Серверное администрирование *

Чемпионат мира по метанию серверов на фестивале CloudFest-2025

CloudFest – ежегодный фестиваль интернет-индустрии и облачных вычислений, прошедший в Германии с 17 по 20 марта 2025 года и привлекший почти 9 тысяч посетителей. Мероприятие традиционно проводится в Европе-Парке в Шварцвальде и имеет достаточно насыщенную программу: 250 выступающих от 150 компаний-участников из 80 стран. Доклады, мастер-классы, новинки от гигантов индустрии, стартапы и проч. … но, по понятным причинам шоу-стоппером и гвоздем фестиваля стал чемпионат по метанию серверов – World Server Throwing Championship (WSTC). 

Метались серверы высотой 1U весом примерно 10 кг. (Говорят, можно даже было приносить свои серверы, но это не точно). Здесь всё как в большом спорте – громкие прозвища, например, Бартош-Зверь, Дирк-Машина, чемпионские пояса, анонсеры, чирлидерши и проч. 

В конкурсе принимали участие как мужчины, так и женщины – единственное требование к участникам – надеть перчатки дабы не поранить руки о края девайса и желание метать сервер %&#* далеко (орфография сохранена). 

Накануне основного дня соревнований устраивались отборочные туры, где у каждого метателя было по две попытки, из которых фиксировался самый дальний бросок. Затем три лучших финалиста вышли в финал и соревновались с победителями испанских и голландских квалификаций, а также с прошлогодними чемпионами. 

Приводим ссылку на страницу соревнования и пару роликов:

Официальный ролик дополняет любительское видео.

Устроители шутят (или нет?) и поговаривают, что в будущем следует ожидать включение этого вида спорта в олимпийскую программу.

Комменты под видео в сети:

 - Надо биатлон устроить: Сначала пишут код, который выполняет какую-то полезную работу на сервере, подключенном только к ИБП. Потом метают ИБП и сервер. Результаты суммируют.

- Никогда не используйте сервер, который не сможете выбросить в окно.

- Там от сервера - одно название. Ни тебе процессора с кулером, ни Хардов, ни РАМы, ни рек-Маунт-китов.

- Честно говоря, это самое приятное мероприятие, которое я когда-либо видел. 

- Линукс знает, как падать. 

- Обычный день сисадмина.

Внимание, админы! Broadcom опять закручивает гайки и вводит штрафы задним числом для подписчиков VMware.

Как заговорить с сетевиками на одном языке? 😎

В Академии Selectel появился бесплатный курс «Погружение в компьютерные сети». Он поможет разобраться в принципах работы, понять ключевые термины и уверенно ориентироваться в основах. Всего час — и сложные вещи станут простыми.

Курс подходит новичкам, которые хотят разобрать тему по полочкам. Но и опытным специалистам будет полезно: с этими материалами вы восполните пробелы в знаниях и вспомните все, что забылось со временем.

Начните обучение в Академии Selectel прямо сейчас ➡️

Как сделать сервис быстрым и безопасным?

Представьте, что ваш бизнес обслуживает более 500 компаний, у каждой из которых есть тысячи или даже десятки тысяч клиентов. И все они ежедневно обращаются в клиентскую поддержку через телефон, почту, соцсети, мессенджеры и т. д.

Ваша задача — сделать так, чтобы поддержка стабильно работала даже под высокой нагрузкой, персональные данные были в безопасности, а важная информация случайно не пропала. Справитесь? Вот платформа Юздеск справляется на инфраструктуре Selectel.

В Академии Selectel рассказываем, как компания:

• добилась 100% соответствия инфраструктуры 152-ФЗ и готовности к аттестации по требованиям ФСТЭК,

• сократила максимальное время загрузки страниц со стороны конечного пользователя до 1 секунды,

• стабильно работает при средней нагрузке 1 500 RPS.

Представим, что у нас некоторая система, состоящая из микросервисов, которые работают на разных машинах, но внутри общей IP-сети на немаршрутизируемых IP-адресах (10.0.0.0/8, 192.168.0.0/16 и т.д.). Микросервисы разговаривают друг с другом по TCP, подключаясь по IP-адресам, указанным в соответствующих конфигурационных файлах каждого. Но можно указать и не IP-адрес, а некий хостнейм, прописав его же в /etc/hosts. Почему-то часто считают, что "хостнейм эквивалентен IP-адресу". Оно, конечно, удобно так считать, с точки зрения "человекопонятности", но не всегда хорошо с точки зрения безопасной настройки.

Дело в том, что опечатка (или намеренная замена символа) в имени хоста может привести к тому, что адрес окажется в чужой DNS-зоне. Простейший случай: users-db.example.com -> users-db.example.co. Да, должно быть закрыто, да, есть .local, а хостнеймы можно записывать одним "лейблом", но это не решает проблему: использование символьного хостнейма гарантирует дополнительные запросы для разрешения имён, будь то локальные запросы на той же машине или запросы внешние, возникшие из-за опечатки. А всякий, даже локальный, библиотечный/системный вызов, выполняющий трансляцию имён и адресов, готов принести с собой неожиданные эффекты (см. ниже пример уже про IP-адреса). Не обязательно это эффекты от подмены библиотеки или подмены конкретного вызова. А если кто-то умеет записывать в /etc/hosts, то он и конфиг любой поправит. Что, впрочем, не всегда так, поскольку раскладывание hosts по машинам могут автоматизировать - тогда перехватить нужно только точку управления скриптом, формирующим файл. А ведь ещё обычно используется два протокола: v6 и v4, адреса и "резолвинг" там разные.

Если в конфигах микросервисов прописывать непосредственно IP-адреса (пусть и автоматом), то ситуация несколько лучше. Есть неплохие шансы, что трансляция имён/адресов не будет использована. Минимальная опечатка в записи немаршрутизируемого адреса реже приводит к тому, что трафик убегает наружу. Это так потому, что, во-первых, на то они и немаршрутизируемые; во-вторых, в таких системах обычно настраивают различные ACL, а они настраиваются для IP, в других местах, не на конкретной машине с микросервисом, да и пальцы у настраивающих ACL дрожат по-иному.

Тут, впрочем, необходимо отметить некоторые тонкости: ping 010.010.010.010 -- на многих и многих системах отправит пакеты в сторону серверов Google (проверьте). Я раньше рекомендовал использовать этот довольно хитрый "оборот" в рамках собеседований на должность сетевого инженера/разработчика (теперь уже смысла, понятно, нет), поскольку понимание того, почему здесь пакеты уходят в сторону сети Google, раскрывает основную часть опасений, связанных с использованием имён хостов в конфигах. Но всё же, в 010.010.010.010 - более одной "опечатки".

Гигабит в Нидерландах

• Расширили линк до дата-центра до 400 Гбит/с

• Поставили новые 100G свитчи

• И, наконец, завезли мощный маршрутизатор MX304

И как вишенка на торте. Все это великолепие дало нам возможность открыть новую линейку тарифов со скоростным интернетом до 1 Гбит/с.

1 CPU, 1 ГБ RAM, 15 ГБ NVMe + IP за 950 руб/мес, и далее по возрастанию конфигов. Все гигабитные тарифы уже доступны и в панели, и на сайте.

Сервер с 1 Гбит/с — сюда →

Let's Encrypt больше не будет отправлять уведомления по электронной почте об истечении срока действия сертификатов

Ну что ж, вот и кончилась эпоха... С момента своего создания Let’s Encrypt отправлял уведомления об истечении срока действия сертификатов по электронной почте подписчикам, которые предоставили им свой адрес. Однако, начиная с 4 июня 2025 года, данная рассылка будет прекращена.

Let’s Encrypt приводит следующие аргументы в поддержку этого решения:

1. За последние 10 лет подавляющее большинство подписчиков внедрили автоматизированные системы обновления сертификатов, которые являются более надёжными, чем получение уведомлений по электронной почте.

2. Для рассылки уведомлений Let’s Encrypt вынужден хранить миллионы адресов электронной почты, что негативно сказывается на конфиденциальности. Сокращение объёма хранимых данных рассматривается как приоритетная задача.

3. Отправка уведомлений обходится в десятки тысяч долларов в год — средства, которые можно использовать гораздо эффективнее для улучшения других компонентов инфраструктуры.

4. Поддержка системы рассылки увеличивает общую сложность инфраструктуры, требуя дополнительных ресурсов и повышая вероятность ошибок. С учётом планов по внедрению новых функций становится необходимым сокращение избыточной сложности инфраструктуры.

Для тех, кто хочет продолжать получать уведомления об истечении срока действия сертификатов есть возможность воспользоваться сторонним сервисом Red Sift Certificates Lite (https://redsift.com/pulse-platform/certificates-lite). Мониторинговый сервис Red Sift предоставляет уведомления бесплатно для 250 сертификатов.

Несмотря на заявленное стремление сокращать количество хранимых адресов для рассылки уведомлений об истечении срока действия сертификатов, рассылки о новостях Let’s Encrypt и ее материнской компании ISRG (https://www.abetterinternet.org/) не прекратятся... А те кто не успел на них подписаться даже могут это сделать. Правда, как это сочетается с желанием сократить общую сложность инфраструктуры, я уже не могу и предположить.

Для тех, кто еще не добавил автоматическое обновление сертификатов на свой сервер – вот подходящая команда для cron (пытается обновить сертификаты через каждые трое суток):

0 2 */3 * * /usr/bin/certbot renew --quiet >/dev/null 2>&1

Добавить ее можно путем вызова команды crontab -e

Обратите внимание что после ввода строки надо обязательно нажать Enter!

Создать Telegram-бота и получить за это подарок от Selectel?

Да, это возможно, если вписаться в наш интерактив. Вот что нужно сделать:

1. Создайте бота и опубликуйте репозиторий на GitHub.

2. Пришлите ссылку на репозиторий в Telegram-канал SelectelFeedbackBot, чтобы получить бонусные рубли для панели управления.

3. Задеплойте бота в облаке Selectel, оплатив услуги полученными баллами.

4. Отправьте ссылку на бота в Telegram-канал SelectelFeedbackBot.

Мы будем ждать ваших сообщений до 2 марта 2025 года, после чего подведем итоги. 10 счастливчиков получат комплект мерча Selectel: картхолдер, кружку и плюшевого Тирекса 🦖

Если готового бота у вас еще нет и вы вообще таким не занимались, то у нас в Академии Selectel есть пример для вдохновения — пошаговый гайд по созданию бота для прогноза погоды. На всякий случай есть еще инструкция, как задеплоить бота на сервер (мало ли).

Полные правила конкурса доступны по ссылке. Узнать обо всем чуть подробнее можно в нашем Telegram-канале.

Из Let's Encrypt сообщают, что выпустили первый TLS-сертификат сроком действия шесть дней. Сделать такие TLS-сертификаты доступными для всех планируют к концу 2025 года. Короткоживущие сертификаты не будут содержать ни ссылки на OCSP-респондер, ни ссылки на точку раздачи CRL. То есть, никаких механизмов проверки статуса (отзыва) в сертификате не предусмотрено. Такой вариант допускается для короткоживущих сертификатов требованиям CA/B-форума (организация, через которую определяются требования к УЦ, корневые ключи которых включаются в дистрибутивы браузеров).

Для подключения шестидневных сертификатов нужна поддержка соответствующих профилей в ACME-клиенте. Очевидно, заказ короткоживущих сертификатов для легитимных, - долгоживущих, - сайтов имеет смысл выполнять только полностью автоматически. Зато такие сертификаты обещают и для IP-адресов, что удобно в ряде сценариев использования. DNS для подтверждения управления IP-адресами не подходит. Поэтому проверяется только факт управления узлом под заданным IP-адресом, а не доменной зоной. И такая проверка будет происходить не только по HTTP, но и довольно экзотическим методом TLS-ALPN, который целиком работает на уровне TLS и вообще не виден для веб-сервера, работающего выше TLS.

Что касается перехода к короткоживущим сертификатам. В современном вебе отзыв сертификатов, фактически, не работает. Это хорошо известно. Считается, что коротоживущие сертификаты, в основном, решают эту проблему, так как, в случае компрометации ключа, всё равно быстро заканчивают действовать. Тут, впрочем, нужно учитывать, что это касается только отзыва, а атаки с подменой сертификата вполне могут быть достаточно "быстрыми", чтобы короткоживущий сертификат не оказался самой большой помехой. Но, конечно, подменный сертификат, действующий год, лучше подменного сертификата, валидного только до пятницы - тут не поспорить.

Поскольку проблема отзыва сертификатов и компрометации ключей - одна из центральных в этой области, можно предположить, что скоро короткоживущие сертификаты получат приоритет и в браузерах. Последует постепенный, - но достаточно быстрый, - отказ от доверия "долгим" сертификатам только на основании периода валидности, даже без проверки подписей и доверия к УЦ. Технически, ограничение срока действия может применяться и к оконечным сертификатам от УЦ, корневые ключи которых были добавлены в браузер вручную.

Эта строгая тенденция к снижению срока действия сертификатов, которым браузеры соглашаются верить, достаточно давняя - ей около десяти лет. А хорошим подтверждением курса на "сверхкороткие" сертификаты является то, что в рекомендациях CA/B-форума для таких сертификатов уже закреплено отсутствие требования ссылки на CRL (OCSP сейчас не является обязательным для любых оконечных сертификатов).

Часто в разных скриптах, обрабатывающих серверные TLS-сертификаты, - скажем, для мониторинга, - в качестве источника "целевого" имени при выборе сертификата используется содержание Subject/CN (commonName). Предполагается, что в Subject/CN должно быть доменное имя. Вот типичный пример:

$ openssl x509 -in disruptive.pem -subject -noout -nameopt multiline | awk -F' = ' '/commonName/ {print $2}'
disrupted.zone

Однако, если речь про сертификаты для TLS в современном вебе и про имена, то полагаться тут на Subject нельзя. Нужно использовать другой фрагмент сертификата, а именно - расширение SAN (Subject Alternative Name).

Для извлечения расширения SAN при помощи OpenSSL x509 нужно использовать опцию -ext subjectAltName. Выдача состоит из списка, где каждому значимому элементу соотвествует префикс, обозначающий тип. DNS-имена OpenSSL выводит с префиксом "DNS" (кто бы мог подумать!). Пример:

$ openssl x509 -in google-com.cert.pem -noout -ext subjectAltName
X509v3 Subject Alternative Name: 
    DNS:*.google.com, DNS:*.appengine.google.com
[...]

Кроме "DNS" могут встретиться другие префиксы, обозначающие IP-адреса и т.д. Однако для обработки имён - нужны имена, то есть "DNS". Скрипт, конечно, несколько усложнится. Пример:

$ openssl x509 -in google-com.cert.pem -noout -ext subjectAltName \
> | awk 'NR>1{split($0,A,",");for(k in A){split(A[k],B,":"); if(B[1]~/DNS/){print B[2]}}}' \
> | wc -l
135

Причина использования SAN в том, что имя из поля Subject/CN оконечного (серверного) сертификата браузеры давно не используют в качестве идентификатора при валидации. А чтобы валидация сертификата для веб-узла прошла успешно (в браузере), необходимо наличие подходящего имени в SAN. Более того, современные требования для УЦ по выпуску TLS-сертификатов ("документы CA/B-форума") прямо не рекомендуют использование поля commonName в Subject оконечных сертификатов для веб-узлов. Это значит, что доменного имени в Subject может просто не оказаться, но сертификат (при прочих равных) будет валидным для браузера.

Чего ждет бизнес от облачной IT-инфраструктуры? ☁️

Гибкости в управлении, легкой масштабируемости, оперативного решения вопросов через техподдержку, защищенности от внешних воздействий. А еще того, что обслуживание этой инфраструктуры ляжет на плечи провайдера. С такими ожиданиями московский девелопер Level Group мигрировал в Selectel.

В кейсе рассказываем, как компания:

• бесплатно мигрировала в частное облако и повысила доступность корпоративных сервисов,

• организовала сетевую связность, объединив все узлы инфраструктуры в единую сеть без доступа в интернет, 

• отказалась от капитальных затрат в пользу операционных и сократила расходы на инфраструктуру на 30%.

Подробности кейса — в Академии Selectel.

Запустили выделенные серверы с мгновенной установкой

Надеемся, что вы хорошо отдохнули за долгие выходные и готовы к новым релизам. И вот первый из них — в панели появились конфиги выделенных серверов, которые готовы к запуску сразу после заказа. Без участия менеджера и дополнительного времени на обработку.

Доступно для конфигураций в Санкт-Петербурге с каналом 1 Гбит/с и ОС Ubuntu 22.04. Найти их можно на отдельном табе «Мгновенная установка» с иконкой⚡️

Остается только убедиться, что на балансе есть нужная сумма, нажать «Заказать», и сервер сразу же будет готов к работе.

Получить конфиг в один клик →

Новогодняя задача: помогите Тирексу поставить и нарядить елочку

Условие

Сисадмин Тирекс засиделся допоздна и не успел не то что нарядить елку, но даже купить ее! У него нет главного символа праздника, но есть лапки, компьютер, IDE, технический склад ума и знание Python.

Задача

Помоги Тирексу вывести в консоли наряженную елку на любимом языке программирования. Педантичный Тирекс предъявляет следующие требования:

• на вход программа получает два числа: rows отвечает за высоту елки в строчках (не менее трех), freq — за частоту появления украшений.

• ветки елки — символ *.

• игрушки — символы о, О, @ и 0.

• елка имеет ствол из трех символов | и стоит на полу из символов _.

• ветви елки расположены «ступенями»: первая состоит из трех строк, каждая следующая ниже — на одну больше.

• первая строка следующей ниже «ступени» должна иметь на два символа меньше, чем последняя строка предыдущей.

• елка должна иметь границы в виде символов /  и  \.

• между двумя украшениями по горизонтали должна быть минимум одна ветка.

• украшения не должны висеть на границе елки (они же упадут!).

Бонусная задача

• вывести снег символом . (точка).

• раскрасить елку зеленым, фон — синим, игрушки — разными цветами (кроме зеленого и синего), снег — белым.

Попробуйте решить задачу самостоятельно и делитесь своими идеями в комментариях. А вариант ответа Тирекса ищите в Академии Selectel.

Новая линейка тарифов Dedicated CPU. Её суперсила — в фиксировании процессорных ядер.

Обычные тарифы используют динамическое распределение свободных ядер, что может приводить к задержкам при переключении.

В Dedicated CPU такого нет. Все ядра фиксируются только за вашим сервером, обеспечивая максимальную производительность вычислений.

Стоимость такого ядра — 1 250 рублей в месяц. Под один сервер можно зафиксировать до 32 шт.

Минимальный конфиг — 1 ядро, 4 ГБ оперативки и диск NVMe на 50 ГБ — 2 330 рублей в месяц.

Доступно для облачных серверов в Москве и Санкт-Петербурге.

Заказать сервер с выделенными ядрами → 

Теперь созданные образы сервера можно переносить между локациями — Москвой, Санкт-Петербургом, Польшей, Нидерландами и Казахстаном.

Буквально в пару кликов: тап на три точки рядом с нужным образом → пункт «изменить регион» → выбор локации → сохранить. Подробнее об образах и их переносе читайте в документации.

Между Москвой и Питером перенос проходит практически моментально, между другими регионами со скоростью от 1 до 10 гигабит в секунду.

Изменить регион образа → 

DDoS‑атака на ntp‑серверы, продолжавшаяся более месяца (Катастрофа в российской зоне проекта NTPPool.org, Об инциденте с NTP‑серверами, Collapse of Russia country zone), кончилась не без последствий. В ряде случаев для борьбы с ней выбирались не совсем адекватные методы, а где‑то и «железо» «встало колом». В результате чего, часть ntp‑клиентов не могут получить точное время.

Убедиться, что вас это не затронуло, и вы получаете точное время можно следующими способами:

В Windows:
w32tm /query /status
w32tm /query /peers

В Linux и UNIX‑подобных системах можно легко проверить, что протокол NTP не блокируется можно при помощи команды
ntpdate -uqd ru.pool.ntp.org

Аналогично Windows можно посмотреть состояние сервиса синхронизации времени. В случае chrony:
chronyc -n tracking
chronyc -n sources

В случае ntpd:
ntpq -c rv
ntpq -pn

В случае systemd‑timesyncd:
timedatectl timesync-status

Добавили возможность управлять облачными серверами через бота в Телеграме: проверять статусы, следить за нагрузкой, включать, выключать, перезагружать и подключаться к ним по SSH. Все это по вашим идеям: раз, два и три.
К боту можно привязывать личные и групповые чаты. Например, можно подключить бота к чату с командой инженеров, чтобы все участники были в курсе событий.

И для тех и для других можно задать индивидуальные настройки на получение уведомлений, кодов 2FA, управление ресурсами, тикетами и балансом.

Для этого в разделе «Настройки аккаунта → Уведомления» привяжите телеграм-аккаунт и нажмите кнопку «Настроить». Затем выберите тип чата, отсканируйте QR или сразу перейдите в бота по ссылке.

Подключить бота →

Как часто вы думаете о надежной IT-инфраструктуре?

Перенесем ваши проекты в Selectel бесплатно от другого провайдера или on-premise. Наши инженеры подготовят план и поддержат на всех этапах миграции.

• Начислим до 1 000 000 бонусов в панель управления.

• Перенесем проект «как есть» с использованием изначально заявленного технического стека.

• Подберем 50+ совместимых продуктов.

• Обеспечим безопасность на всех уровнях, включая защиту от DDoS, соответствие 152-ФЗ и международным стандартам.

• Предложим облачные и выделенные серверы под любые задачи.

• Настроим сетевую связность и резервирование данных.

• Выполним работы с минимальным даунтаймом по ночам и в выходные, чтобы ваши сервисы оставались доступными во время миграции.

• Разместим ваши проекты на развитой инфраструктуре в шести собственных дата-центрах уровня Tier III.

Переходите на сайт Selectel, чтобы узнать подробности и оставить заявку на бесплатный переезд.

Практический курс по работе с объектным хранилищем

В новом бесплатном курсе рассказываем, что такое S3 и как применить его в своих проектах. Вас ждет 10 материалов, изучение которых займет чуть менее трех часов.

В рамках курса вы научитесь:

• использовать хранилище в Kubernetes,

• подключаться к нему из платформы для дата-аналитики,

• интегрировать хранилище с Tilda,

• сохранять бэкапы, в том числе игровых серверов,

• монтировать контейнеры S3 в Windows и Linux.

Переходите в Академию Selectel и изучайте курс.

Записали видеоэкскурсию по DCImanager — платформе для управления физической ИТ-инфраструктурой!

С помощью DCImanager можно:

● управлять мультивендорным серверным и околосерверным оборудованием дата-
центра из одного окна;
● вести учет оборудования, комплектующих и лицензий в инфраструктуре и на складе;
● автоматизировать выдачу физических активов подразделениям компании;
● замещать решения для управления оборудованием от зарубежных вендоров;
● обновлять прошивки BMC и BIOS/UEFI серверов, в том числе с внутреннего
репозитория;
● контролировать идентичность настроек оборудования;
● вести учет IP-адресов, настройка сетевого оборудования и виртуальных сетей.

В видео показываем, что представляет собой DCImanager, и рассказываем об основных возможностях платформы.

Скачать бесплатный триал DCImanager, получить доступ к демостенду или заказать демонстрацию можно на нашем сайте.