть даже модели с 2 платами в 1 юните, 4 в 2.. И даже есть модели под GPU!
Комплектующие ставятся свои, что делает это решение еще лучше в плане цены. Хотя смотреть HCL все-таки крайне желательно.
С гарантией не так хорошо, но цена позволяет держать полный рабочий сервер в запасе и все-равно выйдет дешевле какого-нибудь HP+care pack.
Из большого выбора вытекает и проблемка: в моделях можно банально запутаться. А если учесть, что корпус и плату можно взять отдельно, а не как платформу... Тут нужен хороший конфигуратор, позволяющий учесть все тонкости и выбрать оптимальную конфигурацию, но на офсайте такого нет.
HP
В целом фирма неплохая, но некоторые вещи типа доставки riser-карт могут растянуться на месяцы. Очень не любят, когда ставят не фирменные компоненты, хотя явной залочки нет - память работает, дискам только найти салазки и тоже работают (не относится к таким вещам как СХД, там левые диски даже не увидит). Поскольку фирма давно на рынке, с гарантией и поставкой обычно проблем нет. Но увы, цены там тоже на уровне.
В данном случае бюджет был слишком мал для их решений.
Хотя с ними тоже надо держать ухо востро: Да, жадность HP не знает предела: не реализовать мигание диода на слабеньком контроллере. Для него даже софт-апгрейд есть: для хот плага и поддержки диодов. Класс!
---
http://www-03.ibm.com/systems/ru/x/hardware/rack/index.html
IBM Серверы IBM на базе процессоров Intel: серверы System x и xSeries для установки в стойку - в России и странах СНГ
http://www-03.ibm.com/systems/ru/x/hardware/rack/x3550m2/index.html
IBM System x3550 M2: Обзор - Россия
http://www-03.ibm.com/systems/ru/x/hardware/rack/x3550m3/index.html
IBM System x3550 M3 - в России и странах СНГ
http://www-03.ibm.com/systems/data/flash/systemx/hardware/rack/x3550m3/tour/index.html
IBM System x3550 M3
http://www-304.ibm.com/partnerworld/wps/pub/overview/B5X00
IBM PartnerWorld - System x
http://www.ibm.com/contact/ru/ru/
IBM Контактная информация - в России и странах СНГ
http://www1.euro.dell.com/ru/ru/business/%D0%A1%D0%B5%D1%80%D0%B2%D0%B5%D1%80%D1%8B/rack_optimized/ct.aspx?refid=rack_optimized&s=bsd&cs=rubsdc
Серверы для установки в стойку PowerEdge | Dell Россия
http://www1.euro.dell.com/ru/ru/business/%D0%A1%D0%B5%D1%80%D0%B2%D0%B5%D1%80%D1%8B/server-poweredge-r610/pd.aspx?refid=server-poweredge-r610&s=bsd&cs=rubsdc
Подробные сведения о сервере PowerEdge 11G R610 для установки в стойку | Dell Россия
http://www.dellups.com/default.asp?ResetCountryID=1
Dell UPS Selector
http://www1.euro.dell.com/ru/ru/business/%D0%A1%D0%B5%D1%80%D0%B2%D0%B5%D1%80%D1%8B/server-poweredge-r410/pd.aspx?refid=server-poweredge-r410&s=bsd&cs=rubsdc
Подробные сведения о сервере PowerEdge 11G R410 для установки в стойку | Dell Россия
http://www-03.ibm.com/systems/data/flash/systemx/hardware/rack/x3550m2/tour/index.html
IBM System x3550 M2
Потребовалось собрать сервер для одного проекта, 1-вершковый. Не первый - был уже intel sr1530sh, с бюджетом около 35к. Но в этот раз бюджет был раз в 5 выше. Может даже на совсем_бренд хватить.
Продукция фирмы intel была откинута сразу -- я не могу назвать их продукцию серьезным железом. Особенно учитывая их болезни вроде "эту память не возьму, с этим двд грузиться не буду и никакие прошивки не заставят меня дальше биоса пройти, для работы с таким процом надо прошивать биос, и не важно, что он уже как 2 года вышел..." Как конструкторы сверх-дешевого уровня оно неплохо, да, но поддержка таких вещей как KVM-over-IP только сторонними платами -- перебор.
Также интел славится вещами вплоть до умирания дисков от дребезга, создаваемого кулером. Есть у меня такой в закромах. Баг официально признан и есть на сайте.
[линк]
Dell
Говорят, проблемы с наличием, сроками поставки, гарантией. Но они, черт возьми, красивы! Причем передняя решетка не просто красива - она же является защитой от извлечения дисков посторонними. Так что похоже не в этот раз, но через несколько лет надо будет снова посмотреть на них...
Пример подходящего варианта:
http://www1.euro.dell.com/ru/ru/business/%D0%A1%D0%B5%D1%80%D0%B2%D0%B5%D1%80%D1%8B/server-poweredge-r610/pd.aspx?refid=server-poweredge-r610&s=bsd&cs=rubsdc
R610
в 3D и подробно
Хотя даже в таком можно увидеть обычные конденсаторы (не твердотельные).
Обнаружил еще момент. На пустом месте такие статьи не рождаются. Начали тоже барыжить дисками?..
ветка на хоботе
IBM
Как попытался что-то узнать, с первых же минут начались проблемы. Сайт кривой, непонятно где что, тормозил исправно, вдобавок его перекосило.
Попытался позвонить на 8-800 -- звонки срывались, потом переводили долго на специалиста, опять начали срываться звонки.. В общем, телефонная система у них просто отвратительна! На другой день все-таки дозвонился, узнал что нужно, но желание с ними работать отпало напрочь, а сайт добавил негатива.
А еще -- они страшные. Пример строгого стиля -- супермикра. А у ibm стиля нет.
Могут быть проблемы с поставками -- хотели заказать их сервер под один проект, срок поставки был 3-6 месяцев. А если бы он сломался, замена ехала бы тоже 3-6 месяцев?
1.5 модели - почти как dell.
x3550 M2/x3550 M3
А вот с дешевыми моделями грустно - если надо сервер под бытовой проц типа i5 или банальный Q6600, и без дублирования БП - похоже, тут пусто.
Supermicro
Пожалуй, самая сбалансированная фирма. Есть модели на любой вкус - под 2.5" диски, под 3.5; с 1 БП или несколькими; под 1 проц или больше; разные форматы плат... Есть даже модели с 2 платами в 1 юните, 4 в 2.. И даже есть модели под GPU!
Комплектующие ставятся свои, что делает это решение еще лучше в плане цены. Хотя смотреть HCL все-таки крайне желательно.
С гарантией не так хорошо, но цена позволяет держать полный рабочий сервер в запасе и все-равно выйдет дешевле какого-нибудь HP+care pack.
Из большого выбора вытекает и проблемка: в моделях можно банально запутаться. А если учесть, что корпус и плату можно взять отдельно, а не как платформу... Тут нужен хороший конфигуратор, позволяющий учесть все тонкости и выбрать оптимальную конфигурацию, но на офсайте такого нет.
HP
В целом фирма неплохая, но некоторые вещи типа доставки riser-карт могут растянуться на месяцы. Очень не любят, когда ставят не фирменные компоненты, хотя явной залочки нет - память работает, дискам только найти салазки и тоже работают (не относится к таким вещам как СХД, там левые диски даже не увидит). Поскольку фирма давно на рынке, с гарантией и поставкой обычно проблем нет. Но увы, цены там тоже на уровне.
В данном случае бюджет был слишком мал для их решений.
Хотя с ними тоже надо держать ухо востро: Да, жадность HP не знает предела: не реализовать мигание диода на слабеньком контроллере. Для него даже софт-апгрейд есть: для хот плага и поддержки диодов. Класс!
---
http://www-03.ibm.com/systems/ru/x/hardware/rack/index.html
IBM Серверы IBM на базе процессоров Intel: серверы System x и xSeries для установки в стойку - в России и странах СНГ
http://www-03.ibm.com/systems/ru/x/hardware/rack/x3550m2/index.html
IBM System x3550 M2: Обзор - Россия
http://www-03.ibm.com/systems/ru/x/hardware/rack/x3550m3/index.html
IBM System x3550 M3 - в России и странах СНГ
http://www-03.ibm.com/systems/data/flash/systemx/hardware/rack/x3550m3/tour/index.html
IBM System x3550 M3
http://www-304.ibm.com/partnerworld/wps/pub/overview/B5X00
IBM PartnerWorld - System x
http://www.ibm.com/contact/ru/ru/
IBM Контактная информация - в России и странах СНГ
http://www1.euro.dell.com/ru/ru/business/%D0%A1%D0%B5%D1%80%D0%B2%D0%B5%D1%80%D1%8B/rack_optimized/ct.aspx?refid=rack_optimized&s=bsd&cs=rubsdc
Серверы для установки в стойку PowerEdge | Dell Россия
http://www1.euro.dell.com/ru/ru/business/%D0%A1%D0%B5%D1%80%D0%B2%D0%B5%D1%80%D1%8B/server-poweredge-r610/pd.aspx?refid=server-poweredge-r610&s=bsd&cs=rubsdc
Подробные сведения о сервере PowerEdge 11G R610 для установки в стойку | Dell Россия
http://www.dellups.com/default.asp?ResetCountryID=1
Dell UPS Selector
http://www1.euro.dell.com/ru/ru/business/%D0%A1%D0%B5%D1%80%D0%B2%D0%B5%D1%80%D1%8B/server-poweredge-r410/pd.aspx?refid=server-poweredge-r410&s=bsd&cs=rubsdc
Подробные сведения о сервере PowerEdge 11G R410 для установки в стойку | Dell Россия
http://www-03.ibm.com/systems/data/flash/systemx/hardware/rack/x3550m2/tour/index.html
IBM System x3550 M2
четверг, 6 января 2011 г.
про репликацию файлов
[в процессе написания]
Задача: есть несколько серверов, данные на которых надо синхронизировать.
Тут несколько видов решений:
1) раз в N минут делается скан системы на изменения и синхронизируется.
Плюсы - работает со всеми фс, позволяет делать выборочную синхронизацию, эффективное использование сети, возможность ограничить скорость
Минусы - больше нагрузка на процессор, диски, измененный файл может оказаться на зеркале через весьма долгое время, возможны конфликты с одновременным изменением файла. Эффективно может быть только в системе master-slave. Неприменимо для объектов с небольшим временем жизни.
Примеры - rsync, unison
1b) Почти (1), но на базе систем контроля версий.
1c) csync
На базе rsync, но используется в битриксе, значит, как минимум можно рассмотреть. Насколько я понял из документации, возможна работа мастер-мастер.
2) NAS - монтирование по сети через CIFS, NFS.
Плюсы - просто, быстро
Минусы - требует для хорошей работы сети с маленькими задержками и большими скоростями, так что применимо только при размещении в 1 датацентре, а лучше в 1 стойке, а также нормальные сетевые карты и свичи. Относительно большой оверхед. Большие требования к хранилищу, и чем больше клиентов, тем серьёзнее требования.
3) SAN - монтирование блочного устройства с отдельного хранилища. Требования еще больше, чем для (2). Для совместной работы требуется или кластерная ФС, или на машине надо поднимать такие службы как NFS.
2) блочные устройства
3) DRBD, geom gate
4) распределенные ФС
5) кластерные ФС
6) Синхронизация на базе журналов журналируемых ФС. Примеры мне неизвестны. Реализовано может быть на таких опциях как inotify, dnotify, Fanotify (2.6.37+)
Задача: есть несколько серверов, данные на которых надо синхронизировать.
Тут несколько видов решений:
1) раз в N минут делается скан системы на изменения и синхронизируется.
Плюсы - работает со всеми фс, позволяет делать выборочную синхронизацию, эффективное использование сети, возможность ограничить скорость
Минусы - больше нагрузка на процессор, диски, измененный файл может оказаться на зеркале через весьма долгое время, возможны конфликты с одновременным изменением файла. Эффективно может быть только в системе master-slave. Неприменимо для объектов с небольшим временем жизни.
Примеры - rsync, unison
1b) Почти (1), но на базе систем контроля версий.
1c) csync
На базе rsync, но используется в битриксе, значит, как минимум можно рассмотреть. Насколько я понял из документации, возможна работа мастер-мастер.
2) NAS - монтирование по сети через CIFS, NFS.
Плюсы - просто, быстро
Минусы - требует для хорошей работы сети с маленькими задержками и большими скоростями, так что применимо только при размещении в 1 датацентре, а лучше в 1 стойке, а также нормальные сетевые карты и свичи. Относительно большой оверхед. Большие требования к хранилищу, и чем больше клиентов, тем серьёзнее требования.
3) SAN - монтирование блочного устройства с отдельного хранилища. Требования еще больше, чем для (2). Для совместной работы требуется или кластерная ФС, или на машине надо поднимать такие службы как NFS.
2) блочные устройства
3) DRBD, geom gate
4) распределенные ФС
5) кластерные ФС
6) Синхронизация на базе журналов журналируемых ФС. Примеры мне неизвестны. Реализовано может быть на таких опциях как inotify, dnotify, Fanotify (2.6.37+)
Подписаться на:
Сообщения (Atom)