Виртуализация. Настройка кластера Proxmox VE часть 3(установка и начальная настройка Ceph)

Первоисточник  здесь

Инициализация

Для установки Ceph обязательно проделать процедуру отключения платного репозитория и подключение бесплатного, описанную здесь , после чего на всех нодах необходимо выполнить
pveceph install
и на одной из них
pveceph init сеть_Ceph/маска (например 10.10.10.0/24)

Подготовка дисков

Бюджетная Wi-Fi сеть с бесшовным роумингом

На прошлой работе, около 5 лет назад, мы реализовывали Wi-Fi сеть с бесшовным роумингом с помощью  ZyXel NWA-3160, причем одно устройство работало исключительно как контроллер, а остальные как управляемые точки доступа (AP). Решение было отнюдь не бюджетным, да и сейчас, не смотря на то что девайс устарел и снят с производства, цена на них от 8100грн(~290$).
Мною была изучена ситуация, найдены мануалы здесь и здесь, и здесь, после чего было принято решение строить сеть на Mikrotik RB952Ui-5ac2nd 1444грн./шт.(51$), причем контроллер работает и как AP.
Все выглядело очень привлекательно и, как говорится, ничто не предвещало беды, но как водиться всплыли нюансы, которые и привели к написанию заметки. Кратко: проделанные манипуляции не привели к результату - не потому, что не правильно, а потому, что версия системы изменилась.

VLAN через uplink на примере коммутаторов HP

Постановка задачи:

Необходимо организовать логическую подсеть на территориально разнесенном оборудовании.

Решение:

Для решения поставленной задачи будем использовать управляемые свитчи HP, модель не существенна.

1. Подключаемся через веб интерфейс к коммутаторам
2. Заходим во вкладку "Trunks "
   

Дружим lenovo ideapad 330 и Ubuntu

Обратился сотрудник с просьбой поставить Ubuntu на lenovo ideapad 330. Сказал, что ему пробовали ставить, но не заработал точпад и были вопросы по микрофону с камерой.
Изучение вопроса показало, что железо поддерживается с ядра 4.17.
Ubuntu 18.10 из коробки идет с ядром 4.18, на основании чего, было разумно предположить что, поставив Ubuntu 18.10 , я решу вопрос, не напрягаясь.
Ставлю, приятно удивляюсь лаконичности минимальной установки и неприятно - неработающим устройствам.
Обновляемся - без результата.
Чтоб не морочиться со сборкой ядра ставим Ubuntu kernel update utility ukuu:

sudo add-apt-repository ppa:teejee2008/ppa
sudo apt update
sudo apt install ukuu

Паяльная станция

Привалило мне счастье в виде вот такого вот комплекта

Medoc - "сервер ДФС не найден" (tcpdump в помощь!)

На предприятиях, которые серьезно относятся к своей информационной безопасности, существует практика точечного предоставления доступа серверам(компьютерам) к внешним ресурсам.
Естественно вменяемые разработчики ПО(заметьте не бесплатного), обычно предоставляют список необходимых ресурсов. Пытаются это делать и разработчики медка. Но временами, (и достаточно часто) возникает ситуация такого типа: к вам прибегает(звонит) бухгалтер и рассказывает что сегодня последний день сдачи отчета (у них всегда последний день, просто у хорошего бухгалтера он завтра, но чаще сегодня), а отчеты не уходят. Вы заходите в Medoc, проверяете соединение на вкладке документооборот и наблюдаете

Виртуализация. Настройка кластера Proxmox VE часть 2(Создание кластера и введение ноды в кластер)

Процедуру описанную в первой части повторяем для остальных нод, когда у нас их стало хотя бы 2 есть смысл объединить их в кластер. Для этого в веб интерфейсе одной из нод становимся на вкладку Датацентр -> Cluster жмем кнопку <создать>

Виртуализация. Настройка кластера Proxmox VE часть 0(общие рассуждения)

Зачем вообще нужна виртуализация?

Использование виртуальной среды дает такие  основные преимущества:

1. Гибкость 
2. Отказоустойчивость(высокая доступность)
3. Единый центр администрирования

HOWTO: расшаривание сканера по сети в Lubuntu(Ubuntu). Обновлено 03.01.2019 в свете обновления Sane.

Очень краткий мануал для себя, без особых пояснений, предполагается, что локально сканер работает(проверить используя simple scan)
Работает в версии 18.04, должно работать и в 16.04.

1. sudo apt install sane-utils

2. Проверяем есть ли у пользователя saned доступ к устройству:
   

   sudo -u saned scanimage -L

   
   Если устройство найдено переходим к пункту 7, нет проделываем следующие пункты
3. Получаем idVendor и idProduct

   
   sudo lsusb
   

Виртуализация. Настройка кластера Proxmox VE часть 1(установка ноды)

Получение дистрибутива, начальная установка

Переходим по ссылке и скачиваем последнюю версию Proxmox VE, болваним образ или готовим другой загрузочный носитель (обычно в серверах есть привод, а там где нет спасает USB CDRW, поэтому я не заморочуюсь и жгу RW болванку, благо 10 лет назад по ошибке купил балку 50шт., так что на мой век запаса хватит).
Грузимся с CD, процес установки тривиален: принять лицензионное соглашение, указать диск для установки (выбрать загрузочный SSD), еще я на этом этапе в опциях выключаю подкачку(ставлю 0),  указать имя ноды, email администратора, сетевые настройки, пароль администратора, перегрузиться (если вдруг появится интерес к теме и будет социальный запрос, могу проделать на виртуалке и добавить пошаговые скриншоты).
Подключаемся к ноде через веб интерфейс по адресу: https://ip:8006 и читаем ругань броузера, жмем дополнительно, добавляем исключение безопасности.

Окно авторизации

FreNAS-11-1-U6 включаем SMB1

Начиная с версии FreNAS-11-1-U6, протокол по умолчанию для самбы - SMB2, что делает невозможным подключение к шаре компьютеров с WindowsXP на борту, а также всяких девайсов типа сетевых сканеров. Для решения данной проблемы, необходимо перейти в интерфейсе:

Система -> параметры настройки и создать настройку

переменная freenas.services.smb.config.server_min_protocol

значение NT1

тип sysctl

Миграция пользователей почтового сервера между почтовыми доменами (Exim, postgresql)

Преамбула:
Несколько лет назад был настроен почтовый сервер по мотивам этой статьи он постоянно эволюционирует, но в рамках данной темы это не важно. На нем крутятся несколько почтовых доменов и вот, после появления очередного, некий ВЕЛИКИЙ ОПТИМИЗАТОР бизнес процессов заявил, что надо часть пользователей перевести в новый домен, чтобы почта, приходящая в старый продолжала ходить и чтобы пользователи вообще бы ничего не почувствовали при этом.

Почему я отказался от перехода с Lubuntu16.04 на Lubuntu18.04

Пару месяцев назад начал обновлять компы с Lubuntu до версии 18.04, но неожиданно столкнулся с глюками, которых нет в 16.04, в итоге уже пришлось сделать 2 downgrade.
Перечисляю встреченные проблемы:

1. Поддержка интегрированного видео Nvidia: видеокарты использующие 304 драйвер работают нестабильно, периодически вызывают зависание системы, на экране картинка напоминающая срыв синхронизации у старого CRT телевизора. Проприетарный драйвер отсутствует. В предыдущей версии видео стабильно работает что с драйвером Xorg, что с проприетарным.
2. Нестабильно работает мобильный интернет, про другие девайсы не скажу но 3G модем Franklin U301 регулярно разрывает связь, при этом стабильно работает в 16.04 .
3. Проблемы с сетевым сканированием: мы практикуем расшаривание сканера, подключенного к локальному компьютеру, для совместного использования. То что без проблем работает в 16.04 и других дистрибутивах, категорически не работает в 18.04: netstat -l показывает, что порт слушается, локальное сканирование идет, а удаленный клиент не работает.

Возможно в будущем вылезет что то еще, буду дописывать.

Вердикт: так как поддержка 16.04 продолжается до 2021г. переход на 18.04 не имеет смысла, за исключением каких то специфических случаев. Уверен, что все перечисленное касается и Ubuntu, но так как Lubuntu позиционируется как легковесный дистрибутив, поддержка достаточно старого железа в нем критична.

FreeNAS 11.1 установка пакетов из репозитория FreeBSD

Есть очень интересный проект сетевого хранилища на базе FreeBSD - FreeNAS.

Иногда хочется установить какой нибудь пакет, который есть во FreeBSD, но отсутствует у FreeNAS (для примера mc).
Подключаемся по SSH к серверу, вводим:

pkg install mc

и читаем ругань, из которой следует, что репозиторий не подключен

Генерация DKIM key для почтового домена

Заметка на пару строк - на почтовом сервере, мною уже давно, реализована DKIM, а так как новые домены добавляются не каждый день, постоянно забываю простой способ генерации пары ключей.
В сети уйма способов с разжевыванием как оно работает и кучей ненужных подробностей, а мне в этом случае нужно всего две команды.
генерируем секретный ключ:

openssl genrsa -out /usr/local/etc/exim/example.com.key 2048

генерируем на основе него публичный:

openssl rsa -in /usr/local/etc/exim/example.com.key -pubout > /usr/local/etc/exim/example.com.pub

Терминальный сервер Debian 9.X в LXC контейнере Proxmox VE 5.X (часть 2, шаблоны пользователей)

На данном этапе мы имеем Debian 9 сервер с установленным и настроенным XRDP, к которому подключаемся пользователем root по RDP протоколу. Так же я проделал манипуляции  по введению сервера в домен Active Directory.
В случае если вы используете локальных пользователей вам необходимо создать первого юзера и зайти под ним по RDP, я подключаюсь с доменным.
Первое подключение с доменным юзером достаточно длительный процес.

Ведение Debian 9.3 в домен Active Directory

Заметка не претендует на оригинальность, является фактически калькой этой статьи, написана в качестве "записок на память". Так же обращаю внимание, что существует альтернативный способ без использования samba, но в моем случае она мне все равно нужна.

Продолжаю настройку терминального сервера Debian 9.3:

Выполняем в контейнере poweroff, после чего идем во вкладку DNS нашего LXC контейнера и в случае необходимости настраиваем имя, домен и DNS сервера через пробел.

Указанные данные будут использованы при генерации файлов /etc/resolv.conf и /etc/hostname, править файл напрямую нет смысла, так как он перегенерируется при следующем перезапуске контейнера.
Приводим временную зону в соответствие настройкам домена:

dpkg-reconfigure tzdata

Debian 9.3 установка Oracle Java, Flash plugin

Внимание !

16.04.2019 Oracle изменили лицензию на использование Oracle JDK, в связи с чем пост мог утратить актуальность.

Нынешняя тема, с одной стороны является логическим продолжением предыдущего поста, то есть относится к настройке Debian 9.3, с другой не является описанием настройки терминального сервера, хотя там тоже используется. Пост ни в коем случае не претендует на оригинальность, скорее это записки на память для себя.

Схема с установкой из http://ppa.launchpad.net/webupd8team/java/ubuntu больше не работает

Ставим curl

apt install -y curl

Используя такой, достаточно длинный парсинг вывода, получаем URL актуальной версии Oracle JDK:

Терминальный сервер Debian 9.X в LXC контейнере Proxmox VE 5.X (часть 1 установка, базовая настройка)

Очередной раз устанавливаю виртуалку с терминальным сервером Linux и решил собрать в одном месте все актуальные этапы/нюансы установки и настройки (мир не стоит на месте, некоторые вещи меняются).
Ставить буду в LXC контейнере Proxmox VE (аналог jails FreeBSD). Преимущество - отсутствие накладных расходов на виртуализацию, недостаток - на данном этапе развития проекта, миграция между гипервизорами только через выключение(нет "живой" миграции), но, так как включение-выключение-миграция практически мгновенные, это не критично.

Этап 1 - установка

В пользовательском интерфейсе Proxmox VE идем на local хранилище узла, выбираем вкладку "Содержимое", жмем кнопку "Шаблоны", выбираем нужный шаблон(в моем случае Debian-9.0-standatd)

Выбор бесплатного гипервизора для корпоративного использования(предприятие среднего размера)

Очень кратко

требования:

1. Бесплатность
2. Отсутствие ограничений для виртуальных машин
3. Возможность организации высокой доступности
4. Возможность проброса в вм аппаратных ключей
5. Доступность агентов под Windows, Linux, Freebsd
6. Возможность администрирования кластера из Linux

были изучены:

Терминальный Linux сервер, организация контроля пользователей

В предыдущих постах здесь и здесь, я обращался к теме установки и настройки терминального сервера на базе Debian Linux. Иногда (почти всегда) у руководства возникает желание иметь возможность получить ответ на вопрос: "а чем собственно занимается сотрудник в рабочее время?"
Реализации этой возможности и посвящена данная статья.

Постановка задачи:

Необходимо, чтобы в домашний каталог ответственного пользователя (у меня создан специальный пользователь control), складывались скриншоты рабочего стола пользователей, за которыми осуществляется контроль(для каждого пользователя отдельная папка).

Реализация:

Дополнение Firefox для всех пользователей Linux

При использовании терминального Linux сервера есть необходимость, чтоб установленые дополнения применялись сразу ко всем пользователям, покажу как это сделать на примере limit tabs:

1. Скачиваем нужное дополнение(вариант Б - ставим его средствами Firefox я поступил именно так).
   
2. Копируем (в моем случае перемещаем из каталога установки ~/.mozilla/firefox/xxxxxxxx.default/extensions) .xpi файл дополнения в каталог /usr/share/mozilla/extentions/{набор 16-ричных цифер}
   

   mv langpack-ru@firefox.mozilla.org.xpi /usr/share/mozilla/extentions/{набор 16-ричных цифер}

3. В дополнениях Firefox у пользователя появилось наше дополнение, которое можно отключить, но нельзя удалить
   

Таким образом можно распространить среди пользователей любые дополнения.

Перенос Linux & Samba пользователей Debian 8.6 -> Debian 9.3

Всвязи с переносом терминального сервера Debian 8 на другой гипервизор, была выполнена новая установка Debian 9. После того, как сервер был установлен и настроен, встал вопрос о вводе его в эксплуатацию и соответственно о переносе на него пользователей, прогонять их снова через процедуру регистрации и очередной настройки приложений с нуля не хотелось и я решил проделать замену сервера прозрачно для пользователей.
Сразу говорю что мой выбор инструментов - это лишь один из вариантов, обусловленный конкретной задачей.
Стартовые условия: Сервер, со свеже установленным Debian  9.3 в системе помимо рута создан привелигированный пользователь (пусть его зовут myadmin) с uid/guid=1000.
Приступаем:
В первую очередь генерируем на исходном сервере пару rsa ключей

ssh-keygen

Терминальный RDP сервер Debian 9 + Xrdp

Актуальная версия здесь.
Год назад, я описал установку терминального сервера Debian+xRDP+X11-rdp.
В связи с переходом на другой гипервизор возникла необходимость его переустановки.
Так как за это время вышел 9-й релиз Debian, то естественно решено ставить его.
За этот год проект XRDP эволюционировал с версии 0.6.1 до версии 0.9.3 и установка сервера категорически упростилась.
После установки системы (при установке ставлю только системные утилиты, LXDE, SSH сервер и по желанию сервера печати), достаточно просто поставить XRDP из пакетов:

sudo apt update
sudo apt install -y xrdp