Предоставление бесплатных серверов от малопопулярного облачного провайдера - это не новость. А новость в том, что теперь Oracle, вдобавок к двум едва живым бесплатным x86_64 серверам, открывает доступ к мощностям на ARM64 - для всех, даром, и пусть никто не уйдет обиженным!© Предложение по ARM значительно более производительное, чем на традиционных процессорах. Добавляя к этому остальные бесплатные "плюшки", я задаюсь вопросом: а зачем я до сих пор плачу за VPS и держу собственный серверок в подвале?! Все это можно выкинуть если удастся надежно и безопасно связать дата центр с домашней сетью.
Создание ресурсов
Описывать создание ресурсов (виртуальных машин, сетей и правил) я не буду, все это достаточно подробно описано в статье "Получаем бесплатные сервера в Oracle Cloud Free Tier". Замечу только, что для получения именно ARM64 инстанса нужно сменить Shape при создании Compute Instance на Ampere и выбрать выделяемые ресурсы (для бесплатного использования обещают 1 instance с 4 OCPU и 24 GB RAM или 4 кратно меньших, т.е. 1 OCPU/6 GB).
А что дальше?
После создания кластера из 6 4 виртуальных машин (UPDATE: спасибо @ky0. суммарный бесплатный объем диска 200 ГБ, а минимальный объем загрузочного диска для VM - 47 ГБ, т.е. больше 4 машин на Free Tier создать не получится. Официальное подтверждение тут), нагрузив их самой минимальной полезной нагрузкой стало понятно, что хочется большего. Хочется переложить все домашние сервисы на датацентры oracle, а именно: мелкие базы данных всех мастей, полезные при разработке ПО, сервер автоматизации рутины n8n, локальный gitea для backup'ов github репозиториев, Pi-hole и прочие прелести доморощенного хостинга. Но все это очень не хочется выставлять в интернет, даже с паролями, даже с файерволами, совсем никак.
Мне поможет VPN! Были рассмотрены варианты:
VPN сервер на Mikrotik + VPN клиент в облаке. Этот вариант требует либо настройки VPN на каждом интансе, либо настройки маршрутизации внутри облачной сети через один "главный" инстанс, а уже на нем VPN. Такой вариант мне не понравился тем, что требует настройки каждый раз при пересоздании инстанса, а пересоздавать их иногда хочется.
VPN сервер на одном из инстансов + VPN клиент на Mikrotik. Вариант уже лучше, но все равно, появляется "священная корова" - инстанс с VPN сервером, который нельзя убивать, с ним нужно очень аккуратно экспериментировать, и при пересоздании устанавливать все по новой.
Site-to-Site VPN. Нужно всего-то настроить VPN со стороны Oracle Cloud, настроить VPN на Mikrotik, профит! Проблема была только в одном. В сети нет инструкции как это делать. Будем разбираться... (тут важно отметить, что для реализации этого варианта обязательно наличие белого IP на вашем Mikrotik).
Итак, имея за плечами скромный опыт настройки VPN, понимание компьютерных сетей на университетском уровне и отсутствие опыта работы с облачными провайдерами, я приступил к настройке.
Хочу предостеречь профессионального читателя, в тексте могут быть и будут ляпы, связанные с пониманием предметной области в криптографии и маршрутизации, статья не претендует на энциклопедическую точность, а лишь призвана обобщить и сохранить тот опыт, который автор собрал, наступая на грабли и исследуя различные источники при создании Site-to-Site VPN на Mikrotik.
Настройка Oracle
На панели управления ресурсами есть мастер настройки сети, который проведет пользователя через все нужные шаги в одном месте.
Выбираем VPN:
Если вы создали хотя бы один вычислительный инстанс в инфраструктуре Oracle, у вас должен был автоматически создаться служебный элемент "Virtual Cloud Network", выберите его, если он не выбран в мастере. Если это первая попытка создания VPN, в мастере нужно выбрать создание нового "Dynamic Routing Gateway" (DRG), имя заполнится автоматически. При повторных попытках создания VPN можно выбирать существующий DRG.
Подсети и безопасность. Security List позволяет настроить правила файервола. Можно, конечно, выбрать автоматически создавшийся при создании первого инстанса Default Security List, но я рекомендую все же создать новый, чтобы иметь возможность независимо настраивать внутреннюю безопасность и внешнюю.
Следующий шаг позволяет выбрать настройки маршрутизации. Если читателю знаком протокол динамической маршрутизации BGP, он может быть настроен здесь. В статье же я ограничусь более простым вариантом - это статическая маршрутизация. Если у вас дома стоит Mikrotik, вы наверняка знаете какие подсети используются у вас во внутренней сети. В моем случае это 192.168.6.0/24, именно для нее Oracle будет отправлять трафик через VPN на ваш Mikrotik.
Со стороны Oracle создается два туннеля - это просто дублирование для надежности.
При желании можно настроить мониторинг состояния туннелей, это позволит получать уведомления при разрыве соединения, но я не стал этого делать.
Дальше, ответственный момент - указание IP-адреса вашего маршрутизатора. Проверить его можно на ifconfig.io или в любом другом подобном сервисе, тот же самый IP-адрес должен быть на одном из интерфейсов вашего маршрутизатора.
Проверьте, что все указано правильно.
Дальше запускается облачная магия.
Спустя несколько секунд ваш туннель со стороны Oracle готов, можно просмотреть его настройки.
Нажатие кнопки View VPN покажет нам состояние и адреса двух туннелей со стороны Oracle, не закрывайте страницу, адреса нам еще пригодятся.
Еще нам понадобится Shared Secret для одного (или каждого) туннеля, посмотреть его можно провалившись внутрь по ссылке с названием туннеля, там есть кнопка для отображения ключа.
Настройка Mikrotik
Самая трудоемкая и неудобная часть пройдена, осталось настроить домашний маршрутизатор. Здесь во многом мне помогла статья "AWS Site-to-Site VPN with MikroTik (RouterOS)", спасибо автору. Дополнить ее пришлось параметрами из документации Oracle и экспериментами.
Дальше я приведу необходимые параметры и рабочую очередность их настройки, без объяснения что это и зачем оно нужно, пытливый читатель сможет найти описания и объяснения в документации Oracle или Mikrotik.
# Настройки ipsec proposal должны соответствовать настройкам Phase2
# PFC group 5 = modp1536
/ip ipsec proposal add auth-algorithms=sha256 \
enc-algorithms=aes-256-gcm lifetime=1h name=oracle-proposal-phase2 \
pfs-group=modp1536
# Настройки ipsec profile должны соответствовать настройкам Phase1
/ip ipsec profile add dh-group=ecp384 enc-algorithm=aes-256 \
hash-algorithm=sha384 lifetime=8h name=oracle-profile-phase1
# Здесь нужно вставить IP адрес
/ip ipsec peer add address=<Oracle VPN 1 IP> name=oracle1-peer \
profile=oracle-profile-phase1
# Здесь нужно использовать Shared Secret который мы получили на последнем шаге настройки Oracle
/ip ipsec identity add peer=oracle1-peer \
secret="<Oracle VPN1 Shared Secret>"
# В этот момент должна появиться запись в таблице Active Peers
/ip ipsec active-peers print
# # STATE UPTIME REMOTE-ADDRESS
# 0 established 2m22s <Oracle VPN 1 IP>
# Здесь нужно указать настройки из шага Subnets and Security
# для Oracle подсети и из шага Site-to-Site VPN - Static Routing
# для внутренней сети Mikrotik
/ip ipsec policy add dst-address=<Oracle VCN подсеть> peer=oracle1-peer \
proposal=oracle-proposal-phase2 \
src-address=<Локальная подсеть Mikrotik> tunnel=yes
# В этот момент обновиться состояние policy
/ip ipsec policy print
# Flags: T - TEMPLATE; A - ACTIVE; * - DEFAULT
# Columns: PEER, TUNNEL, SRC-ADDRESS, DST-ADDRESS, PROTOCOL, ACTION, LEVEL, PH2-COUNT
# # PEER TUNNEL SRC-ADDRESS DST-ADDRESS PROTOCOL ACTION LEVEL PH2-COUNT
# 0 T * ::/0 ::/0 all
# 1 A oracle1-peer yes <Локальная подсеть Mikrotik> <Oracle VCN подсеть> all encrypt require 2
# Если вы используете NAT на своем Mikrotik (а вы, наверняка, используете)
# нужно добавить правило обхода NAT для IPSec трафика
/ip firewall nat add action=accept chain=srcnat \
src-address=<Локальная подсеть Mikrotik> \
dst-address=<Oracle VCN подсеть> place-before=0
Внимание! Важно чтобы правило обхода NAT было в списке выше, чем правило NAT c Action "masquerade"!
/ip firewall nat print
# Flags: X - disabled, I - invalid; D - dynamic
# 0 chain=srcnat action=accept src-address=<Локальная подсеть Mikrotik> dst-address=<Oracle VCN подсеть> log=no log-prefix=""
# 1 chain=srcnat action=masquerade ...
# 2 chain=srcnat action=masquerade ...
# 3 X chain=srcnat action=masquerade ...
# 4 X chain=dstnat action=dst-nat ...
# 5 chain=dstnat action=dst-nat ...
# Если это не так используйте команду
/ip firewall nat move numbers=<Номер правила> destination=0Если все сделано правильно, то между сетями должна появиться связь, пинги и данные начнут ходить в соответствии с настройками выбранного SecurityList из Oracle Cloud.
При желании можно создать второй туннель, но Mikrotik не позволяет создать 2-х Policy с одинаковыми Source Address и Destination Address. Вариантов использования второго туннеля несколько:
Задать для одного policy несколько peer, в таком случае первый будет основным, если он недоступен, используется следующий и так далее.
Разделить вашу подсеть на сегменты, и использовать для них разные peer. Например, имея подсеть 192.168.Х.0/24, поделим ее на 192.168.Х.0/25 и 192.168.Х.128/25, дальше можно создать для каждой из них отдельный policy, тогда трафик будет балансироваться в зависимости от сегмента, в котором находится источник трафика.
Если на вашем Mikrotik не одна сеть, а больше, то можно чередовать пиры для разных подсетей. Этот вариант также поможет балансировать трафик в зависимости от подсети из/в которую направлен трафик.
Прописать дополнительный peer к существующему policy, в этом случае туннель будет активироваться при проблемах с основным peer.
Разделить локальную или удаленную подсеть на 2 части (например 192.168.Х.0/24, можно поделить более мелкие сегменты 192.168.X.0/25 + 192.168.X.128/25) и использовать разные туннели для разных сегментов.
Для тех у кого на Mikrotik настроена более чем одна сеть настроить разные сети через разные туннели.
# Создать Peer используя созданный ранее профиль
/ip ipsec peer add address=<Oracle VPN 2 IP> name=oracle2-peer \
profile=oracle-profile-phase1
# Создать identity указав адрес второго туннеля со стороны Oracle
/ip ipsec identity add peer=oracle2-peer \
secret="<Oracle VPN2 Shared Secret>"
# Вариант 1: добавить peer к существующему policy
# для получения номера правила: /ip ipsec policy print
/ip ipsec policy edit number=<Номер правила> peer
# В редакторе дописываем второго peer, чтобы получилось
# oracle1-peer,oracle2-peer
# Нажимаем Ctrl+O
# Вариант 3: добавить policy для другой подсети
/ip ipsec policy add dst-address=<Oracle VCN подсеть> \
peer=oracle2-peer proposal=oracle-proposal-phase2 \
src-address=<Другая локальная подсеть Mikrotik> tunnel=yesСобственно, на этом все. Состояние туннелей можно контролировать на портале Oracle Cloud.
Комментарии (88)
NeoCode
15.01.2022 17:16+4А мне так и не удалось зарегиться на Oracle Cloud Free. Вроде и карту признали, и транзакция прошла, но результат нулевой:(
Dzzzen
15.01.2022 18:36+3Аналогично, успешно подтверждаю платеж по карте, ставлю галку Соглашение, нажимаю кнопку "Начать бесплатное пробное использование", и выдает ошибку:
Не удалось завершить регистрацию. Распространенные ошибки при регистрации: (а) Использование предоплаченных карт. Oracle принимает только кредитные и дебетовые карты. (б) Преднамеренное или непреднамеренное маскирование местоположения или идентификационных данных. (в) Ввод неполных или неточных данных счета. Если вы допустили одну их вышеперечисленных ошибок, повторите попытку. В противном случае обратитесь в службу поддержки клиентов Oracle.Карты пробовал разных банков, данные указывал реальные, пробовал заходить и через vpn и напрямую. Одна и та же ошибка. В поддержку писать бесполезно, она не отвечает.
Evengard
15.01.2022 23:38+2Только что регистрировался, с первой попытки была такая же штука, а вот со второй (с той же карточкой, но я вбил почтовый адрес на английском языке вместо русского) всё сработало.
Другая беда, что в выбранном мной регионе нету доступных мощностей...
onvova
16.01.2022 17:01+1Такая же ситуация.
Поддержка правда ответила — Unfortunately, we are unable to resolve this or process the transaction. This is all the information we can provide.
VladimirKalachikhin
16.01.2022 17:02+1Сбербанк вполне подходит, причина неудачной регистрации, возможно, в отсутствии ресурсов в выбранном датацентре в момент регистрации. Можно выбрать другой датацентр, можно просто попробовать зарегистрироваться через пару дней.
Я, лично, не мог зарегистрироваться в течение месяца, плюнул, а через неделю всё прошло без проблем. Но это было больше года назад. а сейчас машину на Ampere мне не удалось создать уже три раза: говорит, нет ресурсов, попробуйте позже.
fedorro
16.01.2022 18:15+1От бывших Я.Денег карта (пластик) прошла с первого раза, дело было летом, пару раз ещё чекнули списанием-возвратом, и с тех порт всё работает. Можно попробовать виртуальную от Ю-Мани.
Sad_Bro
17.01.2022 09:57у меня не вышло с Юмани, пластиком мастеркард, и с виртуальной от сбера тоже не вышло, на прошлой неделе пробовал(.
Написал в сапорт, пока ответа нет.
artemkaxboy Автор
15.01.2022 19:15+1От коллег тоже слышал жалобы. Меня проблема обошла стороной, все сработало с первого раза с виртуальной картой Mastercard от Тинькофф.
izogfif
15.01.2022 23:17с виртуальной картой
А давно уже регистрировались? Виртуальные карты вроде бы живут пару месяцев от силы, а тут люди поговаривают, что Oracle раз в несколько месяцев берет 10 евро на on hold и возвращает обратно.
Или же вы имели в виду не "виртуальная", а "обычная, просто когда оформлял карту, отказался от физического носителя - пластикового прямоугольника"?
Не подскажете, что вы в полях "Billing address" указывали? И на каком языке - на русском или на английском? А то перерыл интернет, везде пишут, что в российских банках billing address не используется в принципе, а поле в форме регистрации обязательное, пустым оставить нельзя.
telpos
16.01.2022 01:12В приложении Тинкоффа можно дополнително выпускать и уничтожать несколько виртуальных карт и индивидуально настраивать лимиты (срок 8 лет).
Про billing address не важно насколько оно обязательно, так как эмитент всё равно (вроде бы) не предоставляет эти данные эквайеру для проверки.
artemkaxboy Автор
16.01.2022 05:17+2Регистрировался недавно, ещё триал не закончился.
Карту выпускал в личном кабинете, как сказал @telpos их можно выпускать в любое время.
В качестве адреса всегда в таких случаях всегда пишу настоящий город, а адрес Lenina, 1, ни разу не было проблем
Paranoich
16.01.2022 11:15А как вы заполняли адрес? Там и город указывать надо и сам адрес (3 поля, одно обязательное). Наверное, если бы я жил в Москве, например, и проблем бы не возникло. А у меня Московская область, район X, пгт (или деревня, не суть) Y, улица, дом. Что здесь город? Москва? X или Y?
Мои данные не проходят, как не пробовал. Не подскажете?
Naglec
15.01.2022 22:11У меня так же
NeoCode
16.01.2022 14:34+1Может есть в сети какие-то форумы где это обсуждается? Я не могу даже предположить причину. Первая попытка - пытался использовать карту Qiwi, она оказалась предоплаченная. Затем взял дебетовую карту ВТБ, с ней все вроде как прошло и карту приняли, но дальше что-то пошло не так.
UPD: вот сейчас решил повторить, чтобы подробнее написать сюда - и всё получилось! Единственная разница - вводил адрес в американском формате. Т.е. <Номер дома> <Название улицы> APT <Номер квартиры>
Dzzzen
16.01.2022 15:00А в самом первом пункте вы территорию "Россия" укзывали?
NeoCode
16.01.2022 15:05+1Да, конечно. А в качестве "домашнего региона" (это, как я понимаю, где физически будет сервер) указал Амстердам.
Все же вопрос про форумы остается актуальным, т.к. опыта работы с такими виртуалками у меня нет.Dzzzen
16.01.2022 17:49Короче, сейчас тоже указал адрес в американском формате, и все получилось. До этого месяц не получалось пройти процедуру регистрации.
tester_17
16.01.2022 17:03+1Пытался регаться с картами типа qiwi и яндекса - не давала, прокатила только карта сбера. После того как проверило карту (не помню сколько списывало/возвращало - какую то мелочь) что-то написало, не дословно, но где-то "проверятся/ожидается". Так висело около недели.. уже думал плюнуть и забить. Потом неожидано прилетает списание 11 долларов (или евро) и сразу возврат. После этого пустило в аккаунт и с теп пор все ок.
Alekseyz
15.01.2022 18:06+1Примерно полгода использую Oracle Cloud Free для VPN https://github.com/hwdsl2/setup-ipsec-vpn полет нормальный, единственное что надо держать 10 евро на карточке, периодически проверяют твой баланс путем частичного списания
dartraiden
15.01.2022 20:48Уже год с лишним использую, на карточке всегда ноль (т.к. это карточка для покупок в тех местах, где не принимают «Мир» и на ней я деньги не храню), никаких проблем.
Alekseyz
16.01.2022 00:36+1Первые пару недель регулярно списывали и зачисляли обратно 5 евро. Сейчас успокоились, но все же держу на ней остаток
AcidVenom
15.01.2022 18:23+1Вместо добавления разрешающего правила в НАТ, можно использовать ipsec-policy=out,none в основном правиле маскарада или SRC-NAT.
artemkaxboy Автор
15.01.2022 18:50Спасибо! Обязательно попробую. Это будет удобней, т.к. сейчас приходится для каждой подсети микротика добавлять по правилу.
solver
15.01.2022 18:26+11я задаюсь вопросом: а зачем я до сих пор плачу за VPS и держу собственный серверок в подвале?!
Хочется переложить все домашние сервисы на датацентры oracle
Хороший способ в один прекрасный момент оказаться с инфраструктурой, пусть и не такой большой, потерянной или нуждающейся в приличной оплате где-то во блаках)
Такие бесплатные ресурсы хороши для совершенно незначимых вещей, экспериментов. Перенастроить которые не должно занимать много времени. Ну VPN там поднять для линых нужд, постоянно держа в голове, в любую секунду оно может отвалиться и надо будет что-то с этим делать.Но переносить всю личную инфру на халяву как-то стремнова-то) У меня вот не один день уйдёт на переподнятие всего, если эти облака "растворятся в воздухе".
Ну и есть ещй такой немаловажный аспект, ИМХО. Как только все налягут на халяву, гоняя её и в хвост и в гриву, есть большая вероятность, что производитель прикроет эту самую халяву.
NAI
15.01.2022 18:43+1Если все правильно звернуть в Ansible\Terraform и прочие jenkins'ы c vagrant то перенос инфраструктуры становится не таким уж и страшным делом. Емко первый раз описать все что вам надо, зато потом вся инфраструктура поднимается в разы быстре
artemkaxboy Автор
15.01.2022 18:43+1Да, такая опасность есть всегда, еще и санкции всякие. Тут только один рецепт, весь деплой скриптовать, я использую ansible, а все данные бэкапить.
vectorplus
15.01.2022 19:30Производитель обещает, что халява будет всегда.
ConstSe
15.01.2022 20:04+3Там есть небольшая хитрость: если у тебя создана и работает виртуалка, то она продолжает нормально жить после окончания пробного периода. Однако, стоит её удалить, и создать новую уже не получится - оно пишет, что свободных арм ядер нет и берите две машины на амд, а там два тормозных ядра и гигабайт оперативы. Формально всё в порядке, а по сути - маркетинговое налюбилово.
vectorplus
15.01.2022 20:07Спасибо, буду знать. То есть, вместо четырех слабых инстансов сделать один мощный не получится? Хитро.
NoOne
15.01.2022 20:16+1Что-то не то говорит человек выше. У меня с сентября работала виртуалка. Удалил в январе, создал две половинчатых вм, все ок. Поигрался, удалил, создал одну большую - тоже все ок, работает.
Вероятно, можно попасть на такую ситуацию, когда пул всех бесплатных виртуалок в данной локации кончается, тогда новую не сможешь создать.
vectorplus
15.01.2022 20:19Возможно, не закончился пробный период?
NoOne
15.01.2022 20:34я ж написал - с сентября работала виртуалка ;) а триальный период, вроде как, месяц
dartraiden
15.01.2022 20:49Нет, там дело именно в свободных ресурсах в конкретном регионе в данный момент.
Например, на прошлой неделе в Амстердама спокойно можно было создать максимально возможный ARM-инстанс.
На Хабре была статья о том, как написать скрипт, который будет автоматически мониторить доступность халявы.
fedorro
16.01.2022 18:21А я вместо двух половинчатых собрал одну большую, через пол года, -при создании было сообщение что лимит исчерпан, и ядер и памяти, нооо ... кнопка создания была активна машина создалась, и работает уже два месяца, никаких списаний или даже проверок карты.
Areso
15.01.2022 22:59+1Там многих забанили слепые обезьянки, и формально претензии выставить нельзя.
Плюс, я так уже обжегся с GCP, тоже обещали "бесплатно навсегда".
Теперь плачу 3,5 доллара не облачному хостинг провайдеру в месяц и сплю спокойно :)
vectorplus
15.01.2022 23:10Так у GCP до сих пор есть free tier. Только он ограничен по времени в месяц.
Free Tier resources are provided at intervals, usually monthly.
У Оракла такого нет.
Chupaka
17.01.2022 16:40Что ещё за месяц? А то я не в курсе, и они до сих пор (много лет уже) бесплатно предоставляют мне машинку, и счёт выставляют только за сетевой трафик, несколько центов в месяц
vectorplus
17.01.2022 17:04Там ограничение по времени в месяц, сколько-то часов, не помню. После этого начинают денюжку снимать. Трафик, по идее, тоже бесплатный до определенного уровня.
Upd: https://cloud.google.com/free/docs/gcp-free-tier#free-tier-usage-limits
Chupaka
17.01.2022 17:21Вот по вашей ссылке и читаю: ограничение - столько часов, сколько часов в текущем месяце. Т.е. если одна машинка будет круглосуточно работать - за рамки этого ограничения вы не выйдете. Где ж тут можно обжечься?
dartraiden
15.01.2022 20:56появляется «священная корова» — инстанс с VPN сервером, который нельзя убивать, с ним нужно очень аккуратно экспериментировать, и при пересоздании устанавливать все по новой.
Существуют резервные копии загрузочных томов. Кроме того, том можно клонировать, это даже рекомендуется, когда хочется «поиграться»:Rapidly duplicate an existing environment. For example, you can use a clone to test configuration changes without impacting your production environment.
dmbarsukov
15.01.2022 21:13+2Ходят слухи, что оракл иногда суспендит аккаунты без объяснения причин, например за использование на бесплатных виртуалках впн-сервера и жалоб на него DMCA.
BugM
16.01.2022 05:17+1Оракл. Корпорация тесно связанная с правительственными контрактами и всем таким. Это не секрет.
Вы пытаетесь делать что-то хотя бы чуть-чуть незаконное в их локации на их мощностях. Зачем?
dmbarsukov
17.01.2022 16:34я написал "например". оставить один раз запущенный торрент-треккер и запустить ВПН подключение для доступа например к отключенным в россии сайтам и получить перманентный бан на весь аккаунт - это легко. Нужно за этим следить.
так же раз оракл банит аккаунты - то нужно внимательно относится к размещению там важных для вас данных, иначе есть шанс потерять все с момента последнего бэкапа. например пару дней работы.
DaemonGloom
17.01.2022 22:06+1Всегда нужно внимательно относится к размещению важных данных. Не важно — оракл это будет, гугл или мэйлру.
Astro1247
16.01.2022 17:05Зашёл в комменты написать об этом как раз) Пытался воспользоваться бесплатными плюшками оракла, захостил там небольшой оф сервер Factorio, с паролем на пару слотов для друзей, на ~20 дней аккаунт "terminated" без объяснения причин. Все попытки что-то узнать у саппорта (в том числе звонки на ГЛ в США) не увенчались успехом, потерял сейвы игры и карту, благо это было самое ценное (и единственное) что успел поставить на тот сервер.
dartraiden
16.01.2022 23:20Да, у них нулевая терпимость к деятельности, связанной с компьютерным пиратством.
vectorplus
17.01.2022 17:14К меня на сервере Оракл мой личный VPN сервер на OpenVPN. Год уже без проблем. Я использую его для обычного интернет серфинга и почты. Надо, чтобы какая-то специфическая активность была, чтобы засуспендили? А то я что-то напрягся, не хотелось бы потерять, удобная штука.
dmbarsukov
17.01.2022 20:41+1старайтесь торренты не врубать раздачу когда ВПН подключен. Могут накатать абузу на всех раздающих по списку, и вам прилетит.
vectorplus
17.01.2022 21:37O, a я торренты вообще не качаю через ВПН, отлично.
Спасибо за наводочку.
dmbarsukov
18.01.2022 00:10Тут есть тонкость. Зацепить может, даже если вы качали без впн, докачали, забыли отключить клиент битторрент и он немного раздал, а вы как раз в это время врубили. Так что внимательно следить и вырубать трекер.
vectorplus
18.01.2022 08:03Я мало что качаю, и нелегальное точно не раздаю. Не потому что я вредный, просто в Канаде провайдеры за этим следят. Мне пару раз письмо приходило, смешное такое. Типа, нам тут пришло сообщение от правообладателя, что вы раздаете его интеллектуальную собственность. Мы уверены, что это ошибка, письмо прилагается. Такие зайчики. Ну я и не раздаю уже много лет. Но у меня постоянно стоит на раздаче гимп, убунта и прочий опенсорц, за год с ораклом проблем не было. Может, стоит выключить от греха. Как они узнают по шифрованному трафику, что я ваниль раздаю.
ky0
15.01.2022 21:18+3После создания кластера из 6 виртуальных машин...
… вы обнаруживаете, что перестали влезать в Free Tier, потому что минимальный размер boot volume составляет у Оракла 47 ГБ, а бесплатно дают только 200 гигов суммарно.
Так что всё-таки четыре, к сожалению.
NikaLapka
15.01.2022 21:27Спасибо. Но это, просто ещё одна услуга в списке услуг в сервисе Оракл. Может стоит как-нибудь скомпоновать или просто сделать ссылку на табличку, https://www.oracle.com/ru/cloud/free/#always-free и покончить с этим?
Просто, как VPN до VM, решение спорное, есть множество дефолтных,на выбор(l2tp,ipsec,ovpn,wg,ssh tunel,..), кому что милее, где априори стабильнее(ну ладно, скорее результат более предсказуем), и даже с поддержкой, если возникнут трудности(гугл, оверфлоу,..).
Как VPN для "того, что бы", но простите, микротик отлично поднимает ipsec, к примеру, до бесплатного протонвпн, что намного проще, удобнее, безопаснее, и без карточки, банов.
SadLion
16.01.2022 02:35микротик отлично поднимает ipsec, к примеру, до бесплатного протонвпн
Давно они это открыли всем желающим? В своё время писал им в сапорт и они отвечали, что это возможно только на платной подписке, а бесплатный протонвпн только через их приложение.NikaLapka
16.01.2022 11:17А они и не закрывали. Сколько помню, ещё года 2 назад, там всегда на бесплатном тарифе можно было загрузить или обычный .ovpn файл или вот вам IKEv2 логин и пароль и делайте, что хотите.
Просто служба поддержки протон, не особо хотела вникать и логично отписалась "работа стороннего оборудования целиком и полностью лежит на разработчиках этого оборудования", и лишь спустя время, сообщество поддержало(или подопнуло, например https://forum.mikrotik.com/viewtopic.php?t=158227#p790090 мол в микротик вики есть инструкция по нордвпн и если поменять значения, то всё работает и с протонвпн) и появился гайд https://protonvpn.com/support/vpn-mikrotik-router/ (правда, лично моё мнение, что некоторые настройки там излишние, например, микротик по дефолту хорошо работает с ikev2 dpd так зачем в гайде его отключать..).
artemkaxboy Автор
16.01.2022 17:08Не знаю когда это стало доступно, но по актуальной информации разрешают до 50 IPSec туннелей. https://docs.oracle.com/en-us/iaas/Content/FreeTier/freetier_topic-Always_Free_Resources.htm
x-tray
15.01.2022 23:42-3wireguard -- ??? не , не слышал ... )
Silvarum
16.01.2022 10:56+2Site-to-Site в исполнении Оракла не умеет wireguard, только старый
добрыйIPSec. Да и что не так с IPSec в данном случае? Это дефолтная технология для большинства энтерпрайз продуктов, на которые Оракл Клауд в первую очередь и рассчитан.
avelor
16.01.2022 00:33на всякий случай, если кто-то побежал регать аккаунт в оракле
Однако экземпляры сервиса Ampere A1 Compute отключаются, когда срок действия пробной версии заканчивается, а затем удаляются через 30 дней, если Вы не перейдете на платную учетную запись. Чтобы продолжить использование экземпляров Ampere A1 Compute в качестве пользователя Always Free, необходимо удалить существующие экземпляры Ampere A1 Compute и создать новые.
ky0
16.01.2022 00:47Мне кажется, то, что вы процитировали, работает, когда во время 30-дневного пробного периода, когда дают возможность насоздавать услуг на 300 долларов, пользуешься этой возможностью. Если же и в первый месяц юзать только «always free eligible», ничего пересоздавать не придётся.
Вообще логично, что инстансы, вылезающие за возможности вечно-бесплатного тарифа, после окончания пробного периода выключаются.avelor
16.01.2022 01:39возможно. но меня насторожило, что Ampere A1 прям выведены отдельным пунктом в FAQ, а толкование условно-двоякое. но сам я не проверял :) может меня поправят коллеги, которые пользуются этой штукой, но кажется стоит на период пробного периода не крутить ничего такого, что сложно будет вжжух и перенакатить на новый инстанс
4aba
16.01.2022 09:21У меня не удалился. Но с ними надо быть аккуратным, т.к. можно вылезти за пределы free даже после месяца триала. Я не совсем понял как это получилось, но 27ого числа пришло письмо что инстанс остановлен, т.к. вышел за пределы бесплатного. Запустить смог только 1ого, на всякий случай понизил колво процов и памяти. Но понимания не нашел.
lohmatij
18.01.2022 05:29Можете не понижать процы. Эти инстансы удаляются при переходе с бесплатного расширенного на always free tier, что происходит через месяц от начала пользования услугами.
artemkaxboy Автор
16.01.2022 06:37Я подозреваю, что@avelor прав, на Ampere не появляется значок Always Free, для меня было загадкой, почему. Видимо, поэтому. Через неделю закончится триал, смогу проверить. Здесь опять приходит в голову совет, все скриптовать ansible или другими способами, чтобы не приходилось повторять работать руками.
lohmatij
16.01.2022 07:00Через неделю как закончится триал у вас эти инстансы удалят.
Нужно будет зайти и пересоздать их. При создании можно выбрать ту же подсеть и те же загрузочные тома (они не удаляются), все восстановится в исходном виде.
Yarik217
16.01.2022 10:39У меня имеются аналогичные серверы, после окончания триала ничего не произошло. Всё работает с октября до настоящего момента. Надписи про бесплатное использование действительно нет.
set
16.01.2022 12:23А у меня произошло так, как написано выше (к сожалению, я не видел подобную информацию раньше, когда всё настраивал) — отключили, инстанс всё ещё был в списке, но включить его не было возможности. Пришлось удалить и создать заново. Всё получилось, но через месяц-два отключили, т.к. не смогли подтвердить мою платежеспособность, хотя деньги на карте на этот случай лежат.
fedorro
16.01.2022 18:26+1не появляется значок Always Free
На реддите накопал что это баг\фича интерфейса. У меня ни разу 4/24 виртуалка не остановливалась, но я её создал уже после того как триал закончился. Работает уже несколько месяцев без
единого разрывапересозданий. А когда триал начинался - там ещё АРМ-инстансов и не было, по моему.lohmatij
18.01.2022 05:26Речь о том что ampere, созданный во время триала после окончания триала удаляют.
Если создать его после окончания триала то он остается навсегда.
dartraiden
16.01.2022 23:22Можно сделать проще — после регистрации выждать месяц, чтобы триал закончился (он заканчивается либо после исчерпания триального баланса, либо через 30 дней, в зависимости от того, что случится раньше). После этого вы сможете использовать лишь те ресурсы, которые влезают в Always Free*, и созданные после окончания триала инстансы уже никто не удалит.
* при этом, всё же, стоит следить за трафиком, т.к. трафик, превышающий 10 ТБ в месяц, оплачивается.
Я обоим своим аккаунтам именно так и давал «отлежаться».
Un_ka
16.01.2022 12:44С Oracle у вас будут как минимум две проблемы:
Невозможность зарегистрировать.ся
Сильно отличная от нуля вероятность блокировки аккаунта и потери всех данных.
Со вторым можно справиться, используя тот же rclone для бекапов в другие облачные хранилища. Я же пользуюсь пробными периодами в AWS — там простая регистрация, также я ещё нигде не слышал, что кого-нибудь банили. Недавно AWS расширили лимит трафика до 100Гб.
Да, всего лишь на год. Да, EC2 nano 1 amd ядро и 1гб RAM с 10Гб диска, но лучше синица в руке, чем журавль в небе. Необходимось миграции каждый год держит навыки по резервному восстановлению на уровне.
fedorro
16.01.2022 18:32Все это можно выкинуть если удастся надежно и безопасно связать дата центр с домашней сетью.
Но все это очень не хочется выставлять в интернет, даже с паролями, даже с файерволами, совсем никак.
А SSH по сертификату с пробросом нужных портов? Сейчас использую такой вариант - по моему вполне безопасный. Или нет?
Сама статья полезная - спасибо!
artemkaxboy Автор
16.01.2022 19:40Если нужен только SSH, вход по паролю отключен, только сертификат, то вполне нормально. Но мне нужно больше, я поднимаю и базы, и HTTP сервисы которые должны быть всегда доступны, а их даже за паролями страшно открывать, брутфорс, уязвимости, опасно такое делать.
fedorro
16.01.2022 19:45Если нужен только SSH, вход по паролю отключен, только сертификат, то вполне нормально
По умолчанию виртуалки так и создаются, и даже приватный ключ только на этапе создания в браузере доступен.
А веб сервера я в докере запускаю - по идее даже если в них уязвимость, то надо ещё из контейнера сбежать. Надо, конечно, тогда пароли из самого контейнера ещё вырезать.
artemkaxboy Автор
16.01.2022 19:51Если веб просто раздает контент, то можно и не заморачиваться. Но вот, например, если кем-то будет получен доступ к веб-интерфейсу portainer, можно лишиться управления машиной. Portainer даёт полное управление docker'ом на хосте.
fedorro
16.01.2022 19:55Да, поэтому портрейнер слушает порт на локалхосте и этот порт по shh редиректится на локальный.
NeoCode
16.01.2022 19:12Глупый вопрос: а что является username и password при входе в веб-интерфейс Оракла?
Я зарегистрировался, сгенерировал ssh ключи, через putty подключился к виртуалке, поделал там что-то... А вот на веб-интерфейс Оракла попасть не могу. Захожу на https://www.oracle.com/ru/cloud/sign-in.html , ввожу Cloud account name (то что при регистрации называлось "имя учетной записи Oracle Cloud"), пароль при этом не спрашивают, меня перебрасывает на страницу https://login.eu-amsterdam-1.oraclecloud.com/ , там уже отображается введенный логин, но предлагается ввести еще какое-то имя и пароль: "Sign in with your Oracle Cloud Infrastructure credentials". Что это? Логин и пароль которые я вводил при регистрации не подходят...
artemkaxboy Автор
16.01.2022 19:43+1Там используется адрес электронной почты основного пользователя и пароль который был при регистрации. Потом через панель управления можно создавать других пользователей и наделять из доступом к вашей облачной инфраструктуре.
NeoCode
16.01.2022 19:59Спасибо!
Кстати на амстердамском сервере создать виртуалку на Ampere уже не удается, "out of capacity". Ну ладно, мне пока и на AMD хватит, это в общем для экспериментов и на всякий случай в качестве персонального vpn, если с другими способами совсем будет плохо.
lohmatij
18.01.2022 05:34Там есть такая возможность как логин, его вы придумываете и он отвечает за весь ваш аккаунт. К нему можно несколько пользователей привязать.
Вот сначала вводится этот логин а после переброса вводите почту и пароль.
Если логин забыли то его можно восстановить по почте.
OstJoker
17.01.2022 00:14Зарегался в оракл клауд, настроил базовые вещи. Через 3 недели меня забанили без объяснения причин, я даже пользоваться не начал тем что планировал. Конфиг RouterOS забрать не дали, поддержка игнорит. Такой вот бесплатный сыр в мышеловке, подойдёт только тем у кого очень мало денег и очень много свободного времени
SuAlUr
Но все это очень не хочется выставлять в интернет, даже с паролями, даже с файерволами, совсем никак
Инструкция нужная, спасибо. Как альтернатива - ZeroTier на каждую виртуалку Oracle - тоже достаточно быстро и гибко.