Думаю, все уже слышали или знают такой продукт, как Angie. Это веб сервер, форк Nginx, который развивается, насколько я понимаю, независимо от него. Я уже давно нигде не устанавливаю Nginx. Если только по привычке на тестах каких-нибудь, потому что он есть в базовых репах дистрибутивов, а Angie - нет. В работу везде ставлю Angie, потому что он функциональнее и удобнее Nginx.

Мне сейчас сходу трудно перечислить ключевые отличия от Nginx, потому что за последним банально перестал следить. Мне лично Angie сразу понравился в первую очередь тем, что там:

🔹Удобнее устанавливать дополнительные модули. Они все упакованы в пакеты в едином репозитории. Просто берёшь, ставишь и настраиваешь. В то время, как Nginx приходилось собирать самому с нужными модулями.

🔹У Angie реализован экспорт метрик для мониторинга, плюс панель веб управления, где своя визуализация некоторых метрик и настроек. Я сделал себе шаблон для Zabbix, но после того, как разработчики опубликовали свой дашборд для Grafana, перешёл на него, так как стало лень поддерживать свой шаблон самому. А тут всё уже есть в готовом виде.

🔹Над Angie активно работают и улучшают, в том числе полностью бесплатную open source версию. Бесплатный Nginx после продажи компании F5 как-будто развивать вообще перестали и просто поддерживают на плаву.

Сейчас Angie умеет, как и Traefik, проксировать запросы в Docker контейнеры на основании их меток. На этой теме последний поднялся в своё время, потому что никто так больше не умел. Я недавно случайно увидел эту возможность. Не знаю, когда она появилось, но это удобно.

Про настройку Angie написал отличный содержательный цикл статей Лавлинский Николай. Его материалы, как и анонсы вебинаров Отуса с его участием, можно периодически наблюдать на моём канале.

Каждая статья содержит как текстовое описание, так и подробное видео с примерами. Очень содержательный материал. Рекомендую. Я смотрел все видео. Там и по базовой, и не только, настройки есть всё, что нужно. Цикл опубликован на Хабре:

◽️Почему стоит переходить на Angie.
◽️Установка Angie из пакетов и в докере.
◽️Переезд с Nginx на Angie. Пошаговая инструкция.
◽️Настройка location в Angie. Разделение динамических и статических запросов.
◽️Перенаправления в Angie: return, rewrite и примеры их применения.
◽️Сжатие текста в Angie: статика, динамика, производительность.
◽️Серверное кэширование в Angie: тонкости настройки.
◽️Настройка TLS в Angie: безопасность и скорость.
◽️Настройка Angie в роли обратного HTTP-прокси.
◽️Балансировка нагрузки для HTTP(S) в Angie.
◽️Мониторинг Angie с помощью Console Light и API.
◽️Балансировка и проксирование L4-трафика в Angie.
◽️Клиентское кэширование в Angie.
◽️Динамические группы проксируемых серверов в Angie.
◽️Мониторинг Angie с Prometheus и Grafana.

Немного не в тему, но добавлю ещё одну интересную ссылку с полезным материалом:

⇨ Ещё одно тестирование Angie, HAProxy, Envoy, Caddy и Traefik от Devhands
HAProxy показывает наиболее сбалансированные и стабильные результаты на стандартных настройках. Старый, проверенный универсальный балансировщик.

Если всё ещё используете Nginx, рекомендую попробовать Angie. Переезд на него не требует практически никаких изменений конфигурации. Возможно где-то только пути придётся поправить с /etc/nginx на /etc/angie, а может и этого не придётся в зависимости от структуры вашей конфигурации.

❗️Если заметка вам полезна, не забудьте 👍 и забрать в закладки.

———
ServerAdmin: 📱 Telegram | 🌐 Сайт | 📲 MAX

#webserver #angie #отечественное

Ранее я уже рассказывал про Small HTTP server. Это необычный веб сервер из далёкого виндового прошлого 90-х годов, который до сих пор поддерживается, немного развивается, и за это время оброс дополнительной функциональностью. Я с тех пор подписался на канал автора и наблюдал, как время от времени выходят обновления.

Проект меня заинтересовал. В первую очередь тем, что там из дополнительной функциональности заявлен HTTP TLS VPN сервер с небольшим VPN клиентом под Windows и Linux. С учётом того, что продукт этот мало кому известен, подумал, что это может быть полезным. Забегая вперёд скажу, что у меня не получилось его настроить, потому что надоело разбираться с продуктом, для которого толком нет документации и примеров настройки. В какой-то момент не захотелось дальше время тратить.

Стало жаль терять то, что уже сделал, поэтому решил написать публикацию. Автор выкладывает исходники и deb пакеты для запуска сервера под Linux. Но у меня не получилось установить из готового пакета, потому что он хочет старую версию libssl, которой в современной системе нет. А если берёшь старую систему, то не подходит версия libgnutls, так как требуется более новая.

Судя по всему автор собирает всё это сам с явным подключением нужных версий. Я в итоге нашёл конфигурацию дистрибутива, куда удалось автоматом всё установить из пакетов и не собирать вручную. Завернул всё это в Dockerfile и оформил в виде Docker Compose.

Выложил всё на Gitflic, там же и описание запуска:

⇨ https://gitflic.ru/project/serveradmin/smallsrv

Клонируете себе репозиторий:

# git clone https://gitflic.ru/project/serveradmin/smallsrv.git
# cd smallsrv

При необходимости правите конфигурацию сервера в файле httpd.cfg, наполняете директорию www/. Если туда не положить файл index.html, то будет работать простой листинг файлов. Можно в качестве простого файлового сервера использовать.

После этого запускаете:

# docker compose up -d

Будет собран локальный образ и запущен контейнер. Если надо что-то настроить в контейнере, то зайдите в него:

# docker exec -it smallsrv bash

Если измените конфигурацию сервера, контейнер нужно будет перезапустить:

# docker restart smallsrv

Не знаю, пригодится ли это кому-нибудь, но раз уж сделал, то выкладываю. Это, кстати, наглядный пример того, зачем может пригодиться Docker. А то частенько спрашивают люди, зачем он нужен, если ты не разработчик и не работаешь с микросервисами.

С помощью Docker очень легко упаковать приложение в преднастроенную среду и не мучать пользователей с настройкой. Причём сделать это может и человек со стороны. Теперь можно без проблем запустить приложение на любом линуксе.

❗️Если заметка вам полезна, не забудьте 👍 и забрать в закладки.

———
ServerAdmin: 📱 Telegram | 🌐 Сайт | 📲 MAX

#webserver #vpn

👀 Вебинар «ИТ-инфраструктура под контролем: сбор метрик, анализ и прогноз инцидентов с помощью Умного Мониторинга ред. 1.2»

Кому будет полезно: системные администраторы, администраторы 1С, ОС (включая Linux), СУБД / БД (включая отечественные), DevOps-инженеры, специалисты по поддержке ИТ-инфраструктуры

На вебинаре вы узнаете:
✅как превращать iostat, netstat, htop и другие метрики в алерты (оповещения) и прогнозировать ИТ-инциденты
✅особенности интеграции с 1С: мониторинг работы, контроль лицензий, управление кластером
✅как развернуть и запустить мониторинг ИТ-инфраструктуры в 5 кликов

Также в программе: живой показ продукта, типовые сценарии работы, реальные кейсы из практики заказчиков, ответы разработчиков на вопросы участников

Когда: 25 ноября (вторник)
Начало: 11:00 (по московскому времени)

👉 ЗАРЕГИСТРИРОВАТЬСЯ 👈

Реклама ООО "ИТ-Экспертиза", ОГРН 1177746470175, erid: 2SDnjeHMRnw

Вчера была заметка про Angie. Хочу подробнее остановиться на одной из его настроек, о которой кто-то возможно не знает. Привычное применение веб сервера - непосредственно обработка HTTP запросов или их проксирование с балансировкой куда-то ещё. Последнее обычно называют работой в качестве обратного прокси. Но помимо HTTP трафика Angie может обрабатывать и другие соединения.

У Nginx, следовательно и у Angie, есть модуль Stream для обработки TCP и UDP соединений. По умолчанию он не включён в стандартный состав веб-сервера, да и появился он в Nginx не сразу. С его помощью можно проксировать соединения, к примеру RDP протокола, DNS запросов или подключений к VPN серверу. Применений можно найти массу. Очень удобно управлять всеми соединениями в единой точке входа.

Раньше для подобных задач проще было взять HAProxy, потому что он изначально всё это умеет. Не надо ничего пересобирать. Сейчас, в принципе, тоже это просто сделать, но если у вас уже есть Angie и хочется всё реализовать с его помощью, то удобнее будет именно его и использовать.

У Angie модуль stream включён в сборку в стандартных пакетах, так что ничего не нужно дополнительно делать. Можно сразу настраивать нужную функциональность. Выглядит она примерно так:

stream {
  limit_conn_zone $binary_remote_addr zone=addr:10m;
  log_format basic '$remote_addr [$time_local] '
    '$protocol $status $bytes_sent $bytes_received '
    '$session_time ' "$upstream_addr";
  include /etc/angie/stream.d/*.conf;
}

upstream rdp {
  server 192.168.100.2:3389;
  server 192.168.100.3:3389;
}

server {
  listen 3390;
  allow 192.168.100.0/24;
  deny all;
  limit_conn addr 1;
  proxy_pass rdp;
  access_log /var/log/angie/rdp-access.log basic;
}

❓Что мы тут сделали:

- Запустили Angie на TCP порту 3390 слушать входящие соединения.
- Настроили перенаправление соединений на 2 терминальных сервера:
  server 192.168.100.2:3389;
  server 192.168.100.3:3389;
- Настроили ограничение на 1 соединение с одного IP адреса.
- Настроили ограничение на доступ только из подсети 192.168.100.0/24.
- Настроили логирование соединений в rdp-access.log с заданным форматом.

Это немного синтетический пример просто для демонстрации возможностей. Конкретно RDP протокол может не только транслироваться куда-то дальше, но и разбираться прямо на сервере с помощью ещё одного модуля stream_rdp_preread_module. Можно идентифицировать сессию и направить её на конкретный сервер. Отдельно отмечу, что подобная настройка будет актуальна и для одного RDP сервера. Мы просто скрываем его за Angie.

❓В чём вообще смысл подобных настроек? Балансировщиков много разных, плюс сам сервис может иметь свой балансировщик, как тот же RD Gateway (Remote Desktop Gateway).

Основное удобство в том, что вы получаете все инструменты по управлению, ограничению, логированию запросов, которые уже есть в Angie. Я тут как раз их и продемонстрировал. Мы, во-первых, логируем все запросы, в том числе и неудачные, мы, во-вторых, ограничили число запросов и доступ с определённых подсетей. И это далеко не всё, что умеет Angie.

В дополнение к этому можно настроить TLS соединения с клиентами для тех сервисов, которые сами это не умеют делать. То есть клиенты подключатся к Angie по TLS, а дальше соединения проксируются на сервис без шифрования. Какой-нибудь старый почтовый сервер так можно закрыть, который стоит локально и не умеет в шифрование. Или соединения к СУБД временно направить извне, не меняя конфигурацию, которая настроена на локальные подключения без шифрования.

Плюс, можно на основе имени домена в SNI направить трафик в нужном направлении. Например, при обращении к домену example.com направлять запросы на веб сервер с сайтом, а при запросе домена rdp.example.com направить соединения на бэкенды с RDP. То есть мы не по портам раскидываем трафик, а по доменным именам в TLS соединениях.

В общем, функциональность очень удобная и простая в настройке. По хорошему, имеет смысл так закрывать все публичные службы.

❗️Если заметка вам полезна, не забудьте 👍 и забрать в закладки.

———
ServerAdmin: 📱 Telegram | 🌐 Сайт | 📲 MAX

#angie

▶️ Очередная подборка авторских IT роликов, которые я лично посмотрел и посчитал интересными/полезными. Это видео из моих подписок за последнее время (обычно беру период в 2 недели), что мне понравились.

⇨ Ceph Storage в Proxmox - как построить отказоустойчивое хранилище!
Немного теории и пример настройки Ceph в Proxmox. Там довольно дружелюбно всё сделано и настроить нетрудно.

⇨ Peertube — открытый исходный код, федеративное потоковое видео!
Подробный обзор на видеохостинг Peertube, условный локальный аналог Youtube. Писал про него не раз. Удобный и функциональный продукт, полностью бесплатный.

⇨ Собрал NAS сервер для HOMELAB. Лучше самого дешевого Enterprise?
Автор собрал из новых компонентов самосбор, а потом сравнил его с б.ушным сервером от HP такой же стоимости. Итог очевиден - серверное решение будет и надёжнее, и функциональнее. В целом видео понравилось, так как там и компоненты все перечислены, и цены на них.

⇨ Обзор серверного железа для нейросетей в 2025. Nvidia H100, H200 и RTX 5090 в России
Любопытное видео для тех, кому интересна эта тема, либо для тех, кто любит расширять свой кругозор. Видео разговорное, можно послушать во время прогулки или в машине. Железо запредельной стоимости: NVIDIA H200 - $34,500 или ~2.8 млн. рублей.

⇨ Агентный подход к матчингу товаров с помощью LLM. Конференция Highload 2025, Виталий Кулиев.
Практический пример использования нейросетей в большом бизнесе. Было интересно послушать.

⇨ Traefik: проксируем vm и lxс в Proxmox
Пример настройки проксирования трафика с помощью Traefik в ресурсы на Proxmox. Используется Trafik Proxmox Provider, который работает через Proxmox API и читает метки в разделе Notes для VM и LXC. Я вообще не знал, что подобное существует.

⇨ Установка CrowdSec в LXC контейнер с Traefik на Proxmox | Защита сервера и homelab security
Описание, установка и настройка условного аналога Fail2ban - CrowdSec. Я его настраивал, использовал, до сих пор крутится на одном из серверов. В своё время писал и статью, и заметку, и даже реклама этого продукта была. На меня выходили его создатели, хотя они не из России, и оплачивали рекламу.

⇨ Как мы строим сеть национального видеохостинга RUTUBE
Интересное разговорное видео, которое можно прослушать. Из неожиданного - до 2022-23 года сеть Rutube была построена на Микротиках. Причём уже тогда там была приличная нагрузка. Потом это переделали. В переходный период бэкапы делали с помощью Rancid, мониторили сеть Zabbix'ом.

⇨ Монитор ProxMenux: новая панель инструментов Proxmox, которую вам стоит увидеть
У ProxMenux появился очередной веб интерфейс для управления Proxmox. Меня лично не впечатлил. Pulse понравился больше.

⇨ Что происходит на рынке IT в 2025 году | Мнение DevOps о «рынке работодателей»
Обзор рынка труда в сфере IT. Если кратко - вакансий всё меньше, резюме всё больше, зарплаты не растут. Так что сидите на своих местах и не суетитесь без особой причины, а то можно и без работы остаться. Что интересно - тренд общемировой. Как-будто сговорились все разом.
⇨ Программисты разорены, всё кончено. США
Та же самая тема с другой части планеты. Там, правда, увольняют одним днём без объяснения причины.

⇨ My BEST N8N HomeLab automations (AI Agents…)
Очередные примеры автоматизации с помощью n8n, теперь уже вместе с AI. Двойной удар по рутинным операциям. У автора целый цикл роликов на тему n8n. Если предыдущие не смотрели, тот этот будет не очень понятен. В этом он рассказал, как обновляет 30+ домашних сервисов (это, судя по всему, его основная работа).

⇨ My Mini Kubernetes Cluster - Secured by Tailscale
Рекламное видео про Tailscale, но в нём автор демонстрирует прикольный самосбор - кластер из трёх небольших нод Kubernetes.

⇨ 5 вещей, которые вы не отслеживаете в сети своей домашней лаборатории (хотя должны это делать)
Автор рассказал, что в сети надо следить за ARP-запросами и MAC адресами, статистикой сетевых интерфейсов, собирать NetFlow, отслеживать DNS запросы и время ответа на пинги.

#видео

На прошлой неделе просматривал видео некоторых блогеров. У кого-то заметил экран приветствия на сервере после подключения по SSH. Сразу не записал, у кого увидел, вроде у Realmanual, но не уверен. Потом уже не нашёл. Но не суть.

Я всегда знал, что приветствие можно настроить, но особо не заморачивался. Максимум, что настраивал при подключении, запуск команды w, чтобы увидеть главным образом активные сессии и понимать, что ты не один на сервере. Иногда это работало как хорошая пугалка, если у тебя осталась висеть твоя же сессия, только с какого-то непривычного IP.

А тут увидел приветствие, которое мне понравилось. Я полный вывод не запоминал, только оставил себе пометку подумать, что было бы полезно увидеть мне. В итоге сделал себе и сохранил для использования такое приветствие:

-----------------------------------------
IP           : 95.183.13.208
Hostname       : serveradmin.ru
OS           : Debian GNU/Linux 12 (bookworm)
USER          : root
Load Average   : 0.08 0.06 0.04
Uptime         : up 1 week, 6 hours, 32 minutes
-----------------------------------------
CPU           : 2 CPU
RAM           : 3915 MB, 1055 MB (26%) free
HDD (/)        : 60G, 36G (60%) free
-----------------------------------------

Пояснять тут особо нечего. Отмечу только, что в качестве IP взял настройку самого первого не lo интерфейса. У меня это практически всегда основной IP адрес, который я хочу видеть. А пользователя root подкрашиваю в красный цвет.

Настроить это очень просто. Любой ИИ вам соберёт по запросу подходящий bash скрипт, который нужно будет положить /etc/profile.d. Потом можно его подправить по своему вкусу. Я в итоге оставил такой:

#!/bin/bash

# Цвета
RED='\033[0;31m'
NC='\033[0m' # No Color

# IP первого сетевого интерфейса
LOCAL_IP=$(ip -4 addr show | grep -oP '(?<=inet\s)\d+\.\d+\.\d+\.\d+' | grep -v '^127\.' | head -n 1)

# Имя сервера
HOSTNAME=$(hostname)

# ОС
OS=$(grep PRETTY_NAME /etc/os-release | cut -d= -f2 | tr -d '"')

# Пользователь
USER_NAME=$(whoami)

# Root красным
if [ "$USER_NAME" = "root" ]; then
    USER_NAME="${RED}${USER_NAME}${NC}"
fi

# Load average
LOADAVG=$(awk '{print $1" "$2" "$3}' /proc/loadavg)

# Uptime
UPTIME=$(uptime -p)

# Количество CPU
CPU_COUNT=$(nproc)

# RAM: всего и свободно (в мегабайтах)
RAM_TOTAL=$(free -m | awk '/Mem:/ {print $2}')
RAM_FREE=$(free -m | awk '/Mem:/ {print $7}')
RAM_FREE_PCT=$(( RAM_FREE * 100 / RAM_TOTAL ))

# HDD: для корневого раздела /
DISK_TOTAL_HUMAN=$(df -h / | awk 'NR==2 {print $2}')
DISK_FREE_HUMAN=$(df -h / | awk 'NR==2 {print $4}')

# Используем df без форматирования для процентов
DISK_TOTAL=$(df -k / | awk 'NR==2 {print $2}')
DISK_FREE=$(df -k / | awk 'NR==2 {print $4}')
DISK_FREE_PCT=$(( DISK_FREE * 100 / DISK_TOTAL ))

echo ""
echo "-----------------------------------------"
echo "IP                    : ${LOCAL_IP:-N/A}"
echo "Hostname              : $HOSTNAME"
echo "OS                    : $OS"
echo -e "USER                  : $USER_NAME"
echo "Load Average          : $LOADAVG"
echo "Uptime                : $UPTIME"
echo "-----------------------------------------"
echo "CPU                   : ${CPU_COUNT} CPU"
echo "RAM                   : ${RAM_TOTAL} MB, ${RAM_FREE} MB (${RAM_FREE_PCT}%) free"
echo "HDD (/)               : ${DISK_TOTAL_HUMAN}, ${DISK_FREE_HUMAN} (${DISK_FREE_PCT}%) free"
echo "-----------------------------------------"
echo ""

Заодно удалил строку:

The programs included with the Debian GNU/Linux system are free software;
the exact distribution terms for each program are described in the
individual files in /usr/share/doc/*/copyright.

Debian GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent
permitted by applicable law.

Она находится в файле /etc/motd и подключается в /etc/pam.d/sshd в строке:

session  optional   pam_motd.so noupdate

Закомментировал её. Получил приветствие, как на картинке снизу. Мне понравилась. На свои сервера буду добавлять.

❗️Если заметка вам полезна, не забудьте 👍 и забрать в закладки.

———
ServerAdmin: 📱 Telegram | 🌐 Сайт | 📲 MAX

#linux