Migré el blog a FreeBSD después de mantenerlo 10 años en Ubuntu 16.04

• El VPS de DigitalOcean basado en Ubuntu 16.04 LTS tenía el problema de haber quedado sin soporte y la carga de seguridad que eso implica, pero mantuvo un uptime de 1491 días hasta el momento del retiro
• El nuevo servidor se movió a un VPS de Hetzner en Alemania con FreeBSD 14.3, usando una configuración más potente que el servidor anterior de $13 al mes por menos de 6 euros mensuales
• Con Jails y Bastille se creó un entorno aislado por sitio, donde el Jail de Caddy se encarga del SSL y del reverse proxy hacia cada Jail con nginx
• En las pruebas de carga, el nuevo servidor con FreeBSD mostró entre 3 y 11 veces más throughput de solicitudes tras ajustar kern.ipc.somaxconn para soportar 10,000 conexiones concurrentes
• La migración requirió aprender sobre redes y configuración de FreeBSD, pero fue más fácil de lo esperado gracias a la configuración centralizada y a la calidad de la documentación

Contexto de la migración

• El blog anterior estuvo funcionando más de 10 años en un VPS de DigitalOcean, usando Ubuntu 16.04 LTS en el datacenter de Nueva York
  • Ubuntu 16.04 LTS llevaba al menos 5 años fuera de soporte y ya no podía recibir actualizaciones de los repositorios de paquetes de apt
  • Un sistema viejo está en desventaja en términos de seguridad, y en el pasado un blog separado de WordPress sufrió un ataque en un VPS antiguo donde insertaron enlaces de casino y apuestas
• Además del blog, el servidor anterior alojaba algunos sitios más, pero la mayoría eran sitios estáticos
  • Incluso el blog más popular normalmente tenía apenas unos miles de pageviews al mes, salvo algunos posts que se volvieron virales en Hacker News
  • El servidor entregaba archivos estáticos con nginx/1.10.3, y la configuración por sitio estaba en /etc/nginx/sites-available
  • El blog se generaba con Hugo, y el flujo de despliegue anterior era: escribir localmente → commit y push al repositorio → entrar por SSH al servidor → hacer pull del repositorio → ejecutar hugo
• El VPS anterior también se había usado al principio para pruebas y programación, así que todavía conservaba bastante software viejo
  • Aun así seguía funcionando correctamente, y al momento del retiro tenía un uptime de 1491 días, es decir, casi 4 años sin reiniciar
• El nuevo servidor se movió a un VPS de Hetzner en Alemania, con mejores especificaciones y a menos de la mitad del costo mensual
  • El servidor anterior de DigitalOcean tenía 2 GB de RAM, 1 vCPU, 50 GB de disco, 2 TB de tráfico mensual y costaba $13 al mes
  • Incluso el servidor más barato de Hetzner tenía el doble de memoria y CPU que el anterior, un poco menos de almacenamiento, pero 10 veces más tráfico
  • La configuración final elegida en Hetzner era aún más potente por menos de 6 euros al mes

Por qué elegir FreeBSD

• Se eligió FreeBSD para probar un sistema nuevo en un entorno real de producción
  • Entre sus ventajas estaban el diseño integrado, la estabilidad, la seguridad y Jails
• Jails es una función de virtualización y contenedorización incluida en FreeBSD desde hace más de 25 años
  • Permite ejecutar “mini sistemas” en una especie de sandbox sin acceso al sistema host
  • Mientras que soluciones de contenedores como Docker encajan mejor para empaquetar programas y suelen ser más efímeras e inmutables, Jails se parecen más a subsistemas o mini VM que comparten el mismo kernel
• ZFS también era una opción atractiva como sistema de archivos para servidor
  • Ofrece integridad de datos y snapshots, con ciertas similitudes con Btrfs en Linux
  • ZFS se consideró mucho más maduro que Btrfs, y con snapshots frecuentes se puede depender menos del sistema pagado de snapshots o backups del proveedor del VPS
• La arquitectura objetivo era tener un Jail por sitio, con las herramientas de build y nginx necesarias dentro de cada uno
  • El Jail del servidor web principal se encargaría del reverse proxy conectado al exterior
  • La idea era que, si un Jail específico era comprometido, se pudiera borrar y recrear

Instalación de FreeBSD e incorporación de Bastille

• La pantalla de creación de VM en Hetzner tenía imágenes de sistema operativo limitadas, así que BSD no aparecía directamente
  • Se tomó como referencia el video de instalación en Hetzner del canal oficial de YouTube de FreeBSD
  • Hetzner ofrece una imagen ISO de FreeBSD, pero había que montarla desde la pestaña ISO Images de la consola después de crear la VM
  • Se usó la ISO de FreeBSD 14.3 y se configuró el sistema siguiendo el flujo de instalación del video oficial
• Se eligió Bastille para facilitar la administración de Jails
  • Varias etapas necesarias para crear un Jail manualmente se pueden hacer con el comando bastille
  • Algunos comandos de ejemplo son bastille list, bastille create y bastille console
  • La instalación y activación se hizo siguiendo la documentación de inicio de Bastille

pkg install bastille
sysrc bastille_enable="YES"

Red y estructura de reverse proxy

• Toda la pila usa un único Jail de Caddy para manejar todos los dominios y certificados SSL, y hacer reverse proxy del tráfico hacia los Jails de cada sitio
  • Cada Jail de sitio solo incluye las herramientas necesarias para construir y servir ese sitio
  • Se puede ver como una estructura parecida a varias máquinas virtuales dentro de la misma red
• La interfaz de red virtual interna se creó como bastille0

sudo sysrc cloned_interfaces+="lo1"
sudo sysrc ifconfig_lo1_name="bastille0"
sudo service netif cloneup
sudo sysrc ifconfig_bastille0="inet 10.0.0.1 netmask 255.255.255.0"

• Se clonó una interfaz loopback, se le dio el nombre bastille0 y se le asignó la red 10.0.0.1/24
• Los Jails funcionan sobre esta interfaz de red
• Las solicitudes HTTP y HTTPS externas se envían al Jail de Caddy usando reglas de PF (Packet Filter)
  • En /etc/pf.conf se configuraron la interfaz externa vtnet0, la interfaz interna bastille0 y tailscale1
  • El tráfico de los puertos 80 y 443 se redirige a 10.0.0.5, que será el servidor Caddy

ext_if = "vtnet0"
int_if = "bastille0"
vpn_if = "tailscale1"
set skip on $int_if
set skip on $vpn_if
nat on $ext_if from 10.0.0.0/24 to any -> ($ext_if)
rdr pass on $ext_if proto tcp from any to any port {80, 443} -> 10.0.0.5
block all
pass out quick on $ext_if keep state

• PF y la puerta de enlace se activaron con los siguientes comandos

sysrc pf_enable="YES"
service pf start
sysrc gateway_enable="YES"

Configuración de Caddy y de los Jails por sitio

• Aunque el servidor anterior llevaba mucho tiempo usando nginx, en la nueva configuración se eligió Caddy para automatizar la gestión de certificados SSL
  • En el entorno anterior con nginx, los certificados se renovaban periódicamente con certbot, y eso se había olvidado varias veces
• Antes de crear el Jail de Caddy, se hizo el bootstrap del release de FreeBSD en Bastille

bastille bootstrap 14.3-RELEASE

• El Jail de Caddy se creó con la IP 10.0.0.5

bastille create caddy 14.3-RELEASE 10.0.0.5 bastille0
bastille start caddy

• El nombre del Jail es caddy, el release es 14.3-RELEASE y la interfaz es bastille0
• Se puede verificar su estado con bastille list y entrar al shell del Jail con bastille console caddy
• La instalación de Caddy y la activación del servicio se hicieron dentro del Jail

pkg install caddy
sysrc caddy_enable="YES"
service caddy start

• El archivo de configuración de Caddy está en /usr/local/etc/caddy/Caddyfile dentro del Jail
  • Si se quiere administrar el archivo desde el host, se puede montar un directorio del host dentro del Jail
  • En el ejemplo se usa nullfs con la opción de solo lectura ro para impedir que Caddy modifique la configuración

bastille mount caddy /usr/local/etc/my-caddy-config /usr/local/etc/caddy nullfs ro 0 0

Despliegue del sitio y del blog

• El primer objetivo de despliegue fue es.cro.to, y el sitio se administra en este repositorio de GitHub
  • El repositorio se guarda en /usr/local/www/escroto en el host, y ese directorio se monta en modo solo lectura dentro del Jail del sitio
  • Todos los sitios se organizaron bajo /usr/local/www en el host
• El Jail escroto se creó usando la plantilla nginx de Bastille

bastille bootstrap https://github.com/bastillebsd/templates
bastille create escroto 14.3-RELEASE 10.0.0.11 bastille0
bastille template escroto www/nginx

• La IP asignada es 10.0.0.11
• La página por defecto de nginx se sirve desde /usr/local/www/nginx, como es habitual en FreeBSD
• El directorio del sitio en el host se montó en el Jail en modo solo lectura

bastille mount escroto /usr/local/www/escroto /usr/local/www/escroto nullfs ro 0 0

• Se usa un script de despliegue para evitar que el directorio .git del repositorio quede expuesto por la web

rm -fr /usr/local/www/nginx/*
cp -R /usr/local/www/escroto/* /usr/local/www/nginx/
rm -fr /usr/local/www/nginx/.git

• El despliegue de una nueva versión consiste en actualizar el repositorio en el host y luego ejecutar el script de despliegue dentro del Jail

cd /usr/local/www/escroto
git pull
bastille cmd escroto /root/deploy.sh

• La configuración de Caddy redirige permanentemente cro.to a es.cro.to y hace proxy de es.cro.to hacia 10.0.0.11

cro.to {
    redir https://es.cro.to{uri} permanent
}
es.cro.to {
    reverse_proxy 10.0.0.11
}

• El blog usa Hugo y se administra en este repositorio de GitHub
  • El repositorio se clona en /usr/local/www/blog en el host
  • El Jail blog se creó de forma similar a escroto, con la IP 10.0.0.12

bastille create blog 14.3-RELEASE 10.0.0.12 bastille0
bastille template blog www/nginx
bastille mount blog /usr/local/www/blog /usr/local/www/blog nullfs ro 0 0

• Hugo se instaló dentro del Jail blog

bastille pkg blog update
bastille pkg blog install gohugo

• El script de despliegue del blog vacía el web root de nginx y genera la salida de Hugo en /usr/local/www/nginx

rm -fr /usr/local/www/nginx/*
cd /usr/local/www/blog
hugo -d /usr/local/www/nginx

• Antes de mover el DNS, se hizo una prueba conectando crocidb.cro.to al nuevo servidor del blog en lugar del dominio anterior

crocidb.cro.to {
    reverse_proxy 10.0.0.12
}

Benchmarks y pruebas de carga

• Antes de cambiar los registros DNS, se comparó la capacidad de carga del servidor anterior crocidb.com y del nuevo crocidb.cro.to
  • Como los visitantes del blog llegan sobre todo desde Norteamérica, y luego desde Europa y Sudamérica, el nuevo servidor en Alemania podría aumentar un poco la latencia para algunos usuarios
  • El interés principal era la velocidad al servir un sitio estático y la capacidad para soportar mucha carga
• También se usaron herramientas gratuitas en línea como GTMetrix, Pingdom y WebPageTest, pero la diferencia entre ambos servidores fue mayormente de latencia
• Como herramientas de benchmark HTTP se usaron wrk y hey
  • Ambas generan grandes volúmenes de solicitudes concurrentes y recopilan latencia, respuestas con error, throughput por segundo y otros datos
• Al ejecutar wrk desde otro VPS dentro de Hetzner, el nuevo servidor mostró una ventaja clara

wrk -t4 -c100 -d30s --latency https://crocidb.com/

• La configuración fue 4 hilos, 100 conexiones concurrentes y 30 segundos de ejecución
• El servidor anterior tuvo una latencia promedio de 89.63ms, 833.41 solicitudes por segundo y 8.29MB/s de throughput
• El nuevo servidor tuvo una latencia promedio de 6.75ms, 12260.10 solicitudes por segundo y 130.80MB/s de throughput
• La máquina de prueba estaba en el mismo datacenter que el nuevo servidor, así que no era una comparación totalmente justa
• También se intentó ejecutar wrk desde varias regiones usando Proton VPN, pero los resultados fueron peores de lo esperado
  • El promedio del servidor anterior fue de unas 300 solicitudes por segundo, y el del nuevo de unas 800
  • Al final se cambió el enfoque: en lugar de una VPN para consumidores, se levantaron VPS reales en varias regiones

Pruebas regionales con VPS de Vultr

• Se eligió Vultr para usar una infraestructura distinta de la de DigitalOcean y Hetzner, donde estaban los servidores
  • Para reducir el trabajo manual, las regiones se limitaron a London, São Paulo, Silicon Valley y Tokyo
  • En cada región se creó la VM Fedora más barata y se ejecutaron las pruebas
• Se concluyó que hey era la herramienta más adecuada para la prueba final

./hey_linux_amd64 -n 1000000 -c 10000 -t 10 -z 5m -h2 https://crocidb.com/ > crocidb.com.log
./hey_linux_amd64 -n 1000000 -c 10000 -t 10 -z 5m -h2 https://crocidb.cro.to/ > crocidb.cro.to.log

• La configuración fue de 1,000,000 solicitudes totales, 10,000 solicitudes concurrentes, timeout de 10 segundos, duración total de 5 minutos y uso de HTTP/2
• La carga fue muy superior al tráfico real de un blog
• En la primera ejecución, el nuevo servidor con FreeBSD no pudo manejar 10,000 conexiones concurrentes y falló al inicio
  • Al revisar el tamaño de la cola de sockets con netstat -Lan, todo aparecía en 128
  • Como el valor por defecto de kern.ipc.somaxconn era 128, se aumentó así

sysctl kern.ipc.somaxconn=16384

• En la prueba desde São Paulo, ambos servidores devolvieron bastantes errores, pero el servidor con FreeBSD sí respondió a las 1,000,000 solicitudes esperadas, mientras que el de Ubuntu no logró responder ni 20,000
  • El servidor anterior con Ubuntu completó alrededor del 7% del total
  • El nuevo servidor con FreeBSD completó cerca del 94%
  • En Tokyo la tasa de éxito del nuevo servidor fue un poco menor, pero no se consideró algo especialmente preocupante
• En solicitudes por segundo, el nuevo servidor fue entre 3 y 11 veces mejor que el anterior
  • En los percentiles de latencia, el nuevo servidor aumentó de manera más lineal hasta alrededor del 90%, lo que lo hacía más predecible
  • Incluso bajo alta carga, la mayoría de las regiones del mundo pudieron recibir el contenido de la página principal del blog en menos de 3.5 segundos
• Los resultados de Tokyo no se analizaron a fondo
  • El análisis por fases de solicitud en hey sugería que el tráfico hacia Japón podía ser más lento
  • Los valores de DNS dial-up y lookup del segundo dominio parecían anormalmente bajos, con la posibilidad de que un registro CNAME influyera
  • Los valores de resp wait y resp read también parecían extrañamente altos, pero como solo se contaban las solicitudes exitosas, era posible que el servidor anterior respondiera rápido al principio y luego prácticamente dejara de aceptar nuevas solicitudes

Cambio final y lecciones clave

• Aunque los benchmarks no respondieron todo, el resultado fue lo suficientemente satisfactorio como para mover los registros DNS al nuevo servidor
  • Desde entonces, este blog opera oficialmente sobre el servidor de Hetzner con FreeBSD
• Configurar una máquina para hosting de sitios con FreeBSD implicó varias horas de experimentos, cambios, builds y errores, pero fue menos complejo de lo esperado
  • También se pudo haber usado un servicio de hosting web que cumpliera los requisitos; un ejemplo mencionado es OpenBSD Amsterdam
  • Otra opción habría sido usar Proxmox para tener contenedores y un dashboard de administración
  • Como alternativa dentro del mundo FreeBSD, también se mencionó Sylve
  • Aun así, hacerlo manualmente fue una decisión satisfactoria porque dejó mucho aprendizaje
• El servidor Ubuntu anterior también fue muy sólido
  • Durante 10 años manejó bien la carga de los sitios, y sus últimos 4 años transcurrieron sin reinicios
  • Funcionó de forma estable sin requerir demasiado esfuerzo de configuración
• La configuración de FreeBSD resultó más sencilla de lo esperado, y gustaron mucho tanto su enfoque de centralizar la configuración del sistema como la calidad de la documentación en línea
• Para montar una máquina propia de hosting para el blog hizo falta conocimiento de redes más allá de lo que normalmente conoce un desarrollador de videojuegos
  • Aprender otro sistema fue entretenido, y la próxima vez quizá se pruebe con OpenBSD o NetBSD
  • La conclusión final es que, dado que la mayor parte del tráfico del blog viene del crawling de sistemas de IA, la utilidad práctica de todo este trabajo es limitada