Увы как только вы коснётесь настроек в ALD она потрёт ручные настройки.... т.е. Samba сервер если вас вариант с ALDPro не устраивает должен быть не как сервис ALDPro. Еслибы сервис в ALDPro был реализован верно то он был бы заметно удобнее эффективнее того же в Windows. В общем задумка хорошая реализация .... тут без комментариев чтобы никого не обидеть
Ну так квоты есть и в Astra они хоть и криво но реализовали поверх ext4. и в ZFS тоже есть квоты: zfs set quota=10g pool/dataset Устанавливаются на папки для группы или пользователя (в том числе доменные). для ZFS нет GUI вообще проблема в том что все компоненты чтобы сделать качественный сервис есть. Проблема в том что не считают нужным. считается что 16-30 часов работы программиста стоят дороже нескольких десятков тысяч часов которые потом на это угробят админы.
Безусловно вы правы, но в Linux права может устанавливать Создатель и Root а в Windows, создателя можно лишить данного преимущества. Помимо прочего вот вы Enterprise Administrator заходите на файловый сервер Astra и думаете поменять права на папку которую создал пользователь... но не можете вам нужно стать Root чтобы были полномочия это сделать в Windows это не так и 99% админов из Windows попадают в ступор.
Согласен для ZFS лучше бы взять BSD систему типа MacOS или FreeBSD... Вообще почти все коммерческие реализации *nix кроме пожалуй HREL и "российских" продуктов имеют полноценные файловые права. С правами хранящимися в Samba есть проблемки как ими управлять? Как после завершения перехода на отечественную инфраструктуру подключить по NFS сохранением прав? как из файлового сервера сделать комбайн что отдаёт всем протоколам которые требует бизнес с учётом прав?
Я вообще топлю за две вещи одна незаконная (пока следствие не завершено и суд не прошел), но нужная =))). А вторая это внедрение отечественных решений т.к. отката на западный софт не будет. Что некоторые (98% коллег и руководителей) осознать не могут...
Спасибо за то что обратили внимание на статьи в Wiki Asta нужно было их действительно накидать в статью.
Но при этом...
По инструкциям из AstraWiki сотрудники реализовать сервисы не могут =( Пройдя обучение и СДАВ экзамен работать с Астрой не могут... @Johan_Palych вот вы как представитель внутренней кухни астры скажите.... кого должен бить вендор или те кто заплатили за Астру? Почему дармоеды, за обучение которых контора заплатила, получили сертификаты были допущены до инфраструктуры и когда её завалили было выяснено что они нифига не знают и не имеют навыков работы с Linux?!!!
Тот сервис что разворачивает ALDPro в частности 2.3 неудовлетворительно по функционалу, Есть надежда на ALDPro 2.4, но пока руки недошли его развернуть... (ALD pro это тоже нифига не решение клац-клац и готово там тоже английский нужно знать и читать форумы по отечественному решению FreeIPA при оплаченной поддержке Астры)
Я видел момент с инструкцией по установке на ядре 6.6. Подскажите вот вы взяли ISO установились с него загрузились на ядре 6.6 и у вас ZFS работает без ошибок при выполнении действий из инструкции? у меня оно тоже ставилось, но не работало. На моменте тестирования с ядром 6.6 сделан вывод что пока рано =( (возможно тогда была 1.8.1.6) но вообще пакет ZFS в репозиториях был для ядра максимум 6.2 и видимо от того и не хотел работать с 6.6.
А вот так сейчас работает у меня и ещё пары пытавшихся
Чудеса =) где грабли?
Кстати а с какого инсталлятора ставили? возможно состав моделей установки отличается
fly-admin-samba - сваливается в ошибку если в домен MS AD (ошибка временная) астра была введена штатными средствами агента (astra-ad-sssd) от астры.... Также утилита бесполезна в домене MS AD, нужно добавлять минимум группы из домена + нужен конфиг самбы, чтобы работало, а на это утилита неспособна. Если у вас fly-admin-samba тянет пользователей и группы то подскажите, что сделали т.к. штатно утилита управляет только локальными пользователями и группами.
Вообще вся задумка вокруг ZFS это про реально реализованные права доступа по модели NFSv4 на см. на нативную реализацию в TrueNAS Scale (Debian 12) работает уже несколько лет, про дедупликацию (у меня на некоторых серверах она 1 к 5-6.5 т.е. используется 1Tb хранилища вместо 5-6.5 Tb), длинные имена файлов - которые можно перенести из Windows не трогая пользователей к примеру (переезд 1С у которой БД частично файловая иногда, может крайне неприятно удивить... ), ну и регистра независимость... сложно пользователя объяснить, что A<>a.
Я понимаю что есть мандатная система контроля всего в Астре. Но она просто соответствует тому что можно сделать правами по модели NTFS/NFSv4 при этом она не совместима с Windows и другими "российскими" ОС + администрировать её просто сущий ад. Хотя из за особенностей как раз этого администрирования "накосячить" с правами чуть сложнее тут согласен. У неё есть своя ниша пусть там и работает. Давайте предположим что нам потребуется в 3 раза увеличить штат администраторов для внедрения "Отечественных" решений а не в 10. У нас некоторый дефицит квалифицированных кадров даже для Windows где нажмите далее 5 раз, потом готово.
Извините кочерга для менеджмента отечественных вендоров так сильно раскалилась..... ночер общения с продукцией российских вендоров бодрит....
Да можно, но права тогда будут в самбе. Это будет ещё медленнее и данные не отдать по другим протоколам + если случится отказ, но будет резервная копия данных права не восстановить включать совместно наследование прав из файловой системы и acl_xattr нельзя реально можно получить кашу в правах. В общем вариант рабочий, но для чего-то маленького и от чего не зависит бизнес измеряемый в жизнях или миллиардах.
Оно вышло три дня назад (11:11 11.11.2024) =), и чуть позже (на месяца четыре) точки когда я смотрел в файловый сервер. ALDPro 2.4 ещё не трогал. Но то что я слышал о релизе, имеет частичную реализацию требуемого функционала. Не будет дедупликации, сжатия, регистронезависимости и длинных имён файлов.
Все предложенные вами механизмы на чём-то базируются. Простой файловый сервер, FTP, это одно из тех на чём описанное вами базируется и работать без базовых вещей не может.
Как я вас понимаю, вчера был на конференции разработчиков Астра... такого потока самовосхваления надо поискать.... кажется как будто они действительно пишут и AstraLinux и GitLab GitFlic и прочий софт и протоколы... типа ихней разработки .... Очень жду что кто то у кого есть ресурсы на юристов совершить небольшое юридическое действие по тому чтобы наши вЕНДОРЫ отвечали за те слова которые заявляют с трибуны заодно поднимутся на деньги.
Хочется добавить к обзору автора опыта реального использования:
Про простоту установки:
К сожалению не реализована установка в на программный RAID (возможно установить используя консоль есть но это прямо боль) передаём привет при импортозамещении на оборудовании HP с его SmartArray грабли там где никто не ждёт....
Производитель не может подсказать по совместимости с оборудованием =( Если задавать каверзные вопросы мы тут хотим купить железку за много килобаксов одну или другую она будет совместима с вашим ПО по части драйверов ответ примерно "ну если оно заработает, вы нам скажите"
Про производительность:
При переносе терминального сервера с Hyper-V на SpaceVM увы получили значительную потерю производительности условно почти в два раза ухищрения типа выставления модели процессора для проброса в VM (что срабатывало в ProxMOX) не помогли где грабли пока не нашли =(
Про Способы подключения к виртуальной машине:
Увы есть постоянные глюки в работе интерфейса если использовать через Web консоль не соосность мышки в консоли и экране доставляет БОЛЬ и страдания
Для подключения через SPACE нужно открывать доп порт что есть особенности которые нужно понимать, не во всех крупных сетях заработает без приключений.
Про резервное копирование (точнее восстановление):
к сожалению есть грабли при восстановлении из резервной копии не знаю почему но время включения VM не выставляется в время создания резервной копии, в результате могут быть КРАЙНЕ неприятные последствия в системах чувствительных к тому чтобы всё было в нужных таймингах (к примеру восстанавливая контроллер домена из резервной копии вы почти гарантированно его "положите")
Были замечены случаи когда при восстановлении машины менялся ID жесткого диска что тоже может приводить к блокировкам =( (но тут первопричину пока не выяснили или SpaceVM или к системе резервного копирования но т.к. это связка то запишем сюда)
Про мониторинг системы:
Увы но мониторинг часто подвисает и по сути дела на него опираться невозможно сейчас, но иногда оно работает.
Про проблемы:
Внутренняя база (postgreesql) спонтанно может расширится и выжрать всё место отведённое под систему что приведёт к "некоторым" проблемам.... ( обычно в вашей премиальной части за Uptime =))) Боже дай знания об SQL юным программистам!!! хотя бы про "full vacuum" и мотиторинг БД.)
Если нода у вас загружена примерно на 90% по ОЗУ и работает чуть более пары недель без перезагрузок не стоит выключать виртуальную машину т.к. вы её можете не включить =( ибо есть некоторые проблемы по расчету доступной ОЗУ для старта VM (с которыми безусловно борется производитель и есть положительные сдвиги) но пока есть все хансы к тому что ноду прийдется перезагрузить =(
также Есть проблемы с HA и iSCSI вызванные сетевой доступностью, но там на статью интриги и расследования потянет... нам уже год обещают это исправить ждём надеемся и верим.....
Автору Огромное спасибо за статью. Но тут хочется сказать "Гладко было на бумаге, да забыли про овраги." Но стоит уточнить что версии ядра Linux 6.*** не поддерживаются, для установки, желателен RPM дистрибутив для уменьшения приключений. ну и если взять голую отечественную ОС к примеру RedOS 7.3.2 или 7.3.3 то этот продукт сразу не встанет =( правда решается просто dnf installkernel-devel java-1.8.0-openjdk-headless.x86_64 но после установки если вы сделали как рекомендовано, контроллер + нода/ноды хранения, то резервную копию вам в прочем тоже не позволит сделать =) вам в задании ещё раз нужно будет указать сведения для доступа к ноде. А если вы делаете резервные копии с отечественной SpaceVM вас ждёт очень интересный квест если по какой-то причине работа агента была прервана, ибо более резервные копии вы сделать с тех VM что в этот момент бэкапились не сможете, т.к. файлы будут заблокированы... =( но это лечится =)
Полностью поддерживаю, проломить защиту тех. поддержки от поступления информации о проблеме лично мне удалось выйдя на уровень двух министров РФ =)
Кстати страницы на которых присутствует описанная проблема все на одну тему, имея инфу о том кто заказал услугу можно смело заниматься отжимом денег
Увы как только вы коснётесь настроек в ALD она потрёт ручные настройки.... т.е. Samba сервер если вас вариант с ALDPro не устраивает должен быть не как сервис ALDPro. Еслибы сервис в ALDPro был реализован верно то он был бы заметно
удобнееэффективнее того же в Windows. В общем задумка хорошая реализация .... тут без комментариев чтобы никого не обидетьНу так квоты есть и в Astra они хоть и криво но реализовали поверх ext4. и в ZFS тоже есть квоты: zfs set quota=10g pool/dataset
Устанавливаются на папки для группы или пользователя (в том числе доменные).
для ZFS нет GUI вообще проблема в том что все компоненты чтобы сделать качественный сервис есть. Проблема в том что не считают нужным. считается что 16-30 часов работы программиста стоят дороже нескольких десятков тысяч часов которые потом на это угробят админы.
Безусловно вы правы, но в Linux права может устанавливать Создатель и Root а в Windows, создателя можно лишить данного преимущества. Помимо прочего вот вы Enterprise Administrator заходите на файловый сервер Astra и думаете поменять права на папку которую создал пользователь... но не можете вам нужно стать Root чтобы были полномочия это сделать в Windows это не так и 99% админов из Windows попадают в ступор.
Согласен для ZFS лучше бы взять BSD систему типа MacOS или FreeBSD... Вообще почти все коммерческие реализации *nix кроме пожалуй HREL и "российских" продуктов имеют полноценные файловые права. С правами хранящимися в Samba есть проблемки как ими управлять? Как после завершения перехода на отечественную инфраструктуру подключить по NFS сохранением прав? как из файлового сервера сделать комбайн что отдаёт всем протоколам которые требует бизнес с учётом прав?
Я вообще топлю за две вещи одна незаконная (пока следствие не завершено и суд не прошел), но нужная =))). А вторая это внедрение отечественных решений т.к. отката на западный софт не будет. Что некоторые (98% коллег и руководителей) осознать не могут...
Спасибо за то что обратили внимание на статьи в Wiki Asta нужно было их действительно накидать в статью.
Но при этом...
По инструкциям из AstraWiki сотрудники реализовать сервисы не могут =( Пройдя обучение и СДАВ экзамен работать с Астрой не могут... @Johan_Palych вот вы как представитель внутренней кухни астры скажите.... кого должен бить вендор или те кто заплатили за Астру? Почему дармоеды, за обучение которых контора заплатила, получили сертификаты были допущены до инфраструктуры и когда её завалили было выяснено что они нифига не знают и не имеют навыков работы с Linux?!!!
Тот сервис что разворачивает ALDPro в частности 2.3 неудовлетворительно по функционалу, Есть надежда на ALDPro 2.4, но пока руки недошли его развернуть... (ALD pro это тоже нифига не решение клац-клац и готово там тоже английский нужно знать и читать форумы по отечественному решению FreeIPA при оплаченной поддержке Астры)
Я видел момент с инструкцией по установке на ядре 6.6. Подскажите вот вы взяли ISO установились с него загрузились на ядре 6.6 и у вас ZFS работает без ошибок при выполнении действий из инструкции? у меня оно тоже ставилось, но не работало. На моменте тестирования с ядром 6.6 сделан вывод что пока рано =( (возможно тогда была 1.8.1.6) но вообще пакет ZFS в репозиториях был для ядра максимум 6.2 и видимо от того и не хотел работать с 6.6.
А вот так сейчас работает у меня и ещё пары пытавшихся
Кстати а с какого инсталлятора ставили? возможно состав моделей установки отличается
fly-admin-samba - сваливается в ошибку если в домен MS AD (ошибка временная) астра была введена штатными средствами агента (astra-ad-sssd) от астры....
Также утилита бесполезна в домене MS AD, нужно добавлять минимум группы из домена + нужен конфиг самбы, чтобы работало, а на это утилита неспособна. Если у вас fly-admin-samba тянет пользователей и группы то подскажите, что сделали т.к. штатно утилита управляет только локальными пользователями и группами.
Вообще вся задумка вокруг ZFS это про реально реализованные права доступа по модели NFSv4 на см. на нативную реализацию в TrueNAS Scale (Debian 12) работает уже несколько лет, про дедупликацию (у меня на некоторых серверах она 1 к 5-6.5 т.е. используется 1Tb хранилища вместо 5-6.5 Tb), длинные имена файлов - которые можно перенести из Windows не трогая пользователей к примеру (переезд 1С у которой БД частично файловая иногда, может крайне неприятно удивить... ), ну и регистра независимость... сложно пользователя объяснить, что A<>a.
Я понимаю что есть мандатная система контроля всего в Астре. Но она просто соответствует тому что можно сделать правами по модели NTFS/NFSv4 при этом она не совместима с Windows и другими "российскими" ОС + администрировать её просто сущий ад. Хотя из за особенностей как раз этого администрирования "накосячить" с правами чуть сложнее тут согласен. У неё есть своя ниша пусть там и работает. Давайте предположим что нам потребуется в 3 раза увеличить штат администраторов для внедрения "Отечественных" решений а не в 10. У нас некоторый дефицит квалифицированных кадров даже для Windows где нажмите далее 5 раз, потом готово.
Извините кочерга для менеджмента отечественных вендоров так сильно раскалилась..... ночер общения с продукцией российских вендоров бодрит....
Да можно, но права тогда будут в самбе. Это будет ещё медленнее и данные не отдать по другим протоколам + если случится отказ, но будет резервная копия данных права не восстановить включать совместно наследование прав из файловой системы и acl_xattr нельзя реально можно получить кашу в правах. В общем вариант рабочий, но для чего-то маленького и от чего не зависит бизнес измеряемый в жизнях или миллиардах.
Оно вышло три дня назад (11:11 11.11.2024) =), и чуть позже (на месяца четыре) точки когда я смотрел в файловый сервер. ALDPro 2.4 ещё не трогал. Но то что я слышал о релизе, имеет частичную реализацию требуемого функционала. Не будет дедупликации, сжатия, регистронезависимости и длинных имён файлов.
А разве btrfs умеет в что то кроме RWX по правам? ZFS манит правами NFSv4, т.е. write_owner, write_acl, write_attributes ,write_data , write_xattr , synchronize , read_xattr ,read_data ,read_attributes , read_acl , list_directory ,execute ,delete_child ,delete ,append_data ,add_subdirectory , add_file
Все предложенные вами механизмы на чём-то базируются. Простой файловый сервер, FTP, это одно из тех на чём описанное вами базируется и работать без базовых вещей не может.
Как я вас понимаю, вчера был на конференции разработчиков Астра... такого потока самовосхваления надо поискать.... кажется как будто они действительно пишут и AstraLinux и
GitLabGitFlic и прочий софт и протоколы... типа ихней разработки .... Очень жду что кто то у кого есть ресурсы на юристов совершить небольшое юридическое действие по тому чтобы наши вЕНДОРЫ отвечали за те слова которые заявляют с трибуны заодно поднимутся на деньги.Есть два ядра 6.1 и 6.6 но к примеру на 6.6 у Вас ZFS не заработает т.к. в репозиториях пакеты совместимые только с 6.2 включительно.....
Хочется добавить к обзору автора опыта реального использования:
Про простоту установки:
К сожалению не реализована установка в на программный RAID (возможно установить используя консоль есть но это прямо боль) передаём привет при импортозамещении на оборудовании HP с его SmartArray грабли там где никто не ждёт....
Производитель не может подсказать по совместимости с оборудованием =( Если задавать каверзные вопросы мы тут хотим купить железку за много килобаксов одну или другую она будет совместима с вашим ПО по части драйверов ответ примерно "ну если оно заработает, вы нам скажите"
Про производительность:
При переносе терминального сервера с Hyper-V на SpaceVM увы получили значительную потерю производительности условно почти в два раза ухищрения типа выставления модели процессора для проброса в VM (что срабатывало в ProxMOX) не помогли где грабли пока не нашли =(
Про Способы подключения к виртуальной машине:
Увы есть постоянные глюки в работе интерфейса если использовать через Web консоль не соосность мышки в консоли и экране доставляет БОЛЬ и страдания
Для подключения через SPACE нужно открывать доп порт что есть особенности которые нужно понимать, не во всех крупных сетях заработает без приключений.
Про резервное копирование (точнее восстановление):
к сожалению есть грабли при восстановлении из резервной копии не знаю почему но время включения VM не выставляется в время создания резервной копии, в результате могут быть КРАЙНЕ неприятные последствия в системах чувствительных к тому чтобы всё было в нужных таймингах (к примеру восстанавливая контроллер домена из резервной копии вы почти гарантированно его "положите")
Были замечены случаи когда при восстановлении машины менялся ID жесткого диска что тоже может приводить к блокировкам =( (но тут первопричину пока не выяснили или SpaceVM или к системе резервного копирования но т.к. это связка то запишем сюда)
Про мониторинг системы:
Увы но мониторинг часто подвисает и по сути дела на него опираться невозможно сейчас, но иногда оно работает.
Про проблемы:
Внутренняя база (postgreesql) спонтанно может расширится и выжрать всё место отведённое под систему что приведёт к "некоторым" проблемам.... ( обычно в вашей премиальной части за Uptime =))) Боже дай знания об SQL юным программистам!!! хотя бы про "full vacuum" и мотиторинг БД.)
Если нода у вас загружена примерно на 90% по ОЗУ и работает чуть более пары недель без перезагрузок не стоит выключать виртуальную машину т.к. вы её можете не включить =( ибо есть некоторые проблемы по расчету доступной ОЗУ для старта VM (с которыми безусловно борется производитель и есть положительные сдвиги) но пока есть все хансы к тому что ноду прийдется перезагрузить =(
также Есть проблемы с HA и iSCSI вызванные сетевой доступностью, но там на статью интриги и расследования потянет... нам уже год обещают это исправить ждём надеемся и верим.....
Автору Огромное спасибо за статью. Но тут хочется сказать "Гладко было на бумаге, да забыли про овраги." Но стоит уточнить что версии ядра Linux 6.*** не поддерживаются, для установки, желателен RPM дистрибутив для уменьшения приключений. ну и если взять голую отечественную ОС к примеру RedOS 7.3.2 или 7.3.3 то этот продукт сразу не встанет =( правда решается просто
dnf installkernel-devel java-1.8.0-openjdk-headless.x86_64но после установки если вы сделали как рекомендовано, контроллер + нода/ноды хранения, то резервную копию вам в прочем тоже не позволит сделать =) вам в задании ещё раз нужно будет указать сведения для доступа к ноде. А если вы делаете резервные копии с отечественной SpaceVM вас ждёт очень интересный квест если по какой-то причине работа агента была прервана, ибо более резервные копии вы сделать с тех VM что в этот момент бэкапились не сможете, т.к. файлы будут заблокированы... =( но это лечится =)Кстати страницы на которых присутствует описанная проблема все на одну тему, имея инфу о том кто заказал услугу можно смело заниматься отжимом денег