XCP-ng/XenServer я не пробовал, а Proxmox очень прост как в установке, так и использовании, особенно в домашнем применении. Разворачивать можно как виртуальные машины KVM, так и контейнеры LXC. Управление как из CLI, так и из WEB-GUI.
По поводу выбора из виртуальных ротуеров — я пока ни на чём не остановился, так как пока не перевёл маршрутизацию на этот девайс. Но в целом, если сравнивать VyOS и pfSense, то у них немного разное предназначение. Первый — это чисто роутер на основе Debian Linux со своим CLI, второй — файрволл с функциями маршрутизации на базе FreeBSD, с удобным WEB-интерфейсом. В обоих продуктах есть и DHCP-сервер, и DNS, и всё то, что может понадобиться в маленькой не-корпоративной сети. В pfSense я ещё добавил Wireguard сторонним пакетом, и в принципе планирую оставить обе VM, одна маршрутизирует трафик, вторая стоит на границе домашней сети, где будут настраиваться policy, NAT, и подключаться удалённые машины через wireguard.
Советую присмотреться к более производительному mini-pc на Celeron J3160, например вот обзор самой интересной железки на этом процессоре, но портов там на 2 меньше, чем у сабжа, и для подключения накопителя только SATA. Зато 4 ядра и поддержка AES-NI, и TDP 6W против 17W у Celeron 1037U
Я на подобной железке с али-экспресса поставил Proxmox, настроил сеть через Open vSwitch с vlan (у OVS есть некоторые преимущества перед linux bridge, но в базовом сценарии использования они не существенны), в качестве VM, гоняющих трафик, попробовал виртуальный роутер VyOS и фаерволл pfSense. Присоединяюсь к рекомендации поставить гипервизор, а уже в нём разворачивать виртуалки с инфраструктурным софтом.
настройка Dnscrypt-proxy в роли DNS-сервера для локальной сети
Интереснее было бы почитать про DoH или DoT в домашней сети, он и про Dnscrypt-proxy будет полезно.
На своих серверах (виртуальных машинах в основном с Ubuntu) я использую только учётку root в том числе и из-за того, что под обычным пользователем возникают описанные вами проблемы. Под рутом могу себе позволить работать, так как использую системы один, других пользователей нет.
Мне кажется, куда лучше и проще поставить ноды ELK за реверс-прокси, который будет терминировать TLS и аутентифицировать запросы. Не зависит от версии софта, меньше ручных действий, которые приводят к ошибкам.
Такое впечатление было вызвано беглым анализом того, как запускается WSL в различных оболочках, например mintty требует бридж wslbridge2. Современный wsltty возможно работает не хуже WT, если устраивает его внешний вид и настройки, то должно быть норм.
Да не, иконку я там кинул и скрипт запустился. Но ни по F1, ни по Win+` что-то не заработало сходу. Ну потом разберусь, в принципе давно хотел разобраться с autohotkey
Что-то он у меня сходу не заработал. Просто ничего не происходит по Win+`, с autohotkey не сталкивался раньше. А вот лет 10 назад пользовался guake, очень нравилась эта фича :) на Windows не хватает дропдаун терминала.
Оформил конфиг в виде gist. В комментарии описал основные отличия от дефолтного конфига.
Но, вообще, классно выглядит то, что в самом терминале, а это уже настройки шелла :) в настройках самого терминала на внешний вид влияет только шрифт, фон, иконки, форма и цвет курсора, да и всё наверное. Есть, конечно, цветовая схема, но нужно, чтобы шелл и программы в терминале делали цветной вывод. К примеру, команды в терминале на скриншотах подсвечены, потому что используется плагин zsh, используется bat вместо cat, micro вместо стандартных редакторов и т.д.
Но в плане цвета в принципе WT из коробки поддерживает true color в WSL и ничего не надо ставить дополнительно (есть много инструкций по поводу TC цветов в терминале на Linux, сейчас большинство не актуально).
Заметных лагов при работе с программой нет? Я как-то пытался через VNC работать в редакторе, не понравилось из-за заметной задержки. Тут хоть всё локально на одной машине, но графика пробрасывается через IP-протокол тоже.
Никакого нового способа, собственно, тут не описывается, просто собраны все ссылки и технические подробности. А вот поставить WSL 2 на планшет вряд ли получится, там же нет Hyper-V
С чтением файлов с диска Windows (/mnt/c) у WSL пока бяда, да. Это отображается даже на том, что prompt в шелле тормозит, если использует что-то типа gitline (чекается инфо с репы в CWD), если находишься вне родной linux fs. Не знаю уж, как там docker под Win работает, но вряд ли это пока будет хорошо.
Было бы очень интересно почитать про энергопотребление, так как мне как раз актуально для таких хобби-проектов запускать софт на домашнем мини-сервере. И в планах купить ещё пару серверов, собрать кластер. Интресно, на сколько энергопотребление различается при использовании разных софтовых продуктов.
Полезное замечание для тех, кто собирает логи в продакшене. Я использовал logstash только лишь из-за того, что это популярный продукт, с понятным мануалом и конфигом, и есть уже готовые шаблоны, в том числе для того формата, который стоит в Микротике по умолчанию. Так-то ест он много, я тоже думаю попробовать перейти на fluentd, хотя у меня нагрузки особо нет и запускаю такое время от времени.
Спасибо за замечания. По поводу «стрельбы по воробьям» — это делалось как простой PoC на выходных в свободное от работы время, чтобы разобраться с некоторыми технологиями, использовать такую схему никому не предлагаю :) то есть, это чисто для демонстрации тонких моментов сбора и визуализации данных.
Когда для мониторинга одной маленькой маломощной железки собирается железный кластер о трёх серверах?
Ну это же не мониторинг, роутер используется чисто как приманка для автоматических сканеров портов и ботнетов с той стороны интеренетов. С таким же успехов можно взять дешёвый VPS и там развернуть syslog + logstash, например. О каких железных кластерах идёт речь, не понял. У меня все сервисы запускаются на одном домашнем сервере (на самом деле, Elastic и Kibana я потом запустил на другом более мощном сервере и прокинул порты через SSH).
Это не новая версия компоуза, а есть два параллельных формата — 2+2.x и 3.x. Первый — с лимитами и прочими полезными ништяками, второй — для сворма. Т.к. сворм не используете, то имеет смысл переключиться на 2.4.
Всё верно, две ветки параллельно развивающиеся ветки, я немного неправильно передал смысл. Но я уже привык было к спецификациям версии 3.х (в других многочисленных docker-compose.yml), а в этом проекте понадобилось залимитировать ресурсы, так как запускать ELK без лимитов на низкопроизводительном железе чревато (у меня сервер иногда вис намертво). Оказалось, что в версии 3.х можно использовать с лимитами ресурсов и без swarm с этим ключом --compatibility.
плохая история. При ребуте сервера порядок запуска сервисов (докер контейнеров) будет произвольный.
А как правильно сделать, чтобы у сервиса оставалась зависимость от другого сервиса и всё работало нормально? Я где-то видел рекомендации на этот счёт, но как-то не вникал в суть, всё-таки это не продакшен и если что-то не так, что вручную можно разрулить проблему с незапустившимся сервером.
Оборачивать docker-compose в systemd unit — фу-фу-фу.
Ну так тут про systemd юниты речь не идёт, я не сторонник такого. А про автоматический деплой такой лабы ансиблом вообще тоже думал, было бы интересно реализовать.
Приложенный компоуз не заведется, т.к. на хосте с эластиком надо sysctl из раздела vm подпраивть.
Возможно, на чистой системе нужно будет что-то сделать дополнительно на уровне OS, я не проверял весь сценарий на свежеразвёрнутом докер-хосте, а на своих двух серверах это сделал давно. В любом случае, это немного выходит за скоп тех знаний, что я хотел донести до сообщества :) хотя добавить в статью не сложно, сейчас сделаю.
Какие планы дальше? Netflow?
Если будет не лень, то когда-нибудь в следующем году добавлю сбор Netflow (или sflow), для этого нужно найти интересный участок сети, домашняя локалка уже не так интересна для этого. Либо можно добавить access логи реверс-прокси, чтобы видеть, в какие url долбятся боты, это тоже забавно. И совсем не сложно сделать по аналогии.
XCP-ng/XenServer я не пробовал, а Proxmox очень прост как в установке, так и использовании, особенно в домашнем применении. Разворачивать можно как виртуальные машины KVM, так и контейнеры LXC. Управление как из CLI, так и из WEB-GUI.
По поводу выбора из виртуальных ротуеров — я пока ни на чём не остановился, так как пока не перевёл маршрутизацию на этот девайс. Но в целом, если сравнивать VyOS и pfSense, то у них немного разное предназначение. Первый — это чисто роутер на основе Debian Linux со своим CLI, второй — файрволл с функциями маршрутизации на базе FreeBSD, с удобным WEB-интерфейсом. В обоих продуктах есть и DHCP-сервер, и DNS, и всё то, что может понадобиться в маленькой не-корпоративной сети. В pfSense я ещё добавил Wireguard сторонним пакетом, и в принципе планирую оставить обе VM, одна маршрутизирует трафик, вторая стоит на границе домашней сети, где будут настраиваться policy, NAT, и подключаться удалённые машины через wireguard.
Интереснее было бы почитать про DoH или DoT в домашней сети, он и про Dnscrypt-proxy будет полезно.
Да не, иконку я там кинул и скрипт запустился. Но ни по F1, ни по Win+` что-то не заработало сходу. Ну потом разберусь, в принципе давно хотел разобраться с autohotkey
Но, вообще, классно выглядит то, что в самом терминале, а это уже настройки шелла :) в настройках самого терминала на внешний вид влияет только шрифт, фон, иконки, форма и цвет курсора, да и всё наверное. Есть, конечно, цветовая схема, но нужно, чтобы шелл и программы в терминале делали цветной вывод. К примеру, команды в терминале на скриншотах подсвечены, потому что используется плагин zsh, используется bat вместо cat, micro вместо стандартных редакторов и т.д.
Но в плане цвета в принципе WT из коробки поддерживает true color в WSL и ничего не надо ставить дополнительно (есть много инструкций по поводу TC цветов в терминале на Linux, сейчас большинство не актуально).
Насколько я знаю, этот функционал (управление мышкой) не реализован и требует очень значительных ресурсов разработки, поэтому не в приоритете
Никакого нового способа, собственно, тут не описывается, просто собраны все ссылки и технические подробности. А вот поставить WSL 2 на планшет вряд ли получится, там же нет Hyper-V
С чтением файлов с диска Windows (/mnt/c) у WSL пока бяда, да. Это отображается даже на том, что prompt в шелле тормозит, если использует что-то типа gitline (чекается инфо с репы в CWD), если находишься вне родной linux fs. Не знаю уж, как там docker под Win работает, но вряд ли это пока будет хорошо.
Ну это же не мониторинг, роутер используется чисто как приманка для автоматических сканеров портов и ботнетов с той стороны интеренетов. С таким же успехов можно взять дешёвый VPS и там развернуть syslog + logstash, например. О каких железных кластерах идёт речь, не понял. У меня все сервисы запускаются на одном домашнем сервере (на самом деле, Elastic и Kibana я потом запустил на другом более мощном сервере и прокинул порты через SSH).
Всё верно, две ветки параллельно развивающиеся ветки, я немного неправильно передал смысл. Но я уже привык было к спецификациям версии 3.х (в других многочисленных docker-compose.yml), а в этом проекте понадобилось залимитировать ресурсы, так как запускать ELK без лимитов на низкопроизводительном железе чревато (у меня сервер иногда вис намертво). Оказалось, что в версии 3.х можно использовать с лимитами ресурсов и без swarm с этим ключом --compatibility.
А как правильно сделать, чтобы у сервиса оставалась зависимость от другого сервиса и всё работало нормально? Я где-то видел рекомендации на этот счёт, но как-то не вникал в суть, всё-таки это не продакшен и если что-то не так, что вручную можно разрулить проблему с незапустившимся сервером.
Ну так тут про systemd юниты речь не идёт, я не сторонник такого. А про автоматический деплой такой лабы ансиблом вообще тоже думал, было бы интересно реализовать.
Возможно, на чистой системе нужно будет что-то сделать дополнительно на уровне OS, я не проверял весь сценарий на свежеразвёрнутом докер-хосте, а на своих двух серверах это сделал давно. В любом случае, это немного выходит за скоп тех знаний, что я хотел донести до сообщества :) хотя добавить в статью не сложно, сейчас сделаю.
Если будет не лень, то когда-нибудь в следующем году добавлю сбор Netflow (или sflow), для этого нужно найти интересный участок сети, домашняя локалка уже не так интересна для этого. Либо можно добавить access логи реверс-прокси, чтобы видеть, в какие url долбятся боты, это тоже забавно. И совсем не сложно сделать по аналогии.
"workbench.colorCustomizations": {"[Shades of Purple]": {
"activityBar.activeBorder": "#fa00e5",
"activityBar.foreground": "#fa00e5",
"editor.selectionHighlightBorder": "#cc42aa",
// "editor.lineHighlightBorder": "#cc42aa",
"editor.lineHighlightBackground": "#b242e680",
"list.activeSelectionForeground": "#cc42aa",
"editorSuggestWidget.highlightForeground": "#cc42aa",
"editorSuggestWidget.foreground": "#ddaad0",
"menu.selectionForeground": "#cc42aa",
"statusBar.background": "#7e01a7",
"peekViewResult.selectionForeground": "#cc42aa",
"breadcrumb.focusForeground": "#cc42aa",
"dropdown.foreground": "#ddaad0",
"badge.foreground": "#cc42aa",
"editorHint.foreground": "#fa00bb",
"editorLineNumber.activeForeground": "#fa00bb",
"list.focusForeground": "#fa00e5",
"tab.activeForeground": "#b974e0",
"breadcrumb.activeSelectionForeground": "#cc42aa",
"breadcrumb.foreground": "#ddaad0",
"contrastActiveBorder": "#cc42aa",
"focusBorder": "#cc42aa",
// "foreground": "#fa00bb",
"widget.shadow": "#cc42aa",
// "contrastBorder": "#fa00bb"
}
}