2.7 KiB
Date | Author | Title | Slug | categories | Tags | ||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
2022-04-21 | Alexandre LUCAZEAU | Nixos partout même là-bas | Nixos |
|
Nixos sur serveur dédié
Le choix d'une distribution est important. Non pas pour les applications packagées, mais pour la facilité d'installation et de maintenance. Sur un serveur, une distribution Rolling Release va créer de l'emplois : trop de travail régulier.
Centos était un choix souvent fait pour la longévité de son support. Mais les montées de version n'existe pas. Debian est souvent un bon choix, communautaire, et pérenne. Mais ça demande aussi du travail.
Mais le suivi d'inventaire applicatif, devient vite pénible. L'approche Nixos, répond à toutes ces difficultés. Le problème, c'est son absence chez les hébergeurs. Pourtant, elle mérite qu'on s'y attarde. Heureusement, il existe un script nixos-infect
nixos-infect va remplacer le système existant par une Nixos toute neuve. Le script fonctionne sur plusieurs plateforme VPS, et je l'ai testé sur un serveur Kimsufi.
Installation de Nixos sur un serveur dédié Kimsufi
OVH ne propose donc pas Nixos parmis les 60 possibilités revendiquées sur la page d'accueil.
Par contre on peut installer Debian 11 et profiter de l'outil pour faire le partitionnement des disques, puis transférer sa clé publique SSH sur le compte root
cat ~/.ssh/id_ed25519-perso.pub |ssh root@37.187.xxx.8 'cat >> .ssh/authorized_keys'
Enfin depuis notre nouveau serveur
curl https://raw.githubusercontent.com/elitak/nixos-infect/master/nixos-infect | NIX_CHANNEL=nixos-21.11 bash -x
Et c'est tout. Y a pas plus simple pour avoir un système opérationnel :D
Il reste plus qu'a supprimer l'ancienne fingerprint pour se reconnecter en SSH
ssh-keygen -f $HOME/.ssh/known_hosts -R 37.187.103.8
A partir de maintenant, vous pouvez enrichir votre configuration Nixos.
Vous trouverez ma configuration complète sur le git . Si vous l'utilisez, pensez à modifier la configuration SSH pour dans un premier temps autoriser les mots de passes, sinon, vous risquez de vous trouver à la porte.
Cette configuration utilise caddy comme serveur web (serveur plus rapide sur un site static que nginx et avec certificat SSL Lets'Encrypt intégré sans Certbot), avec export des metrics - caddy et systèmes.
L'idéal étant de revoir l'ensemble pour l'intégrer à un système comme flake, deploy-rs ou nixops. Affaire à suivre
Il reste plus qu'à mettre l'alerting et la sauvegarde en place. La partie sauvegarde concerne les dump de gitea qui sont pour l'instant dans un dossier local.