Comments | dz: Юникс - руководство по кормлению и уходу

Юникс - руководство по кормлению и уходу

Feb 06, 2018 14:57

В рамках экспериментов по умному дому я планирую развести дома небольшую охапку микросерверов под юниксом. Вероятно, это будут 5-10 юнитов разного размера - полный современный PC, "большие" одноплатники (Pine64, Orange PC+) и малые одноплатники - Raspberry, Orange Zero/One ( Read more... )

smarthome, архитектура

Comments 47

_slw February 6 2018, 12:12:58 UTC

керберос поднимается достаточно легко, ldap не нужен. yp/nis. у меня работает (с)

dz February 6 2018, 12:17:03 UTC

на synology? какой howto покурить?

_slw February 6 2018, 12:20:39 UTC

про синологи не знаю, я на фре делал (и клиент и сервер и сам керберос). хауту писал сам себе и рассказывал пару лет назад на ITGM.

pascendi February 7 2018, 08:40:11 UTC

Наберите в гугле synology os kerberos -- там полно заметок про то, как это делать, причем для разных версий файловой системы.

nil59 February 6 2018, 12:36:14 UTC

- как-то унифицировать юзеров и права. Желательно с WINDOS домена на NAS, если это возможно. Или убить домен и поднять LDAP сервер?

можно и LDAP, но проще описать все нужное в txt/yaml и каким-нибудь ansible раскатывать на весь зоопарк при изменении. да, будут проблемы с удалением. но можно же и не удалять, просто доступ запрещать...

- здорово бы унести /var на NAS, но при этом оставить юниксы жизнеспособными при недоступности сети. реально? Или более реально весь логгинг загнать в syslog и в сеть? Или всё нереально?

конечно, в сислог и в сеть. есть редкие софтины, которые желают писать в файл - с ними придется разбираться отдельно. но с ними все одно придется разбираться отдельно, например - с ротацией.

- может быть, /usr/share тоже можно раздать с сети? Или это уже глупость? Опять же, отказоустойчивость... может быть, сделать локальный /usr/share с минимальными потрохами, а на сети держать более богатый?

уже глупость. какую задачу решаем-то?

- мониторить это всё. Желательно в сумме вывести в шкаф красную лампочку "что-то не ( ... )

(The comment has been removed)

nil59 February 8 2018, 19:47:55 UTC

по-моему, там не нужен мануал. я всегда обходился гуем...

vanxant February 6 2018, 12:52:59 UTC

Выносить целиком весь /var в сеть это для любителей красноглазия. Обновилось, например, ядро и привет, доставайте бубен.

_slw February 6 2018, 13:33:54 UTC

на самом деле зависит от.
я выносил весь / в сеть. нормуль.

vanxant February 6 2018, 14:07:38 UTC

И как оно, без сети работает?)

_slw February 6 2018, 14:12:33 UTC

нормально. если нет сети -- зачем ему работать?

Thread 5

maxp February 6 2018, 13:46:30 UTC

Зачем тебе /var с одноплатников уносить на NAS?

У одноплатников хорошо бы иметь readonly root, чтобы их флэшки не сыпались, а все полезное с них лучше сразу куда-то слать, туда, где эта информация может быть востребована.

Если что, я умею такое делать для "малины", проверено круглосуточной работой на улице в -40 :)

dz February 7 2018, 07:37:07 UTC

так именно из-за ssd. модифицируется-то только /var в процессе работы системы.

dz February 7 2018, 07:49:45 UTC

А в двух словах расскажешь, как ro root делается?

maxp February 7 2018, 08:22:21 UTC

Если совсем в двух словах, то с распбианом надо добавить ro в cmdline.txt, аналогично в fstab, сделать там tmpfs, и отучить fake.hwclock, logrotate, ntp писать куда не надо.

На эту тему у меня есть своего рода шпаргалка - https://github.com/maxp/wmr100-pi/blob/master/raspi-setup.txt

Она правда старая, могу поискать более новую, если будет интересно.

У меня идеология построения всей этой байды такая, что одноплатники исключительно stateless и общаются с остальнм миром преимущественно по хттп.

Дефолтный распбиан у меня загибал обычную сд-шку за 2-3 месяца, если она не RO.

Более-менее нормальный вариант, это RO root, который грузится всегда. И если надо, то дополнительная фс под данные, на которую можно писать аккуратно и восстановить на ходу, если надо.

Thread 8

mds February 6 2018, 15:22:08 UTC

Есть такой zentyal - linux вариант домена. вполне пригодный комбайн, даже в community версии. Домен на самбе, ldap и все такое.
Логи собирать в кучу по syslog, многие NAS умеют принимать, из коробки или модулем. Дальше подобрать анализатор - их много разных.
мелкоплатники - у них не очень хорошие сетевые железки, лучше оставить все локально, без необходимости монтировать.

OpenVPN вполне подойдет для входа снаружи, при наличии белого IP. Микротик умеет, но не очень хорошо. Лучше небольшую виртуалку под это поднять внутри.

И свитч - лучше гигабитный, правда. Тот же бэкап скажет вам спасибо.

dz February 7 2018, 07:42:16 UTC

У мелких железок гигабита, в основном, нет. Кажется, только у одной.

В этом смысле свитч на гигабит не очень нужен. Он у меня 100+1G, но гигабитных портов в нём два, и в Микротике ещё четыре свободны, это всё уходит на сервера и основную рабочую станцию.

В принципе, я думаю над тем, чтобы сделать отдельный свитч на гигабит, но на 24 порта цены злые, я пока обсуждаю это с жабой.

Приземлить VPN на микротике я пытался. И сдался. Он, всё же, очень замороченно конфигурируется. Наверное, на synology приземлю.

dz February 7 2018, 07:52:58 UTC

"Логи собирать в кучу по syslog, многие NAS умеют принимать, из коробки или модулем. Дальше подобрать анализатор - их много разных."

Вот тут тоже вопрос - принять лог на synology легко. Но штатными средствами в него глядеть - проще застрелиться. А ставить на NAS нештатные тоже как-то неохота. Открыть к ним файловый доступ по сети оно тоже не предлагает.