Prywatne
serwery: Zbigniew Kulesza -
zjk.pl
Zbigniew
Kulesza: Serdecznie
witam na moich prywatnych, domowych serwerach
Dzisiaj
jest: 2026-05-18
Aktualizacja dnia: 2026-05-17 17:43:03
Paramerty
serwerowni:
+ dostępność: 24/7/365 (sprzętu i obsługi ;P )
+ zasilanie rezerwowe
+ dostępność na poziomie pojedynczego użytkownika (konta, wybranej
usługi), jak i kompletnego serwera
+ do wykorzystania serwery fizyczne i wirtualne
+ sieć wewnętrzna: dedykowane fizyczne serwery specjalne np.
serwery www, backup, NAS z opcjami redundancji lub wysokiej dostępności
+ przetestowane systemy bezpieczeństwa, sprawdzone zabezpieczenia,
machanizmy antywłamaniowe i antyspamowe
+ oprogramowanie standardowe (patrz
menu "usługi") z możliwością doinstalowania
dodatkowego wybranego: pełna personalizacja usług
+ domena macierzysta: zjk.pl
+ możliwość podłączenia dowolnej domeny
+ pełne backupy - kopie rezerwowe
+ polityka systematycznych aktualizacji sprzętu i oprogramowania
+ dostęp do rozbudowanych informacji monitoringu, logowania, nadzoru
pracy serwerów
Prywatna
infrastruktura serwerowa zjk.pl
Serwerownia
zjk.pl to rozwijany od ponad 20 lat prywatny ekosystem usług
internetowych oparty głównie o systemy FreeBSD i technologie
open-source.
Infrastruktura
została zaprojektowana z naciskiem na:
stabilność,
wysoką
dostępność,
bezpieczeństwo,
energooszczędność,
oraz
pełną kontrolę nad danymi i usługami. | Całość
działa w trybie 24/7/365 i obejmuje:
serwery
fizyczne i wirtualne (włącznie jail),
redundantne systemy
sieciowe i zasilania,
rozproszone systemy storage,
klastry
baz danych,
backup wielowarstwowy,
własne usługi WWW,
DNS, poczty i monitoringu.
| Architektura
została podzielona na wyspecjalizowane warstwy:
routing
i bezpieczeństwo,
publikację usług,
storage,
cache,
backup,
monitoring,
oraz
zarządzanie infrastrukturą. |
W
środowisku wykorzystywane są zarówno klasyczne rozwiązania
UNIX/BSD, jak i nowoczesne technologie:
HTTP/3, Redis,
SeaweedFS, MooseFS, ZFS, HAProxy czy rozbudowane mechanizmy
bezpieczeństwa poczty i DNS.
Projekt rozwijany jest
zgodnie z filozofią:
„Technologia ma służyć, a nie
uzależniać.”
Infrastrukturę nadal
obsługuje człowiek, a nie korporacyjny chatbot ;)
Najważniejsze
cechy infrastruktury
✔ wysoka dostępność usług
✔
redundantne zasilanie i sieć
✔ prywatna infrastruktura bez
zależności od chmury
✔ rozproszone systemy storage i backupu
✔
pełna kontrola nad danymi
✔ monitoring i automatyzacja
administracji
✔ nowoczesne standardy bezpieczeństwa i TLS
zjk.pl
– 24 lata inżynierii - ewolucja domowego ekosystemu FreeBSD.
I. Wstęp: 24 lata cyfrowej
suwerenności
Wszystko zaczęło się na
przełomie wieków od prostej idei i świadomej decyzji o
wyborze FreeBSD jako fundamentu pod własny, niezależny serwer. Misją
projektu od ponad dwóch dekad pozostaje dostarczanie usług
pro bono dla lokalnej społeczności oraz utrzymanie przestrzeni
internetowej całkowicie wolnej od reklam, skryptów
śledzących i korporacyjnego nadzoru. To nie jest kolejny tymczasowy
projekt skopiowany z gotowego tutoriala, lecz autorskie, rozproszone
środowisko rozwijane konsekwentnie przez ćwierć wieku. Ćwierćwiecze
stabilnej pracy udowadnia, że własna infrastruktura może skutecznie
konkurować z chmurami publicznymi, zachowując pełną autonomię
technologiczną.
•
Punkt startowy: Rok 2002 i decyzja o wyborze FreeBSD.
25
lat to bardzo przybliżona liczba. Moje prace z FreebSD zaczęły się juz
w roku 1998/1999, a główną przeszkodą we wprowadzeniu w postaci
serwerów, to brak ogólniedostępnego Internetu (ISDN
jedyna ówczesna technologia wydawała się za słaba). Mimo
wysiłków, chodzenia i pytania, Internet w moim budynku został
założony dopiero w 2002 roku i tę datę przyjałem jako oficjalny start
serwerów. Ale ponieważ już wiedzialem i zamówilem usługę
- fizycznie serwery ruszyły znacznie wcześniej, koło roku 2000/2001.
Należy silnie podkreślić - od razu była to decyzja o użyciu FreeBSD -
nie decydował o tym żaden przypadek czy testy. Wiedziałem czego chcę -
i do dziś tego nie żałuję. Miało być twardo, trudno, profesjonalnie,
wymagająco - i tak jest do dzisiaj.
•
Misja: Internet bez reklam, trackerów i pro bono dla
społeczności.
•
Przekaz: To nie jest gotowiec z tutoriala – to autorski
projekt
rozwijany konsekwentnie przez ćwierć wieku.
II.
Sprzęt: Inżynieria fizyczna i trudne decyzje
Budowa
domowego klastra w Sieradzu wymagała porzucenia standardowych rozwiązań
serwerowych na rzecz autorskiej architektury opartej o osiem
energooszczędnych platform Mini-ITX. Świadomy wybór
procesorów Intel Core z serii T pozwolił na
uzyskanie bezkompromisowej wydajności obliczeniowej przy zachowaniu
niskiego współczynnika TDP na poziomie 35W, co ma kluczowe
znaczenie w warunkach domowych. Infrastrukturę sieciową każdego węzła
oparto o płyty główne z podwójnymi interfejsami
1Gb zestrojonymi w agregację łączy LACP, współpracującymi z
wieloportowymi kartami dyskowymi. Logistyczne upchnięcie tak gęstego
środowiska obliczeniowego w prywatnej przestrzeni mieszkalnej wymusiło
precyzyjne zaprojektowanie dedykowanej półki serwerowej oraz
wydajnego systemu odprowadzania ciepła.
•
Wybór platformy: Dlaczego 8x Mini-ITX i procesory z
serii T (balans moc/TDP).
•
Specyfikacja „pod nos”: Płyty z dual 1Gb (pod
LACP), wieloportowe karty dyskowe.
•
Szafa serwerowa: Logistyka upchnięcia klastra w domowych warunkach w
Sieradzu.
III. Energetyka: Unikalny
system 12V DC
Fundamentem bezawaryjności ekosystemu
zjk.pl stała się całkowita rezygnacja z tradycyjnego prądu zmiennego
(AC) wewnątrz szafy na rzecz czystego zasilania 12V DC. Architektura ta
eliminuje straty energetyczne wynikające z podwójnej
konwersji napięcia, jaka występuje w klasycznych systemach z UPS-ami,
podnosząc sprawność układu. Zaimplementowano pełną redundancję
zasilania, wydzielając niezależne linie energetyczne dla
routerów OPNsense oraz przełączników sieciowych.
Dzięki bezpośredniemu wpięciu w dedykowany bufor akumulatorowy, klaster
potrafi przetrwać długotrwałe awarie zewnętrznej sieci energetycznej
bez najmniejszego tąpnięcia w ciągłości działania usług.
•
Filozofia: Rezygnacja z AC na rzecz czystego DC.
•
Redundancja zasilania: Niezależne linie dla OPNsense i switchy.
•
Zaleta: Bezpośredni bufor akumulatorowy i przetrwanie awarii sieci
energetycznej.
IV. Sieć i Redundancja: Walka o
każdy pakiet
Wysoką dostępność na brzegu sieci
zapewnia zdublowany klaster firewalli OPNsense działający w trybie
failover za pomocą protokołu CARP oraz HAProxy jako load balancer. Ruch
wewnętrzny został oparty o dwa fizyczne, niezależne switche, gdzie
drugi przełącznik pełni rolę automatycznego fallbacku na wypadek awarii
sprzętowej głównego urządzenia. W warstwie drugiej (L2)
standardem dla każdego węzła obliczeniowego stała się agresywna
agregacja łączy (LACP), co podwaja przepustowość i gwarantuje ciągłość
transmisji danych przy uszkodzeniu okablowania. Taka topologia
eliminuje pojedyncze punkty awarii (SPOF) i pozwala na bezprzerwowe
trasowanie pakietów nawet podczas prac konserwacyjnych na
infrastrukturze sieciowej.
•
Brzeg sieci: Zdublowany OPNsense (CARP) i HAProxy.
•
Topologia: Przejście na dwa fizyczne switche (zarządzalny + fallback).
•
Warstwa L2: Agregacja łączy (LACP) jako standard na każdym węźle.
V. Dane
i Storage: Klastry w praktyce
Architektura
przechowywania danych opiera się na hybrydowym podejściu
wykorzystującym dwa równoległe systemy plików o
różnej charakterystyce. Tradycyjne pliki stron WWW,
konfiguracje oraz operacje zgodne z POSIX obsługuje wysoko dostępny
klaster MooseFS rozproszony na siedem węzłów. Do składowania
ciężkich obiektów i multimediów wdrożono
niezależny klaster SeaweedFS, optymalizujący transfer dużych
wolumenów danych. Warstwa bazodanowa i cache to 5 maszyn
z MySQL cluster Replication + 3 PostgreSQL w konfiguracji Hot Redundancy oraz 6 maszyn Redis,
których ruch dla bezpieczeństwa będzie tunelowany jest przez
Stunnel.
•
MooseFS: 7 węzłów dla plików WWW i POSIX.
•
SeaweedFS: Równoległy klaster dla obiektów i
multimediów.
•
Bazy i Cache: PostgreSQL w Hot Redundancy oraz Redis (6 maszyn)
tunelowany przez Stunnel.
•
Plany: Wspomnienie o budowanym klastrze MySQL (5 maszyn).
VI.
Bezpieczeństwo potwierdzone danymi
Miarą
skuteczności wdrożonych zabezpieczeń są powtarzalne, najwyższe noty w
niezależnych audytach, gdzie zjk.pl stale utrzymuje wyniki SSL Labs A+
oraz Security Headers A. Ciągły monitoring infrastruktury w czasie
rzeczywistym natychmiast wychwytuje wszelkie anomalie i
próby naruszenia integralności ekosystemu. O stabilności i
dojrzałości technologicznej FreeBSD świadczy fakt, że w ciągu ostatnich
dwudziestu lat system przeszedł tylko jedną pełną reinstalację (w
czasach wersji 5.3). Wszystkie kolejne aktualizacje i podbicia wersji
bazy systemowej przez dwie dekady były realizowane wyłącznie
„w locie” na żywym organizmie klastra (lub polegały na
skopiowaniu danych ze starego na wdrażany nowy dysk podczas upgrade
sprzętu).
•
Audyty: Jak osiągnąć SSL Labs A+ i Security Headers A na własnym
sprzęcie.
•
Monitoring: Krótko o tym, jak pilnowane są te wyniki.
•
Ciągłość: Historia jedynej reinstalacji (v 5.3) i 20 lat aktualizacji
"w locie".
VII. Pokora: Ciemna strona
złożoności
Budowa
tak zaawansowanego środowiska wiąże się z pojęciem „Complexity
Penalty” – świadomością, że rozbudowane systemy
bezpieczeństwa rodzą nowe, nieprzewidziane ryzyka, takie jak
rozproszony split-brain. Na końcu tej technologicznej układanki zawsze
stoi administrator, na którego barkach spoczywa pełna
odpowiedzialność za stabilność całego organizmu. Wyrazem inżynierskiej
pokory i tradycji jest coroczny „Dzień Odkurzacza”, kiedy
to cały klaster zostaje kontrolowanie wyłączony w celu fizycznej
konserwacji sprzętu. To jedyny moment w roku, gdy serwery milkną,
ustępując miejsca czystej mechanice i trosce o bezpyłową pracę
komponentów. Dodatkowe wyłacznie są spowodowane systematycznymi
aktualizacjami systemów (przynajmniej raz-dwa razy w roku) lub
programów (co tydzień).
•
Complexity Penalty: Świadomość, że nagromadzenie zabezpieczeń tworzy
nowe ryzyka (Split-brain).
•
Czynnik ludzki: Odpowiedzialność administratora za tak złożony organizm.
•
Dzień Odkurzacza: O corocznej, fizycznej konserwacji i wyłączeniu
klastra dla czystości sprzętu.
VIII.
Podsumowanie: Miejsce w świecie
Wycofanie
się z globalnych projektów telemetrycznych typu bsdstats oraz
rezygnacja ze zbiurokratyzowanych platform społecznościowych to w pełni
świadomy wybór architektoniczny. Ekosystem zjk.pl nie powstał
dla internetowych zasięgów, polubień czy pogoni za rynkowymi
trendami, lecz dla czystej inżynierii. Na współczesnej mapie
internetu, zdominowanej przez korporacyjne chmury, projekt ten
pozostaje całkowicie suwerenną, bezpieczną i niezależną wyspą
techniczną. Z pełną sprawnością infrastruktury, unikalnym zasilaniem i
sprawdzonym w bojach FreeBSD, zjk.pl oficjalnie wchodzi w dwudzieste
piąte lecie nadawania.
•
Kontekst: Odcięcie się od "dziwnych" statystyk (bsdstats) i zamkniętych
społeczności (Mastodon).
•
Wniosek: zjk.pl jako niezależna wyspa techniczna.
•
Zakończenie: Gotowość na 25-lecie.
1. Aktualny dostawca
Internetu - Vectra oddział Sieradz - łącze Vectra
biznes
(od 18.VI.2021r.): 600/60 Mb/s
(czyli 75 MB/s
i 7,5 MB/s)
IP:
88.156.77.167
dawniej 232
2. Drugie łącze:
Netia na BSA Orange, światłowód
(od 11.V.2021): 1000/300 Mb/s
(czyli 125 MB/s i 37,5 MB/s) - promocja Netia
IP: 83.238.166.222
Serwer posiada rejestrację nazwy w NASK, aktualnie home.pl -
oficjalnie: zjk.pl
Copyright (c): Zbigniew Kulesza, Sieradz 2002-2026
