Comments 19
Это все прекрасно, но живо ли, в свете последних событий?
Имею ввиду - доступно ли оно вне домашней сети?
Для тестов я пробовал связку VPN + VPS (туннель через WireGuard) — всё поднимается и работает, но стабильность действительно зависит от провайдера: иногда туннель рвётся из-за фильтрации или падения UDP. Для постоянной работы я использую DMZ и статический IP — это проще, надёжнее и гарантированно доступно извне.
не везде. если вы близко к бордеру по маршруту, то у вас будет один тспу, тогда проблем нет. но если у вас длинный путь до бордера, то на маршруте может быть к примеру три таких точки и их фильтры вполне могут перекрывать друг друга. в этом случае все рискует упасть.
Уже год работаю со связкой VPS -> Wireguard -> Домашний сервер, так как доступен только мобильный интернет (CGNAT). В целом удобно, что при физическом переносе сервера, не нужно ничего настраивать: отключили мобильный интернет (в последнее время часто), плановое отключение электроэнергии и т.п., взял и отвёз к родственникам, воткнул в розетку и кабель в роутер, и готово - туннель сам поднялся и настроил маршруты. Такой сценарий с белым IP не получится.
А что за мини ПК , тоже выбираю. Присматриваюсь
OUMAX MAX N95 и у него проблемы с перегревом. И блок питания встроенный. Но можно добавить планку ОЗУ.
SOYO Efficient M4 Pro Мини. в него лезет только маленькие ссд. он хорошо работает
Aoostar WTR PRO на Ryzen 7 5825U неплохие, как основа для NAS/мини-сервера имхо сейчас лучший вариант по цене/производительности. Поместится 2 (если очень надо - 3, но третий будет ограничен одной линией PCI-Express 3.0) M.2 SSD 2280 и 4 диска 3.5" (2х Exos 20ТБ точно нормально помещаются).
По цифрам и бенчмаркам миники на N100/150 сильно уступают (производительность ядер у них хуже, самих ядер меньше, слот RAM и M.2 слот всего один).
Только если захочется XPEnology - придётся вспомнить, что драйвера amdgpu там нет и аппаратное транскодирование заведётся только если поставить PVE, в нём поднять контейнер с Jellyfin (который будет юзать драйвер amdgpu от PVE) и VMку с XPEnology.
Но это если медиасервер нужен, для любых других задач недостатков у вариата на Ryzen имхо нет. Конечно, неплохо бы ECC-память и hot-swappable дисковую корзину, но это уже другой уровень.
Добавлю, возможность установить 2 полноскоростных M.2 SSD позволяет пробросить их в VMку с NASом и поднять на них NVME read/write кэш (для него нужны 2 SSD в RAID1, с одним можно только read-only кэш поднять (если RW-кэш умрёт - будут потеряны все данные, в том числе и те что на HDD)), а третий SSD можно сделать системным для PVE. Или обойтись хорошей USB3 флешкой, но они не так надёжны. 4 слота для SATA HDD/SSD дают запас слотов для безопасной миграции на другие диски (не разбивая зеркало) или расширения ёмкости.
PVE же удобен тем, что для него есть много готовых скриптов (Proxmox VE Helper-Scripts) которые автоматически разворачивают контейнеры и VMки с приложениями которые вы выберите (тот же Jellyfin к примеру), это очень удобно для самохостинга.
Только декоративную крышку на дисковую корзину лучше не устанавливать на WTR PRO - она мешает охлаждению дисков, перекрывает воздуху путь.
Ещё, вроде как 5825u позволяет установить 64GiB RAM, а n150 - 32. Хотя по спекам вдвое меньше у обоих, так что это не точно.
Тоже долго выбирал. Буквально месяц назад взял Firebat am02 на ryzen 5 6600h, 16 ddr5, ssd nvme 512 за 17к рублей на озоне. Поставил proxmox. В сеть смотрит только одна виртуалка. В общем доволен, планирую воткнуть вторую планку оперативы и второй ссд. Долго рассматривал вариант с n150, но разница в цене мизерная, а в производительности прилично проиграл бы.
доброго всем!
сам использую самохостинг. в первую очередь для тестирования - нет никакого желания проводить эксперименты на рабочей системе заказчика, да и развёртывание с нуля у клиента занимает намного меньше времени, когда процесс протестирован.
плюс ко всему собственный helpdesk, remote management тоже своё.
vps - использовал бы при необходимости, но упирается в интернет - один провайдер с ограничением по скорости :(
по железу: на входе openwrt на роутере, за роутером пара квазисерверов от 16+ потоками, 64+ ram, уже на них развёрнута виртуализация, ну и пара-тройка миников для тестирования пользовательских ос на реальном железе.
Self Hosted - это самостоятельное размещение в противовес покупки сервиса (SaaS), при этом разместить можно и в облаке, а не обязательно на своем железе.
(Мой) провайдер тупо закрывает ан вход порт 443 (и наверное 80) что делает неудобным что то публичное плюс сертификаты придется получать нестандартными способами
Да, есть такая проблема, что некоторые операторы по умолчанию закрывают входящие 80 и 443 порты. А можно уточнить, кто у вас оператор?
У некоторых (особенно региональных или мобильных) блокируются не только HTTP/HTTPS, но и VPN-трафик — в том числе WireGuard и OpenVPN.
Сервисы тунелинга не подойдут?
localhost.run напиимер, этот крайне прост. позволяет любой порт магины по ssh пробросить на внешний домен и порт 80 по умолчанию. бесплатно работает час - достаточно для тестов, потом нужно перезапустить. на платном можно и домен свой прикрутить.
аналогов масса - легко гугляться. есть с очень разнообразными настройками и тариыными планами.
Пока читал заметил что в начале информация повторяется. Например рассмотр плюсов и минусов и в разделе "кому подойдёт" - та же информация только другими словами. И такое же второе место немного раньше.
В целом не плохой обзор, но упустили ещё один вариант настройки доступа, а именно через туннель Cloudflare. Когда ставил свой сервер столкнулся с этим и когда искал способ наткнулся на этот вариант. Бесплатного пакета хватает для нужд домашнего сервера и в этом варианте затраты будут только на домен и интернет (который и так оплачивается).
Минус такого подхода это сам туннель. Для файлообменника, просмотра видео и подобного скорости может не хватить и придется настраивать все корректно или переходить на платные планы. Также будут проблемы с приложениями которые используют специфические протоколы и порты, как Minecraft.
К плюсам можно отнести гибкую защиту, простоту базовой настройки (добавить поддомен для сервиса можно в пару команд) и хорошая политика доступа с аутентификацией (Google OAuth например).
В остальном для самохоста отличный вариант. Понятно что если есть блокировки, то это не подойдёт, но это один из возможных и довольно простых вариантов.
Если нет необходимости давать доступ для всех, то можно рассмотреть Tailscale и похожие для ограничения доступа. Работает даже при использовании провайдером CGNAT, правда по wireguard протоколу, который может блокироваться.
Также вы не указали о том что неплохо было бы отделить сервер используя VLAN или openwrt firewall rules. Основная идея не дать возможность серверу (или в худшем случае тому кто его контролирует) увидеть остальные устройства в вашей сети.
Самохостинг: плюсы, минусы и подводные камни глазами разработчика