2.5 Admins 237: Kafkaesque
32:00 Share

HP was forcing people to wait on hold for 15 minutes to get support, the DOGE site was embarrassingly insecure, setting up encrypted offsite backups, and mixing SATA and NVMe in a server.

Support us on patreon and get an ad-free RSS feed with early episodes sometimes Why FreeBSD is the Right Choice for Embedded Devices

HP ditches 15-minute wait time policy due to ‘feedback’ Anyone Can Push Updates to the DOGE.gov Website (archive.is)

We were asked about mixing SATA and NVMe in a server.

Factor Eat smart with Factor. Get started at factormeals.com/factorpodcast and use code FACTORPODCAST to get 50% off your first box plus free shipping.

SysCloud Over 2,000 IT admins already trust SysCloud to protect their SaaS data. Head to SysCloud.com for a 30-day free trial—and for a limited time, use code 25ADMINS to get 50% off your first purchase.

</context> <raw_text>0 二点五管理员，第237集。我是乔。我是吉姆。我是艾伦。我们又见面了。在我们开始之前，艾伦，你还有另一篇文章要推荐。为什么FreeBSD是嵌入式设备的正确选择？是的，我们讨论……

FreeBSD的优势是什么，特别是当你构建一个想要卖给人们的设备或嵌入式设备时，BSD许可证的优势是什么，以及从一个围绕能够应用于该用例而设计的操作系统开始的一些优势是什么。如果TiVo读过这个，唉？是的，那么可能甚至不会有GPL3。对，像往常一样，链接在节目说明中。

惠普短暂地实施了，然后又撤回了让打电话寻求支持的人等待15分钟的政策。当然，这是短暂的。当然，这是它第一次发生。当然，他们从未人为地夸大等待时间以让人们赶紧挂断电话。这个故事令人惊讶之处不在于一家科技巨头人为地夸大了他们的等待时间，试图让人们不要打电话，这比……

仅仅让他们在网站上的文本框中与算法聊天更昂贵的一种提供支持的方式。令人惊讶的是，惠普实际上承认了这一点。我不得不假设这是因为泄露的内部文件让他们别无选择，只能至少在某种程度上坦白。

现在，惠普对他们这样做的公共关系回应是，哦，你知道，我们只是想让每个人的体验更好。我们认为，如果我们延长等待时间，更多的人会意识到我们有这些很棒的自助服务，你知道，网络支持选项。

问题是自助服务网络支持选项正是人们首先获得电话号码的地方。所以这个想法，你知道，哦，人们只是没有意识到它在那里。对不起，我不相信。他们是怎么拿到你的号码的？他们在黄页上查到你的信息了吗？我不这么认为。是的，这绝对是事情，不是惠普，而是其他公司，比如……

当你等待接线员时，你不断被告知，哦，你可以在网站上做所有这些事情。这就像如果网站正常工作，我不会在电话里等你，对吧？是的，因为我真正想做的是和电话另一端的某个随机人谈论技术问题。不，不。就像艾伦说的，如果你给我一个选项，让我噼里啪啦地敲打，打开一张工单，然后继续我的日常生活，你最好相信我会这么做的。

是的，但这是一种婴儿潮一代过滤器，对吧？对于打印机来说，也许吧。我承认，我不希望尝试支持任何使用打印机的人。但是，如果我的打印机有问题，我不会费心打电话。如果我无法从网站上的内容中弄清楚，我会直接扔掉这该死的玩意儿。但是，你知道，我不是个好人。

有趣的是，惠普现在被抓住了，但这并不是惠普的问题。这是整个科技行业的问题。即使这也在真正缩小范围。我认为这不仅仅是科技公司。每个人都试图让人们不要打电话寻求支持，因为人员配备支持中心很昂贵，公司宁愿将算法应用于这个问题。来吧，和我们的聊天机器人聊聊。这肯定能让一切变得足够好，让你不再打扰我们，我们也不必付钱给员工了。

但这可能会变得更糟。事实上，我刚刚不得不处理一个微软问题。我的一个客户使用Microsoft 365。他们设置了试用程序，他们想将他们的电子邮件托管从当前提供商迁移到Office 365。到目前为止，一切顺利。

但是当他们设置帐户时，他们只有一个管理员帐户。管理员不是我。是客户的某个人。他犯了菜鸟错误，只设置了一种强制性MFA。你现在无法在没有多因素身份验证的情况下进行Office 365设置。默认情况下，这是Microsoft的验证器。

Microsoft的验证器的工作方式与Google验证器或Authy或其他数百万个基本上是无状态的验证器不同，你从验证器中获得一个号码，然后在网站上输入它，你实际上不需要在这两者之间进行通信。Microsoft的验证器实际上会向你的设备推送信息，你必须自动接受推送。

在你的移动设备上，才能解锁你试图登录的网站。由于某种原因，Microsoft验证器没有收到推送。这不是我客户手机上的问题。这不是可以通过卸载和重新安装验证器或其他任何东西来解决的问题。它只是没有收到推送。

所以显然你必须联系Microsoft 365支持，对吧？好吧，有个问题。当你查找此问题时，你会发现无穷无尽的线程，人们在其中询问Microsoft支持社区，嘿，我有这个问题。我无法登录我的管理员帐户。我该怎么办？这些微软员工和带有MVP标志的志愿者进来给你一个电话号码，并说，拨打这个电话号码，他们会帮你解决这个问题。你拨打那个电话号码。那个电话号码告诉你什么？

它告诉你，登录管理员门户并打开工单。

所有这些无穷无尽的线程都充满了非常愤怒的人，他们告诉这些微软员工，当我拨打那个电话号码时，它除了登录并创建工单之外，没有给我任何支持选项，而我无法这样做，因为我无法登录，因为MFA不起作用。它只是，它是一个无休止的废话循环。我花了大约三个小时才解决这个问题。如果其他人有这个问题，我现在就告诉你秘密是什么。秘密是你不要打电话寻求技术支持。你打电话给账单支持，对吧？

现在，当你拨打账单支持号码并要求与接线员交谈时，你会与接线员交谈。让我告诉你，当你没有账单问题，而是有技术支持问题时，接线员一点也不惊讶。他们确切地知道该怎么做。他们会立即为你打开一张工单，然后你就可以等待团队回电。你无法直接连接，但你至少可以打开该死的工单，并且

除非你知道要通过应收账款部门才能做到这一点，否则这是不可能的。这一切都不是错误。我拒绝相信微软没有人意识到他们已经制造了这个问题。他们只是不想处理它。是的，你会注意到，当你购买东西时，从来没有办法打电话给亚马逊寻求支持。实际上有。找到这个号码非常困难，但是如果你能找到它……

那些人很厉害。一旦你找到亚马逊购买的语音支持号码，那些人可以并且会做任何事情来让你满意。在英国，你只需进入客户支持部分，让他们打电话给你。通常在20秒内就会发生。我从未对亚马逊有足够的需要。这需要一些深入挖掘。我通过艰难的方式发现，当一家当地送货公司非常糟糕地送来一台65英寸的电视时。

基本上只是告诉我滚蛋。他们不在乎。我无法通过亚马逊的在线支持获得任何进展。我真的很生气，我在社交媒体上发了一篇帖子。社交媒体上的一些朋友说，点击这里，这里，这里，这里，这里，这里和这里来查找语音号码并拨打。他们非常乐于助人。就像，我不想相信，但我最终找到了号码，我打电话给他们，是的，你

你甚至不需要升级。就像我连接到第一层，接电话的人向他们解释这家送货公司正在欺骗我，并且两次都没有出现在两个单独的送货时间窗口。她立即从我支付的电视价格中扣除了300美元。

从我支付的电视价格中扣除了300美元，并打电话给该公司，狠狠地训斥了他们，让他们在30秒内回电，非常礼貌地道歉并询问他们是否可以立即送来电视？一个小时后，我收到了它。所以，就像，

是的，你可以联系到亚马逊的客服人员。你只需要深入挖掘。不过，那个微软的烂事，伙计，在我看来，这听起来像卡夫卡式小说。是的，我确实感觉自己像一只蟑螂。你说的对。

冒着变得有点政治化的风险，看到doge.gov网站（至少在它第一次上线时）的安全性并不出色，这很有趣。它根本不安全。该网站上线还不到多久，人们就开始调查其API端点，并发现数据库完全没有安全保护，你可以将任何你想要的东西推送到其中。所以一些人发布了恶意帖子。这些故事在互联网上到处传播。

一方面，这是一个无关紧要的故事，因为人们总是无法正确保护新网站。另一方面，真正让我脱颖而出的一件事是，自从同一位埃隆·马斯克先生在X上发表了相当著名的（可能还不够臭名昭著）声明以来，还不到一周，

这个R字认为美国政府使用SQL来回应对Doge访问各种数据库的担忧。而且，你知道，认为美国政府在任何地方都不使用SQL的人，可能不是你想要让他来做关于安全、数据库、架构或软件的决策的人。

实际上，任何其他事情。好吧，任何认为他们现在已经完全修复了它并且它绝对安全的人肯定是在自欺欺人。他们试图进行的更改所需的规划量，很明显还没有发生。

是什么网站？有一些网站。在2017年，联邦通信委员会在一个公共评论网站上留下了一些不安全的东西。结果，有一段时间，任何人都可以在联邦通信委员会的名义下发布他们自己的声明，包括水印和所有内容。

最著名的例子是有人代表联邦通信委员会向美国人民道歉，原文如下：“亲爱的美国公民，我们很抱歉吉普派是一个肮脏的懦弱的家伙。”（笑声）

但这清楚地表明了整个事情有多匆忙，对吧？就像整个Doge的事情，哦，让我们只建立一个网站，不要担心它的安全性，在我看来，这似乎是整个Doge努力的象征。这甚至不是创业心态。这简直就是一种及时行乐的心态。很难从这一切中得出一种连贯的结论，除了我认为，你必须记住的一件事是

当一个组织不重视信息安全时，他们在重视什么？这重要吗？如果你有一个管理政府组织的人如此粗心大意，以至于他们允许以该组织的名义自动采取行动，因为他们留下了不安全的API，这告诉你什么关于它运行得有多好？还犯了哪些其他错误？

好的，本集由Factor赞助。准备好今年优化你的营养了吗？Factor提供厨师制作的美食，让健康饮食变得轻松。它们经过营养师批准，只需两分钟即可加热食用。Factor新鲜送达，完全准备好，非常适合任何活跃的忙碌生活方式。

每周菜单上有40多种选择，涵盖8种饮食偏好，很容易选择适合你目标的餐点。从卡路里智能、蛋白质加量或酮类等偏好中选择。Factor可以帮助你全天感觉最佳，提供健康的冰沙、早餐、即食零食和更多附加产品。今年用你信任的食材和无与伦比的便利性来实现你的目标。

吉姆尝试了Factor，他说这些餐点快速易于准备，并且喜欢有很多品种。用Factor吃得聪明。支持节目，并在factormeals.com/factorpodcast开始，并使用代码FactorPodcast获得首盒50%的折扣以及免费送货。代码是FactorPodcast，网址是factormeals.com/FactorPodcast，可以获得首盒50%的折扣以及免费送货。

我最近决定需要整理我的备份。我有各种U盘和一个Wyze瘦客户端，事情只是没有得到很好的组织。所以我认为，好吧，我将拥有我的NAS，我已经拥有了很长时间。我将拥有一个合适的现场机器，我将拥有一个合适的异地机器，而不是连接到U盘的NUC和连接到另一个U盘的Wyze。我从你们那里得到了一些帮助，我也自己解决了一些问题。

我现在已经拥有了我非常满意的状态，我会这么说。如果我有一个音效板，我会按下蒙提·派森的《圣杯的探索》中的按钮，农民们欢欣鼓舞！耶！

所以，实际上，我首先要做的是整理NAS上的数据集，因为像许多第一次使用ZFS的人一样，我创建了池，然后开始将垃圾转储到池的根目录中，你永远不应该这样做，对吧？它只是限制了你的灵活性。它不是……没有什么问题。它不会丢失你的数据，但是它只是……

你错过了使用ZFS的重点，是的。是的。所以我有一些数据集，然后我在根目录中有一些目录。所以我需要先清理它。因为我使用的是稍微旧一点版本的ZFS，所以只是手动复制和删除东西的问题。

所以一旦我做了这个，我就有了我的16个数据集，并且池的根目录中没有任何东西。所以现在可以正确地复制所有内容。是的，你知道，当我进行此更改时，当我第一次更多地使用ZFS时，我为自己设定了一个规则，即保持每个数据集的大小足够小，以便当我需要移动到不同大小的硬盘时，我可以像玩积木一样操作它们。

因为有一次我有一个四驱动器RAID Z1，我想换成一个六驱动器RAID Z2。但这意味着如果我能够尽早将大量数据移动到一些新驱动器中，那将非常有帮助。这需要它们足够小，以便它们只适合一个磁盘或其他什么东西。因此，决定什么放在它自己的数据集中，什么不放在它自己的数据集中，我的指导原则是让它们的大小更易于管理。

重要的事情是，如果你想要不同的设置，不同的ZFS属性，以及B，保持每个数据集足够小，以便你能够实际操作它。所以我想最终得到一个加密的异地备份。你和我的建议是，如果你的NAS一开始没有加密，那么将其发送到你的现场备份，在发送时加密它，然后进行原始发送

到你的异地目标，这意味着它将被永久加密，并且密钥永远不会被加载。因此，它将永远被完全加密。对。从技术上讲，加密实际上发生在你的现场备份上的ZFS接收过程中。

发生的事情是，当你执行ZFS发送并将它传递给ZFS接收时，你正在将其接收到的你的现场备份上的加密数据集的子级。所以理解这一点很重要。这是人们难以理解的事情之一，例如如何加密

以前未加密数据集的备份，因为第一次完整备份必须能够发生，你不能在之后设置选项。它需要从一开始就加密。所以解决这个问题的方法是，你加密目标上的父数据集，然后从未加密的源执行ZFS接收

在接收过程中，它会变成加密的。在那时，你甚至可以删除加密的父级（如果你愿意），因为你已经在目标数据集中使用正确的密钥正确设置了加密属性。尽管我更喜欢做这样的事情：我将有一个字面意思上名为“加密”的数据集，并且我的所有加密数据集都将位于该根目录下，并使用该密钥。因此，它易于管理。

我做的正是这样。所以池名称是现场的，异地池的池名称是异地的。然后，例如，它是现场/加密/发票，或者/播客当前。是的，在我的设置中，非常相似，除了……

中间有一个主机名。它将是加密的主机名，然后是数据集，因为我备份的不仅仅是一台机器。但你只做了一个，所以添加额外的级别没有意义。但我必须做的一件事是确保加密密钥始终加载在现场盒子上。

这样我就可以从NAS复制并加密它，因为它在现场盒子上接收它。是的，有几种不同的方法可以做到这一点，但让我们首先讨论你的方法。我所做的是我创建了一个脚本

它只是ZFS load-key -L，然后是包含加密密钥（有效密码）的文本文件的路径。所以这会加载密钥，但你也必须挂载你的数据集。所以我做了and和ZFS mount -A。

所以我把它放在我的crontab中，在重新启动时运行该脚本。所以现在每次我重新启动机器时，密钥都会被加载并准备就绪。好吧，如果你只是将密码放在机器上的文件中，你可以将密钥位置设置为file:/ /文件的路径。它可以由系统自动完成，而不需要脚本或任何其他东西。哦，真的吗？是的。

如果你的密钥格式是密码短语，是的，你仍然可以将密钥位置设置为文件，并且该文件将只包含密码短语。对，所以我做了一个额外的步骤，我不需要做。是的，但人们还可以做其他事情。如果你的ZFS使用curl支持编译，你也可以让它成为一个HTTPS URL。所以，你知道，如果你正在考虑更适合生产环境的东西，你实际上可能有一个服务器来决定刚刚启动的乔的机器是否允许获取解密其数据的密钥。

所以也许这台机器证明它是一台受信任的机器，然后它得到密钥并继续运行，或者其他什么。或者我见过一些想要做类似事情但试图使用例如某个地方的租用专用服务器的人。他们将拥有一个启动的小型操作系统，这足以让他们SSH进入，然后运行ZFS load key和ZFS mount，并允许加密发生，而密码永远不会存储在该远程服务器上。

管道卷曲bash又老又累了。管道卷曲ZFS是新的有线。好吧，这个是ZFS挂载数据集实际上会发出curl请求并获取密钥，但是是的。

所以让这工作真正重要的一件事是从现场到异地的原始发送。所以在现场它已经被加密了，所以必须对异地进行原始发送以保持这种加密。是的，默认情况下，如果你对加密的数据集执行zfs send，它会将其解密并以纯文本形式发送，而这在这种情况并非你想要的。这就是-w标志为你做的。

或者如果你使用的是Syncoid（我使用的是），吉姆的工具，那么它是Syncoid --send options=W。是的，因为这是ZFS send的参数，而Syncoid的send options参数用于将参数直接未解析地传递给ZFS send。如果你需要对目标端执行相同的操作以将原始参数直接传递给ZFS receive，还有一个receive options参数。

所以设置此复制时可以做的一件事是将其委派给普通用户。因此，不需要在现场或异地拥有root权限，你可以将其作为不允许在系统上执行任何其他操作的特殊用户来执行，对吧？没有sudo，无法访问任何东西，只能访问ZFS和接收。所以你可以让ZFS允许发送给Bob，现在Bob（备份用户）将能够发送数据集。

如果你对该功能有任何商业兴趣，请联系Clara。因为吉姆论坛上的一位用户确实这样做了，他们正在寻找其他人与他们分摊成本。啊，对。我想值得一提的是，我使用Tailscale将数据发送到异地。但我有点担心有人获得异地盒子的物理访问权限，然后有效地进入我的网络，我的tailnet。但事实证明，Tailscale ACL中有一个非常方便的功能

你只需进入并告诉它，“这个盒子可以与那个盒子通信，但它不能与我通信。”所以现场可以SSH进入异地，但异地不能SSH进入我的任何其他设备。这通常可以通过在目标盒子上没有任何允许它访问源的秘密来实现。

如果你使用密钥登录目标，这不会给你任何访问源的权限。当然，你可以看到IP是什么。你可以看到连接的用户帐户是什么，但这不会给你任何实际进入的权限。

你的tailscale ACL是一个不错的附加功能，因为你没有公开任何类型的网络功能。但这并不是为了防止某人能够SSH备份流所必需的。哦，是的。是的。如果你的VPN上有许多其他东西，你可能只是不想费心将所有这些流量都发送到异地备份，因为它不是用于备份的。

仅仅减少跨越你的链路中最慢部分的流量量本身就是一个胜利，除了安全方面之外。

乔，你测试过恢复了吗？还没有，但我正在监控以确保它们正在正确到达。我确实需要大幅度提高我的监控能力，例如自动化它，但我一直在手动检查，到目前为止似乎一切正常。Sanoid --monitor snapshots？更像是SSH进入并检查大小之类的东西，但是……

我会研究一下。不，我认为吉姆是在给你建议而不是……是的，你可以在命令行上运行Sanoid --monitor --snapshots，它会让你知道你是否拥有最新的快照，以及根据你在目标上定义的策略。你仍然需要shell进入你的目标来做到这一点

在最简单的层面上。接下来的一步是将其编写成脚本，以便从你的crontab运行并将其输出传递给healthchecks.io。接下来的一步是设置一个合适的Nagio服务器，它实际上会拉取并使用Nerpy为你运行monitor snapshots命令。所有这些肯定都在我的未来计划中。

但是monitor snapshots对你来说尤其有用，乔，因为它是一个你可以在目标上运行的单个命令，它会检查每个数据集，并让你一次性知道它们是否都已更新。如果其中一个没有更新，它会准确地告诉你哪个是过时的。

好的，本集由SysCloud赞助。大大小小的公司都非常依赖SaaS应用程序来运营他们的业务。但是，当关键的SaaS数据由于人为错误、意外删除或勒索软件攻击而丢失时会发生什么？这就是SysCloud发挥作用的地方。它是一个单一窗口，可以备份所有关键的SaaS应用程序，例如Microsoft 365、Google Workspace、Salesforce、Slack、HubSpot、QuickBooks Online，仅举几例。

SysCloud还可以帮助进行勒索软件恢复，识别SaaS数据中的合规性差距，监控异常数据活动，并可以自动存档非活动SaaS数据以节省存储成本。此外，它已获得SOC 2认证，因此数据在云中仍然安全。超过2000名IT管理员已经信任SysCloud来保护他们的SaaS数据。

访问syscloud.com进行30天免费试用，并在有限时间内使用代码25admins获得首次购买50%的折扣。网址是syscloud.com。

然后让我们进行一些免费咨询。但首先，非常感谢所有通过PayPal和Patreon支持我们的用户。我们真的非常感谢。如果你想加入这些人，你可以访问2.5admins.com/support。请记住，对于Patreon上的各种金额，你可以获得无广告的RSS提要，内容可以是本节目，也可以是Late Night Linux系列中的所有节目。如果你想向吉姆和艾伦发送任何问题或你的反馈，你可以发送电子邮件到show@2.5admins.com。

尼克写道：“在存储服务器中，最好如何利用NVMe驱动器以及一堆SATA驱动器？假设有4个NVMe插槽和6个SATA插槽。运行4个驱动器作为读/写缓存是不是有点过分了？我最好拥有一个单独的池吗？或者这取决于用例吗？我想机架的一半可以是闪存，一半可以是机械硬盘。”

Nick 没有明确提到 ZFS，尽管他提到了池，但池这个术语不仅仅适用于 ZFS。所以我们将尽量以通用的方式回答这个问题，即使是为了避免激怒 Joe，因为他不想让这个节目变成所有关于 ZFS 的节目。这是一个我经常看到的问题。而当我开始听到人们询问 NVMe 与 SATA 的区别时，我总是想问的第一个问题是：我们讨论的是哪种规格？在这种情况下，Nick 特别指的是存储服务器中的托架。

所以我感觉我们讨论的是 U.2，它是热插拔的，并且，你知道，就像 SATA 或 SCSI 等一样安装在托架中，而不是 M.2，M.2 是消费级规格，它非常小，你知道，基本上就像一根口香糖一样直接插入你的主板。

现在，我总是提醒人们，要非常非常小心你对 NVMe M.2 的期望，因为它看起来非常非常快，在某些工作负载下也可能很快，但对于你可能期望在服务器中执行的那种困难的工作负载来说，它通常很糟糕，你知道，你可能有 10 个硬盘驱动器。

但我们讨论的是 U.2，所以我假设我们的 NVMe U.2 驱动器在服务器中确实比我们的 SATA 驱动器快得多。答案将在很大程度上取决于你的存储系统。它支持哪种分层访问？它有多好？你知道，你打算做什么样的操作？

在大多数情况下，我倾向于推荐单独的存储池，无论我们是否讨论 ZFS，而不是使用某种分层访问策略，使用更快的存储与更慢的存储。人们总是对分层性能存储抱有非常非常高的期望。而我很少在现实世界中看到这些期望得到实现，因为当然，很容易说，哦，好吧，你知道，我们将把我们所有新的写入放到这个超级超级快的 NVMe 上，然后我们将，你知道，

如果它没有被访问太多，我们稍后会慢慢地将其移动到较慢的 SATA 上。我们将根据需要将事物从慢速池向上移动到快速池，或从快速池向下移动到慢速池。但在现实生活中，如果服务器很忙，那么你从哪里获得额外的延迟和吞吐量来开始在快速层和慢速层之间来回移动东西呢？

这是一个有实际限制的策略。特别是，我认为大多数收听本节目的听众可能不会询问拥有几百个驱动器的价值 500 万美元的服务器。他们会像 Nick 一样说，你知道，我有 10 个托架要填充，我该怎么办？在这个规模下，更好的答案几乎总是：你应该为自己隔离工作负载。

不要指望算法为你做到这一点。算法比你更笨。你是聪明人。你是人。你希望是存储管理员或系统管理员。你是一位工程师。所以说，嘿，这里的这些虚拟机正在运行 SQL 数据库，它们需要世界上所有的 IOPS。我知道我有一组非常高 IOPS 的 U.2 驱动器，对吧？

如果每个单独驱动器的板载缓存被填满，性能不会骤降。它们将可靠且超级快速。因此，对于我最困难的工作负载，我将把它放在我拥有的最快驱动器的相对较小的池中。