ย้ายบล็อกจาก Ubuntu 16.04 ไปยัง FreeBSD หลังจากใช้งานมา 10 ปี

• VPS ของ DigitalOcean ที่ใช้ Ubuntu 16.04 LTS มีปัญหาเรื่องหมดระยะซัพพอร์ตและภาระด้านความปลอดภัย แต่ก็ยังคง uptime ได้ถึง 1491 วันก่อนปลดระวาง
• เซิร์ฟเวอร์ใหม่ย้ายไปใช้ Hetzner VPS ในเยอรมนีพร้อม FreeBSD 14.3 และได้สเปกแรงกว่าเซิร์ฟเวอร์เดิมราคา $13/เดือน โดยจ่ายไม่ถึง 6 ยูโรต่อเดือน
• ใช้ Jails และ Bastille เพื่อสร้างสภาพแวดล้อมแยกตามแต่ละเว็บไซต์ โดย Caddy Jail รับหน้าที่ SSL และ reverse proxy ก่อนส่งต่อไปยังแต่ละ nginx Jail
• ในการทดสอบโหลด เซิร์ฟเวอร์ FreeBSD ใหม่มี throughput สูงกว่า 3 ถึง 11 เท่า หลังปรับ kern.ipc.somaxconn เพื่อรองรับการเชื่อมต่อพร้อมกัน 10,000 รายการ
• การย้ายระบบต้องเรียนรู้เรื่อง เครือข่าย และการตั้งค่า FreeBSD แต่ด้วยการตั้งค่าแบบรวมศูนย์และเอกสารที่มีคุณภาพ ทำให้ตั้งระบบได้ง่ายกว่าที่คาด

ที่มาของการย้ายระบบ

• บล็อกเดิมรันอยู่บน DigitalOcean VPS มานานกว่า 10 ปี และใช้ Ubuntu 16.04 LTS ในดาต้าเซ็นเตอร์นิวยอร์ก
  • Ubuntu 16.04 LTS หมดการซัพพอร์ตมาตั้งแต่อย่างน้อย 5 ปีก่อน และไม่สามารถรับอัปเดตจากคลังแพ็กเกจ apt ได้อีก
  • ระบบเก่ามีความเสียเปรียบด้านความปลอดภัย และก่อนหน้านี้บล็อก WordPress อีกตัวหนึ่งเคยถูกโจมตีแทรกลิงก์คาสิโนและการพนันบน VPS เก่า
• นอกจากบล็อกแล้ว เซิร์ฟเวอร์เดิมยังให้บริการอีกหลายเว็บไซต์ แต่ส่วนใหญ่เป็น เว็บไซต์แบบ static
  • แม้แต่บล็อกที่ได้รับความนิยมมากที่สุดก็ปกติอยู่ที่ระดับไม่กี่พัน pageview ต่อเดือน และแทบไม่มีทราฟฟิกสูงมาก ยกเว้นบางบทความที่ไวรัลบน Hacker News
  • เซิร์ฟเวอร์ให้บริการไฟล์ static ด้วย nginx/1.10.3 และตั้งค่าแยกตามเว็บไซต์ไว้ใน /etc/nginx/sites-available
  • บล็อกสร้างด้วย Hugo และขั้นตอน deploy เดิมคือ เขียนบนเครื่อง local → commit และ push ไปยัง repository → SSH เข้าเซิร์ฟเวอร์ → pull repository → รัน hugo
• เดิมที VPS เครื่องนี้ยังถูกใช้สำหรับการทดสอบและเขียนโปรแกรม จึงมีซอฟต์แวร์เก่าหลงเหลืออยู่มาก
  • ถึงอย่างนั้นมันก็ยังทำงานได้ปกติ และตอนปลดระวางมี uptime 1491 วัน หรือราว 4 ปีโดยไม่ต้องรีบูต
• เซิร์ฟเวอร์ใหม่ย้ายไปใช้ Hetzner VPS ในเยอรมนี ซึ่งสเปกดีกว่าเดิมแต่ค่าใช้จ่ายต่อเดือนต่ำกว่าครึ่ง
  • เซิร์ฟเวอร์เดิมของ DigitalOcean มี RAM 2GB, vCPU 1 ตัว, ดิสก์ 50GB, ทราฟฟิกต่อเดือน 2TB และราคา $13/เดือน
  • เซิร์ฟเวอร์ที่ถูกที่สุดของ Hetzner ก็ยังมีหน่วยความจำและ CPU เป็นสองเท่าของเดิม พื้นที่เก็บข้อมูลน้อยลงเล็กน้อย แต่ทราฟฟิกมากกว่า 10 เท่า
  • สเปก Hetzner ที่เลือกใช้สุดท้ายแรงกว่าเดิมในราคาไม่ถึง 6 ยูโรต่อเดือน

เหตุผลที่เลือก FreeBSD

• เลือก FreeBSD เพราะต้องการลองใช้ระบบใหม่ในสภาพแวดล้อม production จริง
  • ข้อดีที่ถูกยกมาคือการออกแบบแบบบูรณาการ ความเสถียร ความปลอดภัย และ Jails
• Jails คือความสามารถด้าน virtualization/containerization ที่มีอยู่ใน FreeBSD มานานกว่า 25 ปี
  • สามารถรัน “มินิซิสเต็ม” ในลักษณะ sandbox ที่ไม่สามารถเข้าถึง host system ได้
  • ขณะที่โซลูชันคอนเทนเนอร์อย่าง Docker เหมาะกับการแพ็กโปรแกรมและมีลักษณะชั่วคราวหรือ immutable มากกว่า แต่ Jails ถูกใช้งานใกล้เคียงกับ subsystem หรือ mini VM ที่แชร์ kernel เดียวกัน
• ZFS ก็เป็นตัวเลือกที่น่าสนใจสำหรับไฟล์ซิสเต็มฝั่งเซิร์ฟเวอร์
  • มีทั้งความสามารถด้าน data integrity และ snapshot และมีบางส่วนคล้าย Btrfs ฝั่ง Linux
  • ZFS ถูกมองว่าสุกงอมกว่า Btrfs มาก และหากทำ snapshot บ่อย ๆ ก็อาจพึ่งพาระบบ snapshot/backup แบบเสียเงินของผู้ให้บริการ VPS น้อยลงได้
• โครงสร้างเป้าหมายคือให้แต่ละเว็บไซต์มี Jail ของตัวเอง และในแต่ละ Jail มีทั้งเครื่องมือ build ที่จำเป็นและ nginx
  • Jail สำหรับเมนเว็บเซิร์ฟเวอร์จะรับบทเป็น reverse proxy ที่เชื่อมต่อกับภายนอก
  • หาก Jail ใดถูกเจาะ ก็ออกแบบให้สามารถลบแล้วสร้างใหม่ได้

การติดตั้ง FreeBSD และการนำ Bastille มาใช้

• หน้าสร้าง VM ของ Hetzner มีอิมเมจระบบปฏิบัติการพื้นฐานให้เลือกค่อนข้างจำกัด จึงไม่เห็น BSD โดยตรง
  • อ้างอิงจาก วิดีโอติดตั้งบน Hetzner ของช่อง YouTube ทางการ FreeBSD
  • Hetzner มีอิมเมจ ISO ของ FreeBSD ให้ แต่ต้อง mount ผ่านแท็บ ISO Images ในคอนโซลหลังสร้าง VM แล้ว
  • การติดตั้งใช้ ISO ของ FreeBSD 14.3 และตั้งระบบตามขั้นตอนในวิดีโอทางการ
• เลือกใช้ Bastille เพื่อให้การจัดการ Jails ทำได้ง่ายขึ้น
  • หลายขั้นตอนที่ต้องทำเองในการสร้าง Jail สามารถจัดการผ่านคำสั่ง bastille ได้
  • ตัวอย่างคำสั่งคือ bastille list, bastille create, bastille console
  • การติดตั้งและเปิดใช้งานทำตาม เอกสารเริ่มต้นของ Bastille

pkg install bastille
sysrc bastille_enable="YES"

เครือข่ายและโครงสร้าง reverse proxy

• สแตกทั้งหมดใช้ Caddy Jail ตัวเดียวจัดการทุกโดเมนและใบรับรอง SSL แล้ว reverse proxy ทราฟฟิกไปยัง Jail ของแต่ละเว็บไซต์
  • Jail ของแต่ละเว็บไซต์มีเฉพาะเครื่องมือที่จำเป็นต่อการ build และให้บริการไซต์นั้น
  • โครงสร้างนี้มองได้คล้ายกับการมีหลาย virtual machine อยู่ในเครือข่ายเดียวกัน
• สร้าง virtual network interface ภายในชื่อ bastille0

sudo sysrc cloned_interfaces+="lo1"
sudo sysrc ifconfig_lo1_name="bastille0"
sudo service netif cloneup
sudo sysrc ifconfig_bastille0="inet 10.0.0.1 netmask 255.255.255.0"

• เป็นการ clone loopback interface ตั้งชื่อเป็น bastille0 และกำหนดเครือข่าย 10.0.0.1/24
• Jail ต่าง ๆ จะทำงานอยู่บน network interface นี้
• คำขอ HTTP/HTTPS จากภายนอกจะถูกส่งต่อไปยัง Caddy Jail ผ่านกฎของ PF(Packet Filter)
  • ใน /etc/pf.conf มีการตั้งค่า external interface vtnet0, internal interface bastille0 และ tailscale1
  • ทราฟฟิกพอร์ต 80, 443 จะถูก redirect ไปยัง 10.0.0.5 ซึ่งเป็น Caddy server

ext_if = "vtnet0"
int_if = "bastille0"
vpn_if = "tailscale1"
set skip on $int_if
set skip on $vpn_if
nat on $ext_if from 10.0.0.0/24 to any -> ($ext_if)
rdr pass on $ext_if proto tcp from any to any port {80, 443} -> 10.0.0.5
block all
pass out quick on $ext_if keep state

• เปิดใช้งาน PF และ gateway ด้วยคำสั่งต่อไปนี้

sysrc pf_enable="YES"
service pf start
sysrc gateway_enable="YES"

การตั้งค่า Caddy และ Jail รายเว็บไซต์

• เดิมทีเซิร์ฟเวอร์เก่าใช้ nginx มานาน แต่ในโครงสร้างใหม่เลือก Caddy เพื่อให้การจัดการใบรับรอง SSL เป็นอัตโนมัติ
  • ในสภาพแวดล้อม nginx เดิมต้องต่ออายุใบรับรองด้วย certbot เป็นระยะ และเคยลืมต่ออายุหลายครั้ง
• ก่อนสร้าง Caddy Jail ต้อง bootstrap FreeBSD release ให้ Bastille ก่อน

bastille bootstrap 14.3-RELEASE

• สร้าง Caddy Jail ด้วย IP 10.0.0.5

bastille create caddy 14.3-RELEASE 10.0.0.5 bastille0
bastille start caddy

• ชื่อ Jail คือ caddy, release คือ 14.3-RELEASE, interface คือ bastille0
• สามารถใช้ bastille list เพื่อตรวจสอบสถานะ และใช้ bastille console caddy เพื่อเข้าเชลล์ภายใน Jail
• ติดตั้ง Caddy และเปิดใช้บริการจากภายใน Jail

pkg install caddy
sysrc caddy_enable="YES"
service caddy start

• ไฟล์ตั้งค่า Caddy อยู่ที่ /usr/local/etc/caddy/Caddyfile ภายใน Jail
  • หากต้องการจัดการไฟล์ตั้งค่าจากฝั่ง host สามารถ mount ไดเรกทอรีของ host เข้าไปใน Jail ได้
  • ในตัวอย่างใช้ nullfs พร้อมตัวเลือกอ่านอย่างเดียว ro เพื่อไม่ให้ Caddy แก้ไขไฟล์ตั้งค่า

bastille mount caddy /usr/local/etc/my-caddy-config /usr/local/etc/caddy nullfs ro 0 0

การ deploy เว็บไซต์และบล็อก

• เว็บไซต์แรกที่ deploy คือ es.cro.to และจัดการ repository ของเว็บไซต์ผ่าน GitHub repository
  • เก็บ repository ไว้ที่ /usr/local/www/escroto บน host และ mount ไดเรกทอรีนี้เข้าไปใน site Jail แบบอ่านอย่างเดียว
  • ทุกเว็บไซต์ถูกจัดระเบียบให้อยู่ใต้ /usr/local/www บน host
• สร้าง Jail ชื่อ escroto ด้วย nginx Bastille template

bastille bootstrap https://github.com/bastillebsd/templates
bastille create escroto 14.3-RELEASE 10.0.0.11 bastille0
bastille template escroto www/nginx

• กำหนด IP เป็น 10.0.0.11
• หน้าเริ่มต้นของ nginx อยู่ที่ /usr/local/www/nginx ตามธรรมเนียมของ FreeBSD
• mount ไดเรกทอรีเว็บไซต์จาก host เข้าไปใน Jail แบบอ่านอย่างเดียว

bastille mount escroto /usr/local/www/escroto /usr/local/www/escroto nullfs ro 0 0

• ใช้สคริปต์ deploy เพื่อป้องกันไม่ให้ไดเรกทอรี .git ของ repository ถูกเสิร์ฟผ่านเว็บ

rm -fr /usr/local/www/nginx/*
cp -R /usr/local/www/escroto/* /usr/local/www/nginx/
rm -fr /usr/local/www/nginx/.git

• การ deploy เวอร์ชันใหม่ทำโดยอัปเดต repository บน host แล้วรันสคริปต์ deploy ภายใน Jail

cd /usr/local/www/escroto
git pull
bastille cmd escroto /root/deploy.sh

• การตั้งค่า Caddy จะ redirect cro.to ไปยัง es.cro.to แบบถาวร และ proxy es.cro.to ไปยัง 10.0.0.11

cro.to {
    redir https://es.cro.to{uri} permanent
}
es.cro.to {
    reverse_proxy 10.0.0.11
}

• บล็อกใช้ Hugo และจัดการผ่าน GitHub repository
  • clone repository ไว้ที่ /usr/local/www/blog บน host
  • สร้าง blog Jail ในลักษณะคล้าย escroto และกำหนด IP เป็น 10.0.0.12

bastille create blog 14.3-RELEASE 10.0.0.12 bastille0
bastille template blog www/nginx
bastille mount blog /usr/local/www/blog /usr/local/www/blog nullfs ro 0 0

• ติดตั้ง Hugo ภายใน blog Jail

bastille pkg blog update
bastille pkg blog install gohugo

• สคริปต์ deploy ของบล็อกจะล้าง nginx web root แล้วสร้างผลลัพธ์ของ Hugo ไปที่ /usr/local/www/nginx

rm -fr /usr/local/www/nginx/*
cd /usr/local/www/blog
hugo -d /usr/local/www/nginx

• ก่อนย้าย DNS ใช้ crocidb.cro.to ชี้ไปยังเซิร์ฟเวอร์บล็อกใหม่เพื่อทดสอบแทนโดเมนเดิม

crocidb.cro.to {
    reverse_proxy 10.0.0.12
}

เบนช์มาร์กและการทดสอบโหลด

• ก่อนเปลี่ยน DNS record ได้เปรียบเทียบความสามารถในการรับโหลดระหว่างเซิร์ฟเวอร์เดิม crocidb.com กับเซิร์ฟเวอร์ใหม่ crocidb.cro.to
  • ผู้เข้าชมบล็อกส่วนใหญ่มาจากอเมริกาเหนือ รองลงมาคือยุโรปและอเมริกาใต้ ดังนั้น latency ไปยังเซิร์ฟเวอร์ใหม่ในเยอรมนีอาจเพิ่มขึ้นเล็กน้อยสำหรับผู้ใช้บางส่วน
  • ประเด็นหลักที่สนใจคือความเร็วในการให้บริการเว็บไซต์ static และความสามารถในการทนโหลดสูง
• มีการใช้เครื่องมือออนไลน์ฟรีอย่าง GTMetrix, Pingdom, WebPageTest ด้วย แต่ความต่างของสองเซิร์ฟเวอร์ส่วนใหญ่เห็นชัดแค่ในเรื่อง latency
• ใช้ wrk และ hey เป็นเครื่องมือเบนช์มาร์กโหลด HTTP
  • ทั้งสองตัวสามารถสร้างคำขอพร้อมกันจำนวนมาก และเก็บข้อมูลอย่าง latency, error response และ throughput ต่อวินาที
• เมื่อรัน wrk จาก VPS อีกเครื่องใน Hetzner เดียวกัน เซิร์ฟเวอร์ใหม่ทำผลงานเหนือกว่าอย่างชัดเจน

wrk -t4 -c100 -d30s --latency https://crocidb.com/

• ตัวเลือกคือ 4 threads, การเชื่อมต่อพร้อมกัน 100 รายการ และรัน 30 วินาที
• เซิร์ฟเวอร์เดิมมี average latency 89.63ms, requests per second 833.41, throughput 8.29MB/s
• เซิร์ฟเวอร์ใหม่มี average latency 6.75ms, requests per second 12260.10, throughput 130.80MB/s
• เครื่องที่ใช้ทดสอบอยู่ในดาต้าเซ็นเตอร์เดียวกับเซิร์ฟเวอร์ใหม่ จึงไม่ใช่การเปรียบเทียบที่ยุติธรรมนัก
• ยังลองรัน wrk ผ่าน Proton VPN จากหลายภูมิภาค แต่ผลลัพธ์ต่ำกว่าที่คาด
  • ค่าเฉลี่ยของเซิร์ฟเวอร์เดิมอยู่ที่ประมาณ 300 requests/s ส่วนเซิร์ฟเวอร์ใหม่อยู่ที่ประมาณ 800 requests/s
  • สุดท้ายจึงเปลี่ยนจากการใช้ VPN สำหรับผู้ใช้ทั่วไป ไปเป็นการสร้าง VPS จริงในหลายภูมิภาคแทน

การทดสอบตามภูมิภาคด้วย Vultr VPS

• เลือก Vultr เพื่อให้ใช้อินฟราสตรักเจอร์ต่างจาก DigitalOcean และ Hetzner ที่เป็นที่ตั้งของเซิร์ฟเวอร์
  • เนื่องจากภาระในการทำงานแบบ manual จึงจำกัดภูมิภาคไว้ 4 แห่งคือ London, São Paulo, Silicon Valley, Tokyo
  • สร้าง Fedora VM รุ่นที่ถูกที่สุดในแต่ละภูมิภาคแล้วใช้รันทดสอบ
• สุดท้ายตัดสินใจว่า hey เหมาะกับการทดสอบมากกว่า

./hey_linux_amd64 -n 1000000 -c 10000 -t 10 -z 5m -h2 https://crocidb.com/ > crocidb.com.log
./hey_linux_amd64 -n 1000000 -c 10000 -t 10 -z 5m -h2 https://crocidb.cro.to/ > crocidb.cro.to.log

• การตั้งค่าคือคำขอรวม 1,000,000 ครั้ง, concurrency 10,000, timeout 10 วินาที, เวลารวม 5 นาที และใช้ HTTP/2
• เป็นโหลดที่สูงกว่าทราฟฟิกบล็อกจริงมาก
• ในการรันครั้งแรก เซิร์ฟเวอร์ FreeBSD ใหม่รับ การเชื่อมต่อพร้อมกัน 10,000 รายการ ไม่ไหวและล้มเหลวตั้งแต่ช่วงต้น
  • เมื่อตรวจสอบขนาด socket queue ด้วย netstat -Lan พบว่าทั้งหมดเป็น 128
  • ค่าเริ่มต้น kern.ipc.somaxconn คือ 128 จึงเพิ่มเป็นดังนี้

sysctl kern.ipc.somaxconn=16384

• ในการทดสอบจาก São Paulo ทั้งสองเซิร์ฟเวอร์ตอบกลับด้วย error จำนวนมาก แต่เซิร์ฟเวอร์ FreeBSD รับมือกับ 1,000,000 requests ตามที่ตั้งใจไว้ได้ ขณะที่เซิร์ฟเวอร์ Ubuntu เดิมยังตอบกลับไม่ถึง 20,000 requests
  • เซิร์ฟเวอร์ Ubuntu เดิมทำสำเร็จเพียงประมาณ 7% ของคำขอทั้งหมด
  • เซิร์ฟเวอร์ FreeBSD ใหม่ทำสำเร็จประมาณ 94%
  • ที่ Tokyo อัตราความสำเร็จของเซิร์ฟเวอร์ใหม่ลดลงเล็กน้อย แต่ยังไม่ถึงขั้นน่ากังวลมาก
• เมื่อวัดด้วย requests per second เซิร์ฟเวอร์ใหม่ดีกว่าเดิมอย่างน้อย 3 เท่า และมากสุด 11 เท่า
  • ในส่วน latency percentile เซิร์ฟเวอร์ใหม่เพิ่มขึ้นค่อนข้างเป็นเส้นตรงจนถึงราวจุด 90% ทำให้คาดการณ์พฤติกรรมได้มากกว่า
  • แม้อยู่ภายใต้โหลดสูง ผู้ใช้ส่วนใหญ่ทั่วโลกก็ยังสามารถรับเนื้อหาหน้าแรกของบล็อกได้ในเวลา ต่ำกว่า 3.5 วินาที
• ผลลัพธ์จาก Tokyo ไม่ได้ถูกวิเคราะห์เชิงลึก
  • การวิเคราะห์ตามช่วงของคำขอใน hey ชี้ว่าทราฟฟิกไปญี่ปุ่นอาจช้ากว่า
  • ค่า DNS dial-up/lookup ของโดเมนที่สองดูต่ำผิดปกติ และอาจมีผลจาก CNAME record
  • ค่า resp wait และ resp read ก็สูงผิดปกติเช่นกัน แต่เนื่องจากนับเฉพาะคำขอที่สำเร็จ จึงอาจเป็นไปได้ว่าเซิร์ฟเวอร์เดิมตอบสนองเร็วในช่วงแรก แล้วแทบจะกันคำขอใหม่ออกไปในช่วงหลัง

การสลับใช้งานจริงและบทเรียนสำคัญ

• แม้เบนช์มาร์กจะยังตอบได้ไม่ครบทุกประเด็น แต่ผลลัพธ์ก็เป็นที่น่าพอใจพอที่จะสลับ DNS record ไปยังเซิร์ฟเวอร์ใหม่
  • จากนั้นบล็อกนี้จึงให้บริการอย่างเป็นทางการบนเซิร์ฟเวอร์ Hetzner ที่ใช้ FreeBSD
• การตั้งเครื่องโฮสต์เว็บไซต์บน FreeBSD ต้องผ่านการทดลอง แก้ไข build และล้มเหลวอยู่หลายชั่วโมง แต่ไม่ได้ซับซ้อนอย่างที่คิด
  • หากต้องการก็สามารถเลือกใช้บริการเว็บโฮสติ้งที่ตรงตามเงื่อนไขได้ เช่น OpenBSD Amsterdam
  • หรือจะใช้ Proxmox เพื่อจัดการคอนเทนเนอร์และแดชบอร์ดบริหารก็ได้
  • ฝั่งทางเลือกของ FreeBSD ยังมี Sylve ถูกกล่าวถึงด้วย
  • อย่างไรก็ดี การประกอบระบบเองให้ประสบการณ์เรียนรู้มาก จึงถือว่าเป็นทางเลือกที่น่าพอใจ
• เซิร์ฟเวอร์ Ubuntu เดิม ก็แข็งแกร่งมากเช่นกัน
  • ตลอด 10 ปีมันรับภาระโหลดของเว็บไซต์ได้ดี และใน 4 ปีสุดท้ายก็ทำงานต่อเนื่องโดยไม่ต้องรีบูต
  • ทำงานได้เสถียรโดยแทบไม่ต้องลงแรงกับการตั้งค่ามากนัก
• การตั้งค่า FreeBSD ง่ายกว่าที่คาด โดยเฉพาะแนวทางรวมศูนย์การตั้งค่าระบบไว้ในที่เดียวและคุณภาพของเอกสารออนไลน์
• หากต้องการประกอบเครื่องโฮสต์บล็อกด้วยตัวเอง จำเป็นต้องมี ความรู้ด้านเครือข่าย ที่ไกลเกินกว่าขอบเขตที่นักพัฒนาเกมมักคุ้นเคย
  • กระบวนการเรียนรู้ระบบอื่นเป็นเรื่องสนุก และครั้งหน้าอาจลอง OpenBSD หรือ NetBSD ก็ได้
  • อย่างไรก็ดี ผู้เขียนสรุปว่าประโยชน์ใช้สอยของงานทั้งหมดนี้มีขีดจำกัด เพราะทราฟฟิกของบล็อกส่วนใหญ่มาจากการ crawl ของระบบ AI