ბიტკოინი გალიაში?

მოხდა ისე, რომ პროფესიით ვარ კომპიუტერული სისტემებისა და ქსელების ადმინისტრატორი (მოკლედ: სისტემის ადმინისტრატორი) და 10 წელზე ცოტა მეტი მქონდა შესაძლებლობა მეთქვა. მრავალფეროვანი სისტემების საქმიანობა, მათ შორის ისეთებიც, რომლებიც საჭიროებენ უსაფრთხოების [უკიდურეს] ზომებს. ისე მოხდა, რომ რამდენიმე ხნის წინ საინტერესოდ დამხვდა ბიტკოინიდა არა მხოლოდ გამოიყენა იგი, არამედ გაუშვა რამდენიმე მიკრო სერვისი, რათა ვისწავლო როგორ დამოუკიდებლად იმუშაო ბიტკოინის ქსელთან (ბოლოს და ბოლოს, p2p) დეველოპერის თვალსაზრისით (მე, რა თქმა უნდა, ერთ-ერთი მათგანი ვარ dev, მაშ, გავდიოდი). მაგრამ მე არ ვსაუბრობ განვითარებაზე, მე ვსაუბრობ აპლიკაციებისთვის უსაფრთხო და ეფექტურ გარემოზე.

ფინანსური ტექნოლოგია (Fintech) გადადით ინფორმაციის უსაფრთხოების გვერდით (ინფოსეკი) და პირველს შეუძლია იმუშაოს მეორის გარეშე, მაგრამ არა დიდხანს. სწორედ ამიტომ მინდა გაგიზიაროთ ჩემი გამოცდილება და ინსტრუმენტების ნაკრები, რომელსაც ვიყენებ, რომელიც მოიცავს ორივეს Fintechდა ინფოსეკი, და ამავე დროს, და ასევე შეიძლება გამოყენებულ იქნას უფრო ფართო ან სრულიად განსხვავებული მიზნით. ამ სტატიაში მე გეტყვით არა იმდენად ბიტკოინის შესახებ, არამედ ფინანსური (და არა მხოლოდ) სერვისების განვითარებისა და ფუნქციონირების ინფრასტრუქტურულ მოდელზე - ერთი სიტყვით, იმ სერვისებზე, სადაც "B"-ს აქვს მნიშვნელობა. ეს ეხება როგორც ბიტკოინის ბირჟას, ასევე მცირე კომპანიის სერვისების ყველაზე ტიპურ კორპორატიულ ზოოპარკს, რომელიც არანაირად არ არის დაკავშირებული ბიტკოინთან.

მინდა აღვნიშნო, რომ პრინციპების მომხრე ვარ "სულელურად იყავი" и "ნაკლებად არის უფრო"მაშასადამე, როგორც სტატიას, ასევე მასში აღწერილს ექნება ის თვისებები, რაზეც ეს პრინციპებია.

წარმოსახვითი სცენარი: მოდით შევხედოთ ყველაფერს ბიტკოინის გადამცვლელის მაგალითით. ჩვენ გადავწყვიტეთ დაგვეწყო რუბლის, დოლარის, ევროს გაცვლა ბიტკოინებზე და უკან და უკვე გვაქვს სამუშაო გადაწყვეტა, მაგრამ სხვა ციფრული ფულისთვის, როგორიცაა qiwi და webmoney, ე.ი. ჩვენ დავხურეთ ყველა იურიდიული საკითხი, გვაქვს მზა აპლიკაცია, რომელიც ემსახურება როგორც რუბლის, დოლარის, ევროს და სხვა გადახდის სისტემების გადახდის კარიბჭეს. ის დაკავშირებულია ჩვენს საბანკო ანგარიშებთან და აქვს გარკვეული სახის API ჩვენი საბოლოო აპლიკაციებისთვის. ჩვენ ასევე გვაქვს ვებ აპლიკაცია, რომელიც მოქმედებს როგორც გადამცვლელი მომხმარებლებისთვის, ისევე, როგორც ტიპიური qiwi ან webmoney ანგარიში - შექმენით ანგარიში, დაამატეთ ბარათი და ა.შ. ის აკავშირებს ჩვენს კარიბჭე აპლიკაციას, თუმცა REST API-ის მეშვეობით ადგილობრივ ზონაში. ასე რომ, ჩვენ გადავწყვიტეთ დავაკავშიროთ ბიტკოინები და ამავდროულად გაგვეუმჯობესებინა ინფრასტრუქტურა, რადგან... თავიდან ყველაფერი საჩქაროდ იდგა ოფისის ვირტუალურ ყუთებზე მაგიდის ქვეშ... საიტის გამოყენება დაიწყო და ჩვენ დავიწყეთ ფიქრი დროზე და შესრულებაზე.

მაშ ასე, დავიწყოთ მთავარი - სერვერის არჩევით. იმიტომ რომ ჩვენს მაგალითში ბიზნესი მცირეა და ჩვენ ვენდობით მასტერს (OVH), რომელსაც ჩვენ ავირჩევთ ბიუჯეტის ვარიანტი რომელშიც შეუძლებელია სისტემის დაყენება ორიგინალური .iso სურათიდან, მაგრამ არ აქვს მნიშვნელობა, IT უსაფრთხოების დეპარტამენტი აუცილებლად გაანალიზებს დაინსტალირებულ სურათს. და როდესაც გავიზრდებით, ჩვენ ვიქირავებ საკუთარ კარადას ჩაკეტილი და გასაღებით შეზღუდული ფიზიკური წვდომით და შესაძლოა ავაშენოთ ჩვენი საკუთარი DC. ნებისმიერ შემთხვევაში, უნდა გვახსოვდეს, რომ ტექნიკის დაქირავებისა და მზა სურათების დაყენებისას, არის შანსი, რომ თქვენს სისტემაზე ჩამოკიდებული გქონდეთ „ტროას ჰოსტერიდან“, რომელიც უმეტეს შემთხვევაში არ არის გამიზნული თქვენს თვალთვალისთვის. მაგრამ უფრო მოსახერხებელი მართვის ინსტრუმენტების სერვერის შეთავაზება.

სერვერის ინსტალაცია

აქ ყველაფერი მარტივია. ჩვენ ვირჩევთ აპარატურას, რომელიც შეესაბამება ჩვენს საჭიროებებს. შემდეგ აირჩიეთ FreeBSD სურათი. კარგად, ან ჩვენ ვუკავშირდებით (სხვა ჰოსტერის და ჩვენი საკუთარი აპარატურის შემთხვევაში) IPMI-ის ან მონიტორის საშუალებით და გადმოვწერთ .iso FreeBSD სურათს. საორკესტრო წყობისთვის მე ვიყენებ შეუძლებელია и mfsbsd. ერთადერთი, ქიმსუფის შემთხვევაში, ჩვენ ავირჩიეთ პერსონალური ინსტალაცია იმისათვის, რომ სარკეში ორ დისკს ჰქონდეს მხოლოდ ჩატვირთვის და /სახლის ტიხრები „ღია“, დისკის დანარჩენი სივრცე დაშიფრული იქნება, მაგრამ ამის შესახებ მოგვიანებით.

სისტემის ინსტალაცია ხდება სტანდარტული გზით, მე ამაზე არ ვჩერდები, მხოლოდ აღვნიშნავ, რომ მუშაობის დაწყებამდე ღირს ყურადღება მიაქციოთ გამკვრივება ვარიანტები, რომლებსაც ის გვთავაზობს bsdinstaller ინსტალაციის ბოლოს (თუ თქვენ თავად დააინსტალირებთ სისტემას):

არსებობს კარგი მასალა ამ თემაზე მოკლედ გავიმეორებ აქ.

ასევე შესაძლებელია ზემოაღნიშნული პარამეტრების ჩართვა უკვე დაყენებულ სისტემაზე. ამისათვის თქვენ უნდა შეცვალოთ bootloader ფაილი და ჩართოთ ბირთვის პარამეტრები. *ee არის ასეთი რედაქტორი BSD-ში

# ee /etc/rc.conf

...
#sec hard
clear_tmp_enable="YES"
syslogd_flags="-ss"    
sendmail_enable="NONE"

# ee /etc/sysctl.conf

...
#sec hard
security.bsd.see_other_uids=0
security.bsd.see_other_gids=0
security.bsd.unprivileged_read_msgbuf=0
security.bsd.unprivileged_proc_debug=0
kern.randompid=$(jot -r 1 9999)
security.bsd.stack_guard_page=1

თქვენ ასევე უნდა დარწმუნდეთ, რომ დაინსტალირებული გაქვთ სისტემის უახლესი ვერსია და შეასრულეთ ყველა განახლება და განახლება. ჩვენს შემთხვევაში, მაგალითად, საჭიროა უახლესი ვერსიის განახლება, რადგან... წინასწარი ინსტალაციის სურათები ჩამორჩება ექვსი თვიდან ერთ წლამდე. აქ ჩვენ ვცვლით SSH პორტს ნაგულისხმევისაგან განსხვავებულად, დავამატებთ გასაღების ავთენტიფიკაციას და გამორთეთ პაროლის ავტორიზაცია.

შემდეგ ჩვენ ვაკონფიგურირებთ aide, სისტემის კონფიგურაციის ფაილების სტატუსის მონიტორინგი. შეგიძლიათ დაწვრილებით წაიკითხოთ აქ.

pkg install aide

და შეცვალეთ ჩვენი კრონტაბი

crontab -e

06 01 * * 0-6 /root/chkaide.sh

#! /bin/sh
#chkaide.sh
MYDATE=`date +%Y-%m-%d`
MYFILENAME="Aide-"$MYDATE.txt
/bin/echo "Aide check !! `date`" > /tmp/$MYFILENAME
/usr/local/bin/aide --check > /tmp/myAide.txt
/bin/cat /tmp/myAide.txt|/usr/bin/grep -v failed >> /tmp/$MYFILENAME
/bin/echo "**************************************" >> /tmp/$MYFILENAME
/usr/bin/tail -20 /tmp/myAide.txt >> /tmp/$MYFILENAME
/bin/echo "****************DONE******************" >> /tmp/$MYFILENAME

ჩვენ მოიცავს სისტემის აუდიტი

sysrc auditd_enable=YES

# service auditd start

როგორ ხდება ამ საკითხის ადმინისტრირება მშვენივრად არის აღწერილი სახელმძღვანელო.

ახლა ჩვენ გადატვირთეთ და გადავდივართ სერვერზე არსებულ პროგრამულ უზრუნველყოფაზე. თითოეული სერვერი არის ჰიპერვიზორი კონტეინერებისთვის ან სრული ვირტუალური მანქანებისთვის. ამიტომ, მნიშვნელოვანია, რომ პროცესორმა მხარი დაუჭიროს VT-x-ს და EPT-ს, თუ ვგეგმავთ სრულ ვირტუალიზაციის გამოყენებას.

კონტეინერებისა და ვირტუალური მანქანების სამართავად მე ვიყენებ cbsd საწყისი ოლევოლე, ვუსურვებ მას მეტ ჯანმრთელობას და კურთხევას ამ შესანიშნავი სარგებლობისთვის!

კონტეინერები? ისევ დოკერი თუ რა?

Მაგრამ არა. FreeBSD ციხეები შესანიშნავი საშუალებაა კონტეინერიზაციისთვის, მაგრამ აღნიშნული cbsd ამ კონტეინერების ორკესტრირებას, რომლებსაც უჯრედებს უწოდებენ.

გალია არის უკიდურესად ეფექტური გადაწყვეტა სხვადასხვა მიზნებისთვის ინფრასტრუქტურის მშენებლობისთვის, სადაც საბოლოო ჯამში საჭიროა ინდივიდუალური სერვისების ან პროცესების სრული იზოლაცია. არსებითად, ეს არის მასპინძელი სისტემის კლონი, მაგრამ არ საჭიროებს სრულ ტექნიკის ვირტუალიზაციას. და ამის წყალობით, რესურსები არ იხარჯება "სტუმარი OS"-ზე, არამედ მხოლოდ შესრულებულ სამუშაოზე. როდესაც უჯრედები გამოიყენება შიდა საჭიროებისთვის, ეს არის ძალიან მოსახერხებელი გადაწყვეტა რესურსების ოპტიმალური გამოყენებისთვის - ერთ ტექნიკის სერვერზე უჯრედების თაიგულს შეუძლია თითოეულმა ინდივიდუალურად გამოიყენოს მთელი სერვერის რესურსი, საჭიროების შემთხვევაში. იმის გათვალისწინებით, რომ ჩვეულებრივ სხვადასხვა ქვემომსახურებას სჭირდება დამატებითი. რესურსები სხვადასხვა დროს, შეგიძლიათ მიიღოთ მაქსიმალური შესრულება ერთი სერვერიდან, თუ სწორად დაგეგმავთ და დააბალანსებთ უჯრედებს სერვერებს შორის. საჭიროების შემთხვევაში, უჯრედებს ასევე შეიძლება მიეცეს შეზღუდვები გამოყენებული რესურსზე.

რაც შეეხება სრულ ვირტუალიზაციას?

როგორც ვიცი, cbsd მხარს უჭერს მუშაობას bhyve და XEN ჰიპერვიზორები. მეორე არ გამომიყენებია, მაგრამ პირველი შედარებით ახალია ჰიპერვიზორი FreeBSD-დან. ჩვენ განვიხილავთ გამოყენების მაგალითს bhyve ქვემოთ მოცემულ მაგალითში.

ჰოსტის გარემოს ინსტალაცია და კონფიგურაცია

ჩვენ ვიყენებთ FS ZFS. ეს არის ძალიან ძლიერი ინსტრუმენტი სერვერის სივრცის მართვისთვის. ZFS-ის წყალობით, შეგიძლიათ პირდაპირ ააწყოთ დისკებიდან სხვადასხვა კონფიგურაციის მასივები, დინამიურად „ცხელი“ გააფართოვოთ სივრცე, შეცვალოთ მკვდარი დისკები, მართოთ სნეპშოტები და ბევრი, ბევრი სხვა, რაც შეიძლება აღწერილი იყოს სტატიების მთელ სერიაში. დავუბრუნდეთ ჩვენს სერვერს და მის დისკებს. ინსტალაციის დასაწყისში ჩვენ დავტოვეთ თავისუფალი ადგილი დისკებზე დაშიფრული ტიხრებისთვის. Რატომ არის, რომ? ეს ხდება ისე, რომ სისტემა ავტომატურად იღვიძებს და უსმენს SSH-ის საშუალებით.

gpart add -t freebsd-zfs /dev/ada0

/dev/ada0p4 added!

დაამატეთ დისკის დანაყოფი დანარჩენ სივრცეში

geli init /dev/ada0p4

შეიყვანეთ ჩვენი დაშიფვრის პაროლი

geli attach /dev/ada0p4

ისევ შევიყვანთ პაროლს და გვაქვს მოწყობილობა /dev/ada0p4.eli - ეს არის ჩვენი დაშიფრული სივრცე. შემდეგ იგივეს ვიმეორებთ /dev/ada1-ს და მასივის დანარჩენ დისკებს. და ჩვენ ვქმნით ახალს ZFS აუზი.

zpool create vms mirror /dev/ada0p4.eli /dev/ada1p4.eli /dev/ada3p4.eli - კარგი, მინიმალური საბრძოლო ნაკრები მზად გვაქვს. დისკების სარკისებური მასივი სამიდან ერთ-ერთი მარცხის შემთხვევაში.

მონაცემთა ნაკრების შექმნა ახალ „აუზიზე“

zfs create vms/jails

pkg install cbsd — ჩვენ შევქმენით გუნდი და შევქმენით მენეჯმენტი ჩვენი უჯრედებისთვის.

შემდეგ cbsd დაინსტალირებული, საჭიროა მისი ინიციალიზაცია:

# env workdir="/vms/jails" /usr/local/cbsd/sudoexec/initenv

კარგად, ჩვენ ვპასუხობთ უამრავ კითხვას, ძირითადად ნაგულისხმევი პასუხებით.

*თუ თქვენ იყენებთ დაშიფვრას, მნიშვნელოვანია, რომ დემონი cbsdd არ დაიწყო ავტომატურად, სანამ არ გაშიფრავთ დისკებს ხელით ან ავტომატურად (ჩვენს მაგალითში ეს კეთდება zabbix-ის მიერ)

**მე ასევე არ ვიყენებ NAT-ს cbsdდა მე თვითონ ვაკონფიგურირებ მასში pf.

# sysrc pf_enable=YES

# ee /etc/pf.conf

IF_PUBLIC="em0"
IP_PUBLIC="1.23.34.56"
JAIL_IP_POOL="192.168.0.0/24"

#WHITE_CL="{ 127.0.0.1 }"

icmp_types="echoreq"

set limit { states 20000, frags 20000, src-nodes 20000 }
set skip on lo0
scrub in all

#NAT for jails
nat pass on $IF_PUBLIC from $JAIL_IP_POOL to any -> $IP_PUBLIC

## Bitcoin network port forward
IP_JAIL="192.168.0.1"
PORT_JAIL="{8333}"
rdr pass on $IF_PUBLIC proto tcp from any to $IP_PUBLIC port $PORT_JAIL -> $IP_JAIL

# service pf start

# pfctl -f /etc/pf.conf

Firewall-ის პოლიტიკის დაყენება ასევე ცალკე თემაა, ამიტომ მე არ ჩავუღრმავდები BLOCK ALL პოლიტიკის დაყენებას და თეთრი სიების დაყენებას, ამის გაკეთება შეგიძლიათ წაკითხვით ოფიციალური დოკუმენტაცია ან Google-ში ხელმისაწვდომი სტატიების დიდი რაოდენობით.

კარგად... ჩვენ დავაყენეთ cbsd, დროა შევქმნათ ჩვენი პირველი სამუშაო ცხენი - გალიაში ჩაკეტილი ბიტკოინის დემონი!

cbsd jconstruct-tui

აქ ჩვენ ვხედავთ უჯრედის შექმნის დიალოგს. ყველა მნიშვნელობის დაყენების შემდეგ, მოდით შევქმნათ!

თქვენი პირველი უჯრედის შექმნისას უნდა აირჩიოთ რა უნდა გამოიყენოთ უჯრედების საფუძვლად. მე ვირჩევ დისტრიბუციას FreeBSD საცავიდან ბრძანებით repo. ეს არჩევანი კეთდება მხოლოდ კონკრეტული ვერსიის პირველი უჯრედის შექმნისას (შეგიძლიათ მასპინძლოთ ნებისმიერი ვერსიის უჯრედები, რომლებიც უფრო ძველია, ვიდრე ჰოსტის ვერსია).

ყველაფრის დამონტაჟების შემდეგ, ჩვენ გავუშვით გალია!

# cbsd jstart bitcoind

მაგრამ ჩვენ გვჭირდება პროგრამული უზრუნველყოფის დაყენება გალიაში.

# jls

   JID  IP Address      Hostname                      Path
     1  192.168.0.1     bitcoind.space.com            /zroot/jails/jails/bitcoind

jexec bitcoind უჯრედის კონსოლში შესასვლელად

და უკვე უჯრედის შიგნით ვაინსტალირებთ პროგრამულ უზრუნველყოფას თავისი დამოკიდებულებებით (ჩვენი მასპინძელი სისტემა სუფთა რჩება)

bitcoind:/@[15:25] # pkg install bitcoin-daemon bitcoin-utils

bitcoind:/@[15:30] # sysrc bitcoind_enable=YES

bitcoind:/@[15:30] # service bitcoind start

გალიაში არის ბიტკოინი, მაგრამ ჩვენ გვჭირდება ანონიმურობა, რადგან გვინდა დაკავშირება ზოგიერთ გალიასთან TOP ქსელის საშუალებით. ზოგადად, ჩვენ ვგეგმავთ უჯრედების უმეტესობის გაშვებას საეჭვო პროგრამული უზრუნველყოფით მხოლოდ პროქსის მეშვეობით. მადლობა pf თქვენ შეგიძლიათ გამორთოთ NAT IP მისამართების გარკვეული დიაპაზონისთვის ლოკალურ ქსელში და დაუშვათ NAT მხოლოდ ჩვენი TOR კვანძისთვის. ამრიგად, მაშინაც კი, თუ მავნე პროგრამა მოხვდება უჯრედში, ის დიდი ალბათობით ვერ დაუკავშირდება გარე სამყაროსთან და თუ ეს მოხდება, ის არ გამოავლენს ჩვენი სერვერის IP-ს. ამიტომ, ჩვენ ვქმნით სხვა უჯრედს სერვისების „გადამისამართებისთვის“, როგორც „.onion“ სერვისი და როგორც პროქსი, ცალკეულ უჯრედებზე ინტერნეტში წვდომისთვის.

# cbsd jsconstruct-tui

# cbsd jstart tor

# jexec tor

tor:/@[15:38] # pkg install tor

tor:/@[15:38] # sysrc tor_enable=YES

tor:/@[15:38] # ee /usr/local/etc/tor/torrc

მოსასმენად დაყენება ადგილობრივ მისამართზე (ხელმისაწვდომია ყველა უჯრედისთვის)

SOCKSPort 192.168.0.2:9050

კიდევ რა გვჭირდება სრული ბედნიერებისთვის? დიახ, ჩვენ გვჭირდება სერვისი ჩვენი ვებსაიტისთვის, შესაძლოა ერთზე მეტი. მოდით გავუშვათ nginx, რომელიც იმოქმედებს როგორც საპირისპირო პროქსი და იზრუნებს Let's Encrypt სერთიფიკატების განახლებაზე

# cbsd jsconstruct-tui

# cbsd jstart nginx-rev

# jexec nginx-rev

nginx-rev:/@[15:47] # pkg install nginx py36-certbot

ასე რომ, ჩვენ მოვათავსეთ 150 მბ დამოკიდებულებები გალიაში. მასპინძელი კი ისევ სუფთაა.

მოდით, მოგვიანებით დავუბრუნდეთ nginx-ის დაყენებას, ჩვენ უნდა ავწიოთ კიდევ ორი ​​უჯრედი ჩვენი გადახდის კარიბჭისთვის nodejs და rust-ზე და ვებ აპლიკაციაზე, რომელიც რატომღაც არის Apache-ში და PHP-ში და ეს უკანასკნელი ასევე მოითხოვს MySQL მონაცემთა ბაზას.

# cbsd jsconstruct-tui

# cbsd jstart paygw

# jexec paygw

paygw:/@[15:55] # pkg install git node npm

paygw:/@[15:55] # curl --proto '=https' --tlsv1.2 -sSf https://sh.rustup.rs | sh

...და კიდევ 380 მბ იზოლირებული პაკეტები

შემდეგი, ჩვენ გადმოვწერთ ჩვენს აპლიკაციას git-ით და გავუშვით.

# cbsd jsconstruct-tui

# cbsd jstart webapp

# jexec webapp

webapp:/@[16:02] # pkg install mariadb104-server apache24 php74 mod_php74 php74-pdo_mysql

450 MB პაკეტები. გალიაში.

აქ ჩვენ ვაძლევთ დეველოპერს წვდომას SSH-ის საშუალებით პირდაპირ უჯრედში, ისინი ყველაფერს გააკეთებენ იქ:

webapp:/@[16:02] # ee /etc/ssh/sshd_config

Port 2267 — შეცვალეთ უჯრედის SSH პორტი ნებისმიერ თვითნებურად

webapp:/@[16:02] # sysrc sshd_enable=YES

webapp:/@[16:02] # service sshd start

კარგი, სერვისი მუშაობს, რჩება მხოლოდ წესის დამატება pf Firewall

ვნახოთ, რა IP აქვს ჩვენს უჯრედებს და როგორ გამოიყურება ზოგადად ჩვენი "ლოკალური ტერიტორია".

# jls

   JID  IP Address      Hostname                      Path
     1  192.168.0.1     bitcoind.space.com            /zroot/jails/jails/bitcoind
     2  192.168.0.2     tor.space.com                 /zroot/jails/jails/tor
     3  192.168.0.3     nginx-rev.space.com           /zroot/jails/jails/nginx-rev
     4  192.168.0.4     paygw.space.com               /zroot/jails/jails/paygw
     5  192.168.0.5     webapp.my.domain              /zroot/jails/jails/webapp

და დაამატე წესი

# ee /etc/pf.conf

## SSH for web-Devs
IP_JAIL="192.168.0.5"
PORT_JAIL="{ 2267 }"
rdr pass on $IF_PUBLIC proto tcp from any to $IP_PUBLIC port $PORT_JAIL -> $IP_JAIL

კარგი, რადგან აქ ვართ, მოდით დავამატოთ წესი საპირისპირო პროქსისთვის:

## web-ports for nginx-rev
IP_JAIL="192.168.0.3"
PORT_JAIL="{ 80, 443 }"
rdr pass on $IF_PUBLIC proto tcp from any to $IP_PUBLIC port $PORT_JAIL -> $IP_JAIL

# pfctl -f /etc/pf.conf

კარგი, ახლა ცოტა ბიტკოინების შესახებ

რაც გვაქვს არის ის, რომ გვაქვს ვებ აპლიკაცია, რომელიც გარედან არის გამოვლენილი და ის ადგილობრივად ესაუბრება ჩვენს გადახდის კარიბჭეს. ახლა ჩვენ უნდა მოვამზადოთ სამუშაო გარემო თავად ბიტკოინის ქსელთან – კვანძთან ურთიერთობისთვის bitcoind ეს მხოლოდ დემონია, რომელიც განაახლებს ბლოკჩეინის ლოკალურ ასლს. ამ დემონს აქვს RPC და საფულის ფუნქციონირება, მაგრამ არსებობს უფრო მოსახერხებელი „შეფუთვა“ აპლიკაციის განვითარებისთვის. დასაწყისისთვის გადავწყვიტეთ დაგვეყენებინა electrum არის CLI საფულე. ეს საფულე ჩვენ მას გამოვიყენებთ, როგორც „ცივი შესანახად“ ჩვენი ბიტკოინებისთვის - ზოგადად, იმ ბიტკოინების შენახვა, რომლებიც საჭირო იქნება მომხმარებლებისთვის ხელმისაწვდომი სისტემის „გარედან“ და ზოგადად ყველასგან მოშორებით. მას ასევე აქვს GUI, ამიტომ ჩვენ ვაპირებთ იგივე საფულის გამოყენებას
ლეპტოპები. ამ დროისთვის ჩვენ გამოვიყენებთ Electrum-ს საჯარო სერვერებით, მოგვიანებით კი მას სხვა უჯრედში გავზრდით ElectrumXრათა საერთოდ არავისზე არ იყოს დამოკიდებული.

# cbsd jsconstruct-tui

# cbsd jstart electrum

# jexec electrum

electrum:/@[8:45] # pkg install py36-electrum

კიდევ 700 მბ პროგრამული უზრუნველყოფა ჩვენს გალიაში

electrum:/@[8:53] # adduser

Username: wallet
Full name: 
Uid (Leave empty for default): 
Login group [wallet]: 
Login group is wallet. Invite wallet into other groups? []: 
Login class [default]: 
Shell (sh csh tcsh nologin) [sh]: tcsh
Home directory [/home/wallet]: 
Home directory permissions (Leave empty for default): 
Use password-based authentication? [yes]: no
Lock out the account after creation? [no]: 
Username   : wallet
Password   : <disabled>
Full Name  : 
Uid        : 1001
Class      : 
Groups     : wallet 
Home       : /home/wallet
Home Mode  : 
Shell      : /bin/tcsh
Locked     : no
OK? (yes/no): yes
adduser: INFO: Successfully added (wallet) to the user database.
Add another user? (yes/no): no
Goodbye!
electrum:/@[8:53] # su wallet

electrum:/@[8:53] # su wallet

wallet@electrum:/ % electrum-3.6 create

{
    "msg": "Please keep your seed in a safe place; if you lose it, you will not be able to restore your wallet.",
    "path": "/usr/home/wallet/.electrum/wallets/default_wallet",
    "seed": "jealous win pig material ribbon young punch visual okay cactus random bird"
}

ახლა ჩვენ შევქმენით საფულე.

wallet@electrum:/ % electrum-3.6 listaddresses

[
    "18WEhbjvMLGRMfwudzUrUd25U5C7uZYkzE",
    "14XHSejhxsZNDRtk4eFbqAX3L8rftzwQQU",
    "1KQXaN8RXiCN1ne9iYngUWAr6KJ6d4pPas",
    ...
    "1KeVcAwEYhk29qEyAfPwcBgF5mMMoy4qjw",
    "18VaUuSeBr6T2GwpSHYF3XyNgLyLCt1SWk"
]

wallet@electrum:/ % electrum-3.6 help

ჩვენს ქსელში ამიერიდან საფულესთან დაკავშირება მხოლოდ შეზღუდული რაოდენობით შეძლებს. იმისათვის, რომ არ გაიხსნას წვდომა ამ უჯრედზე გარედან, SSH-ის მეშვეობით კავშირები მოხდება TOP-ის (VPN-ის დეცენტრალიზებული ვერსია) მეშვეობით. ჩვენ გავუშვით SSH უჯრედში, მაგრამ არ შევეხოთ ჩვენს pf.conf-ს ჰოსტზე.

electrum:/@[9:00] # sysrc sshd_enable=YES

electrum:/@[9:00] # service sshd start

ახლა მოდით გამორთოთ უჯრედი საფულის ინტერნეტით. მოდით მივცეთ მას IP მისამართი სხვა ქვექსელის სივრციდან, რომელიც არ არის NATed. ჯერ შევიცვალოთ /etc/pf.conf მასპინძელზე

# ee /etc/pf.conf

JAIL_IP_POOL="192.168.0.0/24" მოდით შევცვალოთ იგი JAIL_IP_POOL="192.168.0.0/25", შესაბამისად ყველა მისამართს 192.168.0.126-255 არ ექნება პირდაპირი წვდომა ინტერნეტზე. ერთგვარი პროგრამული უზრუნველყოფის "air-gap" ქსელი. და NAT წესი რჩება ისე, როგორც იყო

nat pass on $IF_PUBLIC from $JAIL_IP_POOL to any -> $IP_PUBLIC

წესების გადატვირთვა

# pfctl -f /etc/pf.conf

ახლა ავიღოთ ჩვენი საკანი

# cbsd jconfig jname=electrum

jset mode=quiet jname=electrum ip4_addr="192.168.0.200"
Remove old IP: /sbin/ifconfig em0 inet 192.168.0.6 -alias
Setup new IP: /sbin/ifconfig em0 inet 192.168.0.200 alias
ip4_addr: 192.168.0.200

ჰმ, მაგრამ ახლა თავად სისტემა შეწყვეტს მუშაობას ჩვენთან. თუმცა, ჩვენ შეგვიძლია მიუთითოთ სისტემის პროქსი. მაგრამ არის ერთი რამ, TOR-ზე ეს არის SOCKS5 პროქსი და მოხერხებულობისთვის ჩვენ ასევე გვსურს HTTP პროქსი.

# cbsd jsconstruct-tui

# cbsd jstart polipo

# jexec polipo

polipo:/@[9:28] # pkg install polipo

polipo:/@[9:28] # ee /usr/local/etc/polipo/config

socksParentProxy = "192.168.0.2:9050"
socksProxyType = socks5

polipo:/@[9:42] # sysrc polipo_enable=YES

polipo:/@[9:43] # service polipo start

ისე, ახლა ჩვენს სისტემაში არის ორი პროქსი სერვერი და ორივე გამოდის TOR-ის საშუალებით: socks5://192.168.0.2:9050 და http://192.168.0.6:8123

ახლა ჩვენ შეგვიძლია ჩვენი საფულის გარემოს კონფიგურაცია

# jexec electrum

electrum:/@[9:45] # su wallet

wallet@electrum:/ % ee ~/.cshrc

#in the end of file proxy config
setenv http_proxy http://192.168.0.6:8123
setenv https_proxy http://192.168.0.6:8123

კარგად, ახლა ჭურვი იმუშავებს პროქსის ქვეშ. თუ პაკეტების დაყენება გვინდა, მაშინ უნდა დავამატოთ /usr/local/etc/pkg.conf გალიის ფესვის ქვეშიდან

pkg_env: {
               http_proxy: "http://my_proxy_ip:8123",
           }

ახლა დროა დავამატოთ TOR ფარული სერვისი, როგორც ჩვენი SSH სერვისის მისამართი საფულის უჯრედში.

# jexec tor

tor:/@[9:59] # ee /usr/local/etc/tor/torrc

HiddenServiceDir /var/db/tor/electrum/
HiddenServicePort 22 192.168.0.200:22

tor:/@[10:01] # mkdir /var/db/tor/electrum

tor:/@[10:01] # chown -R _tor:_tor /var/db/tor/electrum

tor:/@[10:01] # chmod 700 /var/db/tor/electrum

tor:/@[10:03] # service tor restart

tor:/@[10:04] # cat /var/db/tor/electrum/hostname

mdjus4gmduhofwcso57b3zl3ufoitguh2knitjco5cmgrokpreuxumad.onion

ეს არის ჩვენი კავშირის მისამართი. შევამოწმოთ ადგილობრივი აპარატიდან. მაგრამ ჯერ უნდა დავამატოთ ჩვენი SSH გასაღები:

wallet@electrum:/ % mkdir ~/.ssh

wallet@electrum:/ % ee ~/.ssh/authorized_keys

ecdsa-sha2-nistp521 AAAAE2VjZHNhLXNoYTItbmlzdHA1MjEAAAAIbmlzdHA1MjEAAACFBAG9Fk2Lqi4GQ8EXZrsH3EgSrVIQPQaAlS38MmJLBabihv9KHIDGXH7r018hxqLNNGbaJWO/wrWk7sG4T0yLHAbdQAFsMYof9kjoyuG56z0XZ8qaD/X/AjrhLMsIoBbUNj0AzxjKNlPJL4NbHsFwbmxGulKS0PdAD5oLcTQi/VnNdU7iFw== user@local

ისე, Linux კლიენტის აპარატიდან

user@local ~$ nano ~/.ssh/config

#remote electrum wallet
Host remotebtc
        User wallet
        Port 22
        Hostname mdjus4gmduhofwcso57b3zl3ufoitguh2knitjco5cmgrokpreuxumad.onion
        ProxyCommand /bin/ncat --proxy localhost:9050 --proxy-type socks5 %h %p

მოდით დავაკავშიროთ (ამისთვის რომ იმუშაოს, საჭიროა ადგილობრივი TOR დემონი, რომელიც უსმენს 9050-ს)

user@local ~$ ssh remotebtc

The authenticity of host 'mdjus4gmduhofwcso57b3zl3ufoitguh2knitjco5cmgrokpreuxumad.onion (<no hostip for proxy command>)' can't be established.
ECDSA key fingerprint is SHA256:iW8FKjhVF4yyOZB1z4sBkzyvCM+evQ9cCL/EuWm0Du4.
Are you sure you want to continue connecting (yes/no/[fingerprint])? yes
Warning: Permanently added 'mdjus4gmduhofwcso57b3zl3ufoitguh2knitjco5cmgrokpreuxumad.onion' (ECDSA) to the list of known hosts.
FreeBSD 12.1-RELEASE-p1 GENERIC 
To save disk space in your home directory, compress files you rarely
use with "gzip filename".
        -- Dru <[email protected]>
wallet@electrum:~ % logout

წარმატებები!

მყისიერ და მიკრო გადახდებთან მუშაობისთვის ჩვენ ასევე გვჭირდება კვანძი ელვის ქსელიფაქტობრივად, ეს იქნება ჩვენი მთავარი სამუშაო ინსტრუმენტი ბიტკოინთან. U*გ-ელვარომელიც ჩვენ ვაპირებთ გამოვიყენოთ როგორც დემონი არის Sparko მოდული, რომელიც არის სრულფასოვანი HTTP (REST) ​​ინტერფეისი და საშუალებას გაძლევთ იმუშაოთ როგორც ქსელის, ისე ჯაჭვის ტრანზაქციებზე. c-lightning ფუნქციონირებისთვის საჭირო bitcoind მაგრამ დიახ.

*არსებობს Lightning Network პროტოკოლის სხვადასხვა დანერგვა სხვადასხვა ენაზე. მათგან, რაც ჩვენ გამოვცადეთ, c-lightning (დაწერილი C-ზე) ჩანდა ყველაზე სტაბილური და რესურსებით ეფექტური.

# cbsd jsconstruct-tui

# cbsd jstart cln

# jexec cln

lightning:/@[10:23] # adduser

Username: lightning
...

lightning:/@[10:24] # pkg install git

lightning:/@[10:23] # su lightning

cd ~ && git clone https://github.com/ElementsProject/lightning

lightning@lightning:~ % exit

lightning:/@[10:30] # cd /home/lightning/lightning/

lightning:/home/lightning/lightning@[10:31] # pkg install autoconf automake gettext git gmp gmake libtool python python3 sqlite3 libsodium py36-mako bash bitcoin-utils

lightning:/home/lightning/lightning@[10:34] # ./configure && gmake && gmake install

სანამ ყველაფერი საჭირო არის შედგენილი და დაინსტალირებული, მოდით შევქმნათ RPC მომხმარებელი lightningd в bitcoind

# jexec bitcoind

bitcoind:/@[10:36] # ee /usr/local/etc/bitcoin.conf

rpcbind=192.168.0.1
rpcuser=test
rpcpassword=test
#allow only c-lightning
rpcallowip=192.168.0.7/32

bitcoind:/@[10:39] # service bitcoind restart

ჩემი ქაოტური გადართვა უჯრედებს შორის არც ისე ქაოტური აღმოჩნდება, თუ სარგებლობას შენიშნავთ tmux, რომელიც საშუალებას გაძლევთ შექმნათ მრავალი ტერმინალის ქვესესია ერთი სესიის განმავლობაში. ანალოგი: screen

ასე რომ, ჩვენ არ გვინდა გამოვავლინოთ ჩვენი კვანძის რეალური IP და გვინდა განვახორციელოთ ყველა ფინანსური ტრანზაქცია TOP-ის მეშვეობით. ამიტომ სხვა .ხახვი არ არის საჭირო.

# jexec tor

tor:/@[9:59] # ee /usr/local/etc/tor/torrc

HiddenServiceDir /var/db/tor/cln/
HiddenServicePort 9735 192.168.0.7:9735

tor:/@[10:01] # mkdir /var/db/tor/cln

tor:/@[10:01] # chown -R _tor:_tor /var/db/tor/cln

tor:/@[10:01] # chmod 700 /var/db/tor/cln

tor:/@[10:03] # service tor restart

tor:/@[10:04] # cat /var/db/tor/cln/hostname

en5wbkavnytti334jc5uzaudkansypfs6aguv6kech4hbzpcz2ove3yd.onion

ახლა მოდით შევქმნათ კონფიგურაცია c-lightning-ისთვის

lightning:/home/lightning/lightning@[10:31] # su lightning

lightning@lightning:~ % mkdir .lightning

lightning@lightning:~ % ee .lightning/config

alias=My-LN-Node
bind-addr=192.168.0.7:9735
rgb=ff0000
announce-addr=en5wbkavnytti334jc5uzaudkansypfs6aguv6kech4hbzpcz2ove3yd.onion:9735
network=bitcoin
log-level=info
fee-base=0
fee-per-satoshi=1
proxy=192.168.0.2:9050
log-file=/home/lightning/.lightning/c-lightning.log
min-capacity-sat=200000

# sparko plugin
# https://github.com/fiatjaf/lightningd-gjson-rpc/tree/master/cmd/sparko

sparko-host=192.168.0.7
sparko-port=9737

sparko-tls-path=sparko-tls

#sparko-login=mywalletusername:mywalletpassword

#sparko-keys=masterkey;secretread:+listchannels,+listnodes;secretwrite:+invoice,+listinvoices,+delinvoice,+decodepay,+waitpay,+waitinvoice
sparko-keys=masterkey;secretread:+listchannels,+listnodes;ultrawrite:+invoice,+listinvoices,+delinvoice,+decodepay,+waitpay,+waitinvoice
# for the example above the initialization logs (mixed with lightningd logs) should print something like

lightning@lightning:~ % mkdir .lightning/plugins

lightning@lightning:~ % cd .lightning/plugins/

lightning@lightning:~/.lightning/plugins:% fetch https://github.com/fiatjaf/sparko/releases/download/v0.2.1/sparko_full_freebsd_amd64

lightning@lightning:~/.lightning/plugins % mkdir ~/.lightning/sparko-tls

lightning@lightning:~/.lightning/sparko-tls % cd ~/.lightning/sparko-tls

lightning@lightning:~/.lightning/sparko-tls % openssl genrsa -out key.pem 2048

lightning@lightning:~/.lightning/sparko-tls % openssl req -new -x509 -sha256 -key key.pem -out cert.pem -days 3650

lightning@lightning:~/.lightning/plugins % chmod +x sparko_full_freebsd_amd64

lightning@lightning:~/.lightning/plugins % mv sparko_full_freebsd_amd64 sparko

lightning@lightning:~/.lightning/plugins % cd ~

თქვენ ასევე უნდა შექმნათ კონფიგურაციის ფაილი bitcoin-cli-სთვის, პროგრამა, რომელიც აკავშირებს bitcoind

lightning@lightning:~ % mkdir .bitcoin

lightning@lightning:~ % ee .bitcoin/bitcoin.conf

rpcconnect=192.168.0.1
rpcuser=test
rpcpassword=test

შევამოწმებ

lightning@lightning:~ % bitcoin-cli echo "test"

[
  "test"
]

გაშვება lightningd

lightning@lightning:~ % lightningd --daemon

თავად lightningd შეგიძლიათ აკონტროლოთ უტილიტა lightning-cli, მაგალითად:

lightning-cli newaddr მიიღეთ მისამართი ახალი შემომავალი გადახდისთვის

{
   "address": "bc1q2n2ffq3lplhme8jufcxahfrnfhruwjgx3c78pv",
   "bech32": "bc1q2n2ffq3lplhme8jufcxahfrnfhruwjgx3c78pv"
}

lightning-cli withdraw bc1jufcxahfrnfhruwjgx3cq2n2ffq3lplhme878pv all გაგზავნეთ საფულეში არსებული მთელი თანხა მისამართზე (ყველა ჯაჭვური მისამართი)

ასევე ბრძანებები ჯაჭვის გარეშე ოპერაციებისთვის lightning-cli invoice, lightning-cli listinvoices, lightning-cli pay და ასე შემდეგ

ისე, აპლიკაციასთან კომუნიკაციისთვის გვაქვს REST Api

curl -k https://192.168.0.7:9737/rpc -d '{"method": "pay", "params": ["lnbc..."]}' -H 'X-Access masterkey'

შეაჯამებს

# jls

   JID  IP Address      Hostname                      Path
     1  192.168.0.1     bitcoind.space.com            /zroot/jails/jails/bitcoind
     2  192.168.0.2     tor.space.com                 /zroot/jails/jails/tor
     3  192.168.0.3     nginx-rev.space.com           /zroot/jails/jails/nginx-rev
     4  192.168.0.4     paygw.space.com               /zroot/jails/jails/paygw
     5  192.168.0.5     webapp.my.domain              /zroot/jails/jails/webapp
     7  192.168.0.200   electrum.space.com            /zroot/jails/jails/electrum
     8  192.168.0.6     polipo.space.com              /zroot/jails/jails/polipo
     9  192.168.0.7     lightning.space.com           /zroot/jails/jails/cln

ჩვენ გვაქვს კონტეინერების ნაკრები, თითოეულს აქვს საკუთარი წვდომის დონე, როგორც ლოკალურ ქსელში, ასევე მის მიმართ.

# zfs list

NAME                    USED  AVAIL  REFER  MOUNTPOINT
zroot                   279G  1.48T    88K  /zroot
zroot/ROOT             1.89G  1.48T    88K  none
zroot/ROOT/default     1.89G  17.6G  1.89G  /
zroot/home               88K  1.48T    88K  /home
zroot/jails             277G  1.48T   404M  /zroot/jails
zroot/jails/bitcoind    190G  1.48T   190G  /zroot/jails/jails-data/bitcoind-data
zroot/jails/cln         653M  1.48T   653M  /zroot/jails/jails-data/cln-data
zroot/jails/electrum    703M  1.48T   703M  /zroot/jails/jails-data/electrum-data
zroot/jails/nginx-rev   190M  1.48T   190M  /zroot/jails/jails-data/nginx-rev-data
zroot/jails/paygw      82.4G  1.48T  82.4G  /zroot/jails/jails-data/paygw-data
zroot/jails/polipo     57.6M  1.48T  57.6M  /zroot/jails/jails-data/polipo-data
zroot/jails/tor        81.5M  1.48T  81.5M  /zroot/jails/jails-data/tor-data
zroot/jails/webapp      360M  1.48T   360M  /zroot/jails/jails-data/webapp-data

როგორც ხედავთ, ბიტკოინდი იკავებს 190 გბ სივრცეს. რა მოხდება, თუ ჩვენ გვჭირდება სხვა კვანძი ტესტირებისთვის? ეს არის ის, სადაც ZFS გამოდგება. დახმარებით cbsd jclone old=bitcoind new=bitcoind-clone host_hostname=clonedbtc.space.com შეგიძლიათ შექმნათ სნეპშოტი და დაურთოთ ახალი უჯრედი ამ სურათს. ახალ უჯრედს ექნება საკუთარი სივრცე, მაგრამ ფაილურ სისტემაში მხედველობაში მიიღება მხოლოდ განსხვავება არსებულ მდგომარეობასა და ორიგინალს შორის (ჩვენ დავზოგავთ მინიმუმ 190 გბ)

თითოეული უჯრედი არის თავისი ცალკეული ZFS მონაცემთა ნაკრები და ეს ძალიან მოსახერხებელია. ZFS ასევე იძლევა საშუალებას გააკეთეთ სხვა მაგარი რაღაცეები, როგორიცაა სნეპშოტების გაგზავნა SSH-ის საშუალებით. ჩვენ არ აღვწერთ მას, უკვე ბევრია.

ასევე აღსანიშნავია ჰოსტის დისტანციური მონიტორინგის აუცილებლობა, ამ მიზნებისთვის ჩვენ გვაქვს ზაბქსი.

B - უსაფრთხოება

რაც შეეხება უსაფრთხოებას, დავიწყოთ ინფრასტრუქტურის კონტექსტში ძირითადი პრინციპებიდან:

კონფიდენციალობა — UNIX-ის მსგავსი სისტემების სტანდარტული ხელსაწყოები უზრუნველყოფს ამ პრინციპს. ჩვენ ლოგიკურად გამოვყოფთ წვდომას სისტემის თითოეულ ლოგიკურად ცალკეულ ელემენტზე - უჯრედზე. წვდომა უზრუნველყოფილია მომხმარებლის სტანდარტული ავტორიზაციის გზით, მომხმარებლის პირადი გასაღებების გამოყენებით. ყველა კომუნიკაცია უჯრედებს შორის და ბოლომდე ხდება დაშიფრული ფორმით. დისკის დაშიფვრის წყალობით, ჩვენ არ უნდა ვიფიქროთ მონაცემთა უსაფრთხოებაზე დისკის შეცვლის ან სხვა სერვერზე მიგრაციისას. ერთადერთი კრიტიკული წვდომა არის მასპინძელ სისტემაზე წვდომა, რადგან ასეთი წვდომა ზოგადად უზრუნველყოფს კონტეინერებში არსებულ მონაცემებზე წვდომას.

მთლიანობა „ამ პრინციპის განხორციელება რამდენიმე სხვადასხვა დონეზე ხდება. უპირველეს ყოვლისა, მნიშვნელოვანია აღინიშნოს, რომ სერვერის ტექნიკის, ECC მეხსიერების შემთხვევაში, ZFS უკვე „გარეშე“ ზრუნავს მონაცემთა მთლიანობაზე ინფორმაციის ბიტების დონეზე. მყისიერი კადრები საშუალებას გაძლევთ შექმნათ სარეზერვო ასლები ნებისმიერ დროს. მოსახერხებელი უჯრედების ექსპორტის/იმპორტის ხელსაწყოები უჯრედების რეპლიკაციას მარტივს ხდის.

ხელმისაწვდომობა - ეს უკვე არჩევითია. დამოკიდებულია თქვენი დიდების ხარისხზე და იმაზე, რომ გყავთ მოძულეები. ჩვენს მაგალითში, ჩვენ დავრწმუნდით, რომ საფულე ხელმისაწვდომი იყო ექსკლუზიურად TOP ქსელიდან. საჭიროების შემთხვევაში, შეგიძლიათ დაბლოკოთ ყველაფერი firewall-ზე და დაუშვათ სერვერზე წვდომა ექსკლუზიურად გვირაბების საშუალებით (TOR ან VPN სხვა საკითხია). ამრიგად, სერვერი შეძლებისდაგვარად მოწყვეტილი იქნება გარე სამყაროსგან და მხოლოდ ჩვენ შევძლებთ მის ხელმისაწვდომობაზე გავლენის მოხდენას.

უარის თქმის შეუძლებლობა - და ეს დამოკიდებულია შემდგომ მუშაობაზე და მომხმარებლის უფლებების, წვდომის და ა.შ. სწორ პოლიტიკასთან შესაბამისობაზე. მაგრამ სწორი მიდგომით, მომხმარებლის ყველა ქმედება მოწმდება და კრიპტოგრაფიული გადაწყვეტილებების წყალობით შესაძლებელია ცალსახად დადგინდეს, ვინ და როდის შეასრულა გარკვეული ქმედებები.

რასაკვირველია, აღწერილი კონფიგურაცია არ არის აბსოლუტური მაგალითი იმისა, თუ როგორ უნდა იყოს ის ყოველთვის, ეს არის უფრო ერთი მაგალითი იმისა, თუ როგორ შეიძლება იყოს, თუმცა ინარჩუნებს ძალიან მოქნილ მასშტაბირებას და პერსონალიზაციის შესაძლებლობებს.

რაც შეეხება სრულ ვირტუალიზაციას?

სრული ვირტუალიზაციის შესახებ cbsd-ის გამოყენებით შეგიძლიათ წაიკითხეთ აქ. ამას დავამატებ მხოლოდ სამუშაოსთვის bhyve თქვენ უნდა ჩართოთ ბირთვის რამდენიმე ვარიანტი.

# cat /etc/rc.conf

...
kld_list="vmm if_tap if_bridge nmdm"
...

# cat /boot/loader.conf

...
vmm_load="YES"
...

ასე რომ, თუ მოულოდნელად დაგჭირდებათ დოკერის გაშვება, დააინსტალირეთ დებიანი და წადით!

Სულ ეს არის

მგონი სულ ეს იყო, რისი გაზიარებაც მინდოდა. თუ მოგეწონათ სტატია, შეგიძლიათ გამომიგზავნოთ რამდენიმე ბიტკოინი - bc1qu7lhf45xw83ddll5mnzte6ahju8ktkeu6qhttc. თუ გსურთ სცადოთ უჯრედები მოქმედებაში და გქონდეთ რამდენიმე ბიტკოინი, შეგიძლიათ გადახვიდეთ ჩემს საიტზე შინაური ცხოველების პროექტი.

წყარო: www.habr.com