В контексте разнесения PVE и PBS на разное железо. На отдельном железе чисто под PBS, я крупных контор с выделенным железом есть смысл, так проще. Для мелких и домашних PBS внутри PVE имеет место быть, поэтому я и расписал свой вариант, где работающий 24/7 PBS доступен всегда, но на общем потреблении ресурсов это влияние минимально.
Или что-то я путаю и здесь идёт просто описание железа, которое не имеет отношение к умному дому? Просто так много слов и букв, которые сильно не понятные.
Вопрос был про слабость железа и нецелесообразность грузить еще и PVE. Привожу пример, что данная система не только "на ладан дышит", но и способна вполне себе выполнять часть базового функционала хомлабы помино самого HA
В чем суть умного дома, если он нафарширован таким количеством барахла? Обслуживание его? Так вроде должно быть наоборот... А тут получается сделали умный дом для того, что бы его обслуживать, поддерживать и настраивать.
А что должно быть в рамках УД? Наверное, Вам тогда стоит посмотреть в сторону Apple Home?
Если говорить про все это барахло, то раньше был миник на N4000 и Tier 2 по собственной классификации с сервисами мониторинга, аутентификации, DNS резолвинга. Ибыл одноплатник NanoPi M4V2 для сервера умного дома.
Но после отказа HA от supervised варианта установки и недостатком вычислительной мощности N4000 для Authentik было принято решение слить 2 этих набора сервисов в один новый Мини ПК досточной производительности
Анализировать дашборды, смотреть его температуру, скоро подгузники начнёте ему менять и сопли подтирать, а потом за пивом побежите для него в магазин.
Ну тут не только УД, но и остальная инфраструктура, достаточно сильно подготовленная к Чебурнету, начиная фотками и аналогом гуглодиска и заканчивая собственным почтовым сервером. УД интегрирован, но занимает лишь малую часть всей инфры.
Для базовых задач вполне достаточно, особенно если ограничить количество сервисов и их прожорливость.
HA у меня относительно не большой: 117 (в ближайшее время ожидается 130) ZigBee устройств, 115 интеграций, 1726 устройств, 8286 объектов, 3 планшета/панели с собственными дашбордами, 8ГБ собственной истории + выгрузка метрик и сенсоров в Victoria Metrics, где есть собственные дашборды. Рядом крутится еще NodeRed, который в том числе пересобирает NUT ИБП с интервалом опроса 2 секунды.
NUT - сервер для USB ИБП WalleCube W150, чтобы Node-RED мог с ним работать
TitaniumDNS - локальный DNS с зонами, разделением горизонта и списками блокировки, который обрабатывает 127 702 запроса в час
Authentik - самый жрущий сервис на минике + тут же запущены RAC и LDAP аутпосты. не большой, на 46 LDAP, Proxy, OIDC провайдеров
VaultWarden сервер - тут все просто
Traefik нода - содержит конфигурацию 128 маршрутов, но по-умолчанию обрабатывает запросы на сервисы, которые крутятся на этом же минике (разруливается на уровне DNS и VRRP) + в нем же запущенна нода consul кластера для хранения конфигов и сервис дискавери, authentik proxy outpost, crowdsec appsec, nginx для статических страниц, openbao vault agent для подгрузки секретов и сертификатов
Uptime Kuma - легкий мониторинг, узлов на 50, но он еще принимает хуки от роутера, который отслеживает статус маршрутов и провайдеров
OpenBao - узел кластера OpenBao используется для хранения сертификатов и секретов сервисов
EMQX - MQTT брокер, вынес из HA его, не большой тоже, 18 подключений, 1011 подписок, 981 топик, 250-350 входящих сообщений в минуту
MariaDB - тоже вынес из HA, recorder HAшный, как писал выше, размер базы порядка 8ГБ
Node-RED - тоже вынес из HA, 22 потока (таба), есть довольно интенсивные, в том числе с обработкой изображений и NUT обработчик, который принимает данные от W150, раз в 2 секунды, пересчитывает их (там кривые местами данные приходят) и отправляет по MQTT в HA + Изменения статусов в Victoria Logs + поднимает собственный NUT сервер, с которого NUT exporter забирает данные в Victoria Metrics (у меня есть красивый дашборд в графане для моих ИБП)
S1-Panel - менеджер экранчика этого миника, вынес в LXC контейнер, чтобы не ставить на хост PVE, строит графики, показывает загрузку, пока не добрался до вывода данных по работе самих сервисов, типа HA зеленый или красный
Собственно, сама виртуалка с HA, чистый HAOS, часть сервисов вынес из него для большего контроля
Для каждого сервиса
LXC контейнеры с Alpine Linux, единственная ВМ на HAOS
Кроме NUT все развернуто в докере, управляется Komodo c другого миника
Содержат Vault агенты для подгрузки секретов и сертификатов
Содержит Vector для отправки логов в Victoria Logs хосте
Выгружаются метрики в Victoria Metrics на другом хосте
Все контейнеры бэкапируются целиком в PBS, некоторые сервисы содержат в себе PBC для бэкапа содержимого вольюмов в PBS, HA бэкапирует себя на NFS шару НА NASе, TrueNAS и PBS находятся на другом хосте
Сам PVE миник
Входит к кластер из 6 узлов и qdevice
Выгружает метрики Victoria Metrics и Scrutiny (SMART)
Содержит еще ProxMenux, который еще сам собирает метрики (думаю потушить, чтобы не молотил все время)
Фаерволит сети, у меня 3 vlanа заходит туда, по которым раскинуты контейнеры и виртуалки
Ну и графики с графаны
Процессор и оперативка хоста
Процессор и оперативка по гостям
Ожидание гостей по процессору и вводу-выводу, по оперативке 0
Как видно, не то, чтобы миник прям на отдыхе был, есть некоторое ожидание (Pressure Stall) по CPU и IO, но все сервисы работают без фризов
Я брал его в свое время за 14к или около того, может до 16
mAP имеет очень слабый проц, и вообще не имеет аппаратного шифрования, современные "взрослые" модели включают в себя отдельный ускоритель шифрования, на сайте прикладываются отчеты по тестировании ipsec, тот же RB4011 у них выдает "до" 1283.5 мбит/сек. Я не ipsec не смог протестировать на этих скоростях т.к. конечные точки захлебывались раньше, тот же ubiquity упирался в 100% загрузки процессора, а RB4011 держался в районе 15-20%
Собственно, предыдущий свитч в роли роутера на этом же процессоре (вроде бы) я сменил после того, как он перестал вытягивать гигабит на ipv6 (тогда оно только появлялось и fastpath/fasttrack еще не поддерживался)
Эта железка, она как Морган Фриман - уже родилась старой. Больше, чтобы повесить на ключи или подключиться по wifi к цисковской консоли на последовательном порту. Для дома у них недавно вышел 3х диапазонный монстр с be стандартом, кучей ресурсов и магазином приложений на базе docker
Я вообще удивлен, что данная железка смогла в принципе вытянуть эту задачу, вытянуть, закрыв глаза на скорость, т.к. мой домашний микрот для wg туннелей выдает 200-300 мбит на минимальных нагрузках, пробовал до гигабита, но там уже сложности на другой стороне были
Я так понимаю, что форма подачи заявки требует вход через госуслуги? Или подавать надо в бумажном виде с прикладыванием оригиналов и копий документов, выписку из домовой книги, по адресу г. Москва, ул. ХХХ, дом, УУУ, корпус ТТТ, офис ККК, окошко ЦЦЦ, с 9:00 до 9:02, каждый третий четверг месяца, начинающегося на Б?
1) не сказано, что это коммерческий продукт и не указаны цены на лицензии, хотя бы приблизительно (как, кстати, и на сайте самого indeed, ох уж мне эта "скромность").
Бесплатных/опенсорсных подобных продуктов я не встречал, к сожалению, а "скромность" сейчас в моде, правда, когда в конечном счете узнаешь итоговый ценник, что уже совсем другие слова крутятся на языке
2) не сделан хотя бы краткий, в виде таблицы) сравнительный анализ этого продукта и конкурентов. А иначе слишком похоже на проплаченную рекламу, но без тега "реклама".
Сравнение тут очень странное будет, но не в пользу продукта )))
Как централизованное решение может быть и есть некоторый смысл в продукте
Как решение mfa для систем, которые не поддерживают безопасность в принципе я бы может и рассматривал, например VPN по логину и паролю где нельзя, по каким-то причинам, передавать пароль как password+TOTP. Тут приходится обмазываться костылями и не так много продуктов на рынке.
Для современных протоколов и сервисов очень сомнительно. При наличии путь и устаревшего, но рабочего OATH, Корпоративных PIV, X.509, и набирающих популярность FIDO U2F и FIDO 2 данный продукт смотрится уже очень странно
Являюсь пользователем связки ADFS+Приложение на телефоне и могу сказать, что пуши не с первого раза приходят, без интернета на телефоне не работает (а сейчас с мобильным интернетом у нас беда) ну и в целом процесс больше времени занимает нежели с yubikey или bitwarden (FIDO или OATH)
Broadcom в последнее время как в анекдоте про историю и практику: в теории они имеют все деньги мира и fortune 500 в полном в составе являются их клиентами же. На практике же оставшиеся несколько клиентов называет эффективных менеджеров Broadcom цитатой из анекдота и переводят свою инфраструктуру на бесплатные альтернативы
У меня про stateful проекты опыта наберется на пару вечеров офигительных историй, причем, на одном, где выступали как разработчики начинали с JWT и stateless потом пришли безопасники с бизнеком и такое намутили (вплоть до вебсокетов в каждой сессии с возможностью обмена служебной информацией между сессиями пользователя), что пришлось генерировать сессию в redis и складывать JWT токен с сессионными данными туда. В итоге на уровне миддлварки происходит разворачивание сессионного токена в JWT с дальнейшей передачей payload + session в основную логику.
А самое обидное, что после всех этих наворотов пользоваться системой стало практически невозможно и половину функций выключили в настройках
Но тут появилась первая сложность. Если Telegram и WhatsApp* легко анализируются, то MAX ни в какую не хочет. Его аналитики нет на этой платформе, а когда его ссылку на Google Play явно указываешь для «принудительного» анализа, то появляется ошибка. Как будто у MAX стоит какая‑то защита от подобных исследований.
Судя по тому, что я слышал, что на ios нельзя скачать MAX на аккаунтах, сменивших локацию, я могу предположить, что и в Play Store у приложения имеется ограничение по доступным странам. Exodus просто не может скачать apk файл под своим аккаунтом
Хотя, скрипт проверки показал, что доступно, но я бы ему не доверял особо ✅ Доступно: ['ru', 'am', 'az', 'kz', 'kg', 'tj', 'uz', 'tr', 'ua', 'by', 'us', 'de', 'fr', 'it', 'es', 'cn', 'in', 'jp', 'kr'] ❌ Недоступно: []
Лет 20 назад пользовал Jabber и даже вносил посильный вклад в развитие сообщества.
Недавно надо было выбирать менеджер и тоже смотрел в сторону XMPP, но при беглом просмотре показалось, что Jabber скорее мертв, чем жив - все те же проблемы, что и были 20 лет назад с кучей расширений и несовместимыми клиентами. А клиенты за это время не сильно далеко ушли. В итоге решил остановиться на Synapse Matrix
А пользователи в итоге "выбрали" телеграмм ¯\_(ツ)_/¯
Интересно сравнить современный jabber лицом к лицу с конкрутентами, может я и не прав был во 2м пункте
Мне казалось, что после моей статьи на хабре про белые пятна в ssh (7 летней давности) уже не о чем писать, но была как минимум одна очень хорошая статья
P.S. Надеюсь обойдемся без взаимного минусования кармы
Пользую vim и не должен был, по идее, читать эту статью, но когда мне надо было недавно прикрутить tls к forgejo я поставил Caddy просто потому, что он проще в настройке и обновлении сертиикатов (правда, через месяц поставил рядом кастомный openbao vault-agent для получения сертификатов из kv хранилища, но это уже совсем другая история)
При всей моей любви к nginx считаю, что он не нужен для новичков, особенно в докере т.к. на моей практике большинство проблем с автообновлением и конфигурированием nginx в принципе, как раз таки в этой связке и другие комментаторы накидали действительно годные варианты для использования в данном проекте
Почему nginx + docker плохи для новичка? Его надо уметь готовить и правильно настраивать, в заголовке статьи написано "Docker, Nginx и Certbot" и отдельный пунктик на "замочке", но при этом
сертификат получается руками
certbot запускается как /bin/sh и не работает в фоне, не отслеживает протухание сертификатов
nginx не получает команду на перечитывание конфигов при обновлении сертификатов
в итоге через несколько месяцев LE сертификат "протухнет" а автоматическое обновление мы в данной статье так и не настроили и вместо рыжих предупреждений сайт вообще не откроется и надо будет нажимать в определенных местах для открытия сайта с невалидным сертификатом
Еще для новичков и если надо больше 1 сайта проксировать я предлагаю NPM как раз по причине легкой настройки и работе с certbot "из коробки"
Тоже не покидало данное ощущение. Больше половины экранной статьи посвящено селектелу, а дальше бац и у нас уже развернут k8s, а потом целый кластер VictoriaMetrics из одной ноды (а почему решили поднимать кластер, а не единую ноду?), который сообщает <h2>Single-node VictoriaMetrics</h2>
Да, спутал с bcache, там создавалось блочное устройство, на которое уже ставилась ФС
Отписываться выше, я имел в виду, что обе эти системы по отдельности поддерживают добавление кеширующих дисков. В truenas добавлял на лету парой кликов мыши. Соответственно можно продолжать использовать привычные инструмент, но с приятным дополнением
В контексте разнесения PVE и PBS на разное железо.
На отдельном железе чисто под PBS, я крупных контор с выделенным железом есть смысл, так проще.
Для мелких и домашних PBS внутри PVE имеет место быть, поэтому я и расписал свой вариант, где работающий 24/7 PBS доступен всегда, но на общем потреблении ресурсов это влияние минимально.
И крутить 24/7 PBS тоже глупо.
У меня отдельный хост PVE кластера в котором
TrueNAS со своими дисками для резервных копий
PBS LXC, использующий хранилище в PBS
QBT, чтобы тарахтел в фоне
Jellyfin, тоже запихнул туда
Остальные 200 виртуалок и контейнеров крутятся на других хостах.
PBS в процессе синхронизации с удаленным хранилищем (вот тут ждал шифрования на-лету)
Вопрос был про слабость железа и нецелесообразность грузить еще и PVE. Привожу пример, что данная система не только "на ладан дышит", но и способна вполне себе выполнять часть базового функционала хомлабы помино самого HA
А что должно быть в рамках УД? Наверное, Вам тогда стоит посмотреть в сторону Apple Home?
Если говорить про все это барахло, то раньше был миник на N4000 и Tier 2 по собственной классификации с сервисами мониторинга, аутентификации, DNS резолвинга. Ибыл одноплатник NanoPi M4V2 для сервера умного дома.
Но после отказа HA от supervised варианта установки и недостатком вычислительной мощности N4000 для Authentik было принято решение слить 2 этих набора сервисов в один новый Мини ПК досточной производительности
Ну тут не только УД, но и остальная инфраструктура, достаточно сильно подготовленная к Чебурнету, начиная фотками и аналогом гуглодиска и заканчивая собственным почтовым сервером. УД интегрирован, но занимает лишь малую часть всей инфры.
Для базовых задач вполне достаточно, особенно если ограничить количество сервисов и их прожорливость.
HA у меня относительно не большой: 117 (в ближайшее время ожидается 130) ZigBee устройств, 115 интеграций, 1726 устройств, 8286 объектов, 3 планшета/панели с собственными дашбордами, 8ГБ собственной истории + выгрузка метрик и сенсоров в Victoria Metrics, где есть собственные дашборды.
Рядом крутится еще NodeRed, который в том числе пересобирает NUT ИБП с интервалом опроса 2 секунды.
Мини ПК FIREBAT S1: N150, 16GB DDR4, 500GB NVME Netac
Виртуалки и контейнеры
NUT - сервер для USB ИБП WalleCube W150, чтобы Node-RED мог с ним работать
TitaniumDNS - локальный DNS с зонами, разделением горизонта и списками блокировки, который обрабатывает 127 702 запроса в час
Authentik - самый жрущий сервис на минике + тут же запущены RAC и LDAP аутпосты. не большой, на 46 LDAP, Proxy, OIDC провайдеров
VaultWarden сервер - тут все просто
Traefik нода - содержит конфигурацию 128 маршрутов, но по-умолчанию обрабатывает запросы на сервисы, которые крутятся на этом же минике (разруливается на уровне DNS и VRRP) + в нем же запущенна нода consul кластера для хранения конфигов и сервис дискавери, authentik proxy outpost, crowdsec appsec, nginx для статических страниц, openbao vault agent для подгрузки секретов и сертификатов
Uptime Kuma - легкий мониторинг, узлов на 50, но он еще принимает хуки от роутера, который отслеживает статус маршрутов и провайдеров
OpenBao - узел кластера OpenBao используется для хранения сертификатов и секретов сервисов
EMQX - MQTT брокер, вынес из HA его, не большой тоже, 18 подключений, 1011 подписок, 981 топик, 250-350 входящих сообщений в минуту
MariaDB - тоже вынес из HA, recorder HAшный, как писал выше, размер базы порядка 8ГБ
Node-RED - тоже вынес из HA, 22 потока (таба), есть довольно интенсивные, в том числе с обработкой изображений и NUT обработчик, который принимает данные от W150, раз в 2 секунды, пересчитывает их (там кривые местами данные приходят) и отправляет по MQTT в HA + Изменения статусов в Victoria Logs + поднимает собственный NUT сервер, с которого NUT exporter забирает данные в Victoria Metrics (у меня есть красивый дашборд в графане для моих ИБП)
S1-Panel - менеджер экранчика этого миника, вынес в LXC контейнер, чтобы не ставить на хост PVE, строит графики, показывает загрузку, пока не добрался до вывода данных по работе самих сервисов, типа HA зеленый или красный
Собственно, сама виртуалка с HA, чистый HAOS, часть сервисов вынес из него для большего контроля
Для каждого сервиса
LXC контейнеры с Alpine Linux, единственная ВМ на HAOS
Кроме NUT все развернуто в докере, управляется Komodo c другого миника
Содержат Vault агенты для подгрузки секретов и сертификатов
Содержит Vector для отправки логов в Victoria Logs хосте
Выгружаются метрики в Victoria Metrics на другом хосте
Все контейнеры бэкапируются целиком в PBS, некоторые сервисы содержат в себе PBC для бэкапа содержимого вольюмов в PBS, HA бэкапирует себя на NFS шару НА NASе, TrueNAS и PBS находятся на другом хосте
Сам PVE миник
Входит к кластер из 6 узлов и qdevice
Выгружает метрики Victoria Metrics и Scrutiny (SMART)
Содержит еще ProxMenux, который еще сам собирает метрики (думаю потушить, чтобы не молотил все время)
Фаерволит сети, у меня 3 vlanа заходит туда, по которым раскинуты контейнеры и виртуалки
Ну и графики с графаны
Как видно, не то, чтобы миник прям на отдыхе был, есть некоторое ожидание (Pressure Stall) по CPU и IO, но все сервисы работают без фризов
Вот график температуры, если что
Я брал его в свое время за 14к или около того, может до 16
mAP имеет очень слабый проц, и вообще не имеет аппаратного шифрования, современные "взрослые" модели включают в себя отдельный ускоритель шифрования, на сайте прикладываются отчеты по тестировании ipsec, тот же RB4011 у них выдает "до" 1283.5 мбит/сек. Я не ipsec не смог протестировать на этих скоростях т.к. конечные точки захлебывались раньше, тот же ubiquity упирался в 100% загрузки процессора, а RB4011 держался в районе 15-20%
Собственно, предыдущий свитч в роли роутера на этом же процессоре (вроде бы) я сменил после того, как он перестал вытягивать гигабит на ipv6 (тогда оно только появлялось и fastpath/fasttrack еще не поддерживался)
RB4011iGS+5HacQ2HnD-IN, со стороны локалки 10Г DAC кабель, на провайдеров eth1-2
Эта железка, она как Морган Фриман - уже родилась старой. Больше, чтобы повесить на ключи или подключиться по wifi к цисковской консоли на последовательном порту.
Для дома у них недавно вышел 3х диапазонный монстр с be стандартом, кучей ресурсов и магазином приложений на базе docker
Я вообще удивлен, что данная железка смогла в принципе вытянуть эту задачу, вытянуть, закрыв глаза на скорость, т.к. мой домашний микрот для wg туннелей выдает 200-300 мбит на минимальных нагрузках, пробовал до гигабита, но там уже сложности на другой стороне были
А как же SphinxSearch? Крутейший проект от Андрея Аксенова, но сейчас висит US-based как и ClickHouse
Я так понимаю, что форма подачи заявки требует вход через госуслуги? Или подавать надо в бумажном виде с прикладыванием оригиналов и копий документов, выписку из домовой книги, по адресу г. Москва, ул. ХХХ, дом, УУУ, корпус ТТТ, офис ККК, окошко ЦЦЦ, с 9:00 до 9:02, каждый третий четверг месяца, начинающегося на Б?
Бесплатных/опенсорсных подобных продуктов я не встречал, к сожалению, а "скромность" сейчас в моде, правда, когда в конечном счете узнаешь итоговый ценник, что уже совсем другие слова крутятся на языке
Сравнение тут очень странное будет, но не в пользу продукта )))
Как централизованное решение может быть и есть некоторый смысл в продукте
Как решение mfa для систем, которые не поддерживают безопасность в принципе я бы может и рассматривал, например VPN по логину и паролю где нельзя, по каким-то причинам, передавать пароль как password+TOTP. Тут приходится обмазываться костылями и не так много продуктов на рынке.
Для современных протоколов и сервисов очень сомнительно. При наличии путь и устаревшего, но рабочего OATH, Корпоративных PIV, X.509, и набирающих популярность FIDO U2F и FIDO 2 данный продукт смотрится уже очень странно
Являюсь пользователем связки ADFS+Приложение на телефоне и могу сказать, что пуши не с первого раза приходят, без интернета на телефоне не работает (а сейчас с мобильным интернетом у нас беда) ну и в целом процесс больше времени занимает нежели с yubikey или bitwarden (FIDO или OATH)
Broadcom в последнее время как в анекдоте про историю и практику: в теории они имеют все деньги мира и fortune 500 в полном в составе являются их клиентами же. На практике же оставшиеся несколько клиентов называет эффективных менеджеров Broadcom цитатой из анекдота и переводят свою инфраструктуру на бесплатные альтернативы
Ну или не нужен stateful 😂
У меня про stateful проекты опыта наберется на пару вечеров офигительных историй, причем, на одном, где выступали как разработчики начинали с JWT и stateless потом пришли безопасники с бизнеком и такое намутили (вплоть до вебсокетов в каждой сессии с возможностью обмена служебной информацией между сессиями пользователя), что пришлось генерировать сессию в redis и складывать JWT токен с сессионными данными туда. В итоге на уровне миддлварки происходит разворачивание сессионного токена в JWT с дальнейшей передачей payload + session в основную логику.
А самое обидное, что после всех этих наворотов пользоваться системой стало практически невозможно и половину функций выключили в настройках
Судя по тому, что я слышал, что на ios нельзя скачать MAX на аккаунтах, сменивших локацию, я могу предположить, что и в Play Store у приложения имеется ограничение по доступным странам. Exodus просто не может скачать apk файл под своим аккаунтом
Хотя, скрипт проверки показал, что доступно, но я бы ему не доверял особо
✅ Доступно: ['ru', 'am', 'az', 'kz', 'kg', 'tj', 'uz', 'tr', 'ua', 'by', 'us', 'de', 'fr', 'it', 'es', 'cn', 'in', 'jp', 'kr']
❌ Недоступно: []
Разрешите понудить, но про авторизацию я в этой статье ничего, кроме следующего пункта и не видел, вообще ни слова.
И можно было бы сделать скидку популярную ошибку если не
Т.е. в заголовке указывается авторизация, потом акцентируется внимание на терминологии, а потом по тексту опять аутентификация называется авторизацией
А если говорить про виды аутентификации, то очень годная статья 👍
Лет 20 назад пользовал Jabber и даже вносил посильный вклад в развитие сообщества.
Недавно надо было выбирать менеджер и тоже смотрел в сторону XMPP, но при беглом просмотре показалось, что Jabber скорее мертв, чем жив - все те же проблемы, что и были 20 лет назад с кучей расширений и несовместимыми клиентами. А клиенты за это время не сильно далеко ушли. В итоге решил остановиться на Synapse Matrix
А пользователи в итоге "выбрали" телеграмм
¯\_(ツ)_/¯Интересно сравнить современный jabber лицом к лицу с конкрутентами, может я и не прав был во 2м пункте
Мне казалось, что после моей статьи на хабре про белые пятна в ssh (7 летней давности) уже не о чем писать, но была как минимум одна очень хорошая статья
P.S. Надеюсь обойдемся без взаимного минусования кармы
Пользую vim и не должен был, по идее, читать эту статью, но когда мне надо было недавно прикрутить tls к forgejo я поставил Caddy просто потому, что он проще в настройке и обновлении сертиикатов (правда, через месяц поставил рядом кастомный openbao vault-agent для получения сертификатов из kv хранилища, но это уже совсем другая история)
При всей моей любви к nginx считаю, что он не нужен для новичков, особенно в докере т.к. на моей практике большинство проблем с автообновлением и конфигурированием nginx в принципе, как раз таки в этой связке и другие комментаторы накидали действительно годные варианты для использования в данном проекте
Почему nginx + docker плохи для новичка? Его надо уметь готовить и правильно настраивать, в заголовке статьи написано "Docker, Nginx и Certbot" и отдельный пунктик на "замочке", но при этом
сертификат получается руками
certbot запускается как /bin/sh и не работает в фоне, не отслеживает протухание сертификатов
nginx не получает команду на перечитывание конфигов при обновлении сертификатов
в итоге через несколько месяцев LE сертификат "протухнет" а автоматическое обновление мы в данной статье так и не настроили и вместо рыжих предупреждений сайт вообще не откроется и надо будет нажимать в определенных местах для открытия сайта с невалидным сертификатом
Еще для новичков и если надо больше 1 сайта проксировать я предлагаю NPM как раз по причине легкой настройки и работе с certbot "из коробки"
А с обычной версией PostgreSQL SonarQube не работает? Почему именно с патчами для 1С?
Тоже не покидало данное ощущение. Больше половины экранной статьи посвящено селектелу, а дальше бац и у нас уже развернут k8s, а потом целый кластер VictoriaMetrics из одной ноды (а почему решили поднимать кластер, а не единую ноду?), который сообщает
<h2>Single-node VictoriaMetrics</h2>Да, спутал с bcache, там создавалось блочное устройство, на которое уже ставилась ФС
Отписываться выше, я имел в виду, что обе эти системы по отдельности поддерживают добавление кеширующих дисков. В truenas добавлял на лету парой кликов мыши. Соответственно можно продолжать использовать привычные инструмент, но с приятным дополнением