Felix Albrigtsen
0491df32f7
New backup server just dropped!
This server is awfully slow, and the mdraid setup is awfully slow, and I doubt that this will be a good experience, but we now have a backup server again?
- Tried Disko and nixos-anywhere
- Tried using mdraid
- Found that md is ancient and bad
- Found that disko is 100% extra steps, and a lot more complicated and noisy than just formatting your disks yourself
- Found that systemd-boot doesn't support mdraid
- Found that we probably don't need to mirror the boot partition :)
- Found that old hardware is slow
- Found that old hardware can have poor support for iPXE with UEFI, and might do weird BIOS stuff on you when you least expect it
- Reaffirmed that zfs is love
Current disk layout:
- mdraid for boot/root disk
- 4TB WD Red with 500MiB ESP with systemd-boot, Remaining mdraid - Old?
- 4TB WD Red with 500MiB Unused partition, Remaining mdraid - Old?
- zfs pool "tank" for the actual backup data
- 8TB Toshiba MG08 - New
- 8TB Exos 7E10 - New
TODO:
- Document the death of Toriel on the wiki
- Document Bakke on the wiki
- ... describing the poco loco disk layout
- Start backing stuff up
- Restic? Borg? Rsync?
- Make backup retention policy and zfs snapshot system
- Document backup procedures
Reviewed-on: #87
Co-authored-by: Felix Albrigtsen <felix@albrigtsen.it>
Co-committed-by: Felix Albrigtsen <felix@albrigtsen.it>
PVV NixOS configs
Hvordan endre på ting
Før du endrer på ting husk å ikke putte ting som skal være hemmelig uten å først lese seksjonen for hemmeligheter!
Etter å ha klonet prosjektet ned og gjort endringer kan du evaluere configene med:
nix flake check --keep-going
før du bygger en maskin med:
nix build .#<maskinnavn>
hvis du vil være ekstra sikker på at alt bygger så kan du kjøre:
nix build . for å bygge alle de viktige maskinene.
NB: Dette kan ta opp til 30 minutter avhengig av hva som ligger i caches
Husk å hvertfall stage nye filer om du har laget dem!
Om alt bygger fint commit det og push til git repoet. Det er sikkert lurt å lage en PR først om du ikke er vandt til nix enda.
Innen 24h skal alle systemene hente ned den nye konfigurasjonen og deploye den.
Du kan tvinge en maskin til å oppdatere seg før dette ved å kjøre:
nixos-rebuild switch --update-input nixpkgs --update-input nixpkgs-unstable --no-write-lock-file --refresh --upgrade --flake git+https://git.pvv.ntnu.no/Drift/pvv-nixos-config.git
som root på maskinen.
Hvis du ikke har lyst til å oppdatere alle pakkene (og kanskje måtte vente en stund!) kan du kjøre
nixos-rebuild switch --override-input nixpkgs nixpkgs --override-input nixpkgs-unstable nixpkgs-unstable --flake git+https://git.pvv.ntnu.no/Drift/pvv-nixos-config.git
Seksjonen for hemmeligheter
For at hemmeligheter ikke skal deles med hele verden i git - eller å være world readable i nix-storen, bruker vi sops-nix
For å legge til secrets kan du kjøre f.eks. sops secrets/jokum/jokum.yaml
Dette vil dekryptere filen og gi deg en text-editor du kan bruke for endre hemmelighetene.
Et nix shell med dette verktøyet inkludert ligger i flaket og shell.nix og kan aktiveres med:
nix-shell eller nix develop. Vi anbefaler det siste.
I tilegg kan du sette opp direnv slik at dette skjer automatisk
for å få tilgang til å lese/skrive hemmeligheter må du spørre noen/noe som har tilgang til hemmelighetene
om å legge til age eller pgp nøkkelen din i .sops.yaml
Denne kan du generere fra ssh-nøkkelene dine eller lage en egen nøkkel.
Legge til flere keys
Gjør det som gir mening i .sops.yml
Etter det kjør sops updatekeys secrets/host/file.yml
MERK at det ikke er sops -r som BARE roterer nøkklene for de som allerede er i secretfila