Администрирование

Предыстория

У вас конечно же нет VPN сервера ocserv, но возможно у какого-то абсолютно незнакомого человека он есть — с десятками, а может сотней пользователей. И этот незнакомый человек наверняка знает эту боль: каждый раз при добавлении нового клиента нужно вспоминать команды, лезть в документацию, не забыть обновить CRL, правильно экспортировать .p12. Когда этот гипотетический человек в очередной раз забыл флаг --legacy в openssl и получил нечитаемый файл сертификата — он вероятно захотел бы какое-нибудь автоматизированное решение.

Я написал набор bash скриптов для этого человека, чтобы автоматизировать рутину. Скрипт изначально создавался именно под связку ocserv + easy-rsa, поэтому глубоко интегрирован с её структурой PKI. Потом я решил привести код в порядок и выложить — вдруг найдутся ещё люди, которым он пригодится.

Что такое ocservice

Я смотрел существующие решения — нашёл несколько репозиториев на GitHub, но все они заброшены 2-4 года назад и работают только с логин/пароль авторизацией через ocpasswd. Сертификаты не поддерживает никто. Есть популярный проект с веб-интерфейсом, но это совсем другая история: Docker, отдельный порт, база данных, и всё равно только логин/пароль без easy-rsa. Если вам нужно просто управлять пользователями прямо на сервере без дополнительной инфраструктуры — это избыточно.

ocservice — это набор интерактивных bash скриптов для управления ocserv прямо из командной строки. Никакого Docker, никаких веб-серверов и баз данных — только bash и стандартные инструменты которые уже есть на сервере. Главная особенность — полная интеграция с easy-rsa: создание сертификатов, экспорт в .p12, отзыв и обновление CRL всё это делается в несколько нажатий.

Меня зовут Дмитрий, я руковожу отделом ИТ-инфраструктуры и сервисов в Ви.Tech, IT-дочке ВсеИнструменты.ру. Когда у компании одновременно есть свои датацентры, частное облако и несколько публичных облаков, вопрос стоимости вычислительных ресурсов быстро перестает быть бухгалтерской формальностью. Без понятной модели невозможно нормально распределять затраты, сравнивать варианты размещения и объяснять, почему одна и та же виртуальная машина в разных контурах обходится по-разному.

В этом материале я разберу, из чего складывается стоимость единицы вычислительного ресурса в гибридной инфраструктуре и как подойти к расчету так, чтобы потом использовать эти цифры в аллокации затрат, бюджетировании и планировании.

С оборудованием, которое закупается под конкретный проект, все обычно довольно прозрачно: его стоимость можно сразу отнести на конкретного внутреннего заказчика. С публичными облаками тоже все относительно просто: цену задает провайдер, а наша задача сводится к корректному учету потребления и распределению расходов.

Сложнее всего обстоит дело с частной виртуализацией. Здесь цена ресурса не лежит на поверхности, ее приходится собирать из стоимости железа, запаса под отказоустойчивость, коэффициентов переподписки и сопутствующей инфраструктуры.

Поэтому дальше я сосредоточусь именно на частных системах виртуализации и на простом примере покажу, как посчитать стоимость 1 ядра CPU и 1 GB RAM.

Для простоты будем считать, что кластер виртуализации состоит из однотипных серверов. Допустим, в каждом сервере установлены 2 CPU по 64 ядра и 1024 GB RAM. Тогда стоимость сервера складывается из стоимости памяти, стоимости процессоров и стоимости платформы, куда входит все остальное: сетевые карты, материнская плата, корпус, блоки питания и прочие компоненты.

Меня зовут Дмитрий, я руковожу отделом ИТ-инфраструктуры и сервисов в Ви.Tech, IT-дочке ВсеИнструменты.ру. Когда в компании одновременно есть локальная инфраструктура, облако, общие платформенные сервисы и выделенные ресурсы под продукты, считать ИТ-расходы "в среднем по больнице" уже не получается. Мы пришли к модели, в которой у каждого ресурса есть понятные метки, владелец и правило аллокации. В этой части разберу, с чего такая модель вообще начинается.

Нам была нужна не красивая финансовая схема, а рабочий способ ответить на простые вопросы: кто потребляет ресурсы, кто за них платит и как эти затраты потом распределять внутри компании. Без этого невозможно нормально считать стоимость сервисов, обсуждать экономику инфраструктуры и планировать развитие не по ощущениям, а по цифрам.

FinOps и ITFM в этой логике не спорят друг с другом, а закрывают разные части одной задачи. FinOps помогает навести порядок в потреблении и расходах, особенно в облаке. ITFM дает более широкую рамку: как связать ресурсы, бюджеты, внутренние сервисы и центры ответственности.

Дальше разберем основу такой модели: какие типы затрат нужно разделять, чем выделенные ресурсы отличаются от общих и какие атрибуты стоит заложить сразу, чтобы потом не переделывать учет на ходу.

Меня зовут Виталий, я из команды ArcaneGaming.
Сегодня я хочу рассказать вам о своем пет-проекте, который немного вышел из-под контроля и превратился в полноценный продукт.
Встречайте - Snuffer!

😫 С чего всё началось?
Знаете это чувство, когда вам пишет клиент (или, что еще хуже, мама):

Наверняка вы слышали о новых версиях HTTP — второй и третьей. Что за этими версиями? Зачем они были разработаны? Чем они отличаются от классического HTTP/1.1 и где могут быть полезны? Какие настройки предоставляет веб‑сервер Angie для этих протоколов? Все эти вопросы мы будем разбирать в этой статье.

Начнём с краткой истории развития протокола HTTP.

Хабр, привет!

На связи центр компетенций VMware "Инфосистемы Джет".

В этой статье расскажем о тонкостях подключения LUN (логических номеров устройств) из системы хранения данных (СХД) к хостам ESXi, которые управляются через vCenter Server. За прошлый год мы не раз сталкивались с проблемами у заказчиков, которых можно было бы избежать при правильной настройке. Как именно — расскажем ниже, не забывая и про теорию.

Привет, Хабр! С 31 марта 2026 года cPanel и Plesk перестанут работать для российских пользователей. WebPros International LLC, американская компания, которая дистрибутирует обе панели, официально уведомила российских партнеров: обслуживание клиентов из России и Белоруссии полностью отключается.

Мы в Рег.ру запустили программу экстренной помощи. Вместе с заместителем руководителя направления службы поддержки хостинга Рег.ру Никитой Никоновым и специалистами по переносу сайтов Аленой Галкиной и Вадимом Курносовым разбираем, как перенести сайт с cPanel или Plesk на альтернативный вариант — отечественную панель ispmanager: от бэкапа до переключения DNS.

Привет Хабр! В прошлой статье мы детально разобрали функциональные зависимости. Возможно, после нее у вас, как и у многих, остался закономерный вопрос: зачем нам вообще так париться, выискивая эти зависимости? Как это применяется в проектировании баз данных?

Естественно, можно спроектировать базу данных, вообще не заботясь ни о каких правилах. И она даже будет работать! Все будет прекрасно ровно до первого ее реального использования в продакшене. При проектировании «абы-как» возникают три типовые проблемы: избыточность, аномалии обновления, аномалии удаления.

И вот это уже плохо.

Все кто касался темы обеспечения бесперебойной работы сервисов знает на сколько изнуряющим и трудно оценимым по времени бывает диагностика и устранение инцидентов. Настало время это исправить!

Когда я впервые заглянул во FreeBSD Handbook в 2002 году, то не мог поверить своим глазам. За шесть лет работы с различными дистрибутивами Linux, о чём у меня уже была статья, я научился выискивать документацию по кусочкам — часто неполную или устаревшую, причём иногда спустя всего год. Здесь же операционная система сопровождалась полноценным, точным и достаточно свежим подробным руководством. В то время я уже был убеждённым сторонником Open Source, но рассуждал очень практично. Если разработчики этой ОС вкладывают так много усилий даже в её документацию, то представьте, насколько проработанной должна быть сама система. Короче, я решил её попробовать. Тогда у меня был Sony Vaio, где не было места для второй операционки. В итоге я скопировал все данные на настольный ПК, собрался с духом и принял решение установить на этот ноут FreeBSD, а по завершению эксперимента снова вернуть на него Linux.

Спойлер: FreeBSD осталась на том ноутбуке навсегда.

Пятница, 17:40. Билд красный, GitLab живой, curl отвечает за полсекунды — а git clone из контейнера молча висит две минуты и падает. Все инструменты говорят «всё ОК». Виновник — 50 байт, о которых никто не подумал.

Пошла волна новостей о том, что провайдеры получили прямую задачу внедрять систему «Белых списков» на wifi. Официальная версия — «безопасность» и доступность социально значимых ресурсов. Но все мы прекрасно все понимаем: это не столько про удобство, сколько про возможность 24/7 фильтровать вообще всё, что проходит через ваш домашний Wi-Fi.

TL;DR: Написал open-source десктопное приложение TG Unblock на Rust, которое в один клик обходит блокировку Telegram через локальный WebSocket-прокси. Трафик заворачивается в обычный HTTPS к web.telegram.org — DPI не видит MTProto, провайдер не может шейпить. Без VPN, без серверов, без абонентки. Код на GitHub — by-sonic/tglock.

Предыстория: почему GoodbyeDPI не спасает

С весны 2026 года Telegram в России стал работать, мягко говоря, через боль. Сообщения доходят по 10 секунд, медиа не грузятся, звонки рвутся. Классическая картина: провайдер + DPI = страдания.

Первое, что приходит в голову — GoodbyeDPI. Запустил, пакеты фрагментируются, DPI не узнаёт MTProto... и вроде работает. Но:

Пинг 200+ мс — при норме 40–60

Постоянные переподключения — DPI переобучается и режет соединения

IP-шейпинг — провайдер троттлит весь трафик к подсетям Telegram (149.154.x.x, 91.108.x.x)

Linux (и когда то в далеком прошлом FreeBSD) как рабочую станцию я начинал использовать где то в 2002-2003 годах. Двигало мною и любопытство исследователя, и желание лучше освоить эти системы, и некоторая гордость (неТАкизм), а также желание быть не хуже сокурсников, которые уже умели что то ставить и настраивать.

Любой комп, неттоп, ноутбук, что попадал мне в руки, обязательно на какой то период был подвергнут установке той или иной версии Linux, тратилось изрядное количество часов на подбор нужного на тот момент программного обеспечения, браузеры настраивались на почту, синхронизацию паролей и вкладок, VPN подключения, RDP коннекты и т.п.

Тем не менее, я не оставался на Linux навсегда (хотя периоды были до пары лет). Рано или поздно мне приходилось либо ставить Windows как вторую ОС, либо запускать ее в виртуальной машине.

В начале года я снова, в который раз, поставил на рабочий ПК свежий Linux (в этот раз ALT Linux Workstation 11, KDE Edition) – и спустя почти 3 месяца меня прям «распирает» консолидировать ВЕСЬ прошлый опыт и сделать для себя некоторые выводы.

Docker предоставляет массу инструментов для изоляции процессов, но когда дело доходит до тонкого контроля сети, стандартных средств часто не хватает. Создавать отдельную сеть под каждый чих неудобно, а писать костыли с хостовым iptables — ненадежно.

За 7 лет работы с Docker я устал от этой рутины и решил написать простой инструмент, который решает проблему на уровне инфраструктуры как кода. В этой статье полезем под капот ядра Linux: разберемся, как безопасно прыгать по неймспейсам (netns) в Go, чтобы не сломать планировщик, почему я выбросил iptables в пользу бинарного протокола netlink и как сеты в nftables позволяют обновлять правила без потери трафика.

Реальные сообщения от пользователей - мы читаем всё и стараемся оперативно реагировать. Именно так появились многие фичи PingZen.
Так же о подключении PingZen к AI-агентам через MCP: выбираем инструмент (Claude Code, Cursor, VS Code, Claude Desktop, Windsurf) - и всё готово. Дальше сервис сам проведёт через OAuth.

Поскольку использование контейнерных версий сетевых устройств Cisco IOS-XRd в среде симулятора GNS3 особого интереса не вызвало, свой опыт побеждания Cisco NSO (официальное название – Cisco Crosswork Network Services Orchestrator), тоже в контейнерной версии и в том же симуляторе, решил пока не описывать.

Вместо этого предлагаю более близкую (надеюсь) сердцам читателей ситуацию с использованием виртуальной версии сервисного маршрутизатора от компании Eltex – vESR.

Пока из «большой тройки» сетевых вендоров, пробившихся в ТОРП и российские ЦОДы (B4COM Tech, QTEC и Eltex), только Eltex выпустил «официальный» виртуальный маршрутизатор, пригодный для лаб и продуктива. Вот о моем первом удачном опыте его применения и будет эта статья.

Также описал возможные сценарии его применения, сложности при установке vESR в симуляторе GNS3 по инструкции производителя и адаптированный файл шаблона .gns3a.

Я cобрал свой дистрибутив на базе arch Linux специально для ПК в учебном заведении, где я обучаюсь.

Хеллоу хабр! Я ученик 10 класса и сейчас работаю над своим проектом по информатике. В качетсве идеи я выбрал то, что очень давно хотел осуществить, а именно собрать свой дистрибутив Linux и раз уж у меня проектная деятельность, то почему бы не совместить приятное с полезным и не решить давно наболевшую проблему со школьными ПК.

Telegram: @pg_expecto

MAX: PG_EXPECTO

GitHub - Комплекс pg_expecto для статистического анализа производительности и нагрузочного тестирования СУБД PostgreSQL

GitFlic - pg_expecto - статистический анализ производительности и ожиданий СУБД PostgreSQL

Глоссарий терминов | Postgres DBA | Дзен

Может ли ИИ заменить эксперта по PostgreSQL?

С учетом существующих точек зрения о потенциале полного замещения человека искусственным интеллектом в задачах оптимизации баз данных, в данном исследовании проведен анализ работы нейросетевой модели DeepSeek при оценке производительности СУБД PostgreSQL с применением статистического метода «majority vote» на выборках из пяти и одиннадцати независимых прогонов. Результаты подтверждают, что даже при эффективном выявлении закономерностей и диагностике узких мест с помощью ИИ, окончательная интерпретация выводов остается прерогативой специалиста, что позиционирует нейросеть не как замену эксперту, а как инструмент для фильтрации случайных ошибок и оптимизации рутинных процессов.

Доброго свободного времени, товарищи! в этой своей первой статье хотел бы вам рассказать как я будучи далёк от сетевых технологий перешел с роутера мыльницы на старый комп из-под дивана.