О бедном ТЗ замолвите слово

🔤🔤🔤🔤🔤🔤🔤

Без внятного ТЗ — Результат ХЗ.

При любой задаче всегда необходимо составить ТЗ.

Если ТЗ составлено хорошо, то сразу определяются инструменты, которые будут необходимы для работы и сразу ограничивается область с которой будет проведена работа. Это значительно сокращает время на поиск решения.
ㅤ
Допустим вам нужно купить новый ноутбук.

Изначально у вас есть ограничение — бюджет.

Далее вы выделяете те характеристики которые вам необходимы.

При этом часть характеристик будут друг другу противопостовляться.

Ноутбук с 17 дюймовым экраном практически не может быть легче чем ноутбук с 12 дюймовым экраном.

Если ТЗ было составлено правильно и выделены нужные параметры, то круг покупки сужается и выбрать ноутбук становится значительно легче.

При создании какого-то проекта, опять же чем детальнее и лучше ты опишешь что ты хочешь — тем легче тебе будет работать с проектом.

При проекте:

🔤 Все рисуем и документируем (чтобы было потом понятно куда и что ставить)

🔤 Схема сети (чем лучше проработана схема — тем проще потом будет создавать защиту на сетевом уровне)

🔤Какие требования ты предъявляешь к проекту (ОТП, сертификаты, хранилище образов и конфигураций, dns, ntp, proxy для управления трафиком, где будет точки управления (mgmt segment) и как ты все это будешь защищать.)

🔤 Далее подбираются решения по каждому вопросу, описанному выше.

🔤 Проверяется во сколько обойдется данный проект (бюджетирование)

🔤 Описывается общая политика кому и что позволено в данном проекте.

🔤 На основе этих планов выискиваются узкие места, которые могут не справится с нагрузкой и продумывается возможность их масштабирования.

После подробного описания (в документации) можно начинать вообще что-то делать 😲

Поэтому прежде чем задавать вопросы на форуме/чате сначала напишите:

🤩 Что хотите получить.

🤩 Приложите логи где ошибка.

🤩 При сетевых вопросах — хотя бы схему от руки как минимум как вы хотите чтобы это работало.

🛠 #рабочиебудни #workflow
—
💬 Bashdays 📲 MAX 🌐 LF 🔵 Blog

Сегодня затронем довольно сложную тему bash: Использование групп в регулярных выражениях.
ㅤ
Обычно для регулярок используют grep. Он очень функциональный и быстрый, но иногда использование встроенных в bash регулярок может здорово упростить скрипты.

🔤🔤🔤🔤🔤🔤🔤

Приведу простой пример:

#!/bin/bash

declare PREF="FILE"
#создаем 10 файлов с "плавающим" префиксом
for FILE in  "202512"{01..10};do
  touch ${PREF:$RANDOM%4}${FILE}".txt"
done

# Выбираем только файлы с префиксом из двух или трех символов и "даты"
for FILE in *;do
  if [[ $FILE =~ (.{2,3})([0-9]{4})([0-9]{2})([0-9]{2}) ]];then
#   echo $FILE
    declare -p BASH_REMATCH
  fi
done

Первый for создает 10 тестовых файлов c «случайным» префиксом (1-4 последние буквы слова FILE).

Второй for — основной выбирает нужные нам файлы. А что именно нам нужно — задает регулярное выражение.

Разберем подробнее:

(.{2,3})([0-9]{4})([0-9]{2})([0-9]{2})

Обратите внимание — регулярку нельзя заключать в кавычки, иначе она превратиться в тыкву строку.

Напомню:

. - заменяет любой символ, кроме перевода строки
{2,3} - определяет количество захватываемых символов
[0-9] - любой символ в диапазоне 0-9
() - захватываемая группа

Первая группа (.{2,3}) — Захватывает от 2 до 3 любых символов {2,3} указывает минимальное и максимальное количество.​

Вторая группа ([0-9]{4}) — Захватывает ровно 4 цифры (0–9)​.

Третья и четвёртая группы ([0-9]{2})([0-9]{2}): Каждая захватывает ровно 2 цифры.​

➡️ И теперь самое главное:

Если строка (в данном случае имя файла) соответствует regexp - захваченный результат помещается в массив BASH_REMATCH с индексом 0

Все остальные группы помещаются в следующие элементы массива. Получаем что-то типа:

declare -a BASH_REMATCH=([0]="LE20251204" [1]="LE" [2]="2025" [3]="12" [4]="04")
...

По итогу — с помощью одного if мы получили: Префикс файла (1), год (2), месяц (3) и день (4).

Ну, на всякий случай напомню, если вдруг решите дни или месяцы использовать в математических операциях — придется избавиться от ведущих нулей, поскольку числа, начинающиеся на «0» bash считает восьмеричными.

Для перфекционистов скажу, что данная регулярка не является строгой по отношению к датам, но в большинстве практических скриптов ее можно использовать.

Всем кода без багов.

🛠 #bash
—
💬 Bashdays 📲 MAX 🌐 LF 🔵 Blog

Древнее зло пробудилось!
ㅤ
Отвлекись от айтишной рутины и приручи змею, довольно залипательная штука, ничего не нужно устанавливать, открыл в браузере и полетел жрать квадраты.

Юзабилити:

1. wasd + qe
2. space

🛠 #games
—
💬 Bashdays 📲 MAX 🌐 LF 🔵 Blog

Привет, сегодня будем учить zsh автоматически перечитывать конфиг после изменения.
ㅤ
Каждый раз заёбисто делать source ~/.zhsrc после очередных изменений, да и плагинов я актуальных найти так и не смог.

По-хорошему можно было бы и плагин для сообщества накидать, но я ленивая скотина и обошелся Bash скриптом.

Поэтому открываем ~/.zshrc и пихаем в него такое:

ZSH_LAST_MOD=$(stat -c %Y ~/.zshrc 2>/dev/null || stat -f %m ~/.zshrc)
precmd() {
  local new_mod=$(stat -c %Y ~/.zshrc 2>/dev/null || stat -f %m ~/.zshrc)
  if [[ $new_mod != $ZSH_LAST_MOD ]]; then
    if zsh -n ~/.zshrc; then
      source ~/.zshrc
      ZSH_LAST_MOD=$new_mod
      echo "🔄 .zshrc auto-reloaded (OK)"
    else
      echo "⚠️ .zshrc has syntax errors — reload skipped"
    fi
  fi
}

Теперь после каждого изменения файла ~/.zshrc конфиг будет автоматически перечитан. НО перечитан он будет только после проверки, если ты своими кривыми руками где-то накосорезил — идешь нахуй. Логично? Логично!

Как это работает:

1. Сохраняет timestamp последней модификации .zshrc

2. precmd() — специальная функция zsh, которая автоматически вызывается перед каждым выводом prompt (после любой команды или Enter). Вызывается незаметно, идеально для фоновых проверок без вмешательства в работу.

3. Дальше логика, сравнивает timestamps — если .zshrc отредактирован и сохранен, переходит к проверке.

4. zsh -n файл — проверяет синтаксис без выполнения (no-execute mode). Возвращает 0 при успехе, > 0 при ошибках (дубликаты, незакрытые скобки и т.п.).

5. Ну а дальше сообщает тебе, все ок или идешь нахуй.​

Нюанс:

echo 'syntax error' >> ~/.zshrc

/home/user/.zshrc:226: command not found: syntax
🔄 .zshrc auto-reloaded (OK)

Проблема в том, что zsh -n проверяет только синтаксис (скобки, конструкции), но не выполнение команд. Имей это ввиду.

Если сделать так:

echo '# syntax error' >> ~/.zshrc
🔄 .zshrc auto-reloaded (OK)

То всё пройдёт замечательно. Ну ты понял к чему я клоню.

Тема прикольная, экспериментируй.

🛠 #bash #linux #shell
—
💬 Bashdays 📲 MAX 🌐 LF 🔵 Blog

Как расшифровать бекапы TrueNAS

У меня в домашней лаборатории self-hosted торчит TrueNas и по шедуллеру заливает бекапы критичных файлов по протоколу webdav в облако.
ㅤ
В облаке каждый файл имеет расширение .bin, если скачать к себе на машину такой файл, то внутри будет мусор.

И тут возник логичный вопрос, если мой TrueNas пойдет по пизде, как мне забрать из бекапа файлы и расшифровать их без участия TrueNas?

Оказалось все довольно просто. Под капотом TrueNas установлен rclone, который и выполняет задачу резервирования данных. Получается имея на своей локальной машине rclone теоретически можно забрать шифрованные бекапы и легко их расшифровать.

Давай попробуем реализовать задуманное.

Бекапы шифруются с помощью Encryption Password и Encryption Salt, эти параметры задаются в TrueNas, соответственно нам понадобятся эти данные.

Для начала расшифруем один файл, посмотрим как всё проёдет.

Зашифрованный бекап файла я скачал к себе на машину и положил в папку /tmp/encrypted/file.jpg.bin

Если файл открыть на просмотр, увидим такое:

RCLONE......hx^..]]NN..
..=._.S...4:..b...P...3`.^u0yO  Ҭ..)..fkMP...K..

Пишем конфиг ~/.config/rclone.conf:

[cryptbackup]
type = crypt
remote = /tmp/encrypted
filename_encryption = off
directory_name_encryption = false
password = ZK6U8CZRqP-vT5fK0HwjO_Q
password2 = -GGulJpRclHETHVhp1MMs

Этот конфиг сгенерился автоматически, после запуска rclone config и заполнения данных.

Чтобы получить зашифрованный пароль из командной строки, воспользуйся командой:

rclone obscure "<password>"
rclone obscure "<salt>"

Потом эти данные можешь подставить в конфиг.

Если в TrueNas включено шифрование имен, то в параметре filename_encryption нужно прописать standard. Не проебись, на конце буква «d».

Проверяем:

rclone ls cryptbackup:

1974875 file.jpg

Отлично! Что-то сработало. Давай наконец-то расшифруем этот файл:

rclone copy cryptbackup: /tmp/decrypted

Всё, задача решена, в папке /tmp/decrypted лежит расшифрованная картинка и прекрасно открывается.

Аналогично поступаешь и с другими файлами. Тут суть закинуть весь зашифрованный бекап в папку /tmp/encrypted и одной командой copy все прекрасно расшифруется в /tmp/decrypted сохраняя структуру папок.

По итогу имеем удобный и практичный способ восстанавливать такие штуки без участия TrueNas.

А так-же можно проверять такие бекапы после заливки их в облако, чтобы точно быть уверенным, что бекап точно рабочий.

Концепт проверки: автоматически забрать несколько контрольных файлов из бекапа, расшифровать, сверить внутренности с шаблоном и при проблемах — плюнуть в графану или в телегу алертом.

На этом всё. Хороших тебе выходных!

🔥 Да, забыл, до 01.01.26 действует промокод FACTORY_26 (1000р) на первый месяц в Linux Factory.

🛠 #selfhosting #backup #crypt
—
💬 Bashdays 📲 MAX 🌐 LF 🔵 Blog

Если попал в царство циклопов, прикрой один глаз!
ㅤ
Сколько бы мы не плевались в сторону ИИ, всё же некоторые инструменты реально облегчают повседневную рутину.

Много раз говорил и еще раз повторюсь — мир не стоит на месте, инструментарий развивается и расширяется. Вчера мы закручивали саморез отверткой, сегодня есть шуруповерт. Так зачем отказываться если инструмент реально сэкономит твоё время и силы.

Если ты использовал ИИ и получил от него ответ — вникни в ответ, разберись почему так и что значит каждая строчка кода. В таком контексте нет ничего зазорного. Не нужно извиняться если ты прибегнул к помощи бездушной твари, ты сократил время на гуглежку.

Ну а если ты просто копипастишь — ты долбаёб, который через месяц деградирует в дерево.

Раньше все плевались от nginx и предпочитали apache, сейчас nginx плотно вошел в каждую инфраструктуру и apache в хуй не упёрся. В любой вакансии будет — навыки конфигурирования nginx.

Каким ИИ пользуюсь я?

Всё банально:

1. Perplexity (бесплатный PRO на год)
2. GPT (бесплатный GO для студентов)

Этого хватает с головой, чтобы покрыть 99% вопросов.

Первая полностью заменяет мне поисковые системы, в любом месте нажал ctrl+alt+p, забил запрос и получил краткую выжимку из 100500 источников.

Да, там есть куча другого функционала, но я пользуюсь ей как поисковиком, уж больно нравится мне получать саммари и не бегать по ссылкам. Но опять-же если в ответе не уверен, лучше перепроверь.

Вторая, ну тут и рассказывать нечего, в основном домашки ребенку решаю, потому что в программе начальных классов — какой-то пиздец, как будто собеседование в компанию проходишь. Так сколько блядь люков?

Помимо домашек оно у меня по API подключено к Obsidian, на основе постов генерю варианты заголовков и описаний для блога. Удобно, выдумывать ничего не нужно, нажал хоткей и получил 50 вариантов, выбрал, отредачил под себя, опубликовал.

Сколько плачу за всё?

Нисколько! Всё решается первоначальной гуглежкой и оформлением акционных подписок. Допустим зашел на GPT с Индии и получил 1 год на тарифе GO для студентов.

Спиздел. Плачу за API запросы для Obsidian, но год назад забросил 10$ и на балансе сейчас 8$ осталось, капля в море.

Да, порой нужно потратить 15-30 минут, но оно того стоит. Просто поищи на ютубе — Как получить тариф GO для GPT или PRO для perplexity.

А если уж совсем упарываться не хочется, то на авито за пару минут тебе всё оформят на твой аккаунт, причем за миску супа. Спрос рождает предложения.

Выводы

НЕ КОПИПАСТИ с GPT! Вникай в ответы, перепроверяй если не уверен или есть сомнения.

А какими ИИ пользуешься ты? Поделись в комментариях, будет интересно.

🛠 #рабочиебудни #services
—
💬 Bashdays 📲 MAX 🌐 LF 🔵 Blog

Тут скоро Новый Год. И многие люди начинают давать себе обеты - вот, с нового года начну новую жизнь. Брошу курить, брошу пить, или сброшу лишний вес.

🔤🔤🔤🔤🔤🔤🔤

«Бросить курить легко. Я делал это сотни раз» Марк Твен.

Вот, к этой дате я и решил поделиться с народом собственным опытом. Для начала расскажу, как я бросил курить.
ㅤ
Если статья наберет хотя бы 70 лайков - продолжу и напишу, как я бросил пить и похудел со 130 до 85 кг.

Лицензионное соглашение.

Я никого ни к чему не призываю, ничего не рекомендую, ни за что не отвечаю. Просто рассказываю о себе.

Я бросил курить в конце августа 1998 года. К тому времени у меня был многолетний опыт курильщика. Да и бросал я уже не первый раз.

Я решил завязать с куревом, потому что у меня начало ухудшаться здоровье. Я начал кашлять по утрам. Во рту была такая вонь, как-будто кошки нагадили.

Да, совсем забыл напомнить, это были девяностые, с деньгами и куревом было плохо, поэтому курил я "Приму". И за день выкуривал 2 пачки. Прикиньте, какую дозу всякой дряни я получал.

Ошибки, которые я делал раньше, пытаясь бросить:

1. Снижал дозу. Довел до одной сигареты в НЕДЕЛЮ!!! Пофигу. Ты или куришь или нет. Нельзя немного курить, немного пить и быть немного беременной.

2. На период бросания, нужно завязать с употреблением алкоголя. Он снимает тормоза, и я возобновлял пагубную привычку именно по-пьяни.

3. Друзей, которые знают, что Вы пытаетесь бросить, и которые предлагают покурить, нужно посылать далеко и надолго. Друзья - те кто поддерживают, а не те, кто помогают кожух пропить.

Я бросил сразу. Одномоментно. Мне было очень плохо. Мне было так плохо, что через два месяца мне еще очень сильно хотелось курить, а через 6 месяцев хотелось периодически.

Девяностые, никаких никотинозаменителей, пластырей, таблеток. Все на морально-волевых. Вместо сигарет жевал жевательную резинку, и делал дыхательную гимнастику:

Если очень сильно хочется курить - делаешь несколько глубоких и быстрых вдохов-выдохов и задерживаешь дыхание на полном вдохе.

Это называется гипервентиляция легких. После задержки дыхания "организм плывет". Ощущение очень похожее, на выкуривание сигареты. С той лишь разницей, что от такой дыхательной гимнастики очень просто избавиться.

В первые дни я так делал примерно через каждые 20-30 минут, что соизмеримо с периодом перекуров. Постепенно необходимость в этом отпала и я, наконец-то понял, что у меня есть сила воли. И этот ресурс я использовал для дальнейших самоограничений.

Я до сих пор помню, как мне было тяжело бросать, и именно это в нескольких тяжелых жизненных случаях остановило меня от возобновления идиотской привычки.

Ну, еще и понимание, что когда я курил, то расплачивался деньгами и здоровьем, а какой-то директор табачной фабрики напокупал себе машины, дома, а возможно и яхты.

Жду 70 лайков и продолжим.

🛠 #рабочиебудни
—
💬 Bashdays 📲 MAX 🌐 LF 🔵 Blog

Синхронизируем настройки Pi-Hole между инстансами.
ㅤ
У меня в сети живет несколько нод с pi-hole, которые раскиданы по разным устройствам (proxmox, raspberry pi и т.п.). И сразу встала необходимость, чтобы все ноды с pi-hole имели одинаковые настройки.

Pi-hole — это сетевой DNS‑фильтр и блокировщик рекламы с открытым исходным кодом. Он работает как свой DNS‑сервер, перехватывает DNS‑запросы от устройств в локальной сети и блокирует домены из списков рекламы, трекеров и вредоносных сайтов, возвращая «пустой» ответ вместо IP‑адреса рекламного ресурса.

Стратегия такая, одна нода будет master, где производятся все основное настройки, затем все эти настройки раскатываются на другие ноды (slave).

Раньше такой кейс разруливали с помощью Orbital Sync, Nebula Sync и т.п. Но одно сдохло, другое работает через хуй-пизда-копыто. Короче нужно рабочее решение.

Пишем свой велосипед

#!/usr/bin/env bash

set -euo pipefail

PRIMARY_PIH_DIR="/etc/pihole"

SECONDARY_USER="root"
SECONDARY_PIH_DIR="/etc/pihole"
SECONDARY_HOSTS=(
  "192.168.10.97"
  "192.168.10.98"
  "192.168.10.99"
)

RSYNC_EXCLUDES=(
  "--exclude=pihole-FTL.db"
  "--exclude=macvendor.db"
  "--exclude=*.log"
)

echo "[pihole-sync] $(date): start"

for host in "${SECONDARY_HOSTS[@]}"; do
  echo "[pihole-sync] ---- host ${host} ----"

  rsync -az \
    "${RSYNC_EXCLUDES[@]}" \
    "${PRIMARY_PIH_DIR}/" \
    "${SECONDARY_USER}@${host}:${SECONDARY_PIH_DIR}/"

  echo "[pihole-sync] ${host}: restart dns"
  ssh "${SECONDARY_USER}@${host}" "pihole restartdns >/dev/null 2>&1" || \
    echo "[pihole-sync] ${host}: FAILED to restart dns"

done

echo "[pihole-sync] $(date): done"

В SECONDARY_HOSTS забиваем айпишники slave инстансов, этакий массив. На этом настройка скрипта закончена. Весь лишний мусор вроде логов и статистики синхронизироваться не будет.

Сохраняем, чмодим, кидаем в крон (а лучше в systemd с таймерами):

Про таймеры подробно писал тут и тут.

crontab -e
*/5 * * * * /usr/local/sbin/pihole-sync.sh >> /var/log/pihole-sync.log 2>&1

Не забываем прокинуть ssh ключи с master на slave, чтобы скрипт не уперся рогом в логин и пароль.

Вроде мелочь, а полезная, да еще и на bash. Хороших тебе предстоящих выходных и береги себя!

🛠 #bash #linux #devops #selfhosting
—
💬 Bashdays 📲 MAX 🌐 LF 🔵 Blog

Предыдущий пост от Tagd Tagd про курево хорошо зашел, поэтому продолжаем здоровую тему, ведь айтишники тоже люди. И даже я взялся за ум, недавно прошел курс у аддиктолога и трезв уже 51 день, правда «пост абстинентный синдром» неплохо даёт знать о себе.
ㅤ
Приятного чтива. Поехали!

🔤🔤🔤🔤🔤🔤🔤

Я тут несколько лет назад совсем завязал пить. Даже пятидесятилетие отмечал трезвым.

Если статья наберет хотя бы 70 лайков - продолжу и напишу, как похудел со 130 до 85 кг.

Лицензионное соглашение.

Я никого ни к чему не призываю, ничего не рекомендую, ни за что не отвечаю. Просто рассказываю о себе.

По молодости, особенно в студенческие годы я, конечно, выпивал. Ну не то, чтобы каждый день, но мог насинячится очень сильно.

Однажды я выпил бутылку водки без закуски и так напился, что проснулся на улице от того, что две тетки щупали мне пульс, поверяя, жив ли я или нет.

После этого случая я решил резко сократить потребляемое количество крепкого спиртного до трех рюмок за вечер, и обязательно под хорошую закуску. При этом я сделал неправильный вывод — что лучше пить пиво, чем водку.

Пиво пили регулярно, после работы, а в пятницу — так обязательно. Оказывается напиться можно и пивом. Я однажды из-за этого попал в вытрезвитель...

Но, то ли метаболизм у меня изменился, то ли пиво было не очень. Однажды вечером я выпил пару бутылок пива (~1 литр в сумме) и сразу лег спать.

Проснулся ночью, от того, что чуть не задохнулся. Пиво + апноэ на фоне большого веса очень гремучая смесь. Я не мог продышаться несколько минут. Меня охватил такой ужас, что я навсегда решил завязать с пивом. Просто, чтобы не сдохнуть однажды.

Потом, с возрастом, я начал замечать, что даже после небольшого количества алкоголя на утро чувствую себя хуже, чем обычно. Особенно начали раздражать «мешки» под глазами. Короче, я сделал выводы, и сначала уменьшил количество до одной рюмки за вечер, а потом понял, что разницы между одной рюмкой и ни одной — практически нет. А если разницы нет, то и пить незачем.

У этого решения, кстати, прекрасный побочный эффект — мои дети, видя что я праздники отмечаю без спиртного, не пили даже в студенчестве. Да и не курили тоже.

Видать права английская поговорка: «Не воспитывайте детей — всё равно они будут похожи на вас. Воспитывайте себя…»

Жду 70 лайков и продолжим.

🛠 #рабочиебудни
—
💬 Bashdays 📲 MAX 🌐 LF 🔵 Blog

Volume VS Bind в Docker

Сегодня рассмотрим, как и в каких случаях правильно использовать bind или volume при запуске docker контейнеров.

Пересмотрев кучу docker compose файлов, можно сделать вывод — большинство даж не понимают что они делают. Что печально, прожжённые девопс-инженеры продолжают харкодить и творить дичь. Видимо придерживаются методологии — у меня работает, остальное похуй.

Вообще есть правило:

- Если нужно редактировать файлы руками с хоста, используешь Bind Mount.

- Если данные нужны только приложению (БД, логи, кэш) используешь Volumes.
ㅤ
Шпаргалка, что есть что:

# Это docker volume, данные хранятся в
# /var/lib/docker/volumes/

volumes:
  - nginx_data:/etc/data

# Это bind mount, данные хранятся рядом
# с файлом docker-compose.yml

volumes:
  - ./data:/etc/data

Ну и никто не запрещает это совмещать, но старайся разделять. Тем более при работе с volumes, в docker есть удобные команды, ну и через midnight commander можешь физически потыкать файлы, при условии если есть рутовый доступ к файловой системе.

Самое главное не делай так:

Про этот случай я и писал в начале поста, вроде человек 20 лет отрубил в айтишке, а пишет хуйню.

volumes:
  - /home/anus/conf.d:/etc/nginx/cond.f
  - /home/anus/data/logs:/var/log/nginx

Тут идет жесткая привязка к путям и после запуска наступишь на грабли, либо получишь по ебалу от бедолаги который это запустит. Короче так не делай!

Я лично предпочитаю volumes и порой даже конфиги в нем храню, потому что этот volume можно легко примаунтить к любому другому контейнеру и получить доступ к этим файлам.
Банально возьмем связку nginx + php-fpm, используем один общий volume и php скрипты корректно выполняются.

Bind mount удобен при разработке и отладки. Ты монтируешь папку с исходным кодом проекта. Правишь код в IDE на хосте и изменения мгновенно подхватываются приложением внутри контейнера.

А еще есть полезный флаг: «RO», используется в ситуациях, когда тебе нужно что-бы приложение в контейнере не перезаписывало данные в примонтированном каталоге. Удобно для отладки или для каких-то ограничений.

Пример:

services:
  web:
    image: nginx:alpine
    volumes:
      - ./nginx.conf:/etc/nginx/nginx.conf:ro
      - ./logs:/var/log/nginx

При всём желании, конфиг nginx.conf нельзя модифицировать из приложения в контейнере. Это можно сделать только на хостовой машине. Второй же bind mount по умолчанию - «RW».

Ну и пожелания:

- Используйте именованные тома, вместо анонимных томов (которые выглядят как длинный хеш 4f32a...) всегда давайте томам осмысленные имена: db_data, app_uploads

- Придерживайся принципа - «Один контейнер — один вольюм». Старайтесь не монтировать один и тот же вольюм в 10 разных контейнеров на запись. Если нужно делиться данными, один контейнер должен быть «владельцем» (RW), а остальные — «потребителями» (RO).

- Бэкап: Правило «3-2-1». Volume — это не бэкап, это просто место хранения. Если ты случайно ёбнешь вольюм командой prune, данные исчезнут.

Используйте временный контейнер для создания архива:

docker run --rm -v db_data:/data -v $(pwd):/backup busybox tar cvf /backup/backup.tar /data

- Docker со временем накапливает «висячие» (dangling) вольюмы — это те, что остались от удаленных контейнеров. Периодически запускай docker volume prune. Оно удалит только те тома, которые не подключены ни к одному контейнеру (включая остановленные).

- Разницы в скорости между Bind и Volume почти нет, оба работают напрямую через ядро. Но это зависит от операционной системы, если у тебя винда и 100500 абстракций, то будут тормоза.

Вот такие пироги, если есть чё добавить, жду тебя в комментариях.

🛠 #docker #linux #devops
—
💬 Bashdays 📲 MAX 🌐 LF 🔵 Blog

Как-то так, с Наступающим друзья и коллеги 🥳

Почтовый сервер у себя дома

Вчера решал интересную задачку. У меня в интернетах крутится собственный почтовый сервер на домене, сервер ежемесячно поджирает стабильно около 2к рублей. Хотя за месяц от силы я получаю 10-20 писем.
ㅤ
Избыточно в плане инфраструктуры и затрат? Конечно! Разумно перетащить его к себе на домашний proxmox и избавиться от одной статьи расходов.

Во время проектирования миграции, было много вопросов и самый главный — у меня нет белого IP в домашнем сегменте, как быть? DynDNS я ебал, да и с микротиком возиться не хочется.

Всё оказалось достаточно просто. Создаем условно за 100 рублей сервер в интернетах с белым IP, втыкаем на него angie с модулем stream, объединяем этот сервер с домашней сетью с помощью netbird или другой технологией. И просто проксипасим все запросы в домашний сегмент.

Про MX, SPF, DKIM писать не буду, все это настраивается отдельно, не сложно.

Звучит логично. Но на практике пришлось поебстись и почитать спецификации всей этой кухни.

Конфиг для angie получился такой, он работает при условии наличия модуля stream.

nginx
upstream imap_backend {
server 100.106.7.8:993;
}

upstream smtp_backend {
server 100.106.7.8:587;
}

upstream sieve_backend {
server 100.106.7.8:4190;
}

server {
listen 993;
proxy_pass imap_backend;
proxy_timeout 1h;
proxy_connect_timeout 30s;
}

server {
listen 587;
proxy_pass smtp_backend;
proxy_timeout 1h;
proxy_connect_timeout 30s;
}

server {
listen 4190;
proxy_pass sieve_backend;
proxy_timeout 1h;
proxy_connect_timeout 30s;
}

дополнительные порты сам добавь, сюда всё не влезло

Суть тут такая, все запросы на определенные порты, перенаправляются в netbird сеть, а 100.106.7.8 это IP адрес как раз моего LXC контейнера с почтовым сервером в домашнем proxmox.

Получилась банальная прокся. Великолепно то, что angie автоматом получает SSL сертификаты и в почтовых программах с этим заморачиваться не нужно, просто указываем домен, порт и всё работает как часы.

sieve_backend нужен, чтобы управлять фильтрами в почте, например при получении письма с определенным заголовком, переносить это письмо в другую папку.

Я использую nextcloud mail, и там есть поддержка sieve из коробки. Потыкал еще roundcube для морды, но чёт не зашла, топорная какая-то штука, хотя рабочая.

Да, в роле почтового сервера у меня установлен docker-mailserver. Штука классная, установил, пару тычек выписал в конфиг и оно работает. Морды в ней нет, чисто логическая часть, что-то вроде бекенда.

Еще нюанс в конфиге docker-mailserver я прописал SSL сертификаты, эти сертификаты я взял в angie после того как он мне их выдал. В этом плане нужно еще придумать, как организовать передачу этих сертов к себе в proxmox.

environment:
  - SSL_TYPE=manual
  - SSL_CERT_PATH=/tmp/dms/custom-certs/certificate.pem
  - SSL_KEY_PATH=/tmp/dms/custom-certs/private.key
    
volumes:
  - ./ssl:/tmp/dms/custom-certs/:ro

Банально можно через scp копировать, но в идеале поднять vault hashicorp и хранить серты там и по необходимости дергать от туда в любое место.

Ну и важное уточнение, отправлять почту во вне, тебе в нынешних реалиях никто не даст (25 порт на отправку везде заблочен), поэтому используем какой-нибудь relay для этого. Благо есть полно таких, кто дает отправить 10-15к писем в месяц легально и бесплатно. Я пользуюсь этим сервисом несколько лет.

Что еще. Возможно будут проблемы с SPF, но если оно тебе в хуй не уперлось, то отключаем в конфиге docker-mailserver - ENABLE_POLICYD_SPF=0.

Ну и SIEVE включается там же через ENABLE_MANAGESIEVE=1.

Плюсом можешь воткнуть mail archiver и вообще горя не знать. Теперь все твои письки письма под контролем и ты сам себе хозяин этой суеты. Ну и дополнительная экономия на избыточной инфраструктуре.

На этом всё, изучай. Концепт я тебе показал, нюансы рассказал, так что дерзай, всё решаемо.

🛠 #selfhosting #proxmox #devops
—
💬 Bashdays 📲 MAX 🌐 LF 🔵 Blog

С наступающим! Здоровья тебе и твоим близким!

Каждому из вас хочу сказать огромное спасибо за вклад в наше уютное сообщество. Вы все прекрасные специалисты, профессионалы и просто хорошие люди.

Пусть в 2026 году у тебя всё получится, главное не опускай руки и никого не слушай.

Прекрасных тебе праздников и береги себя!

Всех обнял 🙃🙃🙃