2.5 Admins 234: ChiaFraud
32:14 Share

两位半管理员,第 234 集。我是乔。我是吉姆。我是艾伦。我们又见面了。在我们开始之前,艾伦,你给我们做个宣传。控制你的核心基础设施,DNS。是的,在这篇文章中,凯尔谈论了为什么控制你自己的 DNS,而不仅仅依赖于你的上游提供商,可以让你对你的网络有更多的控制......

还可以提高整个网络的性能。大多数时候,在办公室里,当人们抱怨互联网速度慢时,实际上是 DNS 慢,而不是互联网。对,像往常一样,链接在节目说明中。然后我们来看一些新闻。希捷硬盘欺诈。经销商掉包,希捷正在调查。这很有趣,因为我觉得在过去的几年里,当我们在同一句话中看到欺诈和驱动器时,我们基本上总是期望

对不起,西部数据,我们预计会在标题的其余部分看到你的名字,而这次是希捷。这让我有点难过,因为我们现在只有很少的硬盘制造商,而希捷在过去的几年里一直在努力扮演好人的角色,我的心都碎了。但这并非希捷的错。不是希捷在犯欺诈行为。这是......

转售商正在实施欺诈。基本上,几年前,你可能还记得有一种叫做 Chia 的特定加密货币,Chia 倾向于在硬盘驱动器上而不是在内存或 CPU 上出现瓶颈。它是一种文件币。它专门针对将存储作为支持该币的事物进行销售。

因此,当 Chia 流行时,对大型硬盘的需求飙升。它对硬盘市场的影响与人工智能废话对——以及加密货币——通常对 GPU 市场的影响类似。

而问题是,当 Chia 不再流行时,所有这些大型 Chia 农场突然发现自己拥有大量仍然相对较大的硬盘,这些硬盘不再为他们赚钱了。那么你该如何处理它们呢?你会将所有这些使用了数千小时的旧硬盘投放到市场上吗?

你可以这样做,如果你这样做的话,这不算欺诈。但是,如果你是一个经营大型加密货币农场的人,你可能不会选择这个选项。也许你会考虑破解固件并重置所有智能数据,然后将所有这些驱动器作为新驱动器转售。因此,你作为第三方供应商在一个允许第三方供应商在线列出其产品的平台上销售所谓的全新驱动器。

然后你经常会遇到超出此范围的另一层。也许你将这些作为第三方供应商批发给其他人,他们再将这些批发给零售购买者,然后零售购买者再将它们作为零售商品销售。就这样层层转售。

无论如何,你最终会得到现在大量的这些希捷驱动器,这些驱动器在 Chia 农场中使用了数千小时,并且固件已被破解以使其看起来像新的。但是,它们不像新驱动器那样可靠,因为它们实际上已经使用了数千小时。

随着这个故事的曝光,它需要一些挖掘。希捷立即介入并确定,不,我们没有销售这些。这些东西来自 Chia 农场。除此之外,你还要查看各个大型零售商,看看他们的政策是什么?如果这个零售商意外地(希望如此)卖给你一个这样的伪造的、不是新的驱动器,他们将如何处理?因此,希捷已经......

发表声明说,我们非常重视此事,并正在进行彻底调查。作为早期声明的一部分,希捷没有将这些驱动器销售或分销给经销商。基本上,其他人将这些驱动器销售到某个渠道。听起来好像德国的一堆这种直接发货商以为他们得到了信誉良好的驱动器,但实际上并没有,因为各种中间商等等。

无论如何,希捷正在调查此事,并确保供应商有办法确保他们从希捷获得真正的驱动器,而不是中间人。他们说,我们鼓励任何怀疑自己收到被宣传为新驱动器的旧驱动器的人,通过直接向希捷举报来帮助这项调查,fraud@seagate.com。此外,对购买的产品是否符合卖家宣传的客户可以使用

希捷提供的在线保修检查工具。任何可疑驱动器和/或卖家也可以通过希捷的道德热线匿名举报。我们可能还应该提到的是,如果你刚刚购买了一大堆 IronWolf 驱动器,现在你非常紧张,你可能不需要紧张。这些类型的骗局几乎总是涉及数据中心品牌的驱动器。

16TB Exos 和 16TB IronWolf Pro 在引擎盖下并没有太大的区别。在大多数情况下,它们基本上是相同的驱动器,但在引擎盖下,但没有人购买 IronWolves 用于数据中心类型的东西。尽管人们经常会购买翻新的 Exos 用于家庭实验室等等。当你从 Exos 系列转向 IronWolves 时,实际的区别仍然存在于引擎盖下,

往往围绕着 IronWolf 驱动器更有可能更安静一些,因为这是零售购买者往往重视的一件事,而将驱动器放入数据中心的人甚至不会注意到。如果该驱动器非常安静,或者它像 Ariana Grande 在你耳边尖叫一样,你将无法在运行 10,000 个驱动器的数​​据中心中分辨出区别。但是,是的,如果你担心,请在新购买的驱动器上使用希捷保修检查器,并确保它们......

没有过保,因为事实证明它们不是新的。你知道,你想要尽早检查这一点,因为大多数这些地方只允许你在短时间内退货。但是,是的,这让我想起了我们之前谈论过的一个故事,是 Water Panther 和其他公司,是的,

销售旧驱动器,并没有真正假装它们是新的,而是篡改智能数据使其与最初的不同。哦,Water Panther 完全假装它们是新的。因为 Water Panther 没有将它们作为翻新的希捷驱动器销售,而是将它们作为全新的 Water Panther 品牌驱动器销售。是的,当然,选择 WP 作为他们的首字母缩写就像,嗯,我想知道这是否是为了欺骗人们让他们以为他们正在购买西部数据驱动器。是的。

我们还将在节目说明中链接到 GitHub 上名为 OpenSeaChest 的工具。这是一组开源实用程序。它实际上是由希捷自己发布的,它将允许你检查。你可以在驱动器上访问一组本质上较低级别的指标,称为农场而不是智能。

你实际上可以使用 SmartMon 工具本身访问一些农场值,但最好使用 OpenSeaChest 实用程序。你可以从 GitHub 获取它们并直接运行它们。同样,尽管希捷发布了它们,但它们是开源的。因此,如果你想确保你实际上可以审查该工具正在执行的所有操作,你不喜欢专有软件,你仍然可以使用这些。是的,它们在大多数软件包存储库中都可用。因此,它在 Ubuntu、FreeBSD、Debian、Gen2、Nix 中。

各种不同的上游软件包存储库实际上也在软件包集中包含此工具。随着我们越来越接近今年 10 月 Windows 10 退役的时候,一直在流传的是一篇旧的微软文章

在不符合最低系统要求的设备上安装 Windows 11,并在去年年底进行了更新,但底线是微软正在加倍、三倍、四倍地强调这一点,不要将 Windows 11 篡改到我们不支持的设备上,我们之前已经讨论过这个问题,但我认为至少再谈论一次这个问题是值得的,因为

如果它是你的机器,也许可以,但如果是为其他人准备的,那就忘了它吧。不值得。在某些时候,微软在某种程度上认可了一个注册表项黑客。他们将其作为支持文档发布在其网站上。这就是你可以将不支持的 Windows 10 机器升级到 Windows 11 的方法。然后他们后来删除了该消息,并表示,如果你使用此方法,则应回滚并返回到 Windows 10。

它确实强调了我们过去提出的观点,即如果你必须进行黑客攻击才能运行它,你可能不想这样做,因为最终它会崩溃,或者他们甚至会故意试图强迫你返回。回滚永远不会像你希望的那样好。所以我们在这里没有什么新的内容需要介绍。我们已经告诉过你了,不要这样做。如果你想把它作为一个玩具虚拟机或其他什么东西,你知道,在你控制的东西上,并且你并不介意整个事情崩溃,

那就没问题。但即使是你的系统,对你来说也很重要,也不要这样做。如果你将不支持版本的 Windows 篡改到微软不希望其运行的设备上,你最终会遇到问题。因此,今天的唯一新闻是微软自己已经回来,基本上,我并不是说微软知道 2.5 个管理员是谁,但基本上微软更新了那篇文章,说,嘿,2.5A 上的那些家伙是对的。不要这样做。

因此,当我们告诉你不要这样做时,微软也告诉你不要这样做,请不要这样做。如果你想继续使用 Windows 11 不支持的硬件,你需要升级,如果不是升级到 Windows 11,那么就升级到你的硬件支持的其他操作系统。是的,我们并不是说这是一件好事。微软不应该这样做,但他们已经做了,你对此无能为力。我觉得这并没有完全涵盖所有细微之处。总会有合理的理由

软件供应商(包括操作系统供应商)可能会说,看,我们不能再支持这个旧硬件了。它不具备我们真正关心的功能。这对未来的发展方向至关重要。我认为我们节目的三个人都可能会争辩说,没有任何真正必要且令人信服的硬件功能可以证明微软这样做是合理的。

但这与实际要点有点正交,那就是微软的节目。他们是控制 Windows 功能及其运行方式的人。因此,当他们告诉你不要这样做时,你最好不要这样做。如果你不喜欢,如果你不喜欢微软可以随意强迫你购买新硬件,或者可以随意强迫你从你不喜欢的 Windows 11 的 Windows 10 升级到 Windows 11 的想法,无论如何,你的回应不应该是什么,

看我,你知道,我比微软所能动用的编码资源更多,所以我将按照我的方式去做。你的回应可能是远离微软,转向你认为能让你更好地控制体验的竞争对手。这可能是一个 Linux 发行版。它可能是 FreeBSD。我不知道。也许你想成为那些奇怪的闪闪发光的水果人之一。我不在乎。但重点是,

你不会与市政厅作对,也不会与微软作对。如果你不喜欢微软的做法,你需要离开他们的地盘。

好的,本集由 SysCloud 赞助。大大小小的公司都非常依赖 SaaS 应用程序来运营其业务。但是,当关键 SaaS 数据由于人为错误、意外删除或勒索软件攻击而丢失时会发生什么?这就是 SysCloud 发挥作用的地方。它是一个单一窗口,可以备份所有关键 SaaS 应用程序,例如 Microsoft 365、Google Workspace、Salesforce、Slack、HubSpot、QuickBooks Online,仅举几例。

SysCloud 还可帮助进行勒索软件恢复,识别 SaaS 数据中的合规性差距,监控异常数据活动,并可以自动存档非活动 SaaS 数据以节省存储成本。此外,它还获得了 SOC 2 认证,因此数据在云中仍然安全。超过 2,000 名 IT 管理员已经信任 SysCloud 来保护他们的 SaaS 数据。

访问 syscloud.com 获取 30 天免费试用,并在有限时间内使用代码 25admins 获得首次购买 50% 的折扣。网址是 syscloud.com。

然后我们来进行一些免费咨询。但首先,非常感谢所有通过 PayPal 和 Patreon 支持我们的人。我们真的非常感谢。如果你想加入这些人,你可以访问 2.5admins.com/support。请记住,对于 Patreon 上的不同金额,你可以获得仅此节目的广告免费 RSS 提要,或者获得深夜 Linux 系列中所有节目的广告免费 RSS 提要。如果你想向吉姆和艾伦发送你的问题或反馈,你可以发送电子邮件至 show@2.5admins.com。

成为赞助人的另一个好处是你可以跳过队列,F 就是这样做的。他们写道,我看到多个 Web 服务平台允许你将块存储附加到 VPS。将其中一个配置为类似于 rsync.net 或 zfs.rent 的 ZFS 备份主机是否是个坏主意?我知道 ZFS 理想情况下应该拥有整个驱动器,但我不知道 SAN 的块存储如何影响这一点。

我看到 Azure 文档提到他们的硬盘级托管驱动器实际上是由三个单独的驱动器支持的。这将是一个专门用于 ZFS 接收功能的备份主机。这种事情并不理想。我们绝对更喜欢 ZFS 尽可能直接访问裸机。

但话虽如此,这并不是一个糟糕的主意。在很大程度上,你仍然依赖于云后端的任何数据完整性功能,你无法控制这些功能,你只能希望一切顺利。但它应该是好的,否则你将无法将其用作块存储。ZFS 将增加一些额外的安全措施。除了云主机提供的所有数据完整性保护措施外,你仍然拥有

你仍然拥有 ZFS 提供的所有校验和和其他功能。所以这一切都是一件好事。是否存在可能的情况,即在你看不见或摸不着的复杂云存储后端中出现一些奇怪的东西

会干扰你的数据完整性吗?是的,这是可能的,但这只是你所签署协议的一部分。是的,所以总的来说,将其与 ZFS.rent 进行比较,在那里你将拥有一个硬盘驱动器,从这里的沙箱中获得虚拟硬盘驱动器不会有任何更差的奇偶校验,因为无论哪种方式,ZFS 都只有一个设备。如果该设备返回错误的数据,ZFS 可以告诉你它确实返回了错误的数据,但它无法修复它。但这不会比 ZFS.rent 差。

所以我认为最重要的事情是,如果他们的块存储足够便宜以至于这样做有意义,那么是的。它至少由三个硬盘驱动器支持,或者他们具有两层冗余等等,这可能意味着定价使其不那么有趣。但总的来说......

是的,SAN 可以正常工作。例如,Delphix 公司在过去十年左右的时间里做了很多关于 ZFS 的工作,他们的整个产品几乎只在 SAN 上运行。他们正在运行 Oracle 数据库并处理大型商业数据。所有存储都来自 SAN,并且运行良好。

从安全角度来看,我并没有看到什么大问题。如果你没有在自己的池级别为这个块存储上的池配置任何冗余,那么你当然完全依赖于你的云主机的数据完整性功能。如果他们破坏了一个块,那么你将无法在那里恢复它。你必须从其他地方获取它,希望它仍然完好无损。

我认为大多数时候,只是云存储的价格,你可能不会真正有兴趣冗余地设置它。你可能只会单独进行设置。但如果这是一个备份,并且它不是唯一的来源,那么你就把它作为一个额外的层来考虑。它是防弹的吗?不,但它是一个额外的层,额外的层是好的。

在所有这些情况下,如果 VPS 具有这种块存储,它基本上是在网络上。就虚拟机而言,它显示为本地驱动器,但它与托管虚拟机和 VPS 的主驱动器不同。它可能不是靠近管理程序的存储。它是不同网络上更远处的单独存储节点。因此,延迟会更高,并且像

如果你无法生成足够的并发性来通过网络拉取许多块以保持网络繁忙,那么这种延迟会使情况变得更糟。但对于备份来说,这完全没问题。Tony 是一位赞助人,他也跳过了队列。他写道,你如何推荐选择运行虚拟机的硬件?

RAM 很容易,因为我的工作负载需要一定数量的 RAM。CPU 速度和代数等等呢?我该如何知道我需要多少 IOPS?我该如何知道什么 ZFS 配置可以为我提供这些 IOPS?谢谢。是的,这其中有很多内容。在 CPU 方面,对于速度和代数等等,当你购买硬件时,通常你没有那么多选择。通常是最新一代和倒数第二代。

因为最新的可能还无法完全供应。因此,即使你想要最新的,你可能也必须接受比那更旧的一代。否则,你必须等待三个月才能实际获得硬件或其他什么东西。但总的来说,大多数硬件供应商不会有太多旧一代的东西闲置,因为他们试图尽快卸载这些库存,因为它的价值一直在下降,如果他们不卖掉它,他们就会赚更少的钱。

因此,CPU、速度和代数,你没有太多选择。尽管在进行虚拟机管理程序机器时,你通常可以选择大量较慢的核心或少量较快的核心,通常价格大致相同。这取决于你的工作负载。

如果你要运行许多虚拟机,那么更多核心可能更好。或者,如果你正在进行许多工作负载,而该工作负载实际上只能一次使用一个 CPU,那么拥有更少的 CPU 但速度更快可能会更好。但是,你会注意到,对于英特尔 SKU 来说,具有非常非常高的时钟速度和更少核心的服务器要贵得多,因为他们知道你只有在真正需要每个核心的额外时钟速度时才会购买它。他们正在

尽可能地榨取你的钱。我不认为关于 CPU 选择不多这一评论是完全准确的,因为我们并没有真正获得很多关于我们在这里查看的规模和范围的详细信息。如果你谈论的是,你可能会购买二手机器,或者购买你当地电脑商店周围的任何部件,等等。

你必须拥有的唯一真正硬核的东西是你的 CPU 必须支持硬件虚拟化。大多数现代 CPU 都支持。基本上,过去十年的所有 AMD CPU 都支持你需要的全部硬件虚拟化功能。在英特尔方面,情况变得有点棘手,你需要小心。英特尔以发布不支持硬件虚拟化的 i7 而闻名。他们现在没有这样做,但你需要小心这一点。

除此之外,就像艾伦说的那样,你需要弄清楚你需要什么。你需要大量的并行化吗?这并不一定意味着很多虚拟机。这意味着你的虚拟机中是否需要很多核心,无论你想要为一个虚拟机分配 16 个虚拟核心,还是想要有八个不同的小型虚拟机,每个虚拟机有两个核心。无论哪种方式,理想情况下,我至少希望分配 16 个核心。

我应该说至少 16 个线程,但理想的部分仍然是 16 个完整的核心,因为现在我们正在讨论处理器上的核心数和线程数之间的区别。在大多数现代处理器上,它们都具有超线程,而超线程基本上允许一个核心潜在地执行两个线程

某种程度上是同时的。基本上,如果一个线程阻塞在 CPU 只有一个实例的东西上,例如浮点处理单元,一个线程可能会阻塞,因为它现在需要浮点处理单元但无法访问它,而超线程可能会允许另一个不需要该功能的线程继续执行。

如果启用超线程,这绝对会增加 CPU 可以完成的工作总量。但是,所涉及的延迟可能会大幅增加,因为你最终可能会让线程由于超线程、SMT(无论你称之为什幺)在第一个线程停滞时允许其他工作负载通过而长时间停滞。所以,

要小心这一点。理想情况下,你想要所有核心,你可能需要考虑实际禁用超线程,因为额外的延迟可能不值得你从 CPU 获得的少量额外工作。通常,即使在超线程的理想工作负载中,你也只能看到大约 15% 到 20% 的提升,而不是关闭它。

所以这几乎涵盖了 CPU。你提到 RAM 很容易,因为你知道你的工作负载需要多少。但我想补充一点,我的意思是,这是我们的节目。所以我假设你想要所有这些下面的 ZFS,在这种情况下,我建议你只将可用物理 RAM 的大约一半分配给虚拟机。将另一半留给主机和 ZFS。如果你没有运行 ZFS,请记住你仍然需要一些 RAM 用于主机。我通常建议使用 ZFS。

至少 2 到 4 GB 是一个经验法则,但如果你能负担得起,越多越好。不要吝啬 RAM。这让我们谈到了驱动器,这变得非常非常重要。如果只是家庭实验室等等,而且并不重要,你也没有做太多事情,而且它并不重要,那么当然,你可以找到的任何消费级 SSD 可能都可以。尽管如此,我仍然建议人们尤其不要对 NVMe M.2 感到兴奋。

大多数 NVMe M.2 消费级驱动器在不切实际的、超级简单的负载下表现非常好,而在具有大量并发性的非常困难的负载下表现却很糟糕,长时间饱和。它们会填满正确的缓存,性能就会骤降。它们还具有 NVMe.M2 特有的散热问题,因为你知道,它是一个小小的

细长的棒,就像一根 RAM 棒,它不能很好地散热。因此,如果你有一个长时间运行的、非常繁重的工作负载,它可能会自行进行热限制,以至于让你抓狂。通常情况下,SATA 驱动器实际上比 M.2 NVMe 更适合虚拟化工作负载。但除此之外,如果这是你认真对待的事情,并且你想要始终获得可预测的性能、良好的性能,你有很多虚拟机,你依赖它们,

获取数据中心级 SSD。这会产生巨大的影响。它们可能看起来并不更快。同样,这些非常非常简单、不切实际的基准测试,供应商喜欢使用这些基准测试来获得最大的数字,让你兴奋不已。数据中心级驱动器在这些基准测试中的表现通常并不很好。

但同样,当你用真实的工作负载来测试它们时,它们的性能比甚至在纸面上更快的消费级 SSD 好得多,消费级 SSD 在不持续太长时间的轻量级工作负载下表现非常好,但一旦你要求它们做太多事情,它们就会骤降。

而当你使用真正的数​​据中心级 SSD 时,首先,你每 TB 驱动器的写入耐用性可能大约是消费级驱动器的两倍。这可能非常重要。而且你还会在好的驱动器上拥有硬件 QoS,这会最大限度地减少你在具有大量并发性时遇到的延迟。最后,你应该拥有断电保护,这将允许你的同步写入完成的速度快几个数量级,即使在日志 VDEV 上也是如此。

或者如果你没有使用 ZFS,那么就是这样。同样,同步写入的速度要快得多,因为有了断电保护,发生的事情是驱动器将写入接受到缓存中,它可以说,嘿,这个写入现在是安全的,并且不会撒谎,因为即使它还没有写入驱动器的实际金属部分,它只在 DRAM 缓存中,断电保护将允许在驱动器重新启动时将该缓存写入金属,如果你有断电事件。所以,

同样,你正在寻找同步写入的性能大幅提升,在非常糟糕的工作负载下延迟大幅降低,大量并发,以及可能与相同大小的消费级驱动器相比两倍的写入耐用性。

至于有多少 IOPS,越多越好。这实际上取决于你能负担多少以及你的工作负载真正能证明多少是合理的。如何配置 ZFS 以获得最多的 IOPS?显而易见的事情是使用镜像而不是 RAIDZ 之类的东西。RAIDZ 对于虚拟机类型的工作负载来说非常糟糕。如果你需要......

要获得最佳性能,需要进行比这多得多的调整,你可能应该直接联系Clara进行性能分析,而不是让我在播客中提供答案,因为答案因用例而异。即使不仅仅是虚拟机与非虚拟机,你实际在虚拟机中运行的内容也会改变正确的调整方式。我想说的是,如果你问自己需要多少IOPS,那么你的方向就错了。

因为你看到的驱动器上关于它们能提供多少IOPS的指标是不现实的,就像它们所有其他基准测试一样不现实。而且它们与你实际工作负载中真正想要的东西并不太匹配。从本质上讲,它实际上更多的是归结为不断增加IOPS,直到你满意为止。

如果你想针对任何给定数量的驱动器最大化IOPS,那么你可以在这些驱动器中塞入越多的VDEV,你就能从相同数量的驱动器中获得越高的实际性能。例如,如果你有八个驱动器,

最高的IOPS将是将这八个驱动器作为八个独立的单驱动器VDEV运行。当然,你没有冗余性,所以不要这样做。你的下一个最高性能将是四个双镜像VDEV,因为你有四个VDEV。从本质上讲,每个VDEV都将提供与你使用的驱动器类型相关的给定数量的IOPS。而且在大多数情况下,

这很复杂。我不想深入探讨,但在大多数情况下,你可以认为一个VDEV提供的IOPS数量大致与该VDEV中任何一个驱动器的IOPS数量相同。有一些例外。RAID-Z VDEV会慢一些,

镜像VDEV会更疯狂,因为读取IOPS可能(也可能不总是)取决于你的工作负载,高达VDEV中的驱动器数量,而不仅仅是VDEV的一个。但同样,一般来说,将VDEV视为提供一个磁盘的IOPS数量。因此,如果你想将IOPS乘以几倍,那么你就将VDEV计数乘以几倍。是的。尽管我对Micron数据中心SSD感到惊喜。

我们对其进行了FIO折磨测试,它完全按照手册中的说明执行。我很高兴看到,显然这些是U.2服务器热插拔级NVMe驱动器。但是,当他们说他们可以执行600,000 IOPS时,我们实际上让FIO达到了600,000 IOPS,而无需执行大量的作业或任何其他操作。我非常惊讶。

这很好,但是你提前知道或合理地确定你的特定工作负载需要多少IOPS的几率(不附加到任何给定的驱动器拓扑)几乎为零。说得对。IOPS作为一个具体的数字,可以用作对将获得的性能水平非常非常模糊的经验法则。

但这不是你可以一开始就说“我需要X IOPS,所以我将购买这么多数量的这种驱动器”的东西。这是每个驱动器的IOPS数量,这让我得到了我需要的东西。这是一个很好的想法,我希望它能那样工作,但不幸的是,它就是不行。是的,绝对可以证实这一点。我认为对于大多数人来说,IOPS最合理的用途是一个指标。

是从一个工作负载开始,说“我对这个工作负载在我的存储上的运行情况不满意”。然后你查看你的存储,说“好吧,例如,我有四个基于Rust的VDEV”

它们将为我提供大约每个VDEV 200 IOPS。所以我在这个池中大约有800 IOPS。如果我想让事情运行速度提高一倍,那么我可能需要将IOPS计数加倍。这很有用。这是可以实现的。在这个级别上,一切都有意义,经验法则很好,你可以有效地使用它。就像我说的那样,不要试图做得比这更复杂。

我们的赞助者Stuart也跳过了队列。他写道:“我在之前的剧集中听到过关于能够将数据集委托给容器的只言片语。这听起来正是我需要为我的朋友提供一种通过SSH进入容器并将数据集从他们的ZFS池复制到我的池,反之亦然的方法。”

如果这个功能确实可以使用,我该如何在Proxmox上使用LexC来实现它呢?我尝试四处查找,但找不到将这两部分连接在一起的信息。任何帮助或指向资源的指针都将非常出色。碰巧的是,截至本集的录制日期,Clara发表了一篇关于使用ZFS和Linux命名空间隔离容器的文章,其中描述了如何使用LXD来......

将不同的ZFS数据集委托给容器,然后能够运行Docker并让它使用本机ZFS驱动程序或你的工作负载可能需要的任何东西,就像你在SSH中的情况一样。因此,希望这个方法足以让你在Proxmox上开始使用。我确实有点想知道,如果你要使用多个容器,你打算如何做到这一点,某人将如何通过SSH进入容器一与容器二?

我不知道你是否正在使用VPN或其他什么,但你不必使用单独的容器来实现你的目标,尽管这样做有一些优势。因此,ZFS中有两种不同类型的委托。有一种是用户委托,你可以向用户授予对特定数据集的某些命令。例如,即使你只是使用Sanoid和Syncoid进行自己的备份,你也可以进行委托,以便

备份上的syncoid可以作为非root用户运行,并能够读取和写入数据集,甚至可以在两端都这样做,这样你就无需在你的机器上放置root ssh密钥,这样可以很好地工作,你甚至可以这样做,让你的朋友知道他们有能力将zfs接收到的数据放到pool/friend name中,而不是任何其他数据集。如何

但是,由于ZFS的工作方式,他们将能够通过运行ZFS list等来查看其他数据集。根据你的文件系统权限,四处走动并查看内容,你可能不希望这样做。因此,使用容器委托(可以在FreeBSD上使用jail或在Linux上使用命名空间,如LXC或LXD)。

你将数据集委托给该容器,然后在容器内部,当他们运行ZFS list时,他们将看到你已委托给他们的数据集以及这些数据集的所有子数据集,以及父数据集直到池的根目录,但他们将无法看到所有其他数据集。

因此,如果你有,你知道,pool name/friends/Joe和pool name/friends/Jim,并且你将它们委托给两个单独的容器,当他们运行ZFS list时,他们将看到他们的数据集和父数据集,但看不到彼此的数据集,甚至不知道它们的存在。然后,是的,你将能够从那里执行你的ZFS发送接收。根据你如何设置容器,它们甚至可以在该容器内拥有一个伪root用户,并能够执行他们需要执行的任何操作。

这似乎是另一个论点,即不仅仅是将你的所有东西都转储到池的根数据集,因为无论你如何委托,每个人都将能够看到它。好吧,他们将能够在ZFS list中看到数据集。他们实际上无法访问它,因为你正在Linux中使用一个山区命名空间。所以他们不会

不会访问你设置LXC能够看到的范围之外的任何内容。但是,是的,这是ZFS一开始的设计错误,现在为时已晚,无法修复,不允许你使用池的根目录作为数据集。它根本不应该是一个可挂载的数据集。或者应该有一种方法可以以与操作子数据集相同的方式操作根数据集,这也可以解决问题。我认为有人几乎已经得到了一个重命名,它允许你将根目录与一个新的空数据集交换......

使根目录成为一个普通的数据集,并将根目录恢复为空。这将使从许多人的糟糕决策中恢复过来变得不那么痛苦。是的,这也会使我最近的清理工作不那么痛苦。好吧,我们最好离开这里。记住,如果你想发送任何问题或反馈,请访问2.5admins.com。你可以在jores.com/mastodon找到我。你可以在mercenarysysadmin.com找到我。我在Alan Jude。我们下周见。

再见。