Изначально настройка моего блога планировалась как чисто IPv6-проект через WireGuard, так как всё это работает на домашнем сервере (кстати, бесплатные IPv6-адреса можно получить на route64.org). Чтобы повысить доступность, я добавил внешний IPv4-прокси (спасибо @Larvitz).
При этом сразу возникли проблемы с SSL: так как изначально и A-, и AAAA-записи шли через прокси, проверка Let's Encrypt на моем сервере завершалась ошибкой.
Решение: «IPv6-хак»
Решение заключалось в том, чтобы явно направить AAAA-запись напрямую на WireGuard-IP моего сервера, вместо того чтобы также пропускать её через прокси.
- Домен:
blog.burningboard.org
- A-запись (прокси):
194.28.98.217
- AAAA-запись (сервер):
2a11:6c7:f05:a8::2 (WireGuard)
Благодаря этой прямой AAAA-записи на мой WireGuard-IP, Let’s Encrypt по-прежнему обращается к моему серверу напрямую через IPv6 (так как AAAA-запись имеет приоритет по умолчанию) и выпускает SSL-сертификат. IPv4-трафик передается мне прокси-сервером в зашифрованном виде.
Финальная конфигурация
Чтобы взаимодействие работало без сбоев, нам пришлось подправить конфигурацию серверов Caddy:
1. На моем сервере (NixOS, blog.nix)
Чтобы реальные IP-адреса посетителей доходили корректно и не перезаписывались IP-адресом прокси, его необходимо пометить как доверенный:
services.caddy.globalConfig = ''
servers {
trusted_proxies static 2a06:9801:1c:1000::10
}
'';
2. На внешнем прокси (Caddy)
Чтобы прокси корректно обращался к моему серверу по HTTPS, он должен передавать имя хоста (SNI):
reverse_proxy [https://[2a11:6c7:f05:a8::2]:443](https://[2a11:6c7:f05:a8::2]:443) {
header_up Host {host}
transport http {
tls_server_name blog.burningboard.org
}
}
Теперь блог доступен через IPv4 и IPv6, надежно зашифрован, а мой домашний IP при этом остается приватным! 🚀
Самое важное: привычные Markdown-файлы остаются основой — я просто большой фанат этого простого решения. Но «под капотом» многое изменилось:
Я немного подкрутил настройки:
📂 MD-файлы: Структура блога остается простой и базируется на Markdown.
🌍 Глобальнее, чем когда-либо: теперь мой блог поддерживает перевод на 43 языка. Да, включая клингонский! 🖖 (Qapla'!)
Планировался полностью автоматический перевод в реальном времени на основе определения языка в браузере. Спойлер: это сработало лишь частично. Становится ясно: ИИ впечатляет, но он еще не совсем «там», где нам хотелось бы.
Решение: теперь я просто заранее перевожу каждый пост на все заданные языки, что также гораздо лучше для поисковых систем (SEO). Если автоматическое определение вдруг не сработает, вы можете вручную выбрать предпочтительный язык с помощью иконки глобуса — выбор будет просто сохранен в cookie.
Переводы теперь выполняются с помощью Gemini 3 Flash, что дает удивительно хорошие результаты. Однако за ИИ нужно внимательно следить: при первом массовом прогоне ошибочно были переведены и теги, что, конечно, не планировалось.
Код по-прежнему доступен (если интересно, просто напишите мне) 👍 Но учтите, что теперь системе требуется собственный API-ключ Gemini 🔑.
Я без лишних раздумий перевел свой блог с WriteFreely на собственную разработку: MD-Blog (MD, разумеется, означает Markdown). Поводом послужило неудачное обновление старой системы, но в итоге это стало идеальным стимулом для того, чтобы радикально все упростить и получить полный контроль над дизайном.
Основой являются простые Markdown-файлы в папке data/, которые преобразуются в современный HTML во время выполнения. Результат работает молниеносно, не требует базы данных и благодаря собственной дизайн-системе (включая темную тему) теперь выглядит именно так, как я себе и представлял. Даже современная кнопка «Поделиться в Mastodon» теперь встроена напрямую.
Если вам интересен код или эта лаконичная архитектура, свяжитесь со мной через Mastodon!
На самом деле идея #Winboat превосходна, но реализация на данный момент кажется несколько нестабильной. С момента установки в начале года система работала, но сегодня программное обеспечение полностью отказало.
Образ внезапно сообщил о нехватке оперативной памяти (RAM). Я пытался исправить проблему вручную, но это, к сожалению, окончательно вывело систему из строя. Вместо того чтобы тратить время на поиск ошибок, я сразу перешел на Windows-образ Dockurr — он в любом случае является технической основой Winboat.
1. Подготовка
Поскольку я использую Podman, я сначала создал необходимые директории на своей хост-системе. Это обеспечит сохранность данных, если контейнер потребуется пересоздать:
mkdir -p $HOME/Windows/System
mkdir -p $HOME/Windows/Shared
2. Команда запуска
Важное примечание: Замените заполнители в переменных -e USERNAME и -e PASSWORD на ваши личные учетные данные.
podman run -d \
--name windows \
-p 8006:8006 \
--device=/dev/kvm \
--cap-add NET_ADMIN \
-e RAM_SIZE="8G" \
-e USERNAME="Carsten" \
-e PASSWORD="1234" \
-e LANGUAGE="German" \
-v $HOME/Windows/System:/storage:Z \
-v $HOME/Windows/Shared:/shared:Z \
--stop-timeout 120 \
dockurr/windows
Как только контейнер станет активным, вы сможете получить доступ к экземпляру Windows прямо через браузер:
http://127.0.0.1:8006
3. Итоги
Вышеуказанную команду мне пришлось выполнить всего один раз. В повседневной эксплуатации средой Windows теперь можно удобно управлять с помощью этих коротких команд:
- Запуск:
podman start windows
- Остановка:
podman stop windows (или выключение непосредственно внутри Windows)
- Проверка статуса:
podman ps -a
Полезные ссылки:
Я завел собственный блог — прежде всего для того, чтобы поближе познакомиться с #NixOS. Удивительно, но всё прошло довольно просто.
WriteFreely отлично для этого подходит: минималистичный, быстрый в настройке и без лишнего балласта. Идеально, чтобы просто начать и попутно чему-то научиться. Конфигурация приятно лаконична. Установил пару опций, подготовил директорию, настроил обратный прокси — и готово.
Вот как выглядит моя текущая конфигурация NixOS для этого:
{ config, pkgs, ... }:
{
services.writefreely = {
enable = true;
host = "blog.burningboard.org";
settings = {
server = {
port = 8080;
min_log_level = "debug";
};
app = {
host = "https://blog.burningboard.org";
single_user = true;
landing = "/read";
wf_modesty = true;
federation = true;
public_stats = true;
theme = "write";
};
};
stateDir = "/opt/writefreely";
};
# Исправление для генерации ключей ActivityPub: для федерации требуется openssl
systemd.services.writefreely.path = [ pkgs.openssl ];
# Автоматическое создание директории данных с правильными правами доступа
systemd.tmpfiles.rules = [
"d /opt/writefreely 0700 writefreely writefreely -"
];
services.caddy.virtualHosts."blog.burningboard.org".extraConfig = ''
reverse_proxy 127.0.0.1:8080 {
header_up Host {host}
header_up X-Real-IP {remote_host}
header_up X-Forwarded-For {remote_host}
header_up X-Forwarded-Proto {scheme}
}
'';
}
Вот, собственно, и всё. NixOS действительно позволяет легко и чисто настраивать подобные сервисы, сохраняя их воспроизводимость.
