Posts by m_ueberall

    Der ehemalige nginx-Entwickler mag sich ja in Moskau sicher fühlen... Ich sitze aber nicht in Moskau und wenn er mit dem Fork Markenrechte von F5 verletzen sollte, könnte das möglicherweise auf die Benutzer zurückfallen.

    Ich glaube, in diesem Fall hört man schneller von einem Rechtsstreit, als man nach ein paar Monaten anfängt, zu überlegen, ob ein Wechsel sinnvoll sein könnte.

    Ein sofortiger Wechsel auf einen Fork, ohne dessen Zukunftsaussichten mit etwas (auch zeitl.) Abstand einzuschätzen, erschien mir schon immer ausgesprochen risikobehaftet (wenn ich nicht bei selbigem Fork involviert bin). Wenn sofortiger Handlungsbedarf bestünde, würde ich in diesem Fall ggf. sogar einen Produktwechsel vorziehen (wenn es einen etablierten Mitbewerber gibt).

    (Freenginx und Incus lassen sich hier auf den ersten Blick gut vergleichen, und auf letzteres Projekt habe ich ein halbes Auge, auch wenn ich einen Wechsel von Canonical/LXD nie in Betracht ziehen würde.)

    Danke für die Einordnung. Ein guter Vergleich. […]


    Und die Mailserversache, da hab ich ein transaktionales Skript. Das sendet nur 1 Mail pro Fall. Das Mailsystem auf dem Server wollte ich nur für eine Mailbox. Aber selbst wo man die Mailboxen anlegt, hab ich bei Froxlor noch nicht gefunden. Weisst du das zufällig? Domains hab ich ja schon angelegt und geroutet. Oder muss ich den erst bei "Settings" aktivieren, inklusive der Skriptzeilen dort? Falls ja, dann ist ja froxlor so einladend wie eine VOIP-PBX-software mit zig Codecs :)

    […]

    Lexi vom Mars : Da Du mehrere Diskussionsfäden nebeneinander bearbeitest (die ich nicht alle im Detail verfolge) und mir vorher schon einmal bei Deinen Antworten leere Zitatboxen in Erinnerung sind – die oben ausgeblendeten Teile Deiner Antwort waren bestimmt nicht an mich gerichtet, oder? Zumindest ist mir nicht ersichtlich, aus welchem Kontext diese stammen könnten. (Ich selbst hüte mich immer davor, mehrere Antworten gleichzeitig zu entwerfen bei Nutzung dieses Forums.)


    EDIT: Ich sehe gerade, dass sich "Die BW-Read IOPS-Write und BW-Write geben die meisten Anbieter gar nicht bzw nur ungern raus oder?" wohl auf den Link in meiner Fußzeile bezieht. Dazu: Es gibt ein paar allgemeine Aussagen zu den einzelnen Angeboten, aber wirklich belastbare, detaillierte Leistungsdaten wird man von einem Massenhoster ganz bestimmt nicht bekommen (wäre aus mehreren Gründen kontraproduktiv). Wenn man mit Anexia als Geschäftskunde hier ein SLA aus­han­deln will, sieht das schon ganz anders aus, dann spielt man aber auch gleich in einer (völlig) anderen Preisklasse.


    Froxlor selbst oder ein anderes Frontend benutze ich nicht. Wenn es nur um ein extrem kleines Mailvolumen geht, würde ich bei einer "Make-or-Buy"-Entscheidung immer für die letztere Variante plädieren und hier auf einen einschlägigen Mailboxdienst verweisen (ohne Namensnennung, weil partiell/tendentiell Mitbewerber von Netcup). Das kostet zwar wenige Euro zusätzlich, spart aber extrem viel Zeit bezüglich des Setups und der Absicherung gegenüber Sicherheitslücken usw. Zusätzlich bieten diese Dienste zumeist Anleitungen aus erster Hand und explizite Unterstützung an, wenn man hier eigene Domänen anbinden will.

    (Wenn es nur darum ginge, via Postfix E-Mails an ein eigenes externes Mailboxkonto zu versenden, wäre das natürlich auch Overkill – wenn ich aber die Stichworte "Mailsystem" und "Mailbox" lese, dann assoziiere ich damit immer auch den Empfang und die lokale Verwaltung von E-Mails (und dann macht auch die Erwähnung von "Dovecot" für den Abruf Sinn), was wie in meinem letzten Beitrag erwähnt eben deutlich komplexer ist.)

    Ich ziehe das mal hier her: Verwendest Du so eine Kombination irgendwo produktiv? Bzw. was sind Deiner Meinung nach die größten Vorteile? :)

    Und hast Du irgendwelche Bookmarks, in was man sich diesbezüglich einlesen sollte?

    Ja, bereits seit längerer Zeit produktiv. Im Forum finden sich ein paar Anmerkungen von mir dazu, allerdings rückt die Suchfunktion (bei einer Suche nach Docker/Podman und LXD) diese nicht so einfach 'raus.

    Einer der Vorteile von LXD ist, dass dank zahlreicher vorgefertigter Container blitzschnell eine bestimmte Version einer der verbreiteteren Linux-Distributionen instanti­iert werden kann; mittlerweile ist auch die Cluster-Unterstützung recht komfortabel. Im Kontext von Docker/Podman aber ist von besonderem Interesse, dass man ggf. durch eine zusätzliche "Namensraum-Kapselung" die im Container befindliche Anwendung effektiv von ihrer Umwelt abschotten bzw. ihr explizit/selektiv Zugang dazu gewähren kann – das ist zwar einmalig ein zusätzlicher Konfigurationsaufwand, aber hat man eine saubere Trennung der Zuständigkeiten und kann ohne größeren Eingriff in Standardeinstellungen der jeweiligen Anwendung lokal erforderliche Anpassungen bzgl. Ports/Geräte vornehmen, die außerhalb der Beeinflussbarkeit der Anwendung liegen (wenn man sich geschickt anstellt dank OVN-Unterstützung und eigenem Nameserver, kann man somit mehrere Instanzen desselben LXD-Containers auf verschiedenen Knoten eines Clusters im Master-/Master-Modus betreiben, beispielsweise Gitea).

    Ad Bookmarks: Obwohl sich Canonical leider (aus wirtschaftlichen Gründen) dazu entschlossen hat, LXD näher an sich zu ziehen, ist das alte Forum immer noch eine Fund­grube für Tips und Tricks (Link verweist auf das Thema Docker); analoges gilt für den YouTube-Kanal LXD, wo S. Graber regelmäßig einzelne Themen­über­sichten eingestellt hat (bevor er anfing, für den Fork "Incus" zu arbeiten). Daneben gibt es auch ein paar einschlägige Tutorials für Ubuntu(/Debian) und Blog-Artikel von dritter Seite (Vorsicht, diese dürfen nicht zu alt sein, ein paar Dinge haben sich im Laufe der Zeit schon geändert!)

    Mit Postfix und Dovecot allein wird man auch nicht unbedingt glücklich, da fehlt heutzutage mindestens noch rspamd.


    Es gibt Gesamtpakete wie https://mailcow.email/, die aber vorwiegend via Docker installiert werden; das erleichtert das ursprüngliche Ansinnen, erfordert aber seinerseits zusätzlich eine Einarbeitung in und Wissen um Probleme bei Docker (sichere Abschottung, vgl. kürzlichen Beitrag von KB19 bzgl. offener Ports) bzw. Container im Allgemeinen (LXD erlaubt beispielsweise die Absicherung von Docker-Containern in einem zusätzlichen LXD-Container).


    Auch das Befolgen zahlreicher Online-Anleitungen (im schlimmsten Fall auch noch via "mix&match"-Ansatz) ist ohne Quellenstudium nicht zielführend.


    Zur Einordnung: Die Einrichtung eines eigenen Mailservers ist "um mindestens eine Größenordnung komplexer/aufwendiger", als veraltete PHP-Versionen durch neue Pendants abzulösen. (Das trifft bereits auf die Einarbeitung in das Thema "Container" zu, wenn man verstehen will/muss, was man da macht, weil es auf einem exponierten Server geschieht. Erste Tests dürfen hier sicherheitshalber nur in einer abgeschotteten Umgebung (Heimserver) stattfinden.)

    Für curl gibt es bereits ein GitHub-Projekt (stunnel/static-curl), welches vom Funktionsumfang derzeit sogar über das Debian-/Ubuntu-Pendant hinausgeht; hier könnte man sich ggf. über einen Verweis Arbeit sparen (oder das dortige Build-Script forken).

    perryflynn: Ist geplant, die Binaries von Zeit zu Zeit aufzufrischen? (Nicht, dass meinerseits gerade ein dringender Bedarf bestünde, sondern weil mir selbst vorhin ins Auge fiel, dass es beispielsweise von jq schon die v1.7.1 gibt und ich beim "Herumspielen" mit Binaries dann gerne immer zunächst die neueste Version nutze.)

    Zum Thema cloud-init möchte ich auf diesen letzten offiziellen Beitrag verweisen, nachdem dies seit vielen Jahren eine Baustelle ist. Solange sich das nicht ändert (Mitbewerber bieten entsprechende Möglichkeiten, nutzerspezifische Definitionen zu hinterlegen, welche dann entsprechend automatisch ausgerollt werden bei Initialisierung von KVM-Instanzen), ist es nicht unbedingt ratsam, diese Funktionalität überhaupt zu verwenden.

    Hierzu gibt es einige existierende Diskussionsfäden im Forum; man kann die hinterlegte Datei löschen, cloud-init sicherheitshalber sauber deaktivieren und die entsprechenden Pakete deinstallieren.

    Wenn ich die Fehlermeldung richtig lese, dann sollte dig +short -t TXT _acme-challenge.meinedomain.de noch einen Wert zurückliefern, richtig? Wenn lediglich das Entfernen des DNS-TXT-Eintrags aufgrund der nicht korrekt übergebenen Session-ID im letzten Schritt fehlschlägt, dürften die Auswirkungen ggf. erst zu spüren sein, wenn der verbliebene Identifikationseintrag beim Ausstellen des nächsten Zertifikats "im Weg steht", weil er zu diesem Zeitpunkt veraltet ist.

    Ist das eine aktuelle Version von acme.sh? Gegebenenfalls finden sich hierzu Kommentare in den Issues des GitHub-Projekts.

    Evtl. kann man aber den snapshot exportieren, herunterladen und mit qemu das image entsprechend bearbeiten und wieder hochladen.

    Das ist eine Möglichkeit (und wahrscheinlich die einfachste, wenngleich die Daten hier zunächst auf ein Drittsystem transferiert werden müssen); sofern ein Backup existiert, könnte man auch das Dateisystem der Quell-KVM-Instanz verkleinern und die Partitionsgröße anpassen (siehe beispielsweise hier); danach beide KVM-Instanzen über das Rettungssystem booten und die nunmehr nicht mehr in Benutzung befindliche Quellpartition via "dd" und "ssh" sektorweise auf die Zielpartition übertragen. Danach kann das Dateisystem der Ziel-KVM-Instanz wieder vergrößert werden (das sollte direkt aus dem Rettungssystem heraus funktionieren, sofern die entsprechenden Hilfsprogramme für das verwendete Dateisystem vorhanden sind oder eingespielt werden können).

    Bei neueren Dateisystemen wie Btrfs oder ZFS kann man (die dateisystemspezifischen, nicht mit der Netcup-SCP-Funktionalität zu verwechselnden) Snapshots direkt übertragen; beim Einsatz von LVM sollte man hier die zusätzliche logische Ebene bei der Verkleinerung/Vergrößerung beachten.

    Habe auch so einige Ideen, die ich in Form verschiedener Webseiten gerne veröffentlichen würde. Allerdings würde damit auch der Wunsch einer Veröffentlichung von "nichteigenen" Bildern einher gehen. :-/
    Dabei frage ich mich immer, wie das andere Websitebetreiber machen. z.B. die ganzen Hardware- bzw. Promiseiten etc.
    Woher haben die eine Genehmigung zur Veröffentlichung von Bildmaterial? Haben die alle eine "Generallizenz"?! :/

    Da gibt es doch 'was von Ratio^WRheinwerk: https://www.rheinwerk-verlag.d…en-fotografischen-alltag/

    (Und für Bildmaterial Dritter gibt es ja einschlägige Plattformen mit entsprechenden Lizenzen.)

    Vielleicht funktioniert das SCP schneller wieder, wenn man das jetzt noch via Twitter/X, Mastodon und anderen sozialen Medien (XING, LinkedIn) verbreitet? :evil:

    Wenn der OP (und alle, die nach ihm kamen) ein Ticket eröffnet hat und vielleicht eine Zweit- oder Drittstimme im Forum bestätigt, dass es nicht allein ihn betrifft, sollte man annehmen, dass daran gearbeitet wird.

    Es erschließt sich mir auch nach Jahren nicht, warum dieses Forum in diesem Fall immer mit X (X>3) Beiträgen der Art "Betrifft mich auch!!!11einselfzwölf" geflutet wird. Wird es dadurch übersichtlicher hier? Reagiert der Dienstleister dann wirklich eher ("Oh, wenn DER jetzt auch das Problem hat, dann sollten wir einmal …")?

    Doesn't that "and in addition" mean that both criteria should be met in order for the server to be throttled?

    Because if they wanted to say these conditions are separate, they could simply use "or"

    You're right, the German wording suggests the same (both criteria should be met) – there's no way to read this differently in either language: "Für Traffic von und zu Ihrem Server fallen keine Kosten an. Im Durchschnitt steht Ihnen eine Bandbreite von mindestens 1 Gbit/s zur Verfügung, vorausgesetzt der Root-Server verfügt über eine 2,5 Gbit/s Netzwerkkarte. Werden innerhalb eines Monats mehr als 120 TB Traffic verbraucht und zusätzlich durchgehend über einen Zeitraum von mehr als 60 Minuten durchschnittlich mehr als 1 Gbit/s Bandbreite belegt, kann die Netzwerkanbindung des Server auf minimal 200 Mbit/s limitiert werden, damit anderen Kunden kein Nachteil entsteht."


    Moderators : Could you please confirm that this is indeed the case?

    vServer -> Ubuntu LTS -> LXD -> Fedora -> Podman

    Dh noch eine Container Lösung, Ubuntu LTS in dem Fall, dazwischen?

    Wenn Du bislang Debian verwendet hast, würde ich ggf. dabei bleiben (wobei es dort eben kein Livepatch-Äquivalent für Kernel-Patches im Rahmen des "Ubuntu Advantage"-Programms gibt, welches für Privatnutzer für bis zu fünf Hosts kostenlos nutzbar ist), LXD gibt es dort auch.

    Also "(Netcup-KVM-Instanz:)Debian/Ubuntu → LXD → Fedora*(-Container) → Podman" – ausschlaggebend ist hierbei, dass "oben" die bekannte Distribution in stabiler Version eingesetzt wird und LXD "nach unten" ("in den Container") die vollständige Kontrolle über das Netzwerk sicherstellt (d.h. Docker/Podman kann nur über Ports/Mountpoints kommunizieren, welche man explizit selbst manuell bei LXD öffnet/definiert).


    * auch wenn die neuesten Podman-Versionen via Red Hat ggf. schneller bei Fedora eingespielt werden, heißt dies übrigens nicht, dass man via Debian Trixie(Testing) / Sid(Unstable) nicht auch Zugriff auf neuere Versionen (siehe hier) hat; wenn es also nicht darum geht, sich gleichzeitig auch Fedora anzusehen, ist hier beim Einsatz von LXD unter Debian Bookworm ein Distributionswechsel im LXD-Container nicht zwingend erforderlich.


    EDIT: Andererseits erlaubt das einfache Einrichten mehrerer Container auch einen direkten Vergleich von Podman unter Trixie/Sid und Podman unter Fedora, da diese problemlos nebeneinander laufen können – und zwar mit identischer Podman-/Podman-Container-Definition, lediglich auf LXD-Seite muss beim Zugriff nach außen ein abweichendes öffentliches IP-/Port-Mapping vorgenommen werden.

    Hauptgrund ist die Nähe von Podman zu Red Hat und somit Fedora. Damit würde ich mich gerne etwas tiefer beschäftigen. Ansonsten seit ~1997 mit Debian zufrieden.

    Hier möchte ich einwerfen, dass man Fedora auch bequem innerhalb eines LXD-Containers unter Debian/Ubuntu ausprobieren kann, um die Vorteile einer LTS-Distribution, insbesondere im Kontext "etwas abgehangenerer" Kernelupdates (bei Ubuntu inklusive kostenlosem Livepatch-Dienst), mit denen der Fedora-getriebenen Anwendungen und der (dank LXD) sicheren, leistungsbezogen verlustlosen Kapselung von Docker/Podman zu kombinieren.

    Gerade dann, wenn auf (mehreren) anderen Hosts bereits Debian-/Ubuntu-Distributionen installiert sind, muss man sich bzgl. Absicherung/Nachverfolgung entsprechender CVE-Meldungen/best practices nicht umgewöhnen.