Брацки Фермы — различия между версиями

Материал из Брацка Правки
Перейти к: навигация, поиск
(Физическая oснова (2))
Строка 66: Строка 66:
 
===Физическая oснова (2)===
 
===Физическая oснова (2)===
 
:Характеристики второго([[bare metal]])сервера:
 
:Характеристики второго([[bare metal]])сервера:
:Dedicated Root Server
+
:*Dedicated Root Server
:Intel Xeon E3-1245
+
:*Intel Xeon E3-1245
:2x HDD SATA 3,0 TB Enterprise
+
:*2x HDD SATA 3,0 TB Enterprise
:4x RAM 8192 MB DDR3 ECC
+
:*4x RAM 8192 MB DDR3 ECC
:NIC 1 Gbit Intel 82574L
+
:*NIC 1 Gbit Intel 82574L
:RAID Controller 4-Port SATA PCI-E LSI MegaRAID SAS 9260-4i
+
:*RAID Controller 4-Port SATA PCI-E LSI MegaRAID SAS 9260-4i
:Location: FSN1 (Falkenstein/Vogtland, Germany) -- DC7
+
:*Location: FSN1 (Falkenstein/Vogtland, Germany) -- DC7
:Rescue system (English)
+
:*Rescue system (English)
  
 
===IP адреса (2)===
 
===IP адреса (2)===

Версия 17:44, 16 мая 2022

Брацки Фермы (здесь и далее по тексту -- Фермы) -- это инфраструктура Брацка Облака (здесь и далее по тексту -- Облака). Архитектура облачной инфраструктуры не определена. Скорее всего, когда работа Школы войдёт в привычный режим, инфраструктура должна состоять из некой комбинации частного и общественных облаков.


Частное облако

Если частное облако будет признано необходимым, оно будет построено на OpenStack технологии. Требования: существование резервной модели работы и возможность восстановления работоспособного состояния, включая бэкапы на все собственные данные и разработки.

Существующие сервера

Hetzner EX40-SSD

Описание URL Технология Предназначение Проблемы
DC 21, 32GB, 30 TB, IP 148.251.188.31, €49.58 в месяц careernetworkministry.org Odoo Административный учёт (а) Нет центральной авторизации пользователей; (б) практически никто не пользуется; (в) непонятно, что, если что-то, было выполнено по безопасности, (г) не описан порядок создания и восстановления резервных копий, (д) не описана структура системы (связана ли эта инсталляция с другими и, если да, то как), (е) не описана структура первичных и вторичных баз данных, (ж) не описан порядок обновления версий, (з) не описан порядок обслуживания
theeconomicgroup.org
friendsofcnm.com
theeconomicgroup.com HTML5 Прототип вэбсайта. Надо развивать прототип.
friendsofcnm.org MediaWiki Открытый источник знаний и, одновременно, работа для новичков. (а) Нет центральной авторизации пользователей; (б) неверное размещение -- вики занимают место вэбсайта представляющего Друзей СПС, (в) непонятный URL -- обеспечение добавляет /index.php/, которое может сбить с толку посетителей; (г) невозможно загружать иллюстрации; (д) отсутствие логотипа; (е) не поддерживается многоязычность; (ж) официально не прописаны правила создания, хранения и восстановления запасной версии, если таковые имеются, и так далее.
Не определено. Moodle Программное обеспечение курсов и других учебных операций типа экзаменов, опросов, семинаров и так далее. (а) Нет центральной авторизации пользователей; (б) непонятное размещение; (в) отсутствие описания; (г) отсутствие логотипа и так далее.

DigitalOcean droplets

Описание URL Технология Предназначение Проблемы
NYC1, 2GB, 50GB disk, IP 159.89.93.1, $10 в месяц Новый дроплет под Оплёт
  • Opplet на opplet.net -- самописанная на Yii система управления пользователями
Проблем нет; это -- один из двух активно используемых дроплетов на данный момент -- Backups are currently enabled
NYC1, 2GB, 50GB disk, IP 159.89.230.212, $10 в месяц Новый дроплет под систему для работы с Оплётом
  • Инсталляция Redmine -- она стоит отдельно от всего для использования исключительно администраторами.
  • Инсталляция Moodle на https://wiki.ksacerts.com

Общественное облако

Общественное облако типа AWS должно быть использовано первым из-за меньших расходов по его вводу в эксплуатацию.

Железо 1

Физическая oснова (1)

Железный сервер (bare metal) арендован на hetzner.de. Он имеет такие характеристики:
  • Dedicated Root Server SB35
  • Intel Core i7-3930
  • 2x HDD SATA 3,0 TB
  • 8x RAM 8192 MB DDR3
  • NIC 1 Gbit - Intel 82579LM
  • Location: FSN1 (Falkenstein/Vogtland, Germany) -- DC7
  • Rescue system (English)

IP адреса (1)

Основной IP адрес Железа -- наш-IP . На начало февраля 2022, Железо использует один дополнительный IP адрес 4-го протокола (IPv4):
  • IP: 5.9.40.133
  • Gateway: 5.9.40.129
  • Netmask: 255.255.255.224
Не предпринималось попыток работать с IP адресами 6-го протокола (IPv6).

Виртуализация (1)

Два инструмента задействованы для виртуализации:
  1. На уровне основного сервера, виртуализация выполнена средствами RAID, то есть два жёстких диска HDD SATA действуют как один диск на 3,0 TB, обеспечивая сохранение данных в случае отказа одного из дисков.
  2. Для создания виртуальных машин и работы с контейнерами, установлена среда ProxmoxVE.

Железо 2

Физическая oснова (2)

Характеристики второго(bare metal)сервера:
  • Dedicated Root Server
  • Intel Xeon E3-1245
  • 2x HDD SATA 3,0 TB Enterprise
  • 4x RAM 8192 MB DDR3 ECC
  • NIC 1 Gbit Intel 82574L
  • RAID Controller 4-Port SATA PCI-E LSI MegaRAID SAS 9260-4i
  • Location: FSN1 (Falkenstein/Vogtland, Germany) -- DC7
  • Rescue system (English)

IP адреса (2)

На основном сервере используется либо локальный IP, либо частный диапазон IP с DHCP. Если не возникнет особых проблем, мы планируем использовать 2 адреса IPv4. Мы также открыты для изучения IPv6. Если мы используем адреса About ipv4, нам нужно 5 ips: один для основного сервера, два для шлюза, три для любого vps или контейнера и четыре для Wordpress vps, и 5 для любого другого, который нам понадобится в будущем.

Виртуализация (2)

ProxmoxVE поставляется с OpenZFS, поэтому мы настоятельно рекомендуем использовать его. Также будут обсуждаться другие реализации программных RAID на различных уровнях. На данном этапе мы не рассматриваем аппаратные решения, чтобы избежать зависимости от проприетарных карт RAID.

Доступы

Администраторские

Управление виртуальными машинами и контейнерами производится через интерфейс ProxmoxVE. Остальные доступы организованы по SSH.

Пользовательские

Для доступов пользователей к виртуальным машинам используется Apache Guacamole, на котором построен узел удаленных рабочих столов. Пользователь заходит на машину и работает на ней аналогично работе на собственном компьютере или друго устройстве.

Защита

Для предотвращения так называемых brute-force attack, то есть попыток подобрать пароли методом перебора множества вариантов, был установлен Fail2Ban.
При предоставлении доступа через SSH к тем машинам, на которых был установлен WordPress и Moodle, там постоянно что-то происходило, не давало зайти по SSH. Именно на этих 2-х машинах Fail2Ban был отключен первым.
Далее, Fail2Ban делал записи в iptables, из-за которых невозможно было получить доступ к серверам по SSH для Apache Guacomole. После этого Fail2Ban был заблокирован.

Разработка Ферм

Основная вики-страница: Проекты Ферм