पिंजऱ्यात बिटकॉइन?

असे घडले की मी व्यवसायाने संगणक प्रणाली आणि नेटवर्कचा प्रशासक आहे (थोडक्यात: सिस्टम प्रशासक), आणि मला 10 वर्षांहून अधिक काळ प्राध्यापकांना सांगण्याची संधी मिळाली. [अत्यंत] सुरक्षा उपायांची आवश्यकता असलेल्या प्रणालींच्या विविध प्रकारच्या क्रियाकलाप. असेही घडले की काही काळापूर्वी मला ते मनोरंजक वाटले बिटकॉइन, आणि केवळ त्याचा वापर केला नाही तर विकसकाच्या दृष्टिकोनातून Bitcoin नेटवर्क (उर्फ p2p) सह स्वतंत्रपणे कसे कार्य करावे हे शिकण्यासाठी अनेक सूक्ष्म-सेवा देखील सुरू केल्या आहेत (मी अर्थातच त्यापैकी एक आहे. dev, म्हणून, मी तेथून जात होतो). परंतु मी विकासाबद्दल बोलत नाही, मी अनुप्रयोगांसाठी सुरक्षित आणि कार्यक्षम वातावरणाबद्दल बोलत आहे.

आर्थिक तंत्रज्ञान (fintech) माहिती सुरक्षिततेच्या पुढे जा (इंफोसेक) आणि पहिला दुसऱ्याशिवाय कार्य करू शकतो, परंतु जास्त काळ नाही. म्हणूनच मला माझा अनुभव आणि मी वापरत असलेल्या साधनांचा संच सामायिक करायचा आहे, ज्यामध्ये दोन्ही समाविष्ट आहेत fintech, आणि इंफोसेक, आणि त्याच वेळी, आणि व्यापक किंवा पूर्णपणे भिन्न हेतूसाठी देखील वापरले जाऊ शकते. या लेखात मी तुम्हाला बिटकॉइन बद्दल इतकेच नाही तर आर्थिक (आणि केवळ नाही) सेवांच्या विकास आणि ऑपरेशनसाठी पायाभूत सुविधा मॉडेलबद्दल सांगेन - एका शब्दात, ज्या सेवा "B" महत्वाच्या आहेत. हे बिटकॉइन एक्सचेंज आणि बिटकॉइनशी कोणत्याही प्रकारे कनेक्ट नसलेल्या छोट्या कंपनीच्या सेवांच्या सर्वात सामान्य कॉर्पोरेट प्राणीसंग्रहालयाला लागू होते.

मी हे लक्षात घेऊ इच्छितो की मी तत्त्वांचा समर्थक आहे "हे मूर्ख साधे ठेवा" и "कमी अधिक आहे", म्हणून, लेख आणि त्यामध्ये वर्णन केलेले दोन्ही गुणधर्म या तत्त्वांबद्दल आहेत.

काल्पनिक परिस्थिती: बिटकॉइन एक्सचेंजरचे उदाहरण वापरून सर्वकाही पाहू. आम्ही बिटकॉइन्स आणि बॅकसाठी रूबल, डॉलर्स, युरोची देवाणघेवाण सुरू करण्याचा निर्णय घेतला आणि आमच्याकडे आधीपासूनच कार्यरत उपाय आहे, परंतु इतर डिजिटल पैशांसाठी जसे की क्यूवी आणि वेबमनी, म्हणजे. आम्ही सर्व कायदेशीर समस्या बंद केल्या आहेत, आमच्याकडे एक तयार अर्ज आहे जो रूबल, डॉलर आणि युरो आणि इतर पेमेंट सिस्टमसाठी पेमेंट गेटवे म्हणून काम करतो. हे आमच्या बँक खात्यांशी जोडलेले आहे आणि आमच्या अंतिम अनुप्रयोगांसाठी काही प्रकारचे API आहे. आमच्याकडे एक वेब ऍप्लिकेशन देखील आहे जे वापरकर्त्यांसाठी एक्सचेंजर म्हणून कार्य करते, तसेच, सामान्य qiwi किंवा webmoney खाते सारखे - खाते तयार करा, कार्ड जोडा इ. हे आमच्या गेटवे ऍप्लिकेशनशी संप्रेषण करते, जरी स्थानिक भागात REST API द्वारे. आणि म्हणून आम्ही बिटकॉइन्स कनेक्ट करण्याचा आणि त्याच वेळी पायाभूत सुविधा अपग्रेड करण्याचा निर्णय घेतला, कारण... सुरुवातीला, सर्व काही घाईघाईने ऑफिसमध्ये टेबलखाली असलेल्या व्हर्च्युअलबॉक्सेसवर ठेवण्यात आले होते... साइट वापरली जाऊ लागली आणि आम्हाला अपटाइम आणि कार्यप्रदर्शनाची चिंता वाटू लागली.

तर, मुख्य गोष्टीसह प्रारंभ करूया - सर्व्हर निवडणे. कारण आमच्या उदाहरणातील व्यवसाय लहान आहे आणि आम्ही निवडलेल्या होस्टवर (OVH) वर आमचा विश्वास आहे बजेट पर्याय ज्यामध्ये मूळ .iso इमेज मधून सिस्टीम इन्स्टॉल करणे अशक्य आहे, परंतु काही फरक पडत नाही, IT सुरक्षा विभाग निश्चितपणे स्थापित केलेल्या प्रतिमेचे विश्लेषण करेल. आणि जेव्हा आपण मोठे होतो, तेव्हा मर्यादित भौतिक प्रवेशासह लॉक आणि किल्लीखाली असलेले आपले स्वतःचे कोठडी भाड्याने देऊ आणि कदाचित आपण स्वतःचे डीसी तयार करू. कोणत्याही परिस्थितीत, हे लक्षात ठेवण्यासारखे आहे की हार्डवेअर भाड्याने घेताना आणि तयार प्रतिमा स्थापित करताना, तुमच्या सिस्टमवर "होस्टरकडून ट्रोजन" लटकण्याची शक्यता असते, ज्याचा हेतू बहुतेक प्रकरणांमध्ये तुमची हेरगिरी करण्याचा नसतो. परंतु अधिक सोयीस्कर व्यवस्थापन साधने सर्व्हर ऑफर करण्यासाठी.

सर्व्हर स्थापना

येथे सर्व काही सोपे आहे. आम्ही आमच्या गरजेनुसार हार्डवेअर निवडतो. नंतर FreeBSD प्रतिमा निवडा. बरं, किंवा आम्ही (दुसऱ्या होस्टरच्या बाबतीत आणि आमच्या स्वतःच्या हार्डवेअरच्या बाबतीत) IPMI द्वारे किंवा मॉनिटरने कनेक्ट करतो आणि .iso FreeBSD इमेज डाउनलोडमध्ये फीड करतो. ऑर्केस्ट्रल सेटअपसाठी मी वापरतो उत्तर द्या и mfsbsd. एकच गोष्ट, आमच्या किमसुफीच्या बाबतीत, आम्ही निवडले सानुकूल स्थापना आरशातील दोन डिस्क फक्त बूट आणि /होम विभाजने “ओपन” ठेवण्यासाठी, बाकीची डिस्क स्पेस एनक्रिप्ट केली जाईल, परंतु त्या नंतर अधिक.

सिस्टमची स्थापना मानक पद्धतीने होते, मी यावर लक्ष देणार नाही, मी फक्त लक्षात ठेवेन की ऑपरेशन सुरू करण्यापूर्वी याकडे लक्ष देणे योग्य आहे सतत वाढत जाणारी ते ऑफर करणारे पर्याय bsdinstaller इन्स्टॉलेशनच्या शेवटी (जर तुम्ही सिस्टम स्वतः इन्स्टॉल केले असेल):

आहेत चांगले साहित्य या विषयावर, मी येथे थोडक्यात पुनरावृत्ती करेन.

आधीच स्थापित केलेल्या सिस्टमवर वर नमूद केलेले पॅरामीटर्स सक्षम करणे देखील शक्य आहे. हे करण्यासाठी, तुम्हाला बूटलोडर फाइल संपादित करणे आणि कर्नल पॅरामीटर्स सक्षम करणे आवश्यक आहे. *ee हा BSD मध्ये असा संपादक आहे

# ee /etc/rc.conf

...
#sec hard
clear_tmp_enable="YES"
syslogd_flags="-ss"    
sendmail_enable="NONE"

# ee /etc/sysctl.conf

...
#sec hard
security.bsd.see_other_uids=0
security.bsd.see_other_gids=0
security.bsd.unprivileged_read_msgbuf=0
security.bsd.unprivileged_proc_debug=0
kern.randompid=$(jot -r 1 9999)
security.bsd.stack_guard_page=1

तुम्‍ही तुमच्‍याकडे सिस्‍टमची नवीनतम आवृत्ती स्‍थापित केली असल्‍याची देखील खात्री करावी, आणि सर्व अद्यतने आणि सुधारणा करा. आमच्या बाबतीत, उदाहरणार्थ, नवीनतम आवृत्तीमध्ये अपग्रेड करणे आवश्यक आहे, कारण... प्री-इंस्टॉलेशन प्रतिमा सहा महिने ते एक वर्ष मागे असतात. बरं, तिथे आम्ही SSH पोर्टला डीफॉल्ट पोर्टपेक्षा वेगळे करतो, की ऑथेंटिकेशन जोडतो आणि पासवर्ड ऑथेंटिकेशन अक्षम करतो.

मग आम्ही कॉन्फिगर करतो aide, सिस्टम कॉन्फिगरेशन फाइल्सच्या स्थितीचे निरीक्षण करणे. आपण अधिक तपशीलवार वाचू शकता येथे.

pkg install aide

आणि आमचा क्रॉन्टॅब संपादित करा

crontab -e

06 01 * * 0-6 /root/chkaide.sh

#! /bin/sh
#chkaide.sh
MYDATE=`date +%Y-%m-%d`
MYFILENAME="Aide-"$MYDATE.txt
/bin/echo "Aide check !! `date`" > /tmp/$MYFILENAME
/usr/local/bin/aide --check > /tmp/myAide.txt
/bin/cat /tmp/myAide.txt|/usr/bin/grep -v failed >> /tmp/$MYFILENAME
/bin/echo "**************************************" >> /tmp/$MYFILENAME
/usr/bin/tail -20 /tmp/myAide.txt >> /tmp/$MYFILENAME
/bin/echo "****************DONE******************" >> /tmp/$MYFILENAME

आम्ही समाविष्ट करतो सिस्टम ऑडिटिंग

sysrc auditd_enable=YES

# service auditd start

या प्रकरणाचे व्यवस्थापन कसे करावे याचे उत्तम प्रकारे वर्णन केले आहे नेतृत्व.

आता आम्ही रीबूट करतो आणि सर्व्हरवरील सॉफ्टवेअरवर जाऊ. प्रत्येक सर्व्हर कंटेनर किंवा पूर्ण आभासी मशीनसाठी हायपरवाइजर आहे. म्हणून, जर आम्ही पूर्ण व्हर्च्युअलायझेशन वापरण्याची योजना आखली असेल तर प्रोसेसर VT-x आणि EPT ला समर्थन देतो हे महत्वाचे आहे.

मी वापरतो कंटेनर आणि आभासी मशीन व्यवस्थापित करण्यासाठी cbsd पासून olevole, या अद्भुत उपयुक्ततेसाठी मी त्याला अधिक आरोग्य आणि आशीर्वाद देतो!

कंटेनर? पुन्हा डॉकर की काय?

पण नाही. फ्रीबीएसडी जेल कंटेनरायझेशनसाठी एक उत्कृष्ट साधन आहे, परंतु उल्लेख केला आहे cbsd हे कंटेनर ऑर्केस्ट्रेट करण्यासाठी, ज्याला सेल म्हणतात.

विविध उद्देशांसाठी पायाभूत सुविधा निर्माण करण्यासाठी पिंजरा हा एक अत्यंत प्रभावी उपाय आहे, जेथे वैयक्तिक सेवा किंवा प्रक्रियांचे पूर्ण पृथक्करण शेवटी आवश्यक असते. मूलत:, हा होस्ट सिस्टमचा क्लोन आहे, परंतु त्याला संपूर्ण हार्डवेअर व्हर्च्युअलायझेशनची आवश्यकता नाही. आणि याबद्दल धन्यवाद, संसाधने "अतिथी OS" वर खर्च केली जात नाहीत, परंतु केवळ कार्यान्वित केल्या जात आहेत. जेव्हा सेलचा वापर अंतर्गत गरजांसाठी केला जातो, तेव्हा संसाधनाच्या इष्टतम वापरासाठी हा एक अतिशय सोयीस्कर उपाय आहे - एका हार्डवेअर सर्व्हरवरील सेलचा एक समूह प्रत्येकजण आवश्यक असल्यास संपूर्ण सर्व्हर संसाधनाचा वैयक्तिकरित्या वापर करू शकतो. हे लक्षात घेता, सामान्यतः भिन्न उपसेवांना अतिरिक्त आवश्यक असते. वेगवेगळ्या वेळी संसाधने, तुम्ही सर्व्हरमधील सेलचे योग्य नियोजन आणि समतोल साधल्यास तुम्ही एका सर्व्हरवरून जास्तीत जास्त कामगिरी काढू शकता. आवश्यक असल्यास, सेल वापरलेल्या संसाधनावर निर्बंध देखील दिले जाऊ शकतात.

पूर्ण आभासीकरणाबद्दल काय?

मला माहीत, cbsd कामाचे समर्थन करते bhyve आणि XEN हायपरवाइजर. मी दुसरा कधीही वापरला नाही, परंतु पहिला तुलनेने नवीन आहे फ्रीबीएसडी कडून हायपरवाइजर. आम्ही वापराचे उदाहरण पाहू bhyve खालील उदाहरणात.

होस्ट वातावरण स्थापित करणे आणि कॉन्फिगर करणे

आम्ही एफएस वापरतो ZFS. सर्व्हर स्पेस व्यवस्थापित करण्यासाठी हे एक अत्यंत शक्तिशाली साधन आहे. ZFS ला धन्यवाद, तुम्ही डिस्कवरून थेट विविध कॉन्फिगरेशनचे अॅरे तयार करू शकता, डायनॅमिकली “हॉट” स्पेस विस्तारित करू शकता, मृत डिस्क बदलू शकता, स्नॅपशॉट्स व्यवस्थापित करू शकता आणि बरेच काही, ज्याचे संपूर्ण लेखांच्या मालिकेत वर्णन केले जाऊ शकते. चला आमच्या सर्व्हरवर आणि त्याच्या डिस्क्सवर परत येऊ. इंस्टॉलेशनच्या सुरूवातीस, आम्ही एनक्रिप्टेड विभाजनांसाठी डिस्कवर मोकळी जागा सोडली. अस का? हे असे आहे की सिस्टम स्वयंचलितपणे जागे होते आणि SSH द्वारे ऐकते.

gpart add -t freebsd-zfs /dev/ada0

/dev/ada0p4 added!

उर्वरित जागेत डिस्क विभाजन जोडा

geli init /dev/ada0p4

आमचा एन्क्रिप्शन पासवर्ड टाका

geli attach /dev/ada0p4

आम्ही पुन्हा पासवर्ड टाकतो आणि आमच्याकडे एक डिव्हाइस आहे /dev/ada0p4.eli - ही आमची एनक्रिप्टेड जागा आहे. मग आपण तेच /dev/ada1 आणि अ‍ॅरेमधील उर्वरित डिस्कसाठी पुनरावृत्ती करू. आणि आम्ही एक नवीन तयार करतो ZFS पूल.

zpool create vms mirror /dev/ada0p4.eli /dev/ada1p4.eli /dev/ada3p4.eli - बरं, आमच्याकडे किमान लढाऊ किट तयार आहे. तीनपैकी एक अयशस्वी झाल्यास डिस्कचा मिरर केलेला अॅरे.

नवीन "पूल" वर डेटासेट तयार करणे

zfs create vms/jails

pkg install cbsd - आम्ही एक टीम लाँच केली आणि आमच्या सेलसाठी व्यवस्थापन सेट केले.

नंतर cbsd स्थापित, ते आरंभ करणे आवश्यक आहे:

# env workdir="/vms/jails" /usr/local/cbsd/sudoexec/initenv

बरं, आम्ही अनेक प्रश्नांची उत्तरे देतो, बहुतेक डीफॉल्ट उत्तरांसह.

*जर तुम्ही एनक्रिप्शन वापरत असाल, तर डिमन हे महत्वाचे आहे cbsdd जोपर्यंत तुम्ही डिस्क्स स्वहस्ते किंवा आपोआप डिक्रिप्ट करत नाही तोपर्यंत आपोआप सुरू होत नाही (आमच्या उदाहरणात हे zabbix द्वारे केले जाते)

**मी देखील पासून NAT वापरत नाही cbsd, आणि मी ते स्वतः कॉन्फिगर केले आहे pf.

# sysrc pf_enable=YES

# ee /etc/pf.conf

IF_PUBLIC="em0"
IP_PUBLIC="1.23.34.56"
JAIL_IP_POOL="192.168.0.0/24"

#WHITE_CL="{ 127.0.0.1 }"

icmp_types="echoreq"

set limit { states 20000, frags 20000, src-nodes 20000 }
set skip on lo0
scrub in all

#NAT for jails
nat pass on $IF_PUBLIC from $JAIL_IP_POOL to any -> $IP_PUBLIC

## Bitcoin network port forward
IP_JAIL="192.168.0.1"
PORT_JAIL="{8333}"
rdr pass on $IF_PUBLIC proto tcp from any to $IP_PUBLIC port $PORT_JAIL -> $IP_JAIL

# service pf start

# pfctl -f /etc/pf.conf

फायरवॉल पॉलिसी सेट करणे हा देखील एक वेगळा विषय आहे, म्हणून मी सर्व ब्लॉक पॉलिसी सेट करणे आणि श्वेतसूची सेट करणे यात खोलवर जाणार नाही, तुम्ही ते वाचून करू शकता अधिकृत दस्तऐवजीकरण किंवा Google वर मोठ्या संख्येने लेख उपलब्ध आहेत.

बरं... आम्ही cbsd स्थापित केले आहे, आमचा पहिला वर्कहॉर्स तयार करण्याची वेळ आली आहे - पिंजरा असलेला बिटकॉइन राक्षस!

cbsd jconstruct-tui

येथे आपण सेल निर्मिती संवाद पाहतो. सर्व मूल्ये सेट केल्यानंतर, चला तयार करूया!

तुमचा पहिला सेल तयार करताना, तुम्ही सेलचा आधार म्हणून काय वापरायचे ते निवडले पाहिजे. मी कमांडसह फ्रीबीएसडी रेपॉजिटरीमधून वितरण निवडतो repo. ही निवड विशिष्ट आवृत्तीचा पहिला सेल तयार करतानाच केली जाते (तुम्ही होस्ट आवृत्तीपेक्षा जुन्या कोणत्याही आवृत्तीचे सेल होस्ट करू शकता).

सर्वकाही स्थापित केल्यानंतर, आम्ही पिंजरा लॉन्च करतो!

# cbsd jstart bitcoind

परंतु आपल्याला पिंजऱ्यात सॉफ्टवेअर स्थापित करावे लागेल.

# jls

   JID  IP Address      Hostname                      Path
     1  192.168.0.1     bitcoind.space.com            /zroot/jails/jails/bitcoind

jexec bitcoind सेल कन्सोलमध्ये जाण्यासाठी

आणि आधीच सेलच्या आत आम्ही सॉफ्टवेअर त्याच्या अवलंबनासह स्थापित करतो (आमची होस्ट सिस्टम स्वच्छ राहते)

bitcoind:/@[15:25] # pkg install bitcoin-daemon bitcoin-utils

bitcoind:/@[15:30] # sysrc bitcoind_enable=YES

bitcoind:/@[15:30] # service bitcoind start

पिंजऱ्यात बिटकॉइन आहे, परंतु आम्हाला निनावीपणाची गरज आहे कारण आम्हाला TOP नेटवर्कद्वारे काही पिंजऱ्यांशी कनेक्ट करायचे आहे. सर्वसाधारणपणे, आम्ही संशयास्पद सॉफ्टवेअरसह बहुतेक सेल केवळ प्रॉक्सीद्वारे चालविण्याची योजना करतो. ना धन्यवाद pf तुम्ही स्थानिक नेटवर्कवरील IP पत्त्यांच्या विशिष्ट श्रेणीसाठी NAT अक्षम करू शकता आणि NAT ला फक्त आमच्या TOR नोडसाठी अनुमती देऊ शकता. अशाप्रकारे, जरी मालवेअर सेलमध्ये आला तरीही, तो बहुधा बाहेरील जगाशी संवाद साधणार नाही आणि जर तसे झाले तर ते आमच्या सर्व्हरचा IP उघड करणार नाही. म्हणून, आम्ही “.onion” सेवा म्हणून आणि वैयक्तिक सेलमध्ये इंटरनेट ऍक्सेस करण्यासाठी प्रॉक्सी म्हणून सेवा “फॉरवर्ड” करण्यासाठी दुसरा सेल तयार करतो.

# cbsd jsconstruct-tui

# cbsd jstart tor

# jexec tor

tor:/@[15:38] # pkg install tor

tor:/@[15:38] # sysrc tor_enable=YES

tor:/@[15:38] # ee /usr/local/etc/tor/torrc

स्थानिक पत्त्यावर ऐकण्यासाठी सेट करा (सर्व सेलसाठी उपलब्ध)

SOCKSPort 192.168.0.2:9050

पूर्ण आनंदासाठी आणखी काय हवे? होय, आम्हाला आमच्या वेबसाठी एक सेवा हवी आहे, कदाचित एकापेक्षा जास्त. चला nginx लाँच करू, जे रिव्हर्स-प्रॉक्सी म्हणून काम करेल आणि Let's Encrypt प्रमाणपत्रांचे नूतनीकरण करण्याची काळजी घेईल

# cbsd jsconstruct-tui

# cbsd jstart nginx-rev

# jexec nginx-rev

nginx-rev:/@[15:47] # pkg install nginx py36-certbot

आणि म्हणून आम्ही 150 MB अवलंबित्व एका पिंजऱ्यात ठेवले. आणि यजमान अजूनही स्वच्छ आहे.

चला नंतर nginx सेट करण्यासाठी परत येऊ, आम्हाला आमच्या पेमेंट गेटवेसाठी नोडज आणि रस्ट आणि वेब ऍप्लिकेशनसाठी आणखी दोन सेल वाढवण्याची गरज आहे, जे काही कारणास्तव Apache आणि PHP मध्ये आहे आणि नंतरच्यासाठी MySQL डेटाबेस देखील आवश्यक आहे.

# cbsd jsconstruct-tui

# cbsd jstart paygw

# jexec paygw

paygw:/@[15:55] # pkg install git node npm

paygw:/@[15:55] # curl --proto '=https' --tlsv1.2 -sSf https://sh.rustup.rs | sh

...आणि आणखी 380 MB पॅकेज वेगळे केले

पुढे, आम्ही आमचे ऍप्लिकेशन git सह डाउनलोड करतो आणि ते लाँच करतो.

# cbsd jsconstruct-tui

# cbsd jstart webapp

# jexec webapp

webapp:/@[16:02] # pkg install mariadb104-server apache24 php74 mod_php74 php74-pdo_mysql

450 MB पॅकेजेस. पिंजऱ्यात

येथे आम्ही डेव्हलपरला SSH द्वारे थेट सेलमध्ये प्रवेश देतो, ते तेथे सर्वकाही स्वतः करतील:

webapp:/@[16:02] # ee /etc/ssh/sshd_config

Port 2267 — सेलचे SSH पोर्ट कोणत्याही अनियंत्रित पोर्टमध्ये बदला

webapp:/@[16:02] # sysrc sshd_enable=YES

webapp:/@[16:02] # service sshd start

बरं, सेवा चालू आहे, फक्त नियम जोडणे बाकी आहे pf फायरवॉल

आपल्या सेलमध्ये काय IP आहे आणि आपले "स्थानिक क्षेत्र" सामान्यतः कसे दिसते ते पाहू.

# jls

   JID  IP Address      Hostname                      Path
     1  192.168.0.1     bitcoind.space.com            /zroot/jails/jails/bitcoind
     2  192.168.0.2     tor.space.com                 /zroot/jails/jails/tor
     3  192.168.0.3     nginx-rev.space.com           /zroot/jails/jails/nginx-rev
     4  192.168.0.4     paygw.space.com               /zroot/jails/jails/paygw
     5  192.168.0.5     webapp.my.domain              /zroot/jails/jails/webapp

आणि एक नियम जोडा

# ee /etc/pf.conf

## SSH for web-Devs
IP_JAIL="192.168.0.5"
PORT_JAIL="{ 2267 }"
rdr pass on $IF_PUBLIC proto tcp from any to $IP_PUBLIC port $PORT_JAIL -> $IP_JAIL

बरं, आम्ही इथे आलो असल्याने, रिव्हर्स-प्रॉक्सीसाठी एक नियम देखील जोडूया:

## web-ports for nginx-rev
IP_JAIL="192.168.0.3"
PORT_JAIL="{ 80, 443 }"
rdr pass on $IF_PUBLIC proto tcp from any to $IP_PUBLIC port $PORT_JAIL -> $IP_JAIL

# pfctl -f /etc/pf.conf

बरं, आता बिटकॉइन्सबद्दल थोडेसे

आमच्याकडे एक वेब ऍप्लिकेशन आहे जे बाहेरून उघड आहे आणि ते आमच्या पेमेंट गेटवेशी स्थानिक पातळीवर बोलते. आता आपल्याला बिटकॉइन नेटवर्कशी संवाद साधण्यासाठी एक कार्यरत वातावरण तयार करणे आवश्यक आहे - नोड bitcoind हा फक्त एक डिमन आहे जो ब्लॉकचेनची स्थानिक प्रत अद्ययावत ठेवतो. या डिमनमध्ये RPC आणि वॉलेट कार्यक्षमता आहे, परंतु अनुप्रयोग विकासासाठी अधिक सोयीस्कर "रॅपर" आहेत. सुरुवातीला, आम्ही ठेवण्याचा निर्णय घेतला electrum CLI वॉलेट आहे. हे पाकीट आम्ही ते आमच्या बिटकॉइन्ससाठी "कोल्ड स्टोरेज" म्हणून वापरू - सर्वसाधारणपणे, ते बिटकॉइन्स ज्यांना वापरकर्त्यांसाठी प्रवेशयोग्य आणि सामान्यतः प्रत्येकापासून दूर असलेल्या प्रणालीच्या "बाहेर" संग्रहित करणे आवश्यक आहे. यात GUI देखील आहे, म्हणून आम्ही तेच वॉलेट आमच्यावर वापरणार आहोत
लॅपटॉप आत्ता आम्ही सार्वजनिक सर्व्हरसह इलेक्ट्रम वापरू, आणि नंतर आम्ही ते दुसर्या सेलमध्ये वाढवू इलेक्ट्रमएक्सजेणेकरून कोणावरही अवलंबून राहू नये.

# cbsd jsconstruct-tui

# cbsd jstart electrum

# jexec electrum

electrum:/@[8:45] # pkg install py36-electrum

आमच्या पिंजऱ्यात आणखी 700 MB सॉफ्टवेअर

electrum:/@[8:53] # adduser

Username: wallet
Full name: 
Uid (Leave empty for default): 
Login group [wallet]: 
Login group is wallet. Invite wallet into other groups? []: 
Login class [default]: 
Shell (sh csh tcsh nologin) [sh]: tcsh
Home directory [/home/wallet]: 
Home directory permissions (Leave empty for default): 
Use password-based authentication? [yes]: no
Lock out the account after creation? [no]: 
Username   : wallet
Password   : <disabled>
Full Name  : 
Uid        : 1001
Class      : 
Groups     : wallet 
Home       : /home/wallet
Home Mode  : 
Shell      : /bin/tcsh
Locked     : no
OK? (yes/no): yes
adduser: INFO: Successfully added (wallet) to the user database.
Add another user? (yes/no): no
Goodbye!
electrum:/@[8:53] # su wallet

electrum:/@[8:53] # su wallet

wallet@electrum:/ % electrum-3.6 create

{
    "msg": "Please keep your seed in a safe place; if you lose it, you will not be able to restore your wallet.",
    "path": "/usr/home/wallet/.electrum/wallets/default_wallet",
    "seed": "jealous win pig material ribbon young punch visual okay cactus random bird"
}

आता आम्ही एक पाकीट तयार केले आहे.

wallet@electrum:/ % electrum-3.6 listaddresses

[
    "18WEhbjvMLGRMfwudzUrUd25U5C7uZYkzE",
    "14XHSejhxsZNDRtk4eFbqAX3L8rftzwQQU",
    "1KQXaN8RXiCN1ne9iYngUWAr6KJ6d4pPas",
    ...
    "1KeVcAwEYhk29qEyAfPwcBgF5mMMoy4qjw",
    "18VaUuSeBr6T2GwpSHYF3XyNgLyLCt1SWk"
]

wallet@electrum:/ % electrum-3.6 help

आमच्याकडे ऑन-चेन आतापासून केवळ मर्यादित लोकच वॉलेटशी कनेक्ट होऊ शकतील. बाहेरून या सेलमध्ये प्रवेश उघडू नये म्हणून, SSH द्वारे कनेक्शन TOP (VPN ची विकेंद्रित आवृत्ती) द्वारे होतील. आम्ही सेलमध्ये SSH लाँच करतो, परंतु होस्टवर आमच्या pf.conf ला स्पर्श करू नका.

electrum:/@[9:00] # sysrc sshd_enable=YES

electrum:/@[9:00] # service sshd start

आता वॉलेटच्या इंटरनेट प्रवेशासह सेल बंद करूया. NATEd नसलेल्या दुसर्‍या सबनेट स्पेसचा IP पत्ता देऊ. आधी बदलूया /etc/pf.conf यजमान वर

# ee /etc/pf.conf

JAIL_IP_POOL="192.168.0.0/24" ते बदलूया JAIL_IP_POOL="192.168.0.0/25", अशा प्रकारे सर्व पत्ते 192.168.0.126-255 यांना इंटरनेटवर थेट प्रवेश मिळणार नाही. एक प्रकारचे सॉफ्टवेअर "एअर-गॅप" नेटवर्क. आणि NAT नियम तसाच आहे

nat pass on $IF_PUBLIC from $JAIL_IP_POOL to any -> $IP_PUBLIC

नियमांचे ओव्हरलोडिंग

# pfctl -f /etc/pf.conf

आता आपला सेल घेऊ

# cbsd jconfig jname=electrum

jset mode=quiet jname=electrum ip4_addr="192.168.0.200"
Remove old IP: /sbin/ifconfig em0 inet 192.168.0.6 -alias
Setup new IP: /sbin/ifconfig em0 inet 192.168.0.200 alias
ip4_addr: 192.168.0.200

हम्म, पण आता सिस्टीम स्वतःच आमच्यासाठी काम करणे थांबवेल. तथापि, आम्ही सिस्टम प्रॉक्सी निर्दिष्ट करू शकतो. पण एक गोष्ट आहे, TOR वर ती SOCKS5 प्रॉक्सी आहे, आणि सोयीसाठी आम्हाला HTTP प्रॉक्सी देखील हवी आहे.

# cbsd jsconstruct-tui

# cbsd jstart polipo

# jexec polipo

polipo:/@[9:28] # pkg install polipo

polipo:/@[9:28] # ee /usr/local/etc/polipo/config

socksParentProxy = "192.168.0.2:9050"
socksProxyType = socks5

polipo:/@[9:42] # sysrc polipo_enable=YES

polipo:/@[9:43] # service polipo start

बरं, आता आमच्या सिस्टममध्ये दोन प्रॉक्सी सर्व्हर आहेत आणि दोन्ही TOR द्वारे आउटपुट: socks5://192.168.0.2:9050 आणि http://192.168.0.6:8123

आता आम्ही आमचे वॉलेट वातावरण कॉन्फिगर करू शकतो

# jexec electrum

electrum:/@[9:45] # su wallet

wallet@electrum:/ % ee ~/.cshrc

#in the end of file proxy config
setenv http_proxy http://192.168.0.6:8123
setenv https_proxy http://192.168.0.6:8123

बरं, आता शेल प्रॉक्सी अंतर्गत कार्य करेल. जर आपल्याला पॅकेजेस इन्स्टॉल करायचे असतील तर आपण त्यात जोडले पाहिजे /usr/local/etc/pkg.conf पिंजऱ्याच्या मुळाखाली

pkg_env: {
               http_proxy: "http://my_proxy_ip:8123",
           }

बरं, आता वॉलेट सेलमध्ये आमच्या SSH सेवेचा पत्ता म्हणून TOR लपलेली सेवा जोडण्याची वेळ आली आहे.

# jexec tor

tor:/@[9:59] # ee /usr/local/etc/tor/torrc

HiddenServiceDir /var/db/tor/electrum/
HiddenServicePort 22 192.168.0.200:22

tor:/@[10:01] # mkdir /var/db/tor/electrum

tor:/@[10:01] # chown -R _tor:_tor /var/db/tor/electrum

tor:/@[10:01] # chmod 700 /var/db/tor/electrum

tor:/@[10:03] # service tor restart

tor:/@[10:04] # cat /var/db/tor/electrum/hostname

mdjus4gmduhofwcso57b3zl3ufoitguh2knitjco5cmgrokpreuxumad.onion

हा आमचा कनेक्शन पत्ता आहे. चला स्थानिक मशीनवरून तपासूया. परंतु प्रथम आम्हाला आमची SSH की जोडण्याची आवश्यकता आहे:

wallet@electrum:/ % mkdir ~/.ssh

wallet@electrum:/ % ee ~/.ssh/authorized_keys

ecdsa-sha2-nistp521 AAAAE2VjZHNhLXNoYTItbmlzdHA1MjEAAAAIbmlzdHA1MjEAAACFBAG9Fk2Lqi4GQ8EXZrsH3EgSrVIQPQaAlS38MmJLBabihv9KHIDGXH7r018hxqLNNGbaJWO/wrWk7sG4T0yLHAbdQAFsMYof9kjoyuG56z0XZ8qaD/X/AjrhLMsIoBbUNj0AzxjKNlPJL4NbHsFwbmxGulKS0PdAD5oLcTQi/VnNdU7iFw== user@local

बरं, लिनक्स क्लायंट मशीनवरून

user@local ~$ nano ~/.ssh/config

#remote electrum wallet
Host remotebtc
        User wallet
        Port 22
        Hostname mdjus4gmduhofwcso57b3zl3ufoitguh2knitjco5cmgrokpreuxumad.onion
        ProxyCommand /bin/ncat --proxy localhost:9050 --proxy-type socks5 %h %p

चला कनेक्ट करूया (हे कार्य करण्यासाठी, तुम्हाला 9050 वर ऐकणारा स्थानिक TOR डिमन आवश्यक आहे)

user@local ~$ ssh remotebtc

The authenticity of host 'mdjus4gmduhofwcso57b3zl3ufoitguh2knitjco5cmgrokpreuxumad.onion (<no hostip for proxy command>)' can't be established.
ECDSA key fingerprint is SHA256:iW8FKjhVF4yyOZB1z4sBkzyvCM+evQ9cCL/EuWm0Du4.
Are you sure you want to continue connecting (yes/no/[fingerprint])? yes
Warning: Permanently added 'mdjus4gmduhofwcso57b3zl3ufoitguh2knitjco5cmgrokpreuxumad.onion' (ECDSA) to the list of known hosts.
FreeBSD 12.1-RELEASE-p1 GENERIC 
To save disk space in your home directory, compress files you rarely
use with "gzip filename".
        -- Dru <[email protected]>
wallet@electrum:~ % logout

यश!

त्वरित आणि सूक्ष्म-पेमेंटसह कार्य करण्यासाठी, आम्हाला नोड देखील आवश्यक आहे लाइटनिंग नेटवर्क, खरं तर, हे Bitcoin सह आमचे मुख्य कार्य साधन असेल. U*c-विद्युल्लताजे आपण डिमन म्हणून वापरणार आहोत स्पार्को प्लगइन, जो पूर्ण वाढ झालेला HTTP (REST) ​​इंटरफेस आहे आणि तुम्हाला ऑफ-चेन आणि ऑन-चेन दोन्ही व्यवहारांसह कार्य करण्याची परवानगी देतो. c-lightning कामकाजासाठी आवश्यक bitcoind पण होय.

*वेगवेगळ्या भाषांमध्ये लाइटनिंग नेटवर्क प्रोटोकॉलची विविध अंमलबजावणी आहेत. आम्ही चाचणी केलेल्यांपैकी, c-लाइटनिंग (C मध्ये लिहिलेले) सर्वात स्थिर आणि संसाधन-कार्यक्षम वाटले

# cbsd jsconstruct-tui

# cbsd jstart cln

# jexec cln

lightning:/@[10:23] # adduser

Username: lightning
...

lightning:/@[10:24] # pkg install git

lightning:/@[10:23] # su lightning

cd ~ && git clone https://github.com/ElementsProject/lightning

lightning@lightning:~ % exit

lightning:/@[10:30] # cd /home/lightning/lightning/

lightning:/home/lightning/lightning@[10:31] # pkg install autoconf automake gettext git gmp gmake libtool python python3 sqlite3 libsodium py36-mako bash bitcoin-utils

lightning:/home/lightning/lightning@[10:34] # ./configure && gmake && gmake install

आवश्यक सर्वकाही संकलित आणि स्थापित केलेले असताना, यासाठी एक RPC वापरकर्ता तयार करूया lightningd в bitcoind

# jexec bitcoind

bitcoind:/@[10:36] # ee /usr/local/etc/bitcoin.conf

rpcbind=192.168.0.1
rpcuser=test
rpcpassword=test
#allow only c-lightning
rpcallowip=192.168.0.7/32

bitcoind:/@[10:39] # service bitcoind restart

जर तुम्ही उपयुक्तता लक्षात घेतली तर सेलमधील माझे गोंधळलेले स्विचिंग इतके गोंधळलेले नाही tmux, जे तुम्हाला एका सत्रात अनेक टर्मिनल उप-सत्र तयार करण्यास अनुमती देते. अॅनालॉग: screen

त्यामुळे, आम्हाला आमच्या नोडचा खरा IP उघड करायचा नाही आणि आम्ही सर्व आर्थिक व्यवहार TOP द्वारे करू इच्छितो. त्यामुळे दुसऱ्या .कांद्याची गरज नाही.

# jexec tor

tor:/@[9:59] # ee /usr/local/etc/tor/torrc

HiddenServiceDir /var/db/tor/cln/
HiddenServicePort 9735 192.168.0.7:9735

tor:/@[10:01] # mkdir /var/db/tor/cln

tor:/@[10:01] # chown -R _tor:_tor /var/db/tor/cln

tor:/@[10:01] # chmod 700 /var/db/tor/cln

tor:/@[10:03] # service tor restart

tor:/@[10:04] # cat /var/db/tor/cln/hostname

en5wbkavnytti334jc5uzaudkansypfs6aguv6kech4hbzpcz2ove3yd.onion

आता c-lightning साठी कॉन्फिगरेशन बनवू

lightning:/home/lightning/lightning@[10:31] # su lightning

lightning@lightning:~ % mkdir .lightning

lightning@lightning:~ % ee .lightning/config

alias=My-LN-Node
bind-addr=192.168.0.7:9735
rgb=ff0000
announce-addr=en5wbkavnytti334jc5uzaudkansypfs6aguv6kech4hbzpcz2ove3yd.onion:9735
network=bitcoin
log-level=info
fee-base=0
fee-per-satoshi=1
proxy=192.168.0.2:9050
log-file=/home/lightning/.lightning/c-lightning.log
min-capacity-sat=200000

# sparko plugin
# https://github.com/fiatjaf/lightningd-gjson-rpc/tree/master/cmd/sparko

sparko-host=192.168.0.7
sparko-port=9737

sparko-tls-path=sparko-tls

#sparko-login=mywalletusername:mywalletpassword

#sparko-keys=masterkey;secretread:+listchannels,+listnodes;secretwrite:+invoice,+listinvoices,+delinvoice,+decodepay,+waitpay,+waitinvoice
sparko-keys=masterkey;secretread:+listchannels,+listnodes;ultrawrite:+invoice,+listinvoices,+delinvoice,+decodepay,+waitpay,+waitinvoice
# for the example above the initialization logs (mixed with lightningd logs) should print something like

lightning@lightning:~ % mkdir .lightning/plugins

lightning@lightning:~ % cd .lightning/plugins/

lightning@lightning:~/.lightning/plugins:% fetch https://github.com/fiatjaf/sparko/releases/download/v0.2.1/sparko_full_freebsd_amd64

lightning@lightning:~/.lightning/plugins % mkdir ~/.lightning/sparko-tls

lightning@lightning:~/.lightning/sparko-tls % cd ~/.lightning/sparko-tls

lightning@lightning:~/.lightning/sparko-tls % openssl genrsa -out key.pem 2048

lightning@lightning:~/.lightning/sparko-tls % openssl req -new -x509 -sha256 -key key.pem -out cert.pem -days 3650

lightning@lightning:~/.lightning/plugins % chmod +x sparko_full_freebsd_amd64

lightning@lightning:~/.lightning/plugins % mv sparko_full_freebsd_amd64 sparko

lightning@lightning:~/.lightning/plugins % cd ~

तुम्हाला bitcoin-cli साठी कॉन्फिगरेशन फाइल तयार करण्याची देखील आवश्यकता आहे, एक उपयुक्तता जी यांच्याशी संवाद साधते bitcoind

lightning@lightning:~ % mkdir .bitcoin

lightning@lightning:~ % ee .bitcoin/bitcoin.conf

rpcconnect=192.168.0.1
rpcuser=test
rpcpassword=test

तपासा

lightning@lightning:~ % bitcoin-cli echo "test"

[
  "test"
]

प्रक्षेपण lightningd

lightning@lightning:~ % lightningd --daemon

स्वतः lightningd आपण उपयुक्तता नियंत्रित करू शकता lightning-cli, उदाहरणार्थ:

lightning-cli newaddr नवीन येणाऱ्या पेमेंटसाठी पत्ता मिळवा

{
   "address": "bc1q2n2ffq3lplhme8jufcxahfrnfhruwjgx3c78pv",
   "bech32": "bc1q2n2ffq3lplhme8jufcxahfrnfhruwjgx3c78pv"
}

lightning-cli withdraw bc1jufcxahfrnfhruwjgx3cq2n2ffq3lplhme878pv all वॉलेटमधील सर्व पैसे पत्त्यावर पाठवा (सर्व ऑन-चेन पत्ते)

ऑफ-चेन ऑपरेशन्ससाठी देखील आदेश lightning-cli invoice, lightning-cli listinvoices, lightning-cli pay इ.

बरं, अनुप्रयोगासह संप्रेषणासाठी आमच्याकडे एक REST Api आहे

curl -k https://192.168.0.7:9737/rpc -d '{"method": "pay", "params": ["lnbc..."]}' -H 'X-Access masterkey'

चला परिणामांची बेरीज करूया

# jls

   JID  IP Address      Hostname                      Path
     1  192.168.0.1     bitcoind.space.com            /zroot/jails/jails/bitcoind
     2  192.168.0.2     tor.space.com                 /zroot/jails/jails/tor
     3  192.168.0.3     nginx-rev.space.com           /zroot/jails/jails/nginx-rev
     4  192.168.0.4     paygw.space.com               /zroot/jails/jails/paygw
     5  192.168.0.5     webapp.my.domain              /zroot/jails/jails/webapp
     7  192.168.0.200   electrum.space.com            /zroot/jails/jails/electrum
     8  192.168.0.6     polipo.space.com              /zroot/jails/jails/polipo
     9  192.168.0.7     lightning.space.com           /zroot/jails/jails/cln

आमच्याकडे कंटेनरचा एक संच आहे, प्रत्येकाचा स्वतःचा स्तर आणि स्थानिक नेटवर्कवरून प्रवेश आहे.

# zfs list

NAME                    USED  AVAIL  REFER  MOUNTPOINT
zroot                   279G  1.48T    88K  /zroot
zroot/ROOT             1.89G  1.48T    88K  none
zroot/ROOT/default     1.89G  17.6G  1.89G  /
zroot/home               88K  1.48T    88K  /home
zroot/jails             277G  1.48T   404M  /zroot/jails
zroot/jails/bitcoind    190G  1.48T   190G  /zroot/jails/jails-data/bitcoind-data
zroot/jails/cln         653M  1.48T   653M  /zroot/jails/jails-data/cln-data
zroot/jails/electrum    703M  1.48T   703M  /zroot/jails/jails-data/electrum-data
zroot/jails/nginx-rev   190M  1.48T   190M  /zroot/jails/jails-data/nginx-rev-data
zroot/jails/paygw      82.4G  1.48T  82.4G  /zroot/jails/jails-data/paygw-data
zroot/jails/polipo     57.6M  1.48T  57.6M  /zroot/jails/jails-data/polipo-data
zroot/jails/tor        81.5M  1.48T  81.5M  /zroot/jails/jails-data/tor-data
zroot/jails/webapp      360M  1.48T   360M  /zroot/jails/jails-data/webapp-data

तुम्ही बघू शकता, बिटकॉइंड सर्व 190 GB जागा घेते. आम्हाला चाचणीसाठी दुसर्या नोडची आवश्यकता असल्यास काय? इथेच ZFS उपयोगी पडते. मदतीने cbsd jclone old=bitcoind new=bitcoind-clone host_hostname=clonedbtc.space.com तुम्ही स्नॅपशॉट तयार करू शकता आणि या स्नॅपशॉटला नवीन सेल संलग्न करू शकता. नवीन सेलची स्वतःची जागा असेल, परंतु फाइल सिस्टममध्ये फक्त वर्तमान स्थिती आणि मूळमधील फरक विचारात घेतला जाईल (आम्ही किमान 190 GB वाचवू)

प्रत्येक सेलचा स्वतःचा स्वतंत्र ZFS डेटासेट आहे आणि हे अत्यंत सोयीचे आहे. ZFS देखील परवानगी देते SSH द्वारे स्नॅपशॉट पाठवण्यासारख्या इतर विविध छान गोष्टी करा. आम्ही त्याचे वर्णन करणार नाही, आधीच बरेच काही आहे.

यजमानाच्या रिमोट मॉनिटरिंगची आवश्यकता देखील लक्षात घेण्यासारखे आहे, या हेतूंसाठी आमच्याकडे आहे झब्बीक्स.

बी - सुरक्षा

सुरक्षिततेबाबत, पायाभूत सुविधांच्या संदर्भात मुख्य तत्त्वांपासून सुरुवात करूया:

गुप्तता - UNIX सारखी प्रणालीची मानक साधने या तत्त्वाची अंमलबजावणी सुनिश्चित करतात. आम्ही सिस्टमच्या प्रत्येक तार्किकदृष्ट्या स्वतंत्र घटक - सेलमध्ये तार्किकदृष्ट्या विभक्त प्रवेश करतो. वापरकर्त्यांच्या वैयक्तिक की वापरून मानक वापरकर्ता प्रमाणीकरणाद्वारे प्रवेश प्रदान केला जातो. सेलमधील आणि शेवटपर्यंत सर्व संप्रेषण एनक्रिप्टेड स्वरूपात होते. डिस्क एन्क्रिप्शनबद्दल धन्यवाद, डिस्क बदलताना किंवा दुसर्‍या सर्व्हरवर स्थलांतरित करताना आम्हाला डेटाच्या सुरक्षिततेबद्दल काळजी करण्याची गरज नाही. यजमान प्रणालीमध्ये प्रवेश हा एकमेव गंभीर प्रवेश आहे, कारण असा प्रवेश सामान्यतः कंटेनरमधील डेटामध्ये प्रवेश प्रदान करतो.

अखंडता “या तत्त्वाची अंमलबजावणी विविध स्तरांवर होते. सर्वप्रथम, हे लक्षात घेणे महत्त्वाचे आहे की सर्व्हर हार्डवेअर, ECC मेमरी, ZFS आधीपासूनच “आउट ऑफ द बॉक्स” माहिती बिट्सच्या पातळीवर डेटा अखंडतेची काळजी घेते. झटपट स्नॅपशॉट्स तुम्हाला फ्लायवर कधीही बॅकअप घेण्यास अनुमती देतात. सोयीस्कर सेल निर्यात/आयात साधने सेल प्रतिकृती सोपे करतात.

उपलब्धता - हे आधीच ऐच्छिक आहे. तुमची प्रसिद्धी किती आहे आणि तुमच्याकडे द्वेष करणारे आहेत यावर अवलंबून आहे. आमच्या उदाहरणामध्ये, आम्ही खात्री केली की वॉलेट केवळ TOP नेटवर्कवरून प्रवेश करण्यायोग्य आहे. आवश्यक असल्यास, आपण फायरवॉलवरील सर्व काही अवरोधित करू शकता आणि सर्व्हरवर केवळ बोगद्यांमधून प्रवेश करू शकता (TOR किंवा VPN ही दुसरी बाब आहे). अशा प्रकारे, सर्व्हर शक्य तितक्या बाहेरील जगापासून कापला जाईल आणि केवळ आपणच त्याच्या उपलब्धतेवर प्रभाव टाकू शकतो.

नकाराची अशक्यता - आणि हे पुढील ऑपरेशन आणि वापरकर्ता अधिकार, प्रवेश इ. साठी योग्य धोरणांचे पालन यावर अवलंबून आहे. परंतु योग्य पध्दतीने, सर्व वापरकर्त्यांच्या क्रियांचे ऑडिट केले जाते आणि क्रिप्टोग्राफिक सोल्यूशन्समुळे विशिष्ट क्रिया कोणी आणि केव्हा केल्या हे अस्पष्टपणे ओळखणे शक्य आहे.

अर्थात, वर्णन केलेले कॉन्फिगरेशन हे नेहमीच कसे असावे याचे परिपूर्ण उदाहरण नाही, तर ते कसे असू शकते याचे एक उदाहरण आहे, अतिशय लवचिक स्केलिंग आणि सानुकूलित क्षमता राखून ठेवते.

पूर्ण आभासीकरणाबद्दल काय?

सीबीएसडी वापरून पूर्ण व्हर्च्युअलायझेशनबद्दल तुम्ही हे करू शकता येथे वाचा. मी ते फक्त कामासाठी जोडेन bhyve तुम्हाला काही कर्नल पर्याय सक्षम करणे आवश्यक आहे.

# cat /etc/rc.conf

...
kld_list="vmm if_tap if_bridge nmdm"
...

# cat /boot/loader.conf

...
vmm_load="YES"
...

त्यामुळे तुम्हाला अचानक डॉकर सुरू करायचा असेल तर काही डेबियन इन्स्टॉल करा आणि जा!

इतकंच

माझा अंदाज आहे की मला एवढेच शेअर करायचे होते. जर तुम्हाला लेख आवडला असेल तर तुम्ही मला काही बिटकॉइन पाठवू शकता - bc1qu7lhf45xw83ddll5mnzte6ahju8ktkeu6qhttc. जर तुम्हाला सेल कृतीत वापरायचा असेल आणि काही बिटकॉइन्स असतील तर तुम्ही माझ्याकडे जाऊ शकता पाळीव प्राणी प्रकल्प.

स्त्रोत: www.habr.com