by_EL

Ну у меня на серваке работает KVM и docker,.. проблем нет.
но у меня ресурсов достаточно, KVM всё не забирает

В проксмокс тоже можно так сделать, там же дебиан голый. Но наверно лучше виртуалку развернуть и засунутьв неё докер. Или лучше даже LXD контейнер

Не надо этого делать. Кроме Proxmox на сервере ничего не должно быть. Максимум DHCP сервер.

clonezilla - снять образ, развернуть образ
Rrvive Image - тоже самое

Делаете бекап.
Проверяете, что он действительно сделался и с него сможете восстановиться.
На железном сервере ставите серверную винду (можно при желании даже версию винды повысить), делаете её дополнительным контроллером домена в существующем домене.
Поднимаете на железном сервере те же службы что и на виртуальном (dhcp, dns и т.п. при необходимости перенастраиваете днс сервера у клиентских машин) и понижаете виртуальный сервер до обычного члена домена. Выключаете виртуальный сервер (можно даже после отключения перезагрузить физический) и проверяете, чтобы всё работало.

vSAN — это что-то вроде RAID через сеть. В настоящее время vSAN поддерживает RAID 1 и RAID 5/6
Используется для обеспечения механизма доступности для виртуальных машин. vSAN Witness разрешает владение ресурсами виртуальной машины в случае сбоя. Если доступно более 50% компонентов, составляющих объект хранения виртуальной машины, виртуальная машина все еще доступна. Если доступно менее 50% компонентов виртуальной машины, оно больше не будет доступно кластеру / хранилищу vSAN. Таким образом, объекты «свидетеля» играют решающую роль в обеспечении того, чтобы правило «больше 50%» действовало для объектов компонента vSAN и определяло принадлежность объекта виртуальной машины в случае сбоя.

А что, OpenWRT стал файрволлом?
pfSense, конечно.

Но можно использовать btrfs или zfs, вместо lvm.

DNS сервер всегда отдает все записи запрошенного типа для данного имени, в тч все MX/SRV записи.

_Клиентом_ выбирается MX с минимальным весом, в случае его недоступности или нефатальной ошибке отправки - с более высоким весом и тд, если у нескольких mx одинаковый вес - порядок между ними выбирается случайно. Поэтому клиенту нужны все MX записи. Примерно так же и с SRV, но там приоритет обеспечивается порядком priority и в рамках одного приоритета выбор между хоставми производится случайно, распределение вероятности задается весом. Т.е. берутся все хосты с минимальным priority и среди них выбирается случайный, но не равновероятно а в соответствии с весом (например если у одного вес 100 а у другого 200 то вероятность выбора второго вдвое выше). Плюс клиент может еще и рассматривать альтернативы между разными сервисами (например между _smtp._tcp и _smtps._tcp) или отдавать предпочтение определенному порту или сети.

На стороне сервера может быть лишь реализован round robin - случайное перемешивание записей, при перемешивании веса и приоритеты не учитываются. round robin требуется стандартом но по факту делается не всеми, например гугловые резолверы (которые 8.8.8.8) его не делают.

host -t mx google.com
google.com mail is handled by 40 alt3.aspmx.l.google.com.
google.com mail is handled by 50 alt4.aspmx.l.google.com.
google.com mail is handled by 20 alt1.aspmx.l.google.com.
google.com mail is handled by 30 alt2.aspmx.l.google.com.
google.com mail is handled by 10 aspmx.l.google.com.

или

dig google.com mx +short
20 alt1.aspmx.l.google.com.
30 alt2.aspmx.l.google.com.
50 alt4.aspmx.l.google.com.
10 aspmx.l.google.com.
40 alt3.aspmx.l.google.com.

Если запрос от приложения то также отдаётся весь список а клиент сам выбирает по весу если умеет или берёт первый в списке.

Насколько я помню, это не мостом делается. В адаптере вайфай в свойствах есть вкладка "Доступ". Там надо расшарить этот адаптер, а на другом компьютере в той же рабочей группе должен появиться интернет, только вот не помню, нужно на втором компьютере вручную адрес вбить или главный ПК выдаст ему сам адрес.

https://wifigid.ru/poleznoe-i-interesnoe/kak-razda...

1. При установке системы не подключай комп к сети
2. В свойствах сети включи "задать как лимитное подключение"
3. Помимо "Лимитного подключения" выполните следующие настройки:
1) Параметры-Обновление и безопасность-Центр обновления Windows-Дополнительные параметры.
"При обновлении Windows получать обновления для других продуктов..." - ОТКЛ.
"Скачивать обновления через лимитные подключения..." - ОТКЛ.
2) Параметры-Обновление и безопасность-Центр обновления Windows-Дополнительные параметры-Оптимизация доставки.
"Разрешить загрузки с других компьютеров" - ОТКЛ.
3) Параметры-Обновление и безопасность-Центр обновления Windows-Дополнительные параметры-Оптимизация доставки-Дополнительные параметры.
Установить ограничения по трафику для системных обновлений.

Вроде нельзя волюмы на горячую менять.
Как вариант - запусти новый контейнер из того же самого образа с новым маппингом и останови старый.

Это переменная которая хранит код ошибки предшествующей команды. Обычно 0 - это ок. А другое число говорит о неудаче.

Это просто строка приглашения.
Он и означает что вы работаете под обычным пользователем, а # - под рутом. Это и есть его основное назначение, никаких дополнительных функций в этом символе нет.

Переменная PS1 собственно и содержит строку приглашения, которая содержит обычно имя юзера, имя хоста, текущая директория и этот символ.

Если речь идёт о постоянной синхронизации именно файлов, то очень неплохо работает lsyncd. Только ни в коем случае нельзя пытаться использовать его для синхронизации в две стороны (путём запуска двух экземпляров), только в одну! (Я тестировал, даже если запись идёт только в одну сторону, иногда спонтанно случается синхронизация в неправильную сторону неполностью записанного файла)

Для баз данных файловую синхронизацию лучше не использовать, для них есть свои методы репликации.

Разумеется, всё это не отменяет бэкапов и других организационных мер по развёртыванию и поддержке, но можно по возможности максимально снизить риск потери самых последних данных.

Пробовал

Ютубчик глядеть лениво, а последняя ссылка выглядит здраво.

Попробуйте это:
раз https://pve.proxmox.com/wiki/OVMF/UEFI_Boot_Entries
два https://forum.proxmox.com/threads/how-to-fix-non-b...
(особо не вникал, просто нагуглил варианты решения)

https://ru.wikipedia.org/wiki/EncFS
прозрачно шифрует файлы и хранит их в какомнить каталоге.
в этот каталог монтируешь место из облако или синхронизируешь файлы из этого каталога в облако.
в облаке лежат шифрованные файлы, у тебя encfs их расшифровывает

Абсолютной защиты получить пока невозможно.
Корень проблемы кроется в загрузчике, если его можно подменить, значит можно вытянуть все остальное, через пароли к шифрованным разделам.
Вторая проблема - возможность хостера получить содержимое оперативной памяти на любой момент времени (почти штатная фича виртуальных машин).

На практике можно сделать задачу кражи данных на столько дорогой, что заниматься ею массово (т.е. на автомате для всех клиентов) не будут, пока вы действительно не заинтересуете.

Решение кроется в создании нестандартного загрузчика, задача которого проконтролировать окружение (через анализ производительности и содержимого оперативной памяти) чтобы защититься от подмены и дать возможность ввести удаленно пароль шифрования разделов.
Стоимость получения доступа к оперативной памяти можно значительно увеличить, если брать чистое железо а не виртуальную машину, а чтобы еще более усложнить жизнь вору-хостеру, запускать на ней свой гипервизор и свои виртуалки (каскадная виртуализация сильно ограничена в типовых кнфигурациях, но само собой не невозможна).

Само собой, софт (операционная система) должна быть полностью подконтрольная пользователю (никаких утилит от хостера, никаких готовых предустановленных образов и т.п.), все, начиная с загрузчика и ядра ос должны быть ваши (или хотя бы публично надежные, т.е. официальные, но тут уже вопрос что и от кого именно защищаешь данные). Не стоит упоминать что кроме open source linux вариантов не густо, при этом в худшем случае это может быть собственная сборка из исходников (на основе какой-нибудь gentoo)

Привожу пример простого и дешевого решения для обывателя - любой хостинг, хоть lxc/openvz, (т.е. дающий абсолютный контроль над файлами хостеру), и запуск внутри виртуальной машины, например на основе user mode linux, это буквально ядро linux в виде бинарника (не требует ничего, ни модулей ядра ни поддержки виртуализации, и при этом не замедляет работу), в который можно зашить команды запуска (откуда взять загрузчик, где лежит образ диска, параметры шифрования и т.п.), пароль вводится в консоли ssh загрузчика (initramfs гостевой машины). Все запускаемые бинарники должны размещаться не на сервере а подгружаться с надежного клиента, управляющего запуском. Еще, для kvm были патчи онлайн шифрования оперативной памяти, да ценой очень низкой скорости, но стоимость взлома такой машины становится запредельной.
--------------------------------------------------------------
Правильный способ, дающий очень высокие гарантии - для ввода пароля в датацентр для включения машины катается специальный надежный человек, который носит с собой часть оборудования (консоль и диск с загрузчиком) и проводит минимальный визуальный контроль чтобы отследить вскрытие и замену железа (пломбы, сейфы и системы независимого онлайн мониторинга доступа, т.е. буквально вебкамеры и датчики вскрытия со своим каналом в интернет и источником питания), само собой серверное железо тут должно быть не от хостера а от клиента.
И такие услуги датацентры предоставляют.

p.s. подобные действия нужны не для всех серверов, а только для серверов приложений, а к примеру nas могут хранить уже зашифрованные данные, никаких особых требований для них не нужно