По steal на AWS EC2 очень хорошо видно, как гипервизор зажимает инстансы t1/t2/t3 когда у них кончаются CPU Credits.
Например, для t3.nano гарантируют базовую производительность 5% при отсутствии кредитов. Тогда при продолжительной постоянной полной загрузке процессора, steal будет стремиться к 95%, чтобы у вас было не больше этих самых обещанных 5%. Ну или будут автоматически добавляться кредиты за $$, но это уже совсем другая история.
Большое спасибо за перевод, на kaniko и buildah обязательно стоит посмотреть.
Но при этом возникают проблемы с безопасностью: например, приходится работать с разными файловыми системами (хоста и контейнера) или использовать кэш сборки из хост-системы. Вот почему мы и не хотели трогать Docker-in-Docker.
Странная аргументация. Разные файловые системы и кэш сборки слабо связаны с безопасностью.
Уже больше года используем цепочку CI/CD на Kubernetes, Drone.io, Docker-In-Docker. За это время ломалось все: Drone, СУБД, оборудование, сеть, файловые системы, Docker Registry, сам k8s, но вот сбоя Docker-In-Docker не было ни одного. Работает как часы. Хотя официально разработчики рекомендуют использовать его только для тестов.
То есть, если хотим запустить Docker-демон в контейнере, нужно использовать вложенную виртуализацию.
Сильное заявление. Что там виртуального? Файловая система — изолированный слой. Оборудование — нет. Ядро — используется хостовое. Пространство процессов — тоже хостовое.
Не смущает)
Могу предположить, что документацию еще не обновили, так как Ubuntu 18.04 LTS (Bionic Beaver) поддерживается официальным скриптом установки Docker.
Однако, тот же скрипт (на момент публикации) поддерживает и Debian 7 (Wheeze), хотя «из коробки» у него ядро 3.2.0, тогда когда Docker требует ядро не старше 3.10. Исправить обещали 31 мая.
Совместимость с каждой доступной на DigitalOcean операционной системой была непосредственно протестирована
(таблица из README)
А если углубиться в теорию, то Docker вполне хорошо работает на любом Linux с ядром 3.10 или новее, cgroups и iptables. Запускал его даже на Astra Linux Special Edition 1.5 и Windows Subsystem for Linux (только старую версию Docker, которая не требовала iptables и cgroup). Могут быть небольшие проблемы с сетью (на Windows приходилось использовать --net=host) или хранилищем (в Centos «из коробки» будет глючный loop-lvm вместо нормального overlay2). На Ubuntu 18.04 — все прекрасно.
Обновил публикацию: добавил краткую инструкцию как запустить на Linode. Условия примерно те-же: сервера в Европе, бонус после регистрации и оплаты $5, $5 в месяц.
Хотя гарантий, что Linode также тотально не начнут блокировать — никаких.
Не повезло, есть небольшой шанс. Просто удалите Droplet (кнопка Destroy как написано в конце инструкции) и создайте новый (повторите действия начиная с раздела "Запуск сервера"). Со второго раза маловероятно, что попадется заблокированный IP.
Если честно, эта публикация и была задумана как инструкция, простая и доступная каждому.
Если что-то написано не достаточно понятно, то, пожалуйста, сообщите, будем дорабатывать.
Конечно можно! Просто заменяйте раздел "Создание сервера" на то, что соответствует любому другому хостеру. Все остальные пункты останутся без изменений. Никакого vendor-lock.
DigitalOcean здесь выбран просто как пример по ряду объективных параметров:
цена
качество
удобство
Не учитывались:
догадки
слухи
теории
Вы можете назвать любого другого хостера, которому лично вы больше доверяете, но это будет справедливо только в частном случае.
В общем-же случае, большинство уже сделало свой выбор.
Все именно так. Если ходить к сервису, который находится в том-же городе, что и вы, то пакету придется сделать крюк: уйти в Европу и вернуться. И пинг, условно, вместо 1мс будет 100мс.
Но это не так, когда вы через VPN пойдете на зарубежный ресурс. Пакет пойдет примерно по тому-же маршруту, что пошел бы и без VPN. И та задержка, которая прибавится из-за маршрута до VPN сервера, потом вычтется из маршрута после VPN сервера до конечного сервиса. В итоге время будет +- то же.
В зависимости от того, для чего конкретно вам нужен VPN, действовать нужно немного по-разному.
Хорошая идея. Вы можете завести Issue на GitHub или, еще лучше, предложить Pull Request.
И если с Linux и macOS все более-менее понятно, то как реализовать, это, например, в Windows, где по умолчанию нет ssh-keygen?
Требовать от пользователя установить самому?
Или класть в дистрибутив бинарник? Вы будете доверять ключу, сгенерированному таким образом?
Пока еще остается слишком много вопросов и нет понимая, действительно ли это нужно реальным пользователям.
Ну или потому, что дебетовых карточкек ты можешь завести 100500 используя тот же Qiwi Wallet и ему подобные, закинуть на них по $1 и пользоваться почти халявой.
Кредитная карточка им нужна, чтобы например можно было подписать на постоянные списания и брать деньги даже если их 0 на счету.
В этом явно есть смысл. Оплата у DO постфактум, они не хотят терять деньги: дарить последний месяц.
Вы сейчас предлагаете читателям методом перебора (на сайте такого не напишут) найти хостера, который находится на территории РФ и нарушает его законодательство. Вероятность закрытия такого хостера на порядки выше, нежели полной (а не доли % как сейчас) блокировки DO. Тем более, что РКН пошел на попятную и начал разблокировывать некоторые посети.
Тем временем, цепочка: создать VPS в Нидерландах, поставить на него VPN сервер и использовать его для личных целей — абсолютно легальна.
Да, умеет.
Если это ключ root — то никакого дополнительного пароля не требуется. Если это ключ простого пользователя, то требуется указать либо его пароль (для sudo), либо пароль root (для su). Или-же в sudoers дать пользователю права на sudo без пароля — программа так тоже умеет.
Об этом сказано в README. В публикации не сказано для того, чтобы подчеркнуть простоту. Лирическое отступление про генерацию ключей заняло бы слишком много времени. И даже без этого, для кого-то это кажется сложным.
Digital Ocean пытается защитится от любителей халявы, которые мигом создадут 100500 аккаунтов по реферальной ссылке с $10 на балансе и будут на каждом 2 месяца майнить ___коины.
Кредиткой/PayPal гарантируется, что каждый настоящий пользователь получит свой бонус. Sabubu, можете привести примеры провайдеров лучше, с тем же качеством услуг, но не требующих идентификации?
Разница с тем, что вы написали только в том, что в вашем варианте команды нужно вводить вручную через консоль, а в описанном в публикации — нажатием большой зеленой кнопки «Install» и более стойким шифрованием.
Если нет времени читать, можно посмотреть скринкасты (не мои):
— SSHeller: youtu.be/NwEl6gKzAz8
— скрипт: youtu.be/yzqmJeAqKRA
Это не должно быть предметом дискуссий, это — дело личных предпочтений. Кому-то, да, лучше ssh, запуск скрипта и scp, кому-то — графический интерфейс.
Конечно, можно взять VPS у любого отечественного хостера и быть уверенным, что его точно не заблокируют. Вот только этот VPS будет ощущать в точности те же самые ограничения, что и любой житель РФ.
А из зарубежных хостеров — любой случайно может попасть под летающий банхаммер РКН.
Сегодня, если создать на DO несколько десятков VPS, в заблокированную подсеть может попасть около одного инстанса. А так как оплата почасовая — просто уничтожаешь его и все, никакого простоя.
Очень хорошее замечание. И проблема актуальная.
Ваш внутренний параноик может сделать git clone https://github.com/delfer/ssheller.git и npm i && electron-builder -lmw и точно знать какой код исполняется.
Помимо этого, все же, поддерживается как авторизация по ключу, так и вход от непривилегированного пользователя с дальнейшим поднятием привилегией через su или sudo.
В README этим вопросам посвящена отдельная секция Security.
Ну и, в конце концов, SSHeller и так запускает тот самый известный скрипт от Angristan. Просто абстрагирует пользователя от консоли.
И время ожидания будет в точности то же самое. Но есть один момент: скрипт от Nyr отработает быстрее, так как генерирует ключ длиной 2048 бит, а не 3072. Но это менее безопасно.
Ngrokking. Организация удаленного доступа без белого IP
Если нужно решение как ngrok, только свое и открытое, советую посмотреть на проект frp. Про него ранее писал.
Представляем ovpn-admin — веб-интерфейс для управления пользователями OpenVPN
Если переписывали, так лучше бы сразу для WireGuard. Как раз мечтаю сделать что-то подобное, да никак руки не доходят)
Автоматизация системных тестов на базе QEMU (Часть 1/2)
А чем Vagrant не подошёл?
Steal: кто крадёт у виртуалок процессорное время
Например, для t3.nano гарантируют базовую производительность 5% при отсутствии кредитов. Тогда при продолжительной постоянной полной загрузке процессора, steal будет стремиться к 95%, чтобы у вас было не больше этих самых обещанных 5%.
Ну или будут автоматически добавляться кредиты за $$, но это уже совсем другая история.
Kubernetes: сборка образов Docker в кластере
Большое спасибо за перевод, на kaniko и buildah обязательно стоит посмотреть.
Странная аргументация. Разные файловые системы и кэш сборки слабо связаны с безопасностью.
Уже больше года используем цепочку CI/CD на Kubernetes, Drone.io, Docker-In-Docker. За это время ломалось все: Drone, СУБД, оборудование, сеть, файловые системы, Docker Registry, сам k8s, но вот сбоя Docker-In-Docker не было ни одного. Работает как часы. Хотя официально разработчики рекомендуют использовать его только для тестов.
К слову, описание деплоя: https://gist.github.com/delfer/03a4aab83f73305888593287e9735895
Сильное заявление. Что там виртуального? Файловая система — изолированный слой. Оборудование — нет. Ядро — используется хостовое. Пространство процессов — тоже хостовое.
Запуск LAMP и сотен других веб-приложений в несколько кликов
Могу предположить, что документацию еще не обновили, так как Ubuntu 18.04 LTS (Bionic Beaver) поддерживается официальным скриптом установки Docker.
Однако, тот же скрипт (на момент публикации) поддерживает и Debian 7 (Wheeze), хотя «из коробки» у него ядро 3.2.0, тогда когда Docker требует ядро не старше 3.10. Исправить обещали 31 мая.
Совместимость с каждой доступной на DigitalOcean операционной системой была непосредственно протестирована
(таблица из README)
А если углубиться в теорию, то Docker вполне хорошо работает на любом Linux с ядром 3.10 или новее, cgroups и iptables. Запускал его даже на Astra Linux Special Edition 1.5 и Windows Subsystem for Linux (только старую версию Docker, которая не требовала iptables и cgroup). Могут быть небольшие проблемы с сетью (на Windows приходилось использовать --net=host) или хранилищем (в Centos «из коробки» будет глючный loop-lvm вместо нормального overlay2). На Ubuntu 18.04 — все прекрасно.
Установка OpenVPN в несколько кликов
Хотя гарантий, что Linode также тотально не начнут блокировать — никаких.
Установка OpenVPN в несколько кликов
Не повезло, есть небольшой шанс. Просто удалите Droplet (кнопка Destroy как написано в конце инструкции) и создайте новый (повторите действия начиная с раздела "Запуск сервера"). Со второго раза маловероятно, что попадется заблокированный IP.
Установка OpenVPN в несколько кликов
Установка OpenVPN в несколько кликов
Если что-то написано не достаточно понятно, то, пожалуйста, сообщите, будем дорабатывать.
Установка OpenVPN в несколько кликов
Конечно можно! Просто заменяйте раздел "Создание сервера" на то, что соответствует любому другому хостеру. Все остальные пункты останутся без изменений. Никакого vendor-lock.
DigitalOcean здесь выбран просто как пример по ряду объективных параметров:
Не учитывались:
Вы можете назвать любого другого хостера, которому лично вы больше доверяете, но это будет справедливо только в частном случае.
В общем-же случае, большинство уже сделало свой выбор.
Установка OpenVPN в несколько кликов
Но это не так, когда вы через VPN пойдете на зарубежный ресурс. Пакет пойдет примерно по тому-же маршруту, что пошел бы и без VPN. И та задержка, которая прибавится из-за маршрута до VPN сервера, потом вычтется из маршрута после VPN сервера до конечного сервиса. В итоге время будет +- то же.
В зависимости от того, для чего конкретно вам нужен VPN, действовать нужно немного по-разному.
Установка OpenVPN в несколько кликов
Хорошая идея. Вы можете завести Issue на GitHub или, еще лучше, предложить Pull Request.
И если с Linux и macOS все более-менее понятно, то как реализовать, это, например, в Windows, где по умолчанию нет
ssh-keygen?Требовать от пользователя установить самому?
Или класть в дистрибутив бинарник? Вы будете доверять ключу, сгенерированному таким образом?
Пока еще остается слишком много вопросов и нет понимая, действительно ли это нужно реальным пользователям.
Установка OpenVPN в несколько кликов
Ну или потому, что дебетовых карточкек ты можешь завести 100500 используя тот же Qiwi Wallet и ему подобные, закинуть на них по $1 и пользоваться почти халявой.
В этом явно есть смысл. Оплата у DO постфактум, они не хотят терять деньги: дарить последний месяц.
Но. С PayPal это не прокатит. Пользуйтесь PayPal.
Установка OpenVPN в несколько кликов
Тем временем, цепочка: создать VPS в Нидерландах, поставить на него VPN сервер и использовать его для личных целей — абсолютно легальна.
Установка OpenVPN в несколько кликов
Да, умеет.
Если это ключ root — то никакого дополнительного пароля не требуется. Если это ключ простого пользователя, то требуется указать либо его пароль (для
sudo), либо пароль root (дляsu). Или-же вsudoersдать пользователю права наsudoбез пароля — программа так тоже умеет.Об этом сказано в README. В публикации не сказано для того, чтобы подчеркнуть простоту. Лирическое отступление про генерацию ключей заняло бы слишком много времени. И даже без этого, для кого-то это кажется сложным.
Установка OpenVPN в несколько кликов
Кредиткой/PayPal гарантируется, что каждый настоящий пользователь получит свой бонус.
Sabubu, можете привести примеры провайдеров лучше, с тем же качеством услуг, но не требующих идентификации?
Установка OpenVPN в несколько кликов
Если нет времени читать, можно посмотреть скринкасты (не мои):
— SSHeller: youtu.be/NwEl6gKzAz8
— скрипт: youtu.be/yzqmJeAqKRA
Это не должно быть предметом дискуссий, это — дело личных предпочтений. Кому-то, да, лучше ssh, запуск скрипта и scp, кому-то — графический интерфейс.
Установка OpenVPN в несколько кликов
Конечно, можно взять VPS у любого отечественного хостера и быть уверенным, что его точно не заблокируют. Вот только этот VPS будет ощущать в точности те же самые ограничения, что и любой житель РФ.
А из зарубежных хостеров — любой случайно может попасть под летающий банхаммер РКН.
Сегодня, если создать на DO несколько десятков VPS, в заблокированную подсеть может попасть около одного инстанса. А так как оплата почасовая — просто уничтожаешь его и все, никакого простоя.
Установка OpenVPN в несколько кликов
Очень хорошее замечание. И проблема актуальная.
Ваш внутренний параноик может сделать
git clone https://github.com/delfer/ssheller.gitиnpm i && electron-builder -lmwи точно знать какой код исполняется.Помимо этого, все же, поддерживается как авторизация по ключу, так и вход от непривилегированного пользователя с дальнейшим поднятием привилегией через
suилиsudo.В README этим вопросам посвящена отдельная секция Security.
Ну и, в конце концов, SSHeller и так запускает тот самый известный скрипт от Angristan. Просто абстрагирует пользователя от консоли.
И время ожидания будет в точности то же самое. Но есть один момент: скрипт от Nyr отработает быстрее, так как генерирует ключ длиной 2048 бит, а не 3072. Но это менее безопасно.