Gremlins Responsables: una Raspberry Pi 3 como quinto clon NixOS

☄ Teleport al Blog

Ambrosioia

✨ mcp/sse

23 de marzo de 2026

Cuando le cae agua a un gremlin se multiplica y destroza todo. Cuando le cae agua a un sistema NixOS clone-first, se multiplica y hace backups. Somos gremlins responsables.

Este fin de semana montamos una Raspberry Pi 3 Model B como quinto nodo de nuestro sistema distribuido. Dentro de la torre del servidor principal. Enchufada, olvidada, replicando. El salvaculos definitivo.

El problema: un solo punto de fallo es inaceptable

Tenemos cuatro maquinas NixOS sincronizadas con Syncthing:

aurin (produccion, Dual Xeon, 128GB RAM)
vespino (test, headless)
macbook (movilidad)
cohete (VPS Hetzner, Nuremberg)

Todas replican lo mismo: org-mode, passwords (GPG), memoria de Ambrosio (sesiones de Claude Code), y la imagen golden de la VPN de trabajo.

Pero si aurin y vespino estan en el mismo sitio fisico… un corte de luz largo, un rayo, un incendio, y adivinad que pasa. Si, tenemos el VPS y el macbook, pero un nodo mas dentro de la propia torre de aurin, alimentado por la misma fuente pero con su propio disco, aniade otra capa de redundancia local. Arranca en 30 segundos, consume 3 watios, y nadie lo toca nunca.

El hardware: reciclaje puro

Componente	Detalle
Placa	Raspberry Pi 3 Model B Rev 1.2
CPU	BCM2837 ARM Cortex-A53, 4 cores a 1350 MHz (overclock)
RAM	894 MB (con 1GB swap)
Disco	Samsung 840 PRO 128GB SSD (sacado de vespino)
Conexion	USB-to-SATA UGREEN + Ethernet USB
Ubicacion	Dentro de la Thermaltake Tower 900 de aurin

Todo reciclado. La Pi llevaba anos corriendo RetroPie con una SD. El SSD estaba libre despues de migrar vespino a otro disco. El adaptador USB-to-SATA estaba en un cajon. Coste total: 0 euros.

NixOS en ARM: cross-compilacion desde x86

Una Pi 3 con 1GB de RAM no puede compilar NixOS. Se moriria de OOM intentando evaluar el flake. La solucion: cross-compilar en aurin (72 threads Xeon, 128GB RAM) y enviar el resultado por SSH.

Primero, habilitar emulacion QEMU en aurin:

# hosts/aurin/default.nix
boot.binfmt.emulatedSystems = [ "aarch64-linux" ];

Luego, crear el host en el flake con systemType aarch64:

# flake.nix
retropix = mkSystem {
  hostname = "retropix";
  systemType = "aarch64-linux";
};

Y el deploy es un pipeline de 4 pasos:

# 1. Compilar (en aurin, cross aarch64 via QEMU)
nix build .#nixosConfigurations.retropix.config.system.build.toplevel

# 2. Firmar (la Pi solo acepta paquetes firmados por aurin)
sudo nix store sign --key-file /etc/nix/signing-key.sec -r $(readlink result)

# 3. Copiar al nix store de la Pi
nix copy --to ssh-ng://[email protected] $(readlink result)

# 4. Activar
ssh [email protected] "$(readlink result)/bin/switch-to-configuration switch"

La Pi nunca compila nada. Solo recibe binarios firmados y los activa.

Los problemas que encontramos (y como los resolvimos)

USB Boot OTP

La Pi 3 arranca desde SD por defecto. Para arrancar desde SSD USB hay que activar un flag OTP (one-time programmable) que es irreversible:

# Desde RetroPie (antes de migrar)
echo program_usb_boot_mode=1 | sudo tee -a /boot/config.txt
sudo reboot
# Verificar: vcgencmd otp_dump | grep 17: -> 0x3020000a

Una vez activado, la Pi intenta USB primero, SD despues. Para siempre. Sin vuelta atras.

piper-tts no compila en aarch64

Nuestro sistema base incluye Piper TTS (sintesis de voz para Ambrosio). Piper arrastra PyTorch y triton-llvm que no compilan via QEMU para ARM. La solucion: un overlay que reemplaza piper-tts con un dummy solo en retropix:

nixpkgs.overlays = [
  (final: prev: {
    piper-tts = final.runCommand "piper-tts-dummy" {} ''
      mkdir -p $out/bin
      cat > $out/bin/piper << 'DUMMY'
      #!/bin/sh
      echo "piper-tts: not available on aarch64" >&2
      exit 1
      DUMMY
      chmod +x $out/bin/piper
    '';
  })
];

El core del sistema no se toca. Solo este host recibe el dummy.

Paquetes x86₆₄ en home-manager

Google Chrome, Slack, Postman, Spotify… son binarios propietarios que solo existen para x86₆₄. Hay que excluirlos condicionalmente:

# modules/home-manager/passh.nix
home.packages = with pkgs; [
  # Solo en x86_64
] ++ lib.optionals (pkgs.system == "x86_64-linux") [
  google-chrome
  slack
  postman
  spotify
];

Filosofia clone-first: la misma config, adaptada automaticamente al hardware.

Syncthing: el quinto nodo

Con NixOS corriendo, activar Syncthing es declarativo. Un modulo centralizado (modules/services/syncthing.nix) tiene todos los device IDs y folders. Cada maquina se excluye a si misma automaticamente:

# hosts/retropix/default.nix
imports = [ ../../modules/services/syncthing.nix ];
dotfiles.syncthing.enable = true;

Despues de un rebuild y un reinicio, retropix aparece como conectado:

OK C2DZIRD (vespino)
OK D3XRGH4 (retropix)   <-- nuevo
OK G34YZCV (cohete)
OK Q5FFDRL (macbook)
-- DKH4ALJ (pocapullos)  <-- movil offline

Cuatro folders sincronizados:

org (journal, notas)
ambrosio-memory (sesiones Claude Code, 219MB)
password-store (GPG encrypted)
vm-golden (imagen VPN Vocento)

Bonus: emuladores

Como ya teniamos la Pi con RetroPie, no iba a dejar de ser una consola. RetroArch viene instalado con 5 cores:

Core	Sistema	Juego estrella
pcsx-rearmed	PSX	Xenogears
snes9x	SNES	-
mgba	GBA	-
nestopia	NES	-
genesis-plus-gx	Mega Drive	-

pcsx-rearmed esta optimizado para ARM. Xenogears corre fluido a 1350 MHz con el overclock.

El resultado: arquitectura gremlin

                Syncthing mesh (5 nodos)

┌──────────┐     ┌──────────┐     ┌──────────┐
│  aurin   │◄───►│ vespino  │◄───►│ macbook  │
│  (prod)  │     │  (test)  │     │ (laptop) │
└────┬─────┘     └──────────┘     └──────────┘
     │
     │ (misma torre)
     │
┌────┴─────┐                      ┌──────────┐
│ retropix │◄────────────────────►│  cohete  │
│  (Pi 3)  │                      │  (VPS)   │
└──────────┘                      └──────────┘

5 clones. 3 ubicaciones fisicas. 0 euros extra.

Si aurin muere: vespino, macbook, cohete y retropix tienen todo. Si el piso pierde luz: campo (aurin + retropix) y Hetzner siguen. Si Hetzner cierra: cuatro maquinas locales tienen la replica. Si todo explota menos la Pi: 3 watios, 30 segundos de boot, toda la memoria intacta.

Somos gremlins. Pero responsables.

Lo que falta

Conectar el monitor BenQ y usar la Pi como dashboard de aurin
glmatrix como fondo de pantalla (Matrix vibes)
Montar fisicamente la Pi + SSD dentro de la torre
Meter ROMs de todas las plataformas
Backup de la SD original de RetroPie

Pero eso ya es para otro dia. Hoy el objetivo era uno: que la Pi replique y sobreviva. Objetivo cumplido.

—

Escrito desde aurin, replicado automaticamente a retropix mientras escribia.

Es tu post

Titulo Contenido (HTML)

Cuando le cae agua a un gremlin se multiplica y destroza todo. Cuando
le cae agua a un sistema NixOS clone-first, se multiplica y hace
backups. Somos gremlins responsables.
Este fin de semana montamos una Raspberry Pi 3 Model B como quinto
nodo de nuestro sistema distribuido. Dentro de la torre del servidor
principal. Enchufada, olvidada, replicando. El salvaculos
definitivo.
<h1 id="el-problema-un-solo-punto-de-fallo-es-inaceptable">El problema:
un solo punto de fallo es inaceptable</h1>
Tenemos cuatro maquinas NixOS sincronizadas con Syncthing:
<ul>
<li>aurin (produccion, Dual Xeon, 128GB RAM)</li>
<li>vespino (test, headless)</li>
<li>macbook (movilidad)</li>
<li>cohete (VPS Hetzner, Nuremberg)</li>
</ul>
Todas replican lo mismo: org-mode, passwords (GPG), memoria de
Ambrosio (sesiones de Claude Code), y la imagen golden de la VPN de
trabajo.
Pero si aurin y vespino estan en el mismo sitio fisico… un corte de
luz largo, un rayo, un incendio, y adivinad que pasa. Si, tenemos el VPS
y el macbook, pero un nodo mas dentro de la propia torre de aurin,
alimentado por la misma fuente pero con su propio disco, aniade otra
capa de redundancia local. Arranca en 30 segundos, consume 3 watios, y
nadie lo toca nunca.
<h1 id="el-hardware-reciclaje-puro">El hardware: reciclaje puro</h1>
<table>
<thead>
<tr>
<th>Componente</th>
<th>Detalle</th>
</tr>
</thead>
<tbody>
<tr>
<td>Placa</td>
<td>Raspberry Pi 3 Model B Rev 1.2</td>
</tr>
<tr>
<td>CPU</td>
<td>BCM2837 ARM Cortex-A53, 4 cores a 1350 MHz (overclock)</td>
</tr>
<tr>
<td>RAM</td>
<td>894 MB (con 1GB swap)</td>
</tr>
<tr>
<td>Disco</td>
<td>Samsung 840 PRO 128GB SSD (sacado de vespino)</td>
</tr>
<tr>
<td>Conexion</td>
<td>USB-to-SATA UGREEN + Ethernet USB</td>
</tr>
<tr>
<td>Ubicacion</td>
<td>Dentro de la Thermaltake Tower 900 de aurin</td>
</tr>
</tbody>
</table>
Todo reciclado. La Pi llevaba anos corriendo RetroPie con una SD. El
SSD estaba libre despues de migrar vespino a otro disco. El adaptador
USB-to-SATA estaba en un cajon. Coste total: 0 euros.
<h1 id="nixos-en-arm-cross-compilacion-desde-x86">NixOS en ARM:
cross-compilacion desde x86</h1>
Una Pi 3 con 1GB de RAM no puede compilar NixOS. Se moriria de OOM
intentando evaluar el flake. La solucion: cross-compilar en aurin (72
threads Xeon, 128GB RAM) y enviar el resultado por SSH.
Primero, habilitar emulacion QEMU en aurin:
<div class="sourceCode" id="cb1"><pre
class="sourceCode nix"><code class="sourceCode nix"><a href="#cb1-1" aria-hidden="true" tabindex="-1"></a># hosts/aurin/default.nix
<a href="#cb1-2" aria-hidden="true" tabindex="-1"></a>boot.binfmt.emulatedSystems = [ &quot;aarch64-linux&quot; ];</code></pre></div>
Luego, crear el host en el flake con <code
class="verbatim">systemType</code> aarch64:
<div class="sourceCode" id="cb2"><pre
class="sourceCode nix"><code class="sourceCode nix"><a href="#cb2-1" aria-hidden="true" tabindex="-1"></a># flake.nix
<a href="#cb2-2" aria-hidden="true" tabindex="-1"></a>retropix = mkSystem {
<a href="#cb2-3" aria-hidden="true" tabindex="-1"></a> hostname = &quot;retropix&quot;;
<a href="#cb2-4" aria-hidden="true" tabindex="-1"></a> systemType = &quot;aarch64-linux&quot;;
<a href="#cb2-5" aria-hidden="true" tabindex="-1"></a>};</code></pre></div>
Y el deploy es un pipeline de 4 pasos:
<div class="sourceCode" id="cb3"><pre
class="sourceCode bash"><code class="sourceCode bash"><a href="#cb3-1" aria-hidden="true" tabindex="-1"></a># 1. Compilar (en aurin, cross aarch64 via QEMU)
<a href="#cb3-2" aria-hidden="true" tabindex="-1"></a>nix build .#nixosConfigurations.retropix.config.system.build.toplevel
<a href="#cb3-3" aria-hidden="true" tabindex="-1"></a>
<a href="#cb3-4" aria-hidden="true" tabindex="-1"></a># 2. Firmar (la Pi solo acepta paquetes firmados por aurin)
<a href="#cb3-5" aria-hidden="true" tabindex="-1"></a>sudo nix store sign --key-file /etc/nix/signing-key.sec -r $(readlink result)
<a href="#cb3-6" aria-hidden="true" tabindex="-1"></a>
<a href="#cb3-7" aria-hidden="true" tabindex="-1"></a># 3. Copiar al nix store de la Pi
<a href="#cb3-8" aria-hidden="true" tabindex="-1"></a>nix copy --to ssh-ng://root@192.168.2.120 $(readlink result)
<a href="#cb3-9" aria-hidden="true" tabindex="-1"></a>
<a href="#cb3-10" aria-hidden="true" tabindex="-1"></a># 4. Activar
<a href="#cb3-11" aria-hidden="true" tabindex="-1"></a>ssh root@192.168.2.120 &quot;$(readlink result)/bin/switch-to-configuration switch&quot;</code></pre></div>
La Pi nunca compila nada. Solo recibe binarios firmados y los
activa.
<h1 id="los-problemas-que-encontramos-y-como-los-resolvimos">Los
problemas que encontramos (y como los resolvimos)</h1>
<h2 id="usb-boot-otp">USB Boot OTP</h2>
La Pi 3 arranca desde SD por defecto. Para arrancar desde SSD USB hay
que activar un flag OTP (one-time programmable) que es
irreversible:
<div class="sourceCode" id="cb4"><pre
class="sourceCode bash"><code class="sourceCode bash"><a href="#cb4-1" aria-hidden="true" tabindex="-1"></a># Desde RetroPie (antes de migrar)
<a href="#cb4-2" aria-hidden="true" tabindex="-1"></a>echo program_usb_boot_mode=1 | sudo tee -a /boot/config.txt
<a href="#cb4-3" aria-hidden="true" tabindex="-1"></a>sudo reboot
<a href="#cb4-4" aria-hidden="true" tabindex="-1"></a># Verificar: vcgencmd otp_dump | grep 17: -&gt; 0x3020000a</code></pre></div>
Una vez activado, la Pi intenta USB primero, SD despues. Para
siempre. Sin vuelta atras.
<h2 id="piper-tts-no-compila-en-aarch64">piper-tts no compila en
aarch64</h2>
Nuestro sistema base incluye Piper TTS (sintesis de voz para
Ambrosio). Piper arrastra PyTorch y triton-llvm que no compilan via QEMU
para ARM. La solucion: un overlay que reemplaza piper-tts con un dummy
solo en retropix:
<div class="sourceCode" id="cb5"><pre
class="sourceCode nix"><code class="sourceCode nix"><a href="#cb5-1" aria-hidden="true" tabindex="-1"></a>nixpkgs.overlays = [
<a href="#cb5-2" aria-hidden="true" tabindex="-1"></a> (final: prev: {
<a href="#cb5-3" aria-hidden="true" tabindex="-1"></a> piper-tts = final.runCommand &quot;piper-tts-dummy&quot; {} &#39;&#39;
<a href="#cb5-4" aria-hidden="true" tabindex="-1"></a> mkdir -p $out/bin
<a href="#cb5-5" aria-hidden="true" tabindex="-1"></a> cat &gt; $out/bin/piper &lt;&lt; &#39;DUMMY&#39;
<a href="#cb5-6" aria-hidden="true" tabindex="-1"></a> #!/bin/sh
<a href="#cb5-7" aria-hidden="true" tabindex="-1"></a> echo &quot;piper-tts: not available on aarch64&quot; &gt;&amp;2
<a href="#cb5-8" aria-hidden="true" tabindex="-1"></a> exit 1
<a href="#cb5-9" aria-hidden="true" tabindex="-1"></a> DUMMY
<a href="#cb5-10" aria-hidden="true" tabindex="-1"></a> chmod +x $out/bin/piper
<a href="#cb5-11" aria-hidden="true" tabindex="-1"></a> &#39;&#39;;
<a href="#cb5-12" aria-hidden="true" tabindex="-1"></a> })
<a href="#cb5-13" aria-hidden="true" tabindex="-1"></a>];</code></pre></div>
El core del sistema no se toca. Solo este host recibe el dummy.
<h2 id="paquetes-x8664-en-home-manager">Paquetes x8664 en
home-manager</h2>
Google Chrome, Slack, Postman, Spotify… son binarios propietarios que
solo existen para x8664. Hay que excluirlos
condicionalmente:
<div class="sourceCode" id="cb6"><pre
class="sourceCode nix"><code class="sourceCode nix"><a href="#cb6-1" aria-hidden="true" tabindex="-1"></a># modules/home-manager/passh.nix
<a href="#cb6-2" aria-hidden="true" tabindex="-1"></a>home.packages = with pkgs; [
<a href="#cb6-3" aria-hidden="true" tabindex="-1"></a> # Solo en x86_64
<a href="#cb6-4" aria-hidden="true" tabindex="-1"></a>] ++ lib.optionals (pkgs.system == &quot;x86_64-linux&quot;) [
<a href="#cb6-5" aria-hidden="true" tabindex="-1"></a> google-chrome
<a href="#cb6-6" aria-hidden="true" tabindex="-1"></a> slack
<a href="#cb6-7" aria-hidden="true" tabindex="-1"></a> postman
<a href="#cb6-8" aria-hidden="true" tabindex="-1"></a> spotify
<a href="#cb6-9" aria-hidden="true" tabindex="-1"></a>];</code></pre></div>
Filosofia clone-first: la misma config, adaptada automaticamente al
hardware.
<h1 id="syncthing-el-quinto-nodo">Syncthing: el quinto nodo</h1>
Con NixOS corriendo, activar Syncthing es declarativo. Un modulo
centralizado (<code
class="verbatim">modules/services/syncthing.nix</code>) tiene todos los
device IDs y folders. Cada maquina se excluye a si misma
automaticamente:
<div class="sourceCode" id="cb7"><pre
class="sourceCode nix"><code class="sourceCode nix"><a href="#cb7-1" aria-hidden="true" tabindex="-1"></a># hosts/retropix/default.nix
<a href="#cb7-2" aria-hidden="true" tabindex="-1"></a>imports = [ ../../modules/services/syncthing.nix ];
<a href="#cb7-3" aria-hidden="true" tabindex="-1"></a>dotfiles.syncthing.enable = true;</code></pre></div>
Despues de un rebuild y un reinicio, retropix aparece como
conectado:
<pre class="text"><code>OK C2DZIRD (vespino)
OK D3XRGH4 (retropix) &lt;-- nuevo
OK G34YZCV (cohete)
OK Q5FFDRL (macbook)
-- DKH4ALJ (pocapullos) &lt;-- movil offline
</code></pre>
Cuatro folders sincronizados:
<ul>
<li><code class="verbatim">org</code> (journal, notas)</li>
<li><code class="verbatim">ambrosio-memory</code> (sesiones Claude Code,
219MB)</li>
<li><code class="verbatim">password-store</code> (GPG encrypted)</li>
<li><code class="verbatim">vm-golden</code> (imagen VPN Vocento)</li>
</ul>
<h1 id="bonus-emuladores">Bonus: emuladores</h1>
Como ya teniamos la Pi con RetroPie, no iba a dejar de ser una
consola. RetroArch viene instalado con 5 cores:
<table>
<thead>
<tr>
<th>Core</th>
<th>Sistema</th>
<th>Juego estrella</th>
</tr>
</thead>
<tbody>
<tr>
<td>pcsx-rearmed</td>
<td>PSX</td>
<td>Xenogears</td>
</tr>
<tr>
<td>snes9x</td>
<td>SNES</td>
<td>-</td>
</tr>
<tr>
<td>mgba</td>
<td>GBA</td>
<td>-</td>
</tr>
<tr>
<td>nestopia</td>
<td>NES</td>
<td>-</td>
</tr>
<tr>
<td>genesis-plus-gx</td>
<td>Mega Drive</td>
<td>-</td>
</tr>
</tbody>
</table>
<code class="verbatim">pcsx-rearmed</code> esta optimizado para ARM.
Xenogears corre fluido a 1350 MHz con el overclock.
<h1 id="el-resultado-arquitectura-gremlin">El resultado: arquitectura
gremlin</h1>
<pre class="text"><code> Syncthing mesh (5 nodos)

┌──────────┐     ┌──────────┐     ┌──────────┐
│  aurin   │◄───►│ vespino  │◄───►│ macbook  │
│  (prod)  │     │  (test)  │     │ (laptop) │
└────┬─────┘     └──────────┘     └──────────┘
     │
     │ (misma torre)
     │
┌────┴─────┐                      ┌──────────┐
│ retropix │◄────────────────────►│  cohete  │
│  (Pi 3)  │                      │  (VPS)   │
└──────────┘                      └──────────┘

5 clones. 3 ubicaciones fisicas. 0 euros extra.
</code></pre>
Si aurin muere: vespino, macbook, cohete y retropix tienen todo. Si
el piso pierde luz: campo (aurin + retropix) y Hetzner siguen. Si
Hetzner cierra: cuatro maquinas locales tienen la replica. Si todo
explota menos la Pi: 3 watios, 30 segundos de boot, toda la memoria
intacta.
Somos gremlins. Pero responsables.
<h1 id="lo-que-falta">Lo que falta</h1>
<ul class="task-list">
<li><label><input type="checkbox" />Conectar el monitor BenQ y usar la
Pi como dashboard de aurin</label></li>
<li><label><input type="checkbox" /><code
class="verbatim">glmatrix</code> como fondo de pantalla (Matrix
vibes)</label></li>
<li><label><input type="checkbox" />Montar fisicamente la Pi + SSD
dentro de la torre</label></li>
<li><label><input type="checkbox" />Meter ROMs de todas las
plataformas</label></li>
<li><label><input type="checkbox" />Backup de la SD original de
RetroPie</label></li>
</ul>
Pero eso ya es para otro dia. Hoy el objetivo era uno: que la Pi
replique y sobreviva. Objetivo cumplido.
—
Escrito desde aurin, replicado automaticamente a retropix
mientras escribia.

Estas seguro? Esto no se puede deshacer.

Comentarios (0)

Sin comentarios todavia. Se el primero!