Ahojte vazeni clenove,
mame novy termin clenske schuze shrnujici rok 2019,
a sice 26. 6., od 18:30 v restauraci U Balbinu v Praze.
(Jungmannova 22, Praha 1, https://www.ubalbinu.cz/)
Program schuze:
1. Shrnuti roku 2019
- financni + organizacni + technicke shrnuti roku 2019
2. Plany na rok 2020 a dal
- orientace spolku v ekonomicke krizi
- vpsAdminOS, fakturace, web UI
3. Diskuze: socialni rozmer vpsFree, spoluprace ve spolku
- Navrh:
Pravidelne "office hours"
- tj. moznost se pravidelne potkat (mimo pivo)
- spolecne debugovani problemu
- postupne zapojeni dalsich lidi do fungovani spolku (neni-li to
naivni predstava)
- K zamysleni do schuze:
Co muze svym clenum vpsFree nabidnout nad zakladni myslenku sdileni
HW prostredku?
Co muzeme jako spolek nabidnout siroke verejnosti, je-li neco
takoveho?
Jak muzeme zapojit dalsi nadsence do toho, co delame?
Ktere formy propagace spolku jsou pro nas vhodne (a moralne
prijatelne)?
- napr. je OK reklama na FB? Je OK pouzit Google Analytics?
Jak to bude s konferencemi a vpsFree?
4. Volna zabava, rezervaci mame az do pulnoci.
Tesim se na vsechny, co si najdou cas a obzvlast na ty, kdo maji chut
prispet svymi napady do 3tiho bodu :)
Na miste budeme uz od 18:00, takze prijdte klidne driv (obzvlast, pokud
do Prahy prijedete driv).
Na videnou na schuzi! ;)
/snajpa
Ahoj,
přes týden jsem se snažil nastudovat nasazení Nginx jako proxy a vrtá mi
hlavou několik věcí. Chtěl jsem proto poprosit o radu zkušenější, abych
něco "nezkonil" hned na začátku :-)
1) Spojení mezi proxy a backendem
V jiném vlákně tady proběhla diskuze ohledně "vnitřních" IP adres. Na KB
jsem se dočetl, že se o ně musí žádat a můžou se měnit. Mají pro spojení
mezi proxy a backendem vnitřní adresy nějaký význam, například z
hlediska bezpečnosti nebo rychlosti? Můj plán byl dělat spojení mezi
stroji pomocí přidělených IPv6 adres.
2) Šifrování mezi proxy a backendem
Myslím, že v tom samém vlákně Snajpa psal něco ve smyslu, že na síti
mezi VPS je těžké odposlechnout provoz (myslím, že se tam řešili
privátní vlany nebo tak něco). Úplně se v tomhle neorientuji a proto
jsem se chtěl zeptat, zda byste v našem prostředí považovali za
bezpečné, kdybych SSL spojení ukončoval na proxy a mezi proxy a
backendem posílal jen klasické HTTP? Na webu Nginxu jsem našel, že je
možné mezi proxy a backendem rozjet také SSL spojení, ale nevím, zda to
není overkill.
3) SSH tunel na proxy
Aktuálně mám na serveru jednu stránku, pro kterou Nginx poslouchá na
127.0.0.1 a klienti se k ní propojují pomocí SSH tunelu a port
forwardingu. V případě nasazení jako "proxy - backend" bych na proxy
opět udělal server poslouchající na 127.0.0.1 a předávající požadavky na
proxy. Bude stačit, když na backendu pro tuto stránku nastavím omezení
přístupu jen z IP adresy proxy? Nebo bych to měl ošetřit ještě nějak dál?
Předem díky za pomoc!
Všechny zdraví
Honza
--
Jan B. Kolář
Zažeň nudu
Hodolanská 17, 779 00 Olomouc
tel: +420 605 800 859
e-mail: janbivoj.kolar(a)zazen-nudu.cz
www.zazen-nudu.cz
Zdravím,
posledních pár dní hodně čtu o IPv6 a v rámci shánění informací jsem našel mnoho článků, které adorují Nginx proti Apache2. Co jsem se díval, tak nastavit Nginx je stejně snadné jako Apache2 a navíc je na některé údajně rychlejší. Hlavně rychlost je co neustále řeším u klientů a tak bych ho rád vyzkoušel.
Tak se chci zeptat, lze na jednom serveru (Ubuntu 18) k Apache2 doinstalovat i Nginx, a ten nastavit, aby fungoval pouze pro IPv6 volání a do současného stavu se nepletl? Tedy aby se neprali o port 80, ale Nginx bych si pokusně hodil jen na IPv6 volání (a přidal HTTPS). Případně, aby Nginx obsluhoval HTTPS a Apache2 HTTP? Nikde tuto informaci nemohu najít a nechci si poškodit fungující server. Všechny návody co jsem našel řeší migraci z Apache2 na Nginx, ale když řeší souběh, tak jen jako reverzní proxy (nebo reverzní proxy potřebuji taky?).
Díky za radu či případný odkaz, Standa
VPS ID: 16705
Ahoj,
prosím o info (radu), zda je možné instalovat systém Android-x86 na VPS
a mít k dispozici grafickou konzoli (jako např. u VMware).
Díky, BH.
Ahoj,
> On 08.06.2020 10:55, Jaroslav Skrivan wrote:
> Zas tak zle to neni. Nam ze serveru tece 20% ipv6 provozu k uzivatelum
> (prevazne cz/sk provoz). Google hlasi 30%.
> Dlouhodoby rust je ale velmi pomaly.
tak to se přiznám, že mi _na ČR_ připadá docela pěkné. Mohu navázat na
předchozí – naše trojka je takový smutný operátorský Klondike. A to
nemyslím vůbec cenovou politiku apod. Jediný, kdo se tady snažil něco
razantněji dělat, pokud si pamatuji, je Radek Zajíc u TMCZ, ale těžko
říct, zda to nebyl marný boj.
1) O2 – dělá na fixu i mobile DPI (Host u HTTP, SNI u HTTPS) pro mkt
účely; zkušenost ex-zaměstnance 2019
Takže tady bych tuneloval, co se dá, ostatně nedělám si iluze u jiných
operátorů, tedy díky za DNS-over-TLS/HTTPS, ESNI apod.
2) Vodafone – cca v lednu 2019 začal po mnoha letech blokovat na VDSL
příchozí provoz, od té doby účtuje 175 CZK za "veřejnou a statickou
IPv4", ačkoli statická by nebyla vůbec potřeba; IPv6 je utopie
3) TMCZ – jsem v Praze na "fixním" LTE, protože nemám jinou možnost;
IPv4 za CGN, IPv6 v říši snů
Myslím si, že pokud se naši operátoři nepohnou, situace s IPv6 se nějak
nezlomí. Ondřej Caletka ukazoval na poslední prezentaci IPv6 u Orange v
Polsku, prostě paráda.
IPv6 tunel vpsFree je prima počin, ovšem škoda, že Mikrotik umí u
OpenVPN jen TCP/AES256-CBC+(MD5/SHA1) s certifikáty. Dalo by se to
naklikat i zde, se současným (a chápu, rozumným) nastavením bych
potřeboval další stroj na routing. Ale IPv6 laboratorní síť Radka Zajíce
se mi líbila.
Suma sumárum: ačkoli aktivity kolem IPv6 naprosto vítám a podporuji,
mohu jej využívat tak akorát na koncové stanici po wireguard tunelu ke
Cloudflare (WARP).
A tip: pokud používáte nginx jako proxy (líbí se mi to), doporučuji
zadefinovat si nejprve upstream a ten použít v proxy_pass, bude vám pak
fungovat keep-alive a agregace spojení směrem k upstreamu (s trošku
dalších parametrů), jinak nikoli, je to někde v dokumentaci popsáno.
Petr
Ahojte vespolek,
nekdy to prijit muselo, k prilezitosti 4. 6. roku cisla vysokeho, a sice
2020 - je na case zacit mavat kapesnickem, vstupujeme do prvni faze
pohrbu IPv4...
IPv4 je mrtvy protokol.
Jsme davno za bodem si to priznat, ted uz nam nezbyva, nez se s tim
hlavne nejak vyrovnat.
V ramci Rady vpsFree.cz jsme se k tomuhle kroku chystali uz dlouho, pak
se ale nakonec povedlo ziskat jeste posledni /22 IPv4 blok, takze jsme
to mohli trochu odlozit, ale uz je to tu:
Od ted uz nedavame zadne dalsi verejne IPv4 adresy per-clen, kazdy clen
ma narok na jednu a tim to konci.
Vsechny sluzby, ktere ve vpsFree provozujeme (a ze jich je), mame za
jednou verejnou IPv4 adresou, za VPS, ktere rikame proxy.vpsfree.cz.
Svoje dalsi v4 adresy maji jen nameservery (a zprasene legacy instalace,
ktere ceka prevod za proxy, vc. mailu, tam je to kvuli ticketingu pres
RT docela bordylek, ale to se vyresi nekdy pri pristim upgradovani).
Ted nastal cas pro vsechny, aby se tak zaridili. IPv4 adresy nejsou a
dalsi nebudou, nezbyva nam nic jineho.
V tehle fazi prestavame pridelovat dalsi verejne IPv4 adresy clenum (ani
za libovolny uplatek :D).
Pointou je, abychom umoznili dalsim, novym, mladsim, vstoupit na ten nas
zpraseny legacy Internet, dokud bude ten legacy protokol tak moc
potreba.
Kdyz jsme ho kolektivne dostali do bodu, kdy uz neni samo o sobe misto
pro nove, je nesmysl, abychom sami razili kurz, "jako by se nic nedelo".
Deje se - IPv4 adresy dosly; a nedeje tolik - IPv6 se porad zasekava u
koncovych ISP.
To neni stav, ve kterem bychom mohli pridelovat dalsi IP adresy tem,
kteri jsou lini nastavit si svoji proxy VPS ;)
Musime se snazit vsichni spolecne.
Petr Krcmar to sepsal na blog trochu libiveji:
https://blog.vpsfree.cz/prejdeme-na-ipv6-spolecne-potrebujeme-to/
Ale ja jsem si rikal, ze na mailing list bude lepsi napsat primo, jak to
vidime, jak to je.
Zaverem bych jenom uklidnil ty, co uz vic IPv4 adres maji, ze se
nechystame do toho stavajiciho stavu nijak brzo sahat (nejdriv, az kdyz
budeme muset, tj. tak za rok-dva od ted) - sice tak zas trochu pomahame
pravidlu, ktere v4 dostalo, kde je - "prvni prijde, prvni mele", ale zas
takovou urgentni adresni krizi netrpime.
To prijde, az (kdyz) bude potreba brat nekde dalsi IPv4 adresy pro nove
cleny a uz nebude odkud (pokud v4 nebude tou dobou minoritnim
protokolem).
Diky vsem za pochopeni,
/snajpa
Ahoj všichni,
včera jsem reagoval na diskuzi ohledně přechodu na IPv6 a omylem jsem to
poslal jenom Snajpovi. Chtěl bych mu poděkovat za jeho přístup a nabídku
dočasné IP adresy, abych se nedostal do problémů. Rozhodl jsem se, že
raději přenos serveru z playgroundu o týden odložím a zkusím to rovnou
udělat "načisto" s využitím proxy.
Chtěl jsem Vás poprosit o radu ohledně proxy pro mailserver (klasika
Postfix + Dovecot na Debianu). Chtěl bych si to tento víkend nastudovat
a potřeboval bych nasměrovat na nějaké vhodné řešení. V podstatě mám teď
jeden starý VPS s IP4, kde mi běží klasický "hosting" (Nginx, MariaDB,
Postfix a Dovecot na Debian 9). Na playgroundu mám druhý VPS s Debian
10, na kterém mám nainstalovaný jen Postfix a Dovecot. Chtěl bych z
"hostingového" VPS přesunout mailové služby na ten nový a mít tak dva
stroje, jeden na mail a jeden na web.
Je podle Vás lepší řešení udělat na "hostingovém" VPS proxy pro ten
mailserver nebo to obrátit a udělat mailserver s IP4 a přidat tam proxy
pro webové služby?
Co byste případně použili jako proxy software před ten mail server? Já
se včera díval na Nginx, který umí proxy imap a smtp, ale nebylo mi
úplně jasné použití "http auth". Jestli jsem to pochopil správně, musel
bych mít databázi uživatelů na tom proxy, což mi přišlo nešikovné. Ten
přesun jsem plánoval hlavně kvůli tomu, abych si ty služby oddělil a měl
v tom "pořádek" - tzn. ocenil bych mít vše k e-mailům na jednom stroji.
Všechny zdraví
Honza
--
Jan B. Kolář
Zažeň nudu
Hodolanská 17, 779 00 Olomouc
tel: +420 605 800 859
e-mail: janbivoj.kolar(a)zazen-nudu.cz
www.zazen-nudu.cz
Ahoj,
díky moc za rady. Zatím se mi jako nejschůdnější řešení jeví to, že
udělám mailserver s IPv4 a nginxem jako proxy pro weby běžící na druhém,
IPv6 only stroji. Včera jsem to trochu studoval, ale zatím mi některé
věci nejsou úplně jasné. Zkusím to začít testovat a uvidíme, kam se pohnu.
Honza
--
Jan B. Kolář
Zažeň nudu
Hodolanská 17, 779 00 Olomouc
tel: +420 605 800 859
e-mail: janbivoj.kolar(a)zazen-nudu.cz
www.zazen-nudu.cz
Ahoj,
netýká se to přímo vpsFree, ale je to z oboru :-) Chtěl bych si postavit VM
server a osadit ho 2TB NVMe úložištěm. Otázka je, jak to zálohovat. Obecně
se nedoporučuje NVMe dávat do RAIDu, to ani nechci, ale jak to nejlépe
zálohovat např na plotnový disk. Napadá mě jen kopírovat VM jednou za čas
na HDD, ale určitě existuje i něco chytřejšího. Původně jsem chtěl SATA SSD
do RAIDu, ale kvůli výkonu bych raději NVMe.
Teď mám ESXi a v tom HW RAID 1 z 15k disků a zálohy nedělám. Na Zabbix by
to chtělo ale něco rychlejšího. Netrvám na ESXi, ale mělo by to být free a
rozjet tam vše, co na tom ESXi (Linux i Windows stroje).
Předem dík za tipy.
Mirek
