Ahoj,
(English below)
# Otisky SSH klíčů
V detailu VPS ve vpsAdminu nově najdete otisky SSH host klíčů
(fingerprints). Při prvním přihlášení přes SSH tak můžete zkontrolovat
identitu serveru. Otisky klíčů se vyčítají ze souborů
/etc/ssh/ssh_host_*.pub ve VPS. Klíče se čtou po každém startu VPS a pak
jednou za hodinu.
# Úpravy VPS adminy vpsFree
Šablony distribucí, ze kterých se vytváří nové VPS, mohou mít nastavení
specifické pro naše prostředí. Může se stát, že bug nebo nová vlastnost
aplikací či našeho prostředí bude vyžadovat změnu konfigurace systému.
Týká se to prakticky jen základního systému, tj. nastavení, které jsou
součástí šablon. Ve vpsAdminu máte možnost si nastavit, jestli o takové
úpravy máte zájem. Ve výchozím stavu je to povoleno. Pokud bychom ve VPS
něco měnili, budeme o tom informovat emailem.
Pro představu, nedávno jsme z kernelu odstranili cglimit cgroupu -- náš
vlastní controller, který se ukázal jako zbytečný. Distribuce se systemd
si s tím poradily samy, ale třeba Alpine/Devuan/Void mají seznam cgroups
zapsaný v init skriptu, takže jsme jej v existujících VPS museli upravit.
# cgroups v2
Tento rok bychom rádi započali přechod na cgroups v2. cgroups v Linuxu
se používají na účtování a limitaci skupin procesů. V našem prostředí je
to jeden ze základních prostředků pro izolaci VPS, používáme to primárně
na nastavení limitu paměti a času CPU. Na cgroups samozřejmě staví
všechny kontejnerové řešení jako docker, apod.
V současné době používáme cgroups v1 v hybridní hierarchii a právě
protože VPS jsou kontejnery, verze cgroups je daná hostitelem. systemd v
roce 2024 nejspíše přestane cgroups v1 podporovat, takže na to chceme
být připraveni. Aktuální distribuce už v2 podporují, ty starší jako
CentOS 7 budeme nadále provozovat na nodech s v1.
Ve vpsAdminu lze u VPS nastavit, jakou verzi cgroups VPS vyžaduje. Ve
výchozím stavu se to řídí šablonou distribuce. Pokud mají aplikace ve
VPS speciální požadavky, můžete si vynutit cgroups v1 a zabránit tak
budoucí migraci na v2. Naším cílem bude přesunout všechno co jde na
cgroups v2. Více info a seznam distribucí podporujících cgroups v2
najdete v KB:
https://kb.vpsfree.cz/navody/vps/cgroups
Žádnou akci z vaší strany to nevyžaduje, o případném přesunu VPS na
cgroups v2 budeme informovat individuálně v následujících měsících.
ENGLISH:
# SSH host key fingerprints
You can now see SSH host key fingerprints in VPS details in vpsAdmin.
You can check that the fingerprints match on your first SSH login,
making sure that you're connecting to your server. Key fingerprints are
read from /etc/ssh/ssh_host_*.pub files found inside the VPS. The files
are read on every VPS start and then once an hour.
# VPS modifications by vpsFree admins
New VPS are created from distribution templates and those can have
settings specific for our environment. It can happen that a bug or a new
feature in applications or our platform will require or benefit from
configuration change. You can configure whether you wish to have your
VPS updated by vpsFree admins should the need arise in VPS details in
vpsAdmin. It is enabled by default. We modify only the base system
configuration files and we will notify you by email when any changes are
made.
For example, we have recently removed the cglimit cgroup controller from
our kernel. It was our own creation and we've discovered it was only a
source of bugs. VPS using systemd handled this removal without any
problem, but distributions such as Alpine/Devuan/Void have the list of
cgroup controllers hardcoded in their init script. We've thus updated
the init script to not emit warning about cglimit mount failure on boot.
# cgroups v2
This year, we would like to begin transition to cgroups v2. cgroups in
Linux are used to account and limit groups of processes. On vpsAdminOS,
it is a fundamental component used to create a VPS. We use it primarily
to limit memory and CPU usage. cgroups are of course used by all other
container systems, such as docker, etc.
At this time, we're using cgroups v1 in a hybrid layout. Since VPS are
containers, the cgroup version is determined by the host. As systemd
will possibly remove support for cgroups v1 in 2024, we'd like to be
ready. Current distributions already support cgroups v2, the older ones
like CentOS 7 will be kept on nodes with cgroups v1.
Our goal will be to move as many VPS as possible to cgroups v2 nodes. By
default, we look at the distribution used inside the VPS to see if it
supports cgroups v2. If you wish, you can configure your cgroups version
preference in VPS details in vpsAdmin and pin it to cgroups v1 to
prevent future migration. More information about cgroups v2 and a list
of supported distributions can be found in KB:
https://kb.vpsfree.org/manuals/vps/cgroups
No action from you is needed at this time. We'll keep you updated about
the upcoming migration in the months to follow.
Jakub
Ahoj,
na VPS mám pomalý login. Trvá to cca 30 sekund, než proběhne ověření a
dojde k přihlášení. Když si dám u ssh podrobnější výpis, zjistím, že to
visí mezi těmito dvěma hláškami:
debug1: pledge: filesystem
debug1: client_input_global_request: rtype hostkeys-00(a)openssh.com
want_reply 0
Doteď mi to nevadilo, protože se k serveru nepřipojuju tak často, aby
mně těch 30 sekund vadilo, ale teď zkouším rozjet Cockpit a ten mi na
tom timeoutuje.
Našel jsem, že se to děje lidem s LXC, tak jsem se chtěl zeptat, jestli
jste taky na to u VPSfree nenarazili a jestli neexistuje nějaké
nastavení ssh nebo pam, které by to vyřešilo.
Jirka
Ahoj,
ladim spatny vykon zapisu do sqlite databaze v produkci (jak je to
dobre rozhodnuti nechme na jinou debatu :-D ); zapisy se deji v jednom
threadu. Problem je v tom, ze transakce v produkci jsou 10-20krat
pomalejsi nez u me na localhostu. Snazim se zjistit cim to je (driv
nez budu muset migrovat na jinou db).
Nesetkal jste se nekdo s necim podobnym? Nejake napady?
Zkousel jsem zreplikovat chovani pomoci jednoducheho (serioveho)
skriptu s 500 commity:
https://pastebin.com/huhhVGw2
vysledky: Journal (write ahead log) x synchronous mode (off
nejrychlejsi, normal bezpecnejsi & pomalejsi), cisla jsou mean +- std
vteriny.
localhost (ssd v notebooku)
journal= sync=OFF 1.051 +- 0.042
journal= sync=NORMAL 2.502 +- 0.237
journal=WAL sync=OFF 1.042 +- 0.022
journal=WAL sync=NORMAL 1.135 +- 0.065
produkcni stroj @ node21.prg
journal= sync=OFF 2.778 +- 1.415
journal= sync=NORMAL 2.876 +- 0.627
journal=WAL sync=OFF 2.382 +- 0.404
journal=WAL sync=NORMAL 2.475 +- 0.494
Prijde mi zvlastni maly rozdil mezi jednotlivymi rezimy ve vps & to ze
vse je o hodne pomalejsi nez nevirtualizovany stroj, myslite, ze to
vznika nejakou vps abstrakci nad ssd?
Nejake napady co s tim?
Diky,
JM
Ahoj,
přeinstaloval jsem si VPS z Debian 10 na Debian 11 a narazil jsem na jeden
problém.
Server občas použiju jako VPN server do internetu a proto jsem na něm
příslušný VPN provoz NAToval pomocí 'iptables' ven. Na Debianu 11 již
iptables nejsou, takže jsem použil ekvivalentní posloupnost 'nft'
pravidel.
Problém dělá konkrétně následující pravidlo:
/etc/firewall/ruleset.nft:13:60-63: Error: Could not process rule: No such
file or directory
add rule nat postrouting ip saddr 192.168.0.0/16 oif venet0 snat to
VPS.IP.ad.dr
^^^^
Poznamenávám, že na jiných strojích mi obdobné pravidlo funguje, jen na
VPS ne. Přijde mi to jako nějaké omezení vpsAdminOS.
Máte prosím někdo nějakou radu?
- Jirka
Na VPSce, kterou spravuju mám jeden takový problém s Amavisem, kdy po
restartu(nejblbější je to při těch nočních restartech) se zasekne a odmítá
spojení
--------------------------------------------------------------
Oct 18 23:32:16 slevmejih postfix/smtp[877]: connect to
127.0.0.1[127.0.0.1]:10024: Connection refused
Oct 18 23:32:16 slevmejih postfix/smtp[877]: 26F23D0D14: to=<xxx(a)gmail.com>,
orig_to=<xxx(a)yyy.cz>, relay=none, delay=0.31, delays=0.29/0.02/0/0,
dsn=4.4.1, status=deferred (connect to 127.0.0.1[127.0.0.1]:10024:
Connection refused)
Oct 18 23:32:16 slevmejih postfix/smtp[877]: 26F23D0D14: to=<xxx(a)yyy.cz>,
relay=none, delay=0.31, delays=0.29/0.02/0/0, dsn=4.4.1, status=deferred
(connect to 127.0.0.1[127.0.0.1]:10024: Connection refused)
--------------------------------------------------------------
Nevíte někdo co s tím, klient pro kterého VPSku spravuju už ne mně začíná
být naštvaný.
Filip Bartmann
Ahojte,
(TLDR: prechazime na silnejsi hardware, do konce roku vypiname stare
OpenVZ stroje)
puvodne to mel byt delsi mail sem, na community-list, ale nakonec z toho
vylezl blogpost:
https://blog.vpsfree.cz/inovujeme-skoro-vsechen-hardware-chceme-byt-energet…
Se spoustou z Vas uz jsme si o tom psali, tady je shrnuti pro ty, co
nestihaji tolik sledovat aktualni deni - kdo byste ho sledovat chteli,
jen nevite kde, to spravne misto je nase IRC, tam to vzdycky probirame,
jak to prichazi :)
Pro ty, co by byli na pochybach, jestli to ten HW bude stihat, doplnim,
ze ve vpsAdminu pribyly na front page odkazy na Munin, po prihlaseni
jsou rozkliknutelne ty nejdulezitejsi, bez prihlaseni ten procentualni
udaj vytizeni CPU je ted odkaz, ktery vede na celou Munin page daneho
stroje. Stiha to v pohode, pokud se stane, ze neco drhne, je to v
podstate garantovane softwarem a je to tim padem resitelne. Prosim,
pokud pocitujete nejaka zpomaleni, i kdyz si budete myslet, ze je to jen
drobnost, piste radeji driv, nez pozdeji.
Uprimne myslim, ze uz mame vetsinu vyladovani za sebou a tak uz ted, po
pristi varce rebootu do 5.10.147, vsechno pobezi hladce - nicmene, jak
rikam, pri sebemensim zavahani radeji piste (idealne na podporu).
Diky vsem za spolupraci :)
/snajpa
Cau,
kluci by chteli videt na OpenAltu nejakou prednasku na tema NixOS.
Pokud byste prijeli do Brna a naucili byste nas pouzivat/vyvijet NixOS,
tak by to bylo super.
Prednasku pripadne prihlasit sem:
https://www.openalt.cz/2022/ (jestli ste prosvihli deadline, tak to
neni problem, je to jenom orientacni informace, ze zaciname davat
dohromady program)
--
Jozef Mlich <jozef.mlich(a)openalt.org>
Ahoj,
na VPS 20533 o kterou se pro jednoho člověka starám byl včera objeven
proces xmrig což je podle všeho program na těžbu měn.
VPSku jsem prohledával, ale nikde tam ani ve webech ani na filesystému
nemůžu najít stopu po tomto programu.
Na VPSce běží běžné weby. Kterým směrem bych se měl zaměřit?
Ahoj,
Filip