Серверное администрирование *

Первая статья + некоторые мало описанные в интернете ошибки Squid с Kerberos и AD, их диагностика и решение

Привет, Хабр! 

Наверняка многие из вас знакомы с нашей платформой BILLmanager Enterprise. Изначально это решение развивалось как инструмент автоматизации предоставления ИТ-ресурсов и учета их использования. Но в какой-то момент платформа начала развиваться как более многофункциональное решение. К базовым функциям добавились такие фичи, как управление гибридной ИТ-инфраструктурой, полноценная оркестрация сервисов, расширенные возможности аналитики. Так появилась Clouden — платформа для управления гибридной ИТ-инфраструктурой и облаками, полноценное решение класса Cloud Management Platform.

Однако в ИТ существует довольно стойкий стереотип, что CMP-решение — это тяжелый инструмент для энтерпрайза, который подойдет только масштабным ИТ-инфраструктурам с тысячами виртуальных машин, сотнями инженеров и огромными бюджетами.

В этой статье мы хотим разрушить этот миф и на примере возможностей Clouden показать реальные сценарии использования платформы для компаний самого разного масштаба.

В январе 2023 мне пришла в голову идея: а почему бы не управлять своими серверами так же, как я управляю своими проектами — через docker compose up.
Довольно быстро стало понятно, что до меня в эту сторону массово не ходили, если кто так уже делает, то делает это молча… т.е. на все детские грабли на этом пути мне придётся наступить лично.
А вот вам повезло: если тоже захотите пойти в эту сторону, то у вас уже есть и эта статья и пример конкретной реализации.

Кому этот подход может подойти? Тут должны сойтись звёзды несколько факторов:

● Нужно быть программистом, хорошо знакомым с docker-compose.yml.
● Нужно иметь 1-5 личных серверов — не важно, дома или на обычном/облачном хостинге, настоящий ли это сервер или свой десктоп/ноут, выполняющий заодно и функции «сервера».
● Нужно иметь достаточно опыта настройки этих серверов вручную по ситуации, чтобы появилось понимание недостатков этого подхода и желание внедрить IaC (перенести конфигурацию серверов в git и сделать её легко воспроизводимой).
● Но главное — нужно не быть админом, которому Ansible привычнее. 😄

Индексы есть, а запросы всё равно тормозят? Или наоборот — индексов слишком много, и они только увеличивают нагрузку на запись?

Многие разработчики и администраторы баз данных попадают в ловушку: ставят B-Tree на всё подряд и надеются на лучшее. Но в highload-системах это может привести к катастрофе.

В этой статье я делюсь реальным опытом работы с PostgreSQL.

Статья будет полезна разработчикам, архитекторам и администраторам, которые хотят не просто «поставить индекс», а понять, как работает PostgreSQL под капотом и как проектировать базы данных, выдерживающие миллионы запросов в секунду.

Рано или поздно наступает момент, когда понимаете: без LLM, работающей только на вас, дальше жить нельзя. Публичные модели, даже в платных подписках, — это всегда риск. Сомнения в том, не сливает ли какой-нибудь OpenAI или Alibaba вашу переписку, никуда не деваются, а внезапные «извините, этот сервис недоступен в вашем регионе» или жесткая цензура окончательно все портят.

В этой статье попытаемся решить проблему — рассмотрим, как запустить DeepSeek на своем облачном сервере, сколько ей нужно памяти и какие конфиги прописать, чтобы все запустилось с первого раза.

В статье пошагово показано, как завести аккаунт Claude Code в обход санкций, с европейского IP-адреса, на европейский телефон, с оплатой виртуальной карточкой.

Конкретно вы нашем случае Claude Code нужен для настройки сервера и написания скриптов. Мы собираемся использовать зарубежный VPS в качестве прокси для захода на YouTube, Instagram, Facebook и другие заблокированные сайты (браузер запускается прямо на VPS, как BrowserBox). А также для установки прокси Telegram, если его тоже заблокируют.

Агент поможет с установкой VPN, стороннего клиента для просмотра и скачивания YouTube, а также защитит VPS от AI-ботов и прочей дряни, так что можно нормально работать в интернете из РФ без эмиграции.

Предыстория

У вас конечно же нет VPN сервера ocserv, но возможно у какого-то абсолютно незнакомого человека он есть — с десятками, а может сотней пользователей. И этот незнакомый человек наверняка знает эту боль: каждый раз при добавлении нового клиента нужно вспоминать команды, лезть в документацию, не забыть обновить CRL, правильно экспортировать .p12. Когда этот гипотетический человек в очередной раз забыл флаг --legacy в openssl и получил нечитаемый файл сертификата — он вероятно захотел бы какое-нибудь автоматизированное решение.

Я написал набор bash скриптов для этого человека, чтобы автоматизировать рутину. Скрипт изначально создавался именно под связку ocserv + easy-rsa, поэтому глубоко интегрирован с её структурой PKI. Потом я решил привести код в порядок и выложить — вдруг найдутся ещё люди, которым он пригодится.

Что такое ocservice

Я смотрел существующие решения — нашёл несколько репозиториев на GitHub, но все они заброшены 2-4 года назад и работают только с логин/пароль авторизацией через ocpasswd. Сертификаты не поддерживает никто. Есть популярный проект с веб-интерфейсом, но это совсем другая история: Docker, отдельный порт, база данных, и всё равно только логин/пароль без easy-rsa. Если вам нужно просто управлять пользователями прямо на сервере без дополнительной инфраструктуры — это избыточно.

ocservice — это набор интерактивных bash скриптов для управления ocserv прямо из командной строки. Никакого Docker, никаких веб-серверов и баз данных — только bash и стандартные инструменты которые уже есть на сервере. Главная особенность — полная интеграция с easy-rsa: создание сертификатов, экспорт в .p12, отзыв и обновление CRL всё это делается в несколько нажатий.

Три VPS, MCP SSH, сессии по 10-15 часов. Каждый раз одно и то же: сколько контекста съедено? Пора /compact? Какой сервер под нагрузкой? Ни один из существующих statusline это не показывал. Собрал свой — за одну сессию в claude.ai.

Вот как это выглядит в реальной рабочей сессии:

Когда я впервые заглянул во FreeBSD Handbook в 2002 году, то не мог поверить своим глазам. За шесть лет работы с различными дистрибутивами Linux, о чём у меня уже была статья, я научился выискивать документацию по кусочкам — часто неполную или устаревшую, причём иногда спустя всего год. Здесь же операционная система сопровождалась полноценным, точным и достаточно свежим подробным руководством. В то время я уже был убеждённым сторонником Open Source, но рассуждал очень практично. Если разработчики этой ОС вкладывают так много усилий даже в её документацию, то представьте, насколько проработанной должна быть сама система. Короче, я решил её попробовать. Тогда у меня был Sony Vaio, где не было места для второй операционки. В итоге я скопировал все данные на настольный ПК, собрался с духом и принял решение установить на этот ноут FreeBSD, а по завершению эксперимента снова вернуть на него Linux.

Спойлер: FreeBSD осталась на том ноутбуке навсегда.

Каждый пуш в main — и ты зажмуриваешься на 2 минуты: 502 или пронесло? Знакомо? Сотни разработчиков сталкиваются с этим при деплое Next.js на VPS. Решение — буквально замена одной команды и удаление одной строки. В статье: конкретный рецепт zero-downtime с PM2 cluster mode, две главные ловушки (restart vs reload и rm -rf .next), расчёт сэкономленных денег, и честное сравнение с Kubernetes.

Привет, Хабр! 

Меня зовут Алексей Кирдяшкин, я занимаюсь инфраструктурной разработкой в Timeweb Cloud.

У нас есть сервис App Platform (раньше он назывался Apps). Если коротко, это управляемая платформа поверх VDS для деплоя приложений напрямую из Git, без ручной настройки серверов и танцев с бубном. 

Я застал App Platform еще в виде MVP, участвовал в его адаптации под инфраструктуру, работал над архитектурой — по сути, провел сервис от первого прототипа до продакшена с реальной нагрузкой. Конечно, все работало — приложения деплоились, пользователи приходили, платформа росла. Но с ростом стали заметны архитектурные решения, которые были оправданы для MVP, но плохо подходили для большого сервиса. 

Поэтому мы взяли и… полностью пересобрали уже работающий сервис с нуля. Как, зачем и почему — в этой статье. 

В девяностых CGI сделал интернет интерактивным, но чуть не убил его. Это не удивительно, ведь каждый клик пользователя порождал новый тяжеловесный процесс на сервере. Под катом разберу, из-за чего такой подход оказался бомбой замедленного действия, и почему именно технология FastCGI спасла веб от инфраструктурного коллапса.

Большинство руководств по MTProto прокси написаны под Linux. Но что если ваш сервер на Windows? В статье разберём полный цикл настройки приватного MTProto прокси с Fake TLS на Windows Server + Docker: выбор образа, подводные камни (BOM в конфиге, порт 443 и HTTP.sys, флаги которых нет в v2), изоляция на отдельном IP и PowerShell-скрипт для пересоздания прокси с новым секретом одной командой. Все грабли — собраны на практике.

Посмотрим на интересный сетевой стандарт, который является этакой золотой серединой между дорогим и горячим 10GbE и уже распространенным и дешёвым, но не таким быстрым 2.5GbE. Проведём тесты, сделаем замер потребления.

Задача на 30 секунд — ssh root@192.168.31.197 — превратилась в расследование: VPN перехватывает локальный трафик, индексы интерфейсов тасуются при перезагрузке, два WiFi-адаптера в одной подсети создают хаос. Разбираю таблицу маршрутизации Windows, longest prefix match и split tunneling на живом примере.

Давно уже наступил срок End of Life у Enterprise Linux 7, но возможно на ваших серверах он еще есть в работе. Затягивание процесса переноса могло произойти по разным причинам: сложные процессы миграции, необходимость в дополнительных мощностях для маневра, длительность процесса переноса, зависимость от бизнес-процессов заказчиков.

Зачастую upgrade ОС на месте — самый удобный способ. В данной статье я описываю инструменты и трудности, с которыми вы можете столкнуться в процессе.

В инфраструктуре почти любой компании служба каталогов — центральный элемент аутентификации и управления доступами. Через неё происходит вход в систему, авторизация в корпоративных сервисах, проверка групп и ролей пользователей.

Пока инфраструктура состоит из одного домена и одного каталога, всё работает достаточно просто. Но в реальности часто возникает необходимость интеграции нескольких каталогов. Это может происходить при слиянии компаний, при построении гибридных инфраструктур или в процессе миграции на новую систему управления идентификацией.

В таких сценариях требуется механизм, позволяющий доменам доверять результатам аутентификации друг друга и обмениваться данными каталога. Для этого используются доверительные отношения между доменами.

Привет, Хабр! У нас в Selectel самый короткий месяц года запомнился большими обновлениями. Пополнили линейку конфигураций мощными флагманскими серверами для AI-тренинга и кластерных задач, добавили поддержку ephemeralStorage в Cluster Autoscaler и Karpenter и выпустили новую версию SELECTOS. Делимся новостями под катом!

Настройка OpenClaw — это один JSON5-файл и CLI на сотню с лишним команд. Документация разбросана между официальным справочником, GitHub issues и постами сообщества. Собрали всё в одном месте: структура конфигурации, управление шлюзом, модели, каналы, песочница, горячая перезагрузка, переменные окружения и безопасное хранение секретов.

Сервер внезапно перестал отвечать, а в логах ошибка Too many open files? Дело не в нехватке памяти или перегруженном процессоре — просто ваш процесс исчерпал свои файловые дескрипторы. Под катом расскажу, что это такое, почему они заканчиваются, как быстро обнаружить проблему и как её пофиксить.