Van ARM naar IJzer
De bare metal migratie. Van VMware VM op een ARM MacBook naar Horeb. De ontdekking van FakeRAID.
Transcript (18 fragmenten)
De Smidse. Aflevering twee: Van ARM naar IJzer.
Elk systeem begint ergens. Het onze begon op een MacBook.
Klinkt dat gek? Een hele serverinfrastructuur op een laptop?
Het was een M3 Max. Vierenzestig gigabyte werkgeheugen, zestien processorcores. Geen slechte machine. En met VMware Fusion draaide er een complete Ubuntu-server als virtuele machine.
Mail, websites, VPN, DNS, Docker-containers — alles draaide op die ene laptop. En het werkte. Maanden achtereen, stabiel. Maar het was kunstmatig. Een server die eigenlijk een gast was op iemand anders' hardware.
En toen was er een andere machine. Een desktop, oorspronkelijk gebouwd voor een DNA-sequencing project. Een Ryzen-processor, vierenzestig gigabyte RAM, twee snelle NVMe-schijven. Puur ijzer.
De migratie begon met een ontdekking. En niet een prettige.
Het moederbord had RAID-ondersteuning. Tenminste, dat stond er. AMD RAID. Maar wat ze niet vertellen in de specificaties: dat is geen echte hardware-RAID. Het is firmware-RAID. FakeRAID, in de volksmond.
Wat betekent dat? Het moederbord doet alsof het RAID aanbiedt, maar het werk wordt nog steeds door de processor gedaan. En de Linux-ondersteuning is wisselvallig. Je krijgt het slechtste van twee werelden: geen echte hardwareversnelling, en een driver die elk moment kan besluiten je data niet meer te herkennen.
Dus we kozen voor software-RAID. Mdadm. Volledig door Linux beheerd, volledig transparant, en betrouwbaar bewezen door twintig jaar productiegebruik.
Dat was de eerste les van deze migratie: vertrouw specificaties niet blindelings. Test wat er echt onder de motorkap zit.
De migratie zelf was een operatie in acht fases.
Eerst het besturingssysteem. Schone Ubuntu-installatie, gehardend vanaf de eerste minuut. SSH alleen met sleutels. Firewall dicht, alleen de poorten die je nodig hebt. Automatische beveiligingsupdates aan.
Dan de services, één voor één. DNS eerst — want zonder naamresolutie werkt niets. Daarna nginx als reverse proxy. Dan mail, de meest complexe service. Acht domeinen, dertien postbussen, spam-filtering, DKIM-ondertekening.
En het mooie: we deden het zonder downtime. De oude VM bleef draaien terwijl de nieuwe server werd ingericht. Service voor service geschakeld. DNS-records bijgewerkt. En op tien februari was het klaar.
De laptop was weer een laptop. En de server was een server. Geen virtuele laag meer ertussen.
We noemden hem Horeb. Naar een berg. Een plek waar iets fundamenteels begon. En dat voelde passend — want op dit ijzer bouwden we alles wat daarna kwam.
Dit was Van ARM naar IJzer. Volgende keer: Zevenentwintig Diensten — wat draait er eigenlijk allemaal? De Smidse.