概述
购入了二手机架服务器,实践了半年。现在可以说一些免坑规划。
做为一台服务器,功能强大后,加载了太多功能。后果就是,每次重启维护时,都十分痛苦。所以,做好规划非常重要。展开服务内容后,再想改,就太难太难了,得脱层皮。
这个建议只是指导版,具体实施都能上网找到。我会放在我自建的百科系统上,以形成系统。
一 配件
使用二手专用机架式服务器
内存>=32G(建议64G,服务器内存不值钱,但不好安装,建议买的时候一次搞定)
UPS 使用外接电池的型号,电池电压建议12v。(考虑电池掉压损坏问题。12v电流是24v的一倍,请注意电线必须特别粗,以免过度发热)
阵列卡,选直通版(阵列卡特殊固件,请卖家给你弄好)。阵列模式(要求一开始就把硬盘定好,否则后面你要自己配)用不起。
硬盘双镜像。建议一块新盘+一块sas2手盘,组一个镜像。主要是没钱,要不应该全是新盘(硬盘挖矿之后,2手盘已不值得信)。两块盘最好容量一致。(特别注意,使用垂直盘。清一定确认清楚,叠瓦的太坑人了)
sas盘发热、耗电厉害。但稳定性好(目前均为垂直盘),价格贵(2手的便宜),但需要阵列卡才能识别。zfs只组双硬盘镜像,是考虑到高级阵列家用小白们应付不来,特别是出了问题就傻眼了。其次是撤出的硬盘能在其它机子上直接识别使用,sas盘加阵列卡就行,不需要恢复阵列。再者双镜像可升级性操作较高,因为不涉及阵列(zfs阵列还好说,raid阵列那是要老命的),双镜像任意硬盘都可直接(建议先导出)拿到其它设备操作。
用料是服务器长时间工作的保证,相信我,即便是2手专业服务器,也比家用新机好。当然,现在挖矿太厉害,2手服务器上涨了2倍。2手服务器报价也是差距很大,大家要多看几家。看中一个型号后,再具体展开搜索。
内存越大越好,服务器内存比较特殊,你不会想后期折腾的。这个关乎你能启动多少虚拟机。使用docker时,内存占用就不大了。
服务器cpu我觉得,家用基本就能跑10%,最多跑到30%。我从来没跑满过。除非进行渲染作业。
硬盘架嘛。我是用到12盘位。这个嘛,主要是要用服务器背板,可以热插拔哦。有点后悔没上20盘位的。就多100元。当然,出于成本考虑,我会把线引出来,上3.5寸的硬盘架。当然安放会有一系列问题。
后面想加硬盘,得加阵列卡(直通),用sas转sata线(1转4,效率没有原装的背板高),外加电源给硬盘。有可能会无法启动服务器。用300元带背板服务器拆下来的硬盘笼(满架),一根sas线带12个硬盘 。一张卡保守带24个硬盘。硬盘笼固定也比较好,就是要自己改造安装风扇,要不散热受不了。据卖家说,硬盘笼还可以直接接其它硬盘笼进行扩展,可以串接多过。我没试过。
可惜现在出了个硬盘挖矿,祸害不轻啊,2手配件翻倍涨价。
服务器加硬件很麻烦,最好是买的时候就配好。
铅酸电池都是12v的居多。多就意味着便宜。直接接12v的好处是,电池坏了好识别,更换,不容易损坏UPS。我发生过串联后,单体电池损坏导致UPS损坏的事。
二 电费等
电费: 服务器+UPS+网络设备 每月100元 (机架式服务器)
网络(家用套餐):140元/月 30Mbps的上传速度。下载很用不到,富余的可以给家用(下载约200Mbps)。如果换算成电脑速度(除以8,加上损耗就除以10吧)约,3M的纯数据上传,20M的纯下载。也就是浏览器显示的速度。(建议电信,网通,其它家没公网ip且上传网速不稳定)电信没给公网ip的,可以给客服打电话要。就说安装监控用。
房租:需要单独的空间。噪音你受不了的。比如杂物间。带门能隔音就行。但必须得通风散热,最好安装风扇
空气过滤:普通空调过滤棉,就行,便宜。主要防灰。3个月一换,放置于服务器进气口。
三 设置
主机操作系统ubuntu ,只安装如下软件。其它软件一律不安。以保证系统简单稳定。同时恢复重建工作也会轻松许多。
kvm 虚拟机。网络安全系统(需要多个网络接口),只能用于虚拟机,docker不稳定。
ssh 服务。用于虚拟机控制,系统维护。
zfs 文件系统。建议双硬盘镜像配置。习惯zfs的,可以用raidz1 2 3
官方仓库docker。便于启用zfs特性(压缩、快照等)。
四 网络设置
机器有4个网口。只考虑家用的话:4口可以如下配置
上网入口。可多拨。接光猫设备
VLAN交换机接入接口+备用交换网络
本地网络交换接口。
服务器维护口。该接口外网不得访问。只在必要时,连接外网,升级等等。
第4口是专用的,有点浪费。但机器一旦需要配置、维护、安装时,就会明白有多重要了。
服务器有专用管理网络口。使用软件可以直接在管理网络口操作系统(包括启动、关机、服务器bios配置……)。这样就可以省下一个网口了。但是太高级了,我就不去研究了。在最新服务器系统上,这个接口强大到可以直接远程操作服务器界面,省去了服务器维护接口。
配置一台网络虚拟机 opnsense(高强度网络安全系统,docker不受操作系统防火墙保护,所以必须在外部防火墙后).在kvm中直接映射3个口给该机。同时创建多个虚拟网络。(onsense不难,但需要理解许多网络知识.)
虚拟网络配置:可以理解为服务器内部网络
管理用网络(创建网络时,主机管理式,以获得主机映射IP)。放置管理专用虚拟机,带图形界面的linux机。主要是 开通ssh服务,创建证书,开放给外网。用于远程管理 kvm 与服务器操作系统。通过ssh端口转接的方式。主要是强化对ssh服务的安全配置。特别是相关扫描防御,口令试探等。
一般对外服务(仅创建网络,无主机IP)。对外的web等服务,安全级别较低。做好被攻破准备。建议opnsense, 关闭该网络对外访问权(防火墙会处理,对这些服务器的)。
加密对外网络。 web访问,使用 nginx 代理的 ssl 双认证机制。
限制网络。用于提供纯内部服务的区域。如 nas samba cifs nfs 等等,局域网文件、影音、游戏等等,服务。
服务器操作系统网络(kvm虚拟网络中设定了 指向服务器网关的网络,以及docker虚拟网络),必须受到保护。docker默认将使用该网络,所以建议处于opensense后,可以是kvm的虚拟网络。不建议docker网络直接暴露于外网。
opnsense不仅对外防御,对内也可防御。这也是划分多个网络的目的所在。目前黑客不直接入侵了,多是用软件 手机等等,先入侵内网的普通机,再作为跳板,对服务器进行攻击。
物理端口配置:
实体端口1 。上网拨号用。如果配置简单交换机,可以连接多个猫做到多网络拨号。当然也可以开多个虚拟口,对单一猫进行多拨操作。但多拨汇聚,需要 openwrt或其它软路由系统来处理,opensense只能做负载均衡或冗余,对汇聚功能不好。
实体端口2 。opensense上进行vlan标记,配合2层网管型交换机。比如8口交换机,就会变出7 个独立网口。这样,就可以独立 监控网络、客户网络、智能家居网络(甚至一设备一网络)。这在安全性上非常强。因为智能家居网络不透明,可能有后门程序。还有网络摄像头,已经属于重灾区了。需要配置强大的防火墙规则来管理,起码不能给开后门的机会。
实体端口3。就是普通家庭端口,用于省电时用。就像普通路由器一样。
网络摄像头,一般我都不给外网访问权。也不准访问外网(进行渗透沟通)。要访问,我也是专门开一个转发端口,或者直接用 zonemind服务器管理起来。
vlan还可以有专用 科学上网网络,专业直连网络(比如vnc),等等。需要配置网管型2层交换机,或者软件路由器。这些设备上,可以配置vlan。vlan是多个隔离网络复用一条线路的技术。比如监控网络的设备,需要专门的机子(不同的ip范围,dhcp服务),还不能上网(目前市面上所有网络摄像头,都被植入后门,自动连接到生产商服务器)与被外网访问。但我们又想布线简单,与普通能上网的网络用同一条网线。就需要用到vlan.
防火墙系列是个专题。通过配置网关等等,可以实现一个小型公司网络布局。
网络就是要划分为不同的网络,防火墙才好管理。简单的划为同为一个网络,不仅会出现网络风暴,还会为网络攻击提供方便。这也是我们有了大服务器,可以折腾的点。特别是不同功能、安全级别的内部虚拟网络。
五 文件管理规划
使用虚拟机系统后。基本所有业务都在虚拟机中展开,不再直接操作 主服务上的文件。
虚拟机系统对灾变应对特别有效。无论是病毒入侵、操作配置失误、系统故障等等,恢复、重装都非常方便。也方便于开展试验,测试各类系统。
linux系统使用 9p 文件系统 直接访问主服务器。但文件权限会有问题。在ubuntu中 lib-virt:kvm,这与大多数uid gid为1000的用户冲突。而且默认权限阻止其它程序访问,比如docker。需要docker指定用户id。
最重要一点,使用linux内核商业加密 ecrytfs-util 时,9p文件系统会出现循环错误。原因不明。现在已不建议使用9p.
方式如下:方式1
直接使用硬盘直通。在virt-manage 软件下,添加虚拟机文件硬件时,直接指向磁盘硬件(建议是 /dev/disk/by-id/xxxx 以免服务器重启时,磁盘换位置引起严重故障)。
管理磁盘的虚拟机,系统为 omv(OpenMediaVault) 或者其它 freenas类系统。
通过虚拟网络,使用 nfs samba ssh sftp等等方式,把文件夹共享出去给其它系统。
这个方式有一大问题,就是内存。zfs极度依赖内存,omv给多大内存就不好掌握。
方式:方式2
服务器管理磁盘,使用zfs方式
服务器启用nfs服务,提供给虚拟机。(kvm虚拟机使用ecryptfs依然可能有问题)
推荐方式:方式3
服务器管理磁盘,使用zfs方式
服务器端使用 ecryptfs解密 (安全级别低,依赖于服务器没开后门)
除网络管理外,尽量使用docker提供服务(依赖于docker的容器隔离,提升安全)
当然,zfs加密很好,但不像ecryptfs 加密具有文件粒度。文件粒度好处是在不解密的情况下,就能进行复制、拷贝、删除等操作,精度到每一个文件(不需要了解文件内容是什么)。
ecryptfs-util操作不会的,参考我之前的文章。这东西仅在linux系统通用,但非常稳定,加密级别也够高。
如何保证仅在使用ecryptfs的虚拟机,docker能访问到解密文件,还没好的策略。
特别建议:
安装 傲腾 2手存储。可以获得较好的性能。建议两个镜像,zfs系统,用于docker工作文件夹。能提升docker性能,特别是服务器(存储)性能。
六 服务管理
目前docker已经是大趋势了。但kvm虚拟机依然有不可代替的优势。docker建议:
数据库,建议用docker.以方便使用zfs(需要启用docker上zfs特性)压缩、快照功能。数据库文件放在zfs文件系统上。
有官方服务的镜像,如wordpress、nextcloud等等。安装太过舒心……
有群众基础的镜像。如linuxserver等等出品的,被docker hub认证为开源的。
特殊镜像,别处没有的。
安装网页docker管理工具。没几个人愿意使用命令行的。多使用docker-compose进行服务布署。
ubuntu 安装 docker-compose 仓库包,而不直接安装docker,以启用zfs特性(非ubuntu仓库包的docker不支持zfs特性,目前)。同时方便compose布署服务。
需要定期维护镜像,进行镜像更新。(部分镜像支持系统升级)。操作比较麻烦,非常容易陷入安全更新不及时 的问题。
kvm建议:
网络管理系统。opnsense openwrt ors等等,涉及多网口,多虚拟网的,还是kvm虚拟靠得住。docker在网络配置上有一定问题。
无法找到安全docker镜像的服务。比如官方就只给了linux版的服务,就得自己搭建环境了。
需要集中布署的一些服务。比如多个网站,用一个端口。使用docker会变成多个端口,而无法简单的用/xxx来显示。当然,你可以试试nginx反向代理,我试过,问题很多。
kvm服务器,因为依赖的操作系统是完全型,性能开销比较大。集中表现在内存上。在使用上,效率不及docker。在部署上,方便性不如docker。在系统迁移、恢复方面,也不如docker。
仅能用于windows系统的软件。
建议,尽量使用docker来部署服务。如果有网络需要,openwrt,也尽量使用 mi3g一类,可以刷硬件的路由器。不划算使用微型服务器+软路由(那需要多网口配置)。对于微型服务器,使用 omv(ubuntu系统的底层,docker用zfs没问题) 一类图形管理的nas系统,可能更为方便。
家用服务推荐
nextcloud 网盘,这个对于有公网ip的用户,那就是移动存储云!非常实用
监控系统。shinobi 自己的监控自己做主。主要是可以使用无限大硬盘(硬盘阵列),无限摄像头。远程访问等等。当然,不想折腾的,购买成品硬盘录像机也很好。
openwrt 做单口旁路由,大多用于科学上网(docker对于单网口还是很稳定的)
bookstack 自己做图书展示。适合写书的人,或爱写记录、小说的人。有章节、书目、小节等等管理,界面清爽无广告。
wordpress 个人博客
dokuwiki 维基系统。非常适合知识管理、做笔记、写记录,查询。
下载神器 transmission \ deluge 。如果挂机下载,它们很好用。忘了迅雷吧。
nginx-fantacyindex 这个可用于远程文件快速访问。直接用nginx也可以。速度快于nextcloud,但是只能访问。通常用于配合 wordpress等,展示一些图片、视频。
phpBB3 开一个私人论坛,
ejabber 开一个私人聊天网络。类似iocq,QQ早期版。不使用任何第三方服务,不被监控。加密级别足够。两个人私密或小团队用。(nextcloud,也有类似应用,需要安装)
语音聊天,这个太多了。
moodle 搞一个社区大学玩玩?
piwigo 相册管理。特别适用于,大文件直接读取。不再需要另外导入,占据空间。
其它应用,可以到docker hub上参观。什么家庭多媒体中心、等等,很可能是你没想到。欢迎大家评论区
最后
以上就是每日一库为你收集整理的家用服务器配置的一些个人建议的全部内容,希望文章能够帮你解决家用服务器配置的一些个人建议所遇到的程序开发问题。
如果觉得靠谱客网站的内容还不错,欢迎将靠谱客网站推荐给程序员好友。
发表评论 取消回复