Kubernetes, hier im speziellen K3S läuft leider nicht ohne Probleme auf ZFS. Der zugehörige Bug wurde bereits 2021 geschlossen und das Thema leider nicht weiter bearbeitet. Um dennoch K3S in meinem Proxmox zum laufen zu bekommen, habe ich den hier vorgestellten Workaround gefunden.
LVM-over-ZFS in Proxmox einrichten
Zuerst erzeuge ich ein ZFS Volume auf dem ZFS-Pool, welches als Root-Filesystem für den LXC-Container verwendet werden soll. Das Volume sollte eine geeignete Größe haben, ich verwende hier 100 GB.
Since a few weeks I own an HP Pavilion Aero 13 which I want to use as travel laptop. This little thing has less than a kilogram and is powered by a beefy AMD Ryzen 5 5600U. Unfortunately, S3 suspend does not work on Linux. It’s not because the device does not support it. It is because some stupid HP engineers decided not to expose this feature to the operating system.
I’m monitoring my infrastructure for years with nagios and it’s clones (Shinken Monitoring with Thruk as UI in most cases). I was often looking for a better replacement but always came back to my old solution. I had a look to Icinga 2 but for my taste it’s a bit over-engineered for what it does.
In this article I show how to solve a tricky problem. Rancher Server can use ACME (Let’s Encrypt) to create it’s own certificates or it can create self-signed certificates. To use ACME certs, Rancher usually needs to be bound exclusively on port 80 and 443. So if the IP address shall be used for other services too (using a proxy like Traefik), Rancher is commonly set up to use self-signed certificates. The drawback of this setup is that „kubeconfig" files generated by Rancher, also use these self-signed certificates and the user needs to edit it manually.
Ich habe kürzlich ein bestehendes Web-Hostingsystem auf Kubernetes migriert. Dabei sollte das Management-Tool „Froxlor" weiterhin im Einsatz bleiben, das ganze jedoch von der bisherigen dedizierten Maschine in einen Kubernetes-POD umziehen. In einem anderen Projekt wurde bereits ein Docker-Container sowie ein Helm-Chart für Froxlor erstellt.
In diesem Blog-Post beschreibe ich, wie man mit wenigen Schritten PowerDNS als Nameserver einrichtet. Alle Dienste werden mittels Docker-Compose als Container betrieben. Als Backend kommt MariaDB mit Master-Slave-Replikation zum Einsatz. Als WebUI setze ich PowerDNS-Admin ein.
Ich habe mir Vodafone GigaCube mit einem Volumen von 200 GB / Monat als DSL-Ersatz zugelegt. Der Cube selbst war schnell eingerichtet und im LEDE-Router als Gateway eingetragen. Allerdings muss ich damit ein weiteres Gerät und bekomme auch noch Doppel-NAT. Daher habe ich das ganze auf einen Huawai E3372 Surfstick umgebaut.
Die Prozedur war holpriger als erwartet, was nicht an der Komplexität sondern an den lückenhaften Infos im Netz liegt. Daher trage ich hier mal alle notwendigen Schritte zusammen.
Für einen Server-Umzug sollte das neue System übergangsweise mit IP-Adressen des alten Systems betrieben werden. Da das neue System bei einem anderen Anbieter gehostet wird als das alte, war eine Übernahme der IP-Adressen via Routing nicht möglich. Daher habe ich ein Routing über einen verschlüsselten Tunnel via Tinc-VPN eingerichtet.
Der Prozess war nicht ganz so einfach wie ich dachte. Wie ich es zum Laufen bekommen habe, dokumentiere ich in diesem Artikel.
Vagrant is a cool piece of software that allows automatic deployment of development machines. It is even usefull to bring the result of development to production. In all cases, security should be a concern. Ready to use box templates often come with a default user (vagrant, password vagrant) and a well-known, insecure private ssh key for that user. This raises a security issue - everyone with network access to the machine can login using the credentials or the ssh key. While this issue is well known and addressed in many discussions (and solved with Vagrant 1.7 which by default replaces the keys), another similar issue still exists.
Der Heartbleed-SSL-BUG hat viele Nutzer von SSL-Zertifikaten verunsichert. Während einige der CAs anscheinend die Sicherheit des Systems als Ganzes im Blick haben und das kostenlose Widerrufen von Zertifikaten ermöglichen, beharrt StartSSL darauf dass die Sicherung des Schlüssels dem Nutzer obliegt und verlangt ~25 $ für das Widerrufen seiner Zertifikate.
Dieser Artikel beschreibt, mit welchen man Parametern sich ein ZFS-Dateisystem unter Linux einrichten lässt, um eine sehr gute Performance zu erzielen.
Versucht man debian-zfs in einer chroot-Umgebung zu installieren, schlägt dies fehl, wenn auf dem Host ein anderer Kernel installiert ist, als in der chroot-Umgebung. In diesem Fall kann man die Kernel-Module einfach selbst bauen.