Переезд между VDS-ками + паранойа

В общем, расскажите, кто как делает?

Когда нужно просто быстро перебросить готовую виртуалку, традиционно использую LXC. Не раз уже многие контейнеры переезжали так с места на место как полностью законченные решения.

Сейчас для той же цели годится и Docker, но с ним больше идеологических тонкостей. Если нужен именно отдельный виртуальный комп, в который привычно лазить по ssh и что-то в нём настраивать, то lxc походит лучше.

Я вот тут еще нашел такую штуку: systemd-nspawm. Не пробовал?

dd, хипстота.

может tar?

А если серьёзно. тогда можно посмотреть еще в сторону ansible & puppet or something else

А еще в сторону горных лыж, классный спорт.

Ему переехать надо, а не метазадачи решать. Где ему master разворачивать, на сабжевом единственном VDS?

lxc, если хочется запускать на ядре хостовой системы целую гостевую систему с инитом, или по контейнеру docker для каждого сервиса, и будет дедупликация системных файлов, если всё это привязать к конкретной версии дистрибутива на хостовой системе. Для переезда rsync.

Кроме того, хотелось бы, чтобы мои данные хранились в зашифрованном виде, потому что сервер где-то там, а у меня паранойа. Сейчас это сделано с помощью шифрованного раздела, который подключается в процессе загрузки.

Это вообще не имеет смысла. Если есть физический доступ к машине, на которой подключен шифпрованный раздел — есть доступ к данным на разделе. Решить эту проблему возможно только расшифровывая данные на удаленном клиенте, но http так не работает, для git есть всякие костыли вроде git-crypt, для jabber нужно использовать gpg/otr.

Дядь, ты поехавший.

Докер для каждого сервиса - это перебор в моем случае.

Вообще, именно dd (утрировано, как самый простой вариант), как предложил t184256, мне и нужен. По этому буду выбирать между lxc и systemd-nspawn.

Это вообще не имеет смысла. Если есть физический доступ к машине, на которой подключен шифпрованный раздел — есть доступ к данным на разделе.

Мне бульше нужна защитита от доступа к данным на выключенном компьютере, когда пытаются слить инфу с жестких дисков. Да с работающего компа это можно сделать (хотя, с виртуалки не очень просто), но это мало кому нужно.

для ansible особо мастер и не нужен

Тогда luks+lvm+lxc и rsync для миграции. В принципе можно просто копировать систему через rsync без lxc, но тогда придется настраивать загрузчик, с контейнером в этом плане всё проще. Копирование системы на уровне блочного девайса через dd — это какая-то жесть, как мне кажется.

Обоснуй. У ТСа есть «уже настроенное окружение», чем побайтовое копирование не подходит для «быстрого разворачивания»?

третий хостер приказывает долго жить

Что за хостеры такие? Pod Divanom Inc?

Копирование системы на уровне блочного девайса через dd — это какая-то жесть, как мне кажется.

А, тебя смутило утрирование? Ну тогда сам экстраполируй: от rsync --inplace на блочное устройство; через какой-нибудь btrfs-send и в сторону понятных тебе tar или dump-restore (ими еще кто-то пользуется?) или rsync уровнем выше ФС; остановись там, где тебе комфортнее.

Я юзаю ansible с самописными скриптами.

Puppet умеет в single node, представь себе

Это не меняет того, что это бестолково, когда у тебя всего один хост.

Вот попробовал systemd-nspawn, прикольная и простая штуковина. По-моему то, что нужно.

Таким образом, будет у меня шифрованый luks образ, который я буду монтировать после каждой перезагрузки с вводом пароля. Потом в монтированную директорию буду делать systemd-nspawn -b.

Разворачивать буду копированием образа. Жаль только шифрованый образ не сжимается.

Описывать конфигурацию в виде кода - всегда очень толково.

Я сам все развертываю через самописные скрипты и salt. Но будь у меня один хост — никакого бы профита не было. Тред про миграцию одинокого хоста, где все уже настроено безо всякой системы управления конфигурацией. Хватит уже.

Что за хостеры такие? Pod Divanom Inc?

Последний VDS24, который последнее время хостился на серверах OVH. Осенью французская полиция изъяла серверы, потому что «хулиганы какие-то» наспамили чем-то непотребным. С грехом пополам, через неделю, восстановили из бэкапов серверы. А пару недель назад сервер упал и больше не поднимался. Хостер на запросы не отвечает, бабки возвращать похоже не собирается.

До этого был наш, рассейский хостер, который тоже по началу был нормальным, а потом протух.

Puppet умеет в single node, представь себе

Это не меняет того факта, что puppet - маразматическое overgenineered говно.

В общем, t184256 прав, у меня один навечно настроенный хост, который нужно время от времени переносить на другой сервер. В общем-то там и настраивать не особо много - апач, vpn, jabber и по мелочи. Кроме того, я не сисадмин, мне нужно чтоб кнопочку нажал и готово, лень мне лезть в дебри.

chef, puppet, ansible

В общем я сделал контейнер на базе systemd-nspawn, корень которого лежит внутри образа LUKS. Конень монтируется вручную через ssh-консоль.

Для особо важных данных сделал небольшой шифрованный образ, который шарю с помощью Network Block Device через openvpn. Т.е. важные данные на сервере и в сети существуют только в зашифрованном виде.