Comments 51
Ужас то какой. Называть это "домашним" сервером язык не поворачивается. Зачем всё это дома?
Сначала ты поднимаешь временно пару виртуалок на старой железке..а дальше - всё как в тумане, и ты уже счастливый владелец десятка-двух серверов и жить без них как-то очень неудобно...))
Организуем садовый инвентарь на даче:
экскаватор с траншеекопателем убираем в быстровозводимый ангар
для двух теплиц, которые я сдал в аренду знакомым делаем отдельные входы, чтобы не шлялись по участку
устраиваем 24/7 видеонаблюдение с будкой охранника в гараж на 8 машин
строительство насосной станции оставляем на следующий дачный сезон
)))
Тоже когда-то держал такое дома)
Потом купил сервак за три копейки (а Х79 стоят как металлолом, несмотря на то, что для дома там мощи за глаза), набил его на топ-конфиг - это тоже почти бесплатно, и поставил в колокейшн. Ну его нафиг, держать железо дома - шум, постоянные отказы из-за пыли и статики, ну и электричества он нажирает ровно на те же 3к, что плачу за место в серверной и 100мбит анлим.
Зачем? Видеонаблюдение на 10 камер. Умный дом (openhab). Независимый от вендора музыкальный плеер. Почта, календарь, контакты, жаббер - последний для уведомлений от систем. Несколько десктопных виртуалок для экспериментов по работе. Свой гитлаб, свои репы жавы, докера, и прочее, сейчас вот надо еще сделать зеркала дебиана и арча. Файловый сервер. Фотоальбом а-ля гугл фото. Система бекапа всего с бекконектом. Еще десятка два всякой мелочевки, нужной в работе... Всё это завернуто в ipsec и видно только изнутри, снаружи торчит только почта и ipsec.
Это чертовски удобно, когда разберешся в теме и настроишь.
>>Фотоальбом а-ля гугл фото
А какое именно ПО в качестве фотоальбома используете?
Photoprism. Там и в браузере удобно смотреть, и приложения есть, и видео можно держать. Кто бы еще бесшовную синхронизацию как в гугле прикрутил... Умеет индексировать картинки, распознавать их и тегировать - но я этот функционал не гонял.
immich. Я их с десяток пробовал, включая Photoprism, но Immich победил.
Примерно так выглядит расшареный альбом.
Особенности (и плюс, и минус одновременно — очень активная разработка)
Photoprism хорош, но он только на одного пользователя.
Лежит на антресоли эдакий мини сервер с фрей. На нем в jail: 2 DNS, 2 БД, 2 WEB (один с Nextcloud и Ampache, второй под разные проекты), 1 реверс прокси на Nginx, 1 Zabbix, 1 proxy (на нем torrserv, UDPtoHTTP, jackett и т.д.), 1 майл сервер и пару виртуалок в bhive. А начиналось когда-то просто - один сервер с вебом для локального форума в далеком 2006 году.
В целом тема раскрыта не полностью, нет ids ips, в данном варианте была бы не лишней..
А я бы на фото посмотрел, как организованна стойка, кабель менеджмент, охлаждение, звукоизоляция...
Это все, при наличии бюджета, в общем-то можно уместить в один ATX системник + микрот закинуть сверху. Если бюджета нет, то два ATX системника с б/у зеонами. Хотя может с б/у эпиками можно и в один корпус уже уложиться. Упихать это в корпус fractal define и с шумом и охлаждением проблем особо не будет.
Я такое засунул в DeepCool корпус. 32 ядра Epyc, 256 гигов ddr4 ecc.
В зеоны влезать особого смысла нет, на али уже эпики продают. Да и смысл? Какие задачи крутить на нескольких NUMA-нодах? У меня 3900Х в "сервере" простаивает большую часть времени (к сожалению).
А вот файлопомойка - другое дело. В Fractal Design R5 влезает при большом желании 14 HDD - проверял лично. Дальше без рэкового корпуса расти, вроде, некуда.
Ну у автора дофига виртуалок, я исходил из мысли не шарить ядра между виртуалками.
В R5 упихать больше 10 3.5" сейчас уже проблематично будет, вторую корзину и салазки к ней искать даже не представляю где, если только печатать на 3д принтере. Даже до 2022 уже вопросы возникали с тем где искать запчасти к нему, мне саппорт производителя еле-еле салазки на замену нашел.
Ну у автора дофига виртуалок, исходил из мысли не шарить ядра между виртуалками.
Есть подозрение, что они тоже с хорошим таким простоем :)
В R5 упихать больше 10 3.5" сейчас уже проблематично будет, вторую
корзину и салазки к ней искать даже не представляю где, если только
печатать на 3д принтере.
О 3D принтере и не думал даже, кстати. 8 туда влезает их коробки, еще 3 добиваем через 5.25 бей, а слева от стойки с HDD влезает еще рандомная с aliexpress. Слегка перекрывает материнскую плату справа снизу, но 3-4 диска добавить туда не проблема. У меня вот такая. Прикрутить ее можно через отверстия для вентиляции, но лично я даже и не заморачивался - она там без винтов встает плотно.
У меня только два влезло в 5.25. Ну наверное можно извратиться с каким-нибудь хитрым адаптером, я просто 5.25 -> 3.5 в оба слота впихнул. А вот за ссылку на корзину спасибо, надо прикупить.
Вот в такого красавчика влезает 3 HDD. Не знаю, можно его сейчас купить или нет.
Кажется, я нашел компьютерный корпус моей мечты =)
Я так и сделал, именно во fractal-е все стоит, шумка, тихие кулеры
У меня нечто подобное :)
Только: DHCP раздает AdGuard Home + есть еще OPNsense и всем "пользовательским" машинам (они в другом VLAN) адреса раздает по DHCP уже OPNsense. хардварный Mikrotik сейчас чисто подключения к провайдерам держит и NAT + VPN-туннель к CHR (даже правила что в туннель уже сделаны не схеме с хабра с BGP от антифильтра и микротике а на OPNsense, так удобнее). А стойка...плохо она организована.
Что то не понятно. Это с каждой новой виртуалкой нужно лезть в настройки сети гипервизора и коммутатора чтобы добавить для нее VLAN? Не проще ли на уровне фаервола изолировать виртуалки?
Да, это очень странный момент, с учетом того, что в Proxmox есть SDN, и разделять виртуалки можно там, лишний раз не заходя в настройки роутера.
Зачем? Виланы нарезаны и пронумерованы таким образом, что каждый клиент автора находится в изолированной сети и расширятся он не планирует. Хотя судя по нумерации он таки оставил задел под то, что можно нарезать дальше подсети после 22 вилана и хоть еще полсотни знакомым выделяй по виртуалке, но это все таки домашний же сервер :)
Добрый день, а zookeper для k8s используете?
И еще небольшой вопрос: предположим Вас атаковали, как Вы будете восстанавливаться?
Не разбирались, как mDNS и всякие бонжуры между VLAN настраивать?
У автора есть жена?
Неужели Microtik не поддерживает PVLAN?
То чувство, когда после клика на заголовок, хотел увидеть рассуждения на тему: можно ли всё выше перечисленное сделать на одном единственном сетевом адаптере, или Best Practice всегда подразумевает наличие отдельного физического сетевого адаптера для управления(это не вопрос организации xLAN, а безопасности эмуляции и гипервизоров), или безопасно ли использовать stable пакеты вроде(Debian 12 stable) nginx 1.22.1, OpenVPN 2.6.3, php-fpm 8.2,.. или лучше всегда устанавливать приложения, принимающие соединения, из официальных репозиториев, с актуальной stable версиях, для своевременного ответа CVE,.. но вместо этого увидел лишь очередной пример, конфигурации VLAN'ов на RouterOS. Разочарован.
все таки не совсем простой материал и структура тяжеловата для понимания, я бы выводы перенес в начало или понятными подзаголовками "делаем так чтобы виртуалки имели доступ в интернет но не имели доступа друг-другу", "настраиваем виртуалки для Лехи и Толи", "защищаем сайт от ненужного доступа"
Proxy - входная точкой для всех моих веб-сайтов
Машина для контейнеров (пет-проекты, базы данных и другие сервисы)
Media сервер, на котором крутится Deluge и Samba шара
3 машины под Kubernetes-кластер
2 инстанса Zabbix
3 виртуалки, которые я раздал знакомым
Надеюсь, всё это запущено на том же микротике?
По собственному опыту, как начал греться домашний роутер, пришел к тому, что палить свой реальный IP паршивая затея. Купил за 200 в месяц виртуалку внешнюю, через которую завернул весь трафик не домашний сервер.
Он и по гео все запросы отсекает, и по спискам на всякий.
Точно! Одна маленькая виртуалка сразу кучу задач решает
На ней и nginx/traefik как реверс прокси. Одна точка входа для разных внутренних сервисов, расположенных на разных домашних виртуалках. И letsencrypt.
И даже проброс acme challenge для letsencrypt в Кубере, чтобы на ингрессе своем дома тоже актуальые сертификаты держал.
И Zerotier еще, чтобы подключения были через нее, свою, а не через кого-то. А с нее домой уже по стандартному туннелю (исходящий Wireguard, к примеру, и дома хоть динамический IP за Hide NAT - все равно все хорошо работает).
Да! На внешней виртуалке у меня как раз nginx как реверс прокси версия от сообщества lua antiddos типа с защитой l7, но не проверял, по geoip запретил популярные направления типа Ирана, Китая и т п…
Домашний сервер из вне порты 22/80/443 фаерволом закрыты на доступ только с внешней виртуалки и локальной сети, роутер через встроенный hosts заворачивает все домашние адреса в локалку когда к нему подключен. Получается когда дома подключен по вайфай хожу в домашнее облако по тому же адресу, но по локалке, а как выхожу за пределы домашней сети, запросы по тому же адресу уже летят через внешнюю виртуалку.
Спасибо, то переборщили с влан (
Я бы упростил до такой схемы:
- proxmox ve (pve) в кач-ве гипервизора;
- pfsense\opnsense в ВМ как роутер\ впн\ idps;
- разнес бы ВМ по разным сетевым интерфейсам, создав нужное кол-во бриджей на pve БЕЗ привязки к физ. сетевым , затем добавив их к pfsense\opnsense и нужной ВМ;
- для единой точки входа извне можно пользовать vpn и\или Apache Guacamole или Kasm Workspaces
Всё. Избавились от микрота и "каши" с vlan.
Зы. Для ви-фи пользую кинетик или шитые в кинетик сяоми (дешевле в 2+ раза - 4 пда в помощь).
Зы2. Железка такая (в комментах под товаром есть как просто улучшить охлаждение)
Один сервак, это в минималке 180-200 ватт, которые "горят" круглосуточно. Плюс шум, плюс теплоотведение. Вообщем два dell 710 уехали с антресоли на работу -). Не место серверам в квартире.
Повышаем безопасность домашнего сервера