Подтверждаю, пользоваться ceph можно, но:
1.Следить за местом, так как даже при указании 98% заполнения диска osd может обвалиться из-за фактического переполнения диска. Иногда требуется затюнить лимиты в ос на количество открытых файлов.
2. Скорость в 1Gb — очень сдерживающий фактор, особенно это ощущается, когда хранилище перестраивается. Т.е. 10Gb минимум, если у вас данные активно используются в хранилище.
3. Да, точно, глюки с pg есть, раз в месяц находились.
Все равно от ceph впечатления остаются очень хорошие, если к нему подойти с пониманием ;-)))
Использую lvm поверх него drbd, libvirt cache=writethrough. Виртуалки на raw drbd. Все равно ошибки проскакивают(!!!), несмотря на то, что обновлял весь софт (gentoo). спасает конечно проверка checksum, но приятного от этого мало. Где было возможно ушел на Ceph, чего и Вам желаю.
Честно говоря самба стоит давно и основные проблемы были с ней, когда я обнавлялся с какой-то альфы… Приходилось удалять в tdb файлах объекты и проче, нарезать в ручную партиции для DNS семы, короче жесть, только чтобы не персоздавать домен заново ;-))) Но на то она и альфа, чтобы не гарантировать беспроблемную работу.
По поводу gentoo. На самом деле у меня есть сервера, где стоит, к примеру, такое чудо как Oracle 9i, а оно как известно зависит от старых glibc и прочей хрени. В случае gentoo не так сложно систему 2002-2004 года обновить до текущего состояния, для того чтобы она, к примеру работала в виртуалке на KVM с драйверами virtio. Только не надо сразу ставить последнее дерево портов. Нужно скачать несколько промежуточных. Т.е. обновляемся до 2005 года, дале до 2006 и так далее. В итоге самый старый сервак можно обновить до текущего состояния, не снося ничего! Да, согласен, что есть опасность возникновения проблем, но для этого виртуалки и созданы, чтобы сначало это проделать на копии, а потом в реальной системе запустить. Мне проще обновлять все сервера, чем их переустанавливать и вспоминтать все ньюансы… А так да, генту для умеющих ее готовить ;-)
Статей доволно много на хабре… писать похожую не очень-то и хочется.
Так как я с samba4 с 2009, то исторически так сложилось, что у меня два samba4 выполнятю роль только домен-контроллера. На них же лежит sysvol, а samba-3.6 работают как помойки, сервера печати, хранилище инсталяционных программ и прочее…
Что не удобно:
Sysvol:
1. Для себя я опредилил, что один из серверов первичный контролер, а другой по крону стягивает sysvol rsync'ом как в вики. Можно конечно заморочится какой-нибудь кластерной системой, но я не так часто правлю групповые политики. В нашем случае два админа, договорились что все правки скриптов и политик делаем только на основном контроллере. */5 * * * * /usr/bin/rsync -XAaz --delete-after --password-file=/var/lib/samba/private/rsyncd.secret2 rsync://sysvol-replication@sds.office.company.ru/SysVol /var/lib/samba/sysvol/
2. Для обновления тикита bind 2. 4 2,5,8,11,14,17,20,23 * * * /usr/bin/kinit -R bind-user@OFFICE.COMPANY.RU
Для поддержания актуального ключа, к примеру если у вас samba3 на FreeBSD /usr/bin/kinit --renewable -k host/parus.office.company.ru@OFFICE.COMPANY.RU /usr/bin/kinit -R -k host/parus.company.ru@OFFICE.COMPANY.RU
На Линуксе подобная идея…
3. backup samba tar -czf samba_db.tgz /etc/samba /var/lib/samba/private /var/lib/samba/sysvol
для уверенности tar -czf samba_db.tgz /etc/samba /var/lib/samba
Этого достаточно, чтобы в gentoo перетащить в случае краха весь AD на новую машину. Для тех кто ненавидит gentoo: в этом дистрибутиве все нужные и свежие пакеты для самбы находятся по умолчанию и новые версии в портаджах появляются мгновенно. Т.е. не надо ничего качать и доставлять, если появляется новая версия или находится уязвимость.
Сам архив будет занимать смешной объем. Причем, если нет активной работы, то можно в открытом состоянии забэкапить, понятное дело что вы рискуете, но даже так все обычно хорошо поднимается. НО безусловно лучше остановить, заархивировать, потом запустить ;-) Второй домен контролеер как раз для этого и нужен.
4. Когда у вас один домен и вы не собираетесь использовать в будущем два домена или более, то лучше не заморачиваться с rfc2307, так как idmap_rid проще!!! Но если Вам не нравится идея добавления к базовому значению uid sid'а пользователя, группы, то помимо прописывания в AD uid пользователя и группы, вам так же нужно будет прописать uidNumber для всех компьютеров пользователей, через дополнительные атрибуты. Вот это больше всего парит при добавлении нового компьютера в систему. Можно сгородить скрипт, но все это как-то не красиво. Простое решение — не использовать rfc2307 для простых организаций укоторых не будет более одного домена. ldbedit -H /var/lib/samba/private/idmap.ldb для правки UID тех системных групп, которым не удасться просавить uidNumber. Тут не бойтесь, все просто.
Я работал как с idmap_rid, так и с rfc2307. Когда нужна экономия номеров uid, у вас один сервер/хранилище используется для разных доменов, то rfc2307 ваш выбор, а если вы ленивы, то пользуйтесь idmap_rid
5. Для сторонних программ/серверов нужно выгружать ключи и прописывать их. samba-tool domain exportkeytab --principal=host/sds.office.company.ru@OFFICE.COMPANY.RU /etc/krb5.keytab
Да, эти небольшие неудобства — плата за бесплатность ;-) Новые DC или сервера не так часто добавляются, так что можно потерпеть при первоночальной настройке. Зато как приятно, после ядерного взрыва из малюсенького бэкапа быстро развернуть погибший AD на новом сервере ;-)))
С 2009 вполне для обычной фирмы в сотню человек, без филиалов достойно работает. На мой взгляд в wiki не все нюансы рассмотрены, но если вы человек с головой, то не составит труда разобраться. Для обычной фирмы вполне хорошее решение.
Работал как c idmap_rid, так и с rfc2307. Если используете rfc2307, то нужно не забыть, что не всем группам UID можно поставить, по этому ldbedit вам в помощь, при разворачивании какой-нибудь новой файловой помойки, чтобы поправить uid группе «Прошедшие проверку». Правится все легко и просто. Все эти UID одинаковые нужны для того чтобы не болела голова при переносе данных или в случае восстановления из backup'а.
Если вы опытный админ, и чувствуете в себе силы, «если что разобраться», то даже не сомневайтесь в переходе на samba4. Обычную фирму с несколькими сотнями человек с двумя контролерами без всяких «лесов» только так переведете.
Если будете ставить bind, то не забудьте обновлять ключ по крону от биндового пользователя, а то есть все шансы поиметь проблемы с затупливанием ВСЕГО bind DNS!!! при обновлении зоны.
Использую samba4 c 2009 года. В разных организациях. 150 человек тянет легко. Есть нюансы в настройках, которые почему-то не указываются в wiki. За 5 лет был один подвис, но тогда она еще альфой была. Для типичных контор без филиалов — правильное решение.
Статью, к сожалению редактировали. И тут было написано поболее (обзор софта запрещен правилами). Короче VT-d должен быть. НА сегодняшний момент платы с VT-d по цене не отличаются от таких же без. Я лично тестил на Asrock, Asus, MSI на Z77 и Z87. Больше всего понравилась Asrock (это не реклама, я ничего с этого не имею). Что самое забавное: в спеке на z87 и z77 отсутствует поддержка VT-d, но у этих производителей VT-d есть! Так же в оригинальной статье была информация, что если организовывать проброс через pci-stub, то почему-то такая конфигурация приводила иногда к полному зависанию всей системы, когда нужно было перегрузить виртуалку. Еще были какие-то странные лаги с вводом-вывода на одной из виртуалок… pci-stub работал у нас с 2012 года, но когда появилась возможность сделать через VFIO — появилась статья, так как сейчас проблем никаких нет.
Ставте ваш любимы дистрибутив. Установка gentoo не так страшна, как видно из этой статьи. Если нужно, то можно все записать в скрипт. К примеру, в продакшене gentoo у меня массово не стоит (использую debian), так как муторно было продумывать систему обновления (хотя можно сделать). Просто для тестов, анализа, эксперементов gentoo — превосходная система, позволяющая быстро откатится или наооборот накатить требуемое ПО, не таща за собой кучу ненужных зависимостей определенных чьим-то разумом ;-))))
В презентации RedHat за 2013-ый год озвучивается цифра в 12% (то есть 88% производительности конфигурации работающей без виртуализации). Для кого-то с ростом производительности процессоров и удешевления SSD может быть приемлимой жертвой ;-)
Да две видео карты нужны, если два рабочих места. Бесплатно — на софте деньги тратить не нужно. Я имел ввиду бесплатное софновое решение. Карты за штукарь можно купить. Вполне доступно. Софт обычно дороже стоит. А что вы внутри гостей поставите — ваша фантазия.
Купить вторую и вставить в 2-3 свободных PCI-E. ATI6450 стоит в районе 1100 руб, можно попробывать более простую карту с пасивным охлаждением. Я не пробывал.
В системнике две видеокарты. Три USB контроллера. Пропрасывай вторую видеокарту и USB-root во вторую виртуалку. Ставь это все в автозагрузку. При включении компа будет у Вас как раз два рабочих места. Можно пробрасывать отдельные устройства, а не Корневой USB. Но тогда проблема будет для пользователя подключить свой любимый Айфон. Если все выходят из виртуалок, завершают работу, то ком отключается.
Без virtio производительность хуже. Проперьте на тестах. Да spice даже лучше, но vnc все знают ;-)
Если взять тот же индекс производительности, то падение происходит не на видео системе. Узкое место диск. Если конечно SSD поставить… Есть еще подозрения, что конфигурация с эмуляцией q35 хуже работает с памятью, такое я читал в англоязычных форумах. По этому и кинул статью, чтобы народ потестил и что-то добавил. В конце-концов чем больше народа попробует, тем более вылизанной будет конфигурация.
Тут идея в том, что вы можете создать несколько виртуалок. Может быть вам ДОС, или FreeBSD ближе или вы адепт МакОС, а сосед ваш может оставаться любителем Гейца.
Если ставить тот же Астер, то вы нарушите лицензию. А если поставить вторую виртуалку, то да нужно покупать винду! Именно по этому я недавно, к примеру, жену перевел на Linux ;-)) Скажу честно… месяц выноса мозга по различным мелочам. Зато сейчас тишина (тьфу-тьфу-тьфу). Вроде привыкла и все устраивает. Только всякие finereader удобны под Windows. Аналоги в линуксе — очень грусны. Когда нужно распознать текст, то запускается виртуалка windows и пока все. Больше винда не нужна, так как я в игры не играю.
1.Следить за местом, так как даже при указании 98% заполнения диска osd может обвалиться из-за фактического переполнения диска. Иногда требуется затюнить лимиты в ос на количество открытых файлов.
2. Скорость в 1Gb — очень сдерживающий фактор, особенно это ощущается, когда хранилище перестраивается. Т.е. 10Gb минимум, если у вас данные активно используются в хранилище.
3. Да, точно, глюки с pg есть, раз в месяц находились.
Все равно от ceph впечатления остаются очень хорошие, если к нему подойти с пониманием ;-)))
По поводу gentoo. На самом деле у меня есть сервера, где стоит, к примеру, такое чудо как Oracle 9i, а оно как известно зависит от старых glibc и прочей хрени. В случае gentoo не так сложно систему 2002-2004 года обновить до текущего состояния, для того чтобы она, к примеру работала в виртуалке на KVM с драйверами virtio. Только не надо сразу ставить последнее дерево портов. Нужно скачать несколько промежуточных. Т.е. обновляемся до 2005 года, дале до 2006 и так далее. В итоге самый старый сервак можно обновить до текущего состояния, не снося ничего! Да, согласен, что есть опасность возникновения проблем, но для этого виртуалки и созданы, чтобы сначало это проделать на копии, а потом в реальной системе запустить. Мне проще обновлять все сервера, чем их переустанавливать и вспоминтать все ньюансы… А так да, генту для умеющих ее готовить ;-)
Так как я с samba4 с 2009, то исторически так сложилось, что у меня два samba4 выполнятю роль только домен-контроллера. На них же лежит sysvol, а samba-3.6 работают как помойки, сервера печати, хранилище инсталяционных программ и прочее…
Что не удобно:
Sysvol:
1. Для себя я опредилил, что один из серверов первичный контролер, а другой по крону стягивает sysvol rsync'ом как в вики. Можно конечно заморочится какой-нибудь кластерной системой, но я не так часто правлю групповые политики. В нашем случае два админа, договорились что все правки скриптов и политик делаем только на основном контроллере.
*/5 * * * * /usr/bin/rsync -XAaz --delete-after --password-file=/var/lib/samba/private/rsyncd.secret2 rsync://sysvol-replication@sds.office.company.ru/SysVol /var/lib/samba/sysvol/2. Для обновления тикита bind
2. 4 2,5,8,11,14,17,20,23 * * * /usr/bin/kinit -R bind-user@OFFICE.COMPANY.RUДля поддержания актуального ключа, к примеру если у вас samba3 на FreeBSD
/usr/bin/kinit --renewable -k host/parus.office.company.ru@OFFICE.COMPANY.RU/usr/bin/kinit -R -k host/parus.company.ru@OFFICE.COMPANY.RUНа Линуксе подобная идея…
3. backup samba
tar -czf samba_db.tgz /etc/samba /var/lib/samba/private /var/lib/samba/sysvolдля уверенности
tar -czf samba_db.tgz /etc/samba /var/lib/sambaЭтого достаточно, чтобы в gentoo перетащить в случае краха весь AD на новую машину. Для тех кто ненавидит gentoo: в этом дистрибутиве все нужные и свежие пакеты для самбы находятся по умолчанию и новые версии в портаджах появляются мгновенно. Т.е. не надо ничего качать и доставлять, если появляется новая версия или находится уязвимость.
Сам архив будет занимать смешной объем. Причем, если нет активной работы, то можно в открытом состоянии забэкапить, понятное дело что вы рискуете, но даже так все обычно хорошо поднимается. НО безусловно лучше остановить, заархивировать, потом запустить ;-) Второй домен контролеер как раз для этого и нужен.
4. Когда у вас один домен и вы не собираетесь использовать в будущем два домена или более, то лучше не заморачиваться с rfc2307, так как idmap_rid проще!!! Но если Вам не нравится идея добавления к базовому значению uid sid'а пользователя, группы, то помимо прописывания в AD uid пользователя и группы, вам так же нужно будет прописать uidNumber для всех компьютеров пользователей, через дополнительные атрибуты. Вот это больше всего парит при добавлении нового компьютера в систему. Можно сгородить скрипт, но все это как-то не красиво. Простое решение — не использовать rfc2307 для простых организаций укоторых не будет более одного домена.
ldbedit -H /var/lib/samba/private/idmap.ldbдля правки UID тех системных групп, которым не удасться просавить uidNumber. Тут не бойтесь, все просто.Я работал как с idmap_rid, так и с rfc2307. Когда нужна экономия номеров uid, у вас один сервер/хранилище используется для разных доменов, то rfc2307 ваш выбор, а если вы ленивы, то пользуйтесь idmap_rid
5. Для сторонних программ/серверов нужно выгружать ключи и прописывать их.
samba-tool domain exportkeytab --principal=host/sds.office.company.ru@OFFICE.COMPANY.RU /etc/krb5.keytabДа, эти небольшие неудобства — плата за бесплатность ;-) Новые DC или сервера не так часто добавляются, так что можно потерпеть при первоночальной настройке. Зато как приятно, после ядерного взрыва из малюсенького бэкапа быстро развернуть погибший AD на новом сервере ;-)))
Если вы опытный админ, и чувствуете в себе силы, «если что разобраться», то даже не сомневайтесь в переходе на samba4. Обычную фирму с несколькими сотнями человек с двумя контролерами без всяких «лесов» только так переведете.
Если будете ставить bind, то не забудьте обновлять ключ по крону от биндового пользователя, а то есть все шансы поиметь проблемы с затупливанием ВСЕГО bind DNS!!! при обновлении зоны.
Без virtio производительность хуже. Проперьте на тестах. Да spice даже лучше, но vnc все знают ;-)