Немного дополню.
У меня Proxmox VE.
Для вкл. TRIM на ВМ:
— тип контроллера — Virtio-scsi\Virtio-scsi single;
— тип диска — scsi;
— в настройках диска ВМ стоит галка на Discard (+ галка на Эмуляция SSD, если диск ВМ располагается на SSD).
Эти настройки обязательны для любых ВМ и независимо от того на SSD или HDD «живут» ВМ-ы. Иначе блоки удаленных данных не будут очищаться и размер диска ВМ будет увеличиваться.
Спасибо за статью.
Нес-ко замечаний, если позволите:
1. alluserattrzimbra = all_user_attr_zimbra и т.д., как более читабельное
2. Отступы в коде скрипта. Вполне достаточно 3 символов:
function if_path ()
{
#Если каталог не существует то создаем его
if [ ! -d $1 ]; then
...
Из чего-то похожего — zerotier (пока на Openvpn). Тоже в один клик. Можно пользовать их облако (> 100 клиентов — фри) или развернуть у себя (на хабре есть статьи по развертыванию). Удобно объединять сети с «серыми» внешними адресами, пользуя их облако.
Затем, что во вне может быть открыт только 80\TCP и 443\TCP. И перевесив OVPN-сервер на эти порты можно решить эту проблему. А если прикрутить обфускацию овпн — получится оч вкусно v2ray.com/en/index.html, pluggabletransports.info/implement/openvpn/
Повторить что-то подобное с pptp, l2tp, ipsec у вас не получится.
На Zerotier посмотрите. Позволяет связать сети с внешними «серыми» ip. Есть под все платформы. До 100 устройств в их облаке — фри. Или можно развернуть свой контроллер. На хабре есть по нему статьи. Рекомендую.
Стоп.
Зачем сертификаты-то принудительно ставить клиентам? Сквид же умеет и в transparent и SslPeekAndSplice — wiki.squid-cache.org/Features/SslPeekAndSplice?
Пользую Pfsense с пакетами squid + squidguard. Там достаточно только CA отдельный сгенерировать для сквида. Плюс можно и к LDAP\AD SSO прикрутить с kerberos.
Вы считаете, что умением правильно готовить vSan обладает простая кухарка?
Для этого также необходим специалист, несмотря на то, что vSan — типовое решение.
И специалист не самый «простой».
1. Я и не говорил, что в РФ реально производится серверное оборудование. Оно и не может производиться не имея СВОЕЙ микроэлектроники.
2. Да хоть из-за того же ILO\iDrac etc — удобно же. Плюс (якобы ?) более надежные комплектующие, из к-ых собрано брендовое. И да, я пока не видел готовое рабочее решение для удаленного управления «самосбором» (
Но есть и минусы. Напр., в последних поколениях серверов от HP нельзя вот так просто взять и заменить HDD на «небрендовый», т.к. в салазки теперь встроен специальный чип. Что является простым впариванием с огромной накруткой обычных HDD с наклейкой от HP.
Давайте не передергивать про потерю данных на Ceph. Такой софт еще и «готовить» уметь надо. Все можно испортить некомпетентностью, каким бы софт «золотым» не был.
Зы. Тот же Proxmox имеет и платную поддержку, к слову.
1. Брендовое железо от HP в нынешних отечественных реалиях, когда завтра, напр., HP рискует вообще уйти из РФ и полностью прекратить поддержку? Вполне реальный сценарий. Ну, ОК.
2. Vmware? Прошу сильно не бить, но почему не KVM в кач-ве системы вирт-ции + Ceph? Мало будет Proxmox VE — пользуем Opennebula.
Стоп-стоп.
У меня из Филиала к Центру постоянно подняты несколько впн-линков. Причем в настройках впн-сервера в Центре маршруты автоматом не раздаются и в Филиале «руками» маршруты не настраиваются. OSPF сам «решает», кто из линков «главнее» и пускает трафик через означенный впн-линк. При этом опенвпн — оригинальный, никем не патченный. И «ронять-поднимать» впн-туннели для этого не требуется.
Насколько я читал он не очень хорош при большом числе сетей /32, а вот это как раз мой случай.
Разверните тестовый стенд (да хотя бы и на VirtBOX-е) и проверьте свою «теорию».
forum.netgate.com/topic/120102/proxmox-ceph-zfs-pfsense-и-все-все-все/
Немного дополню.
У меня Proxmox VE.
Для вкл. TRIM на ВМ:
— тип контроллера — Virtio-scsi\Virtio-scsi single;
— тип диска — scsi;
— в настройках диска ВМ стоит галка на Discard (+ галка на Эмуляция SSD, если диск ВМ располагается на SSD).
Эти настройки обязательны для любых ВМ и независимо от того на SSD или HDD «живут» ВМ-ы. Иначе блоки удаленных данных не будут очищаться и размер диска ВМ будет увеличиваться.
Нес-ко замечаний, если позволите:
1. alluserattrzimbra = all_user_attr_zimbra и т.д., как более читабельное
2. Отступы в коде скрипта. Вполне достаточно 3 символов:
Повторить что-то подобное с pptp, l2tp, ipsec у вас не получится.
На Хабре есть статьи по нему.
Зачем сертификаты-то принудительно ставить клиентам? Сквид же умеет и в transparent и SslPeekAndSplice — wiki.squid-cache.org/Features/SslPeekAndSplice?
Пользую Pfsense с пакетами squid + squidguard. Там достаточно только CA отдельный сгенерировать для сквида. Плюс можно и к LDAP\AD SSO прикрутить с kerberos.
Тут есть пример www.dmosk.ru/miniinstruktions.php?mini=proxmoxve-cluster
Для этого также необходим специалист, несмотря на то, что vSan — типовое решение.
И специалист не самый «простой».
2. Да хоть из-за того же ILO\iDrac etc — удобно же. Плюс (якобы ?) более надежные комплектующие, из к-ых собрано брендовое. И да, я пока не видел готовое рабочее решение для удаленного управления «самосбором» (
Но есть и минусы. Напр., в последних поколениях серверов от HP нельзя вот так просто взять и заменить HDD на «небрендовый», т.к. в салазки теперь встроен специальный чип. Что является простым впариванием с огромной накруткой обычных HDD с наклейкой от HP.
Зы. Тот же Proxmox имеет и платную поддержку, к слову.
2. Vmware? Прошу сильно не бить, но почему не KVM в кач-ве системы вирт-ции + Ceph? Мало будет Proxmox VE — пользуем Opennebula.
www.flynet.pro/ru/blog/izvlechenie-konkretnoy-direktorii-iz-bekapa-proxmox-vmalzo-dlya-vds-c-freebsd
www.bachmann-lan.de/proxmox-vma-backup-unter-debian-mounten
RIP, EIGRP, OSPF — все же broadcast.
OSPF умеет Non-Broadcast (NBMA)
Cкрин с настройками OSPF на pfsense (используется пакет FRR):
Не верьте на слово. Развертывайте и пробуйте.
У меня из Филиала к Центру постоянно подняты несколько впн-линков. Причем в настройках впн-сервера в Центре маршруты автоматом не раздаются и в Филиале «руками» маршруты не настраиваются. OSPF сам «решает», кто из линков «главнее» и пускает трафик через означенный впн-линк. При этом опенвпн — оригинальный, никем не патченный. И «ронять-поднимать» впн-туннели для этого не требуется.
Разверните тестовый стенд (да хотя бы и на VirtBOX-е) и проверьте свою «теорию».