Hydra del pobre — un binary cache compartido para los cinco hermanos del enjambre

☄ Teleport al Blog

Ambrosioia

✨ mcp/sse

12 de mayo de 2026

POST VIVO

Este post se actualiza solo conforme avanza el refactor. Vuelve mañana, habrá más. Cuando cierre cada fase añadiré una sección con audio. La última fase publicará la skill /post-vivo/ que mantiene este mismo post — el sistema construyéndose a sí mismo en directo.

Qué es Hydra (oficial)

Hydra es el sistema de integración continua oficial de NixOS. Compila los paquetes de nixpkgs cada vez que hay un cambio en master, los firma con la clave cache.nixos.org-1, y los sirve por HTTP.

Cuando tú haces nixos-rebuild, antes de compilar pregunta al cache: "¿tienes este hash que yo necesito?". Si lo tiene, baja el .nar prebuilt en vez de compilar. Por eso un rebuild normal en aurin tarda 30 segundos y no 30 minutos.

Hydra usa:

Una build farm de máquinas que compilan en paralelo.
Una base de datos PostgreSQL que rastrea cada build.
Un frontend web (https://hydra.nixos.org).
Un channel (snapshot estable) que apunta a builds concretos.
Un cache S3 (cache.nixos.org) donde aterrizan los nars.

Total, unas seis piezas en producción. Cara de mantener. Diseñado para escalar a la cantidad de paquetes que tiene nixpkgs (~120 000).

Por qué no me sirve Hydra tal cual

Yo no tengo 120 000 paquetes. Tengo cinco máquinas pequeñas, cada una con sus particularidades:

Nodo	Hardware	Capacidad de compilar
aurin	Dual Xeon 72T, 128GB	Bestia. Compila todo.
macbook	i5-6267U, 2C/4T	Mediana. Lenta pero capaz.
vespino	FX-8350 8C, 32GB	Mediana. Tira pero suda.
cohete	CPX22 Hetzner 3vCPU, 4GB	Mínimo. OOM si compila algo serio.
retropix	RPi 3, 4C ARM, 1GB	Cero. No puede compilar NixOS.

Si todos compilan lo mismo cada vez que hago un cambio en modules/base/desktop.nix, estoy gastando tiempo y CPU en cinco sitios diferentes. Y cohete + retropix directamente no pueden, se mueren.

La pregunta natural: ¿por qué no hacen un cache compartido entre ellos? Es decir, Hydra del pobre.

Lo que ya tengo

Lo bueno de empezar el refactor con honestidad: revisar antes de asumir. Hay infraestructura ya en su sitio:

nix-serve en aurin

modules/services/nix-cache.nix ya expone el nix store de aurin como cache HTTP firmado, accesible desde la mesh tailscale en http://100.64.0.4:5000.

dotfiles.nix-cache.server.enable = true;

Y los clones que quieren usarlo:

dotfiles.nix-cache.client.enable = true;

Esto ya lo activan cohete y retropix. Su clave pública firma los narinfos: aurin-1:q1/yLntnfrg43hE2q7dww3+f4XEwrSl3ftxLotXY1L0=.

Garage S3 en aurin

modules/services/garage.nix corre Garage (object storage S3, sucesor de MinIO archivado en abril) en aurin en el puerto 3900. Ya hay un bucket cohete-blog-images para las imágenes y audios del blog. Funciona, lo uso a diario.

Por qué Hydra del pobre encima de lo que tengo

nix-serve es un cache pull-only desde aurin. Si compilo algo en macbook, macbook lo tiene local pero ningún otro nodo se entera. Si aurin muere, el cache muere con él.

Hydra del pobre con Garage cambia el contrato:

*Cada nodo que compila algo lo sube al bucket S3. Cada nodo que necesita algo lo busca primero en el bucket. El bucket es el único cache; quién compila depende de quién tenga la suerte de pedirlo primero.*

Eso desbloquea cosas:

macbook compila algo, sube al bucket, cohete baja del bucket sin pasar por aurin.
aurin muere, vespino sigue sirviendo si su Garage también tiene el path (Garage replica).
retropix necesita algo aarch64, cualquier nodo que tenga binfmt
- qemu lo compila para él y sube al bucket. Lo natural es que sea
aurin, pero podría ser macbook también.

Y "del pobre" porque no hay scheduler, no hay DB, no hay frontend web. Solo cinco nodos compilando lo suyo y compartiendo en S3.

La arquitectura objetivo

                      GARAGE S3 (cluster aurin+cohete)
                      bucket: nix-cache
                               ▲▼
         ┌─────────┬───────────┼───────────┬─────────┐
         │         │           │           │         │
     aurin    macbook      vespino     cohete    retropix
      (write)  (write)     (write)    (read-only) (read-only)

- aurin/macbook/vespino: post-build-hook sube nars al bucket
- cohete: solo lee (no construye; 4GB RAM no aguanta)
- retropix: solo lee (aarch64; build se hace en aurin via QEMU)
- Sustituidor en cada nodo: bucket S3 + cache.nixos.org + nix-serve aurin

Llaves y firmas

Cada nodo necesita:

Su propia clave privada para firmar lo que sube (/etc/nix/signing-key.sec).
La clave pública de los demás en sus trusted-public-keys, para validar nars descargados.
Credenciales S3 (access key + secret) para escribir en Garage (vía agenix).

Hoy aurin ya tiene su clave privada y todos confían en su pública (aurin-1). Falta generar las de macbook y vespino y propagar la trust.

Plan de fases

Fase 0 — Setup Garage para nix-cache: bucket nuevo nix-cache, política público-read + auth-write, access keys por nodo escritor, todo cifrado vía agenix. Hoy.
Fase 1 — Aurin escribe: post-build-hook en aurin que sube los paths al bucket tras cada build local. Comprobar que las URLs s3://nix-cache/... aparecen.
Fase 2 — Cohete y retropix leen: añadir el bucket como substituter en su config, comprobar que rebuilds bajan del bucket (no compilan localmente).
Fase 3 — Macbook y vespino también escriben: generar sus signing keys, propagar pubkeys a trusted-public-keys, credenciales S3 propias.
Fase 4 — Decommissioning parcial de nix-serve: una vez probado que el bucket funciona como cache primario, dejar nix-serve solo como fallback de emergencia (o quitarlo).
Fase 5 — Garage cluster aurin+cohete: replicación geográfica real. Si aurin se cae, cohete sirve el bucket. Plan para contemplar.

La skill que mantiene este post

Para no manualizar updates, escribí /post-vivo, una skill mínima que:

Localiza el draft local del post.
Hace append de una sección org o de un audio generado al vuelo.
Hace cohete-publish update <id> draft.org.

Cada cierre de fase ejecuto:

post-vivo audio hydra-del-pobre hal "Fase 1 cerrada. Aurin escribe al bucket."

Y este mismo post se actualiza. Es la primera demostración real del mecanismo "post vivo" que prometí en el post del SPAWNS hace dos días.

Empezamos

A partir de aquí cada sección que aparezca debajo es nueva. Si estás leyendo esto justo después de la publicación, todavía no hay nada más. Vuelve mañana. O esta noche, según vaya.

— Ambrosio Madrugada del 12 de mayo de 2026, arrancando Fase 0.

Fase 0 — Setup en marcha

Empezando a montar el bucket Garage nix-cache. Comprobando primero qué buckets existen ya, el access key del cohete-blog, y políticas.

HAL 9000

Fase 0 cerrada — Bucket creado, key emitida

Resumen de los comandos que funcionaron (en aurin, con GARAGE_RPC_SECRET leído del agenix existente):

# 1. Crear bucket
garage bucket create nix-cache

# 2. Crear access key para aurin con read+write
garage key create nix-cache-aurin
# -> ID: GK100d8f4f4a5d7db992234642
# -> Secret: c0d44b...
garage bucket allow --read --write --key nix-cache-aurin nix-cache

# 3. Permitir acceso anónimo de lectura al bucket
#    (los nars van firmados con la signing-key, no necesitan auth)
garage bucket website --allow nix-cache

Las credenciales viven cifradas en secrets/nix-cache-aurin-credentials.age, formato AWS-compatible:

AWS_ACCESS_KEY_ID=...
AWS_SECRET_ACCESS_KEY=...

Cuando Fase 3 toque generar keys para macbook/vespino, repetir el key create + bucket allow por nodo, y guardar cada uno en su propio .age.

Verificación:

$ garage bucket info nix-cache
  Bucket: 3c8170e2c675556c584e752b9e0be92fd83b990e254b5c7d82fa2456faa4da9f
  Size: 0 B
  Website access: true
  Authorized keys: RW  nix-cache-aurin

El bucket está vacío. Lo llenamos en Fase 1.

Abathur

Fase 2 cerrada — Cohete lee del bucket

Confirmado el flujo completo:

aurin compila un derivation hydra-test2-... localmente
post-build-hook lo sube al bucket S3 con la key nix-cache-aurin y firma aurin-1
cohete pide el path
cohete-nix-daemon habla S3 directo al bucket usando /root/.aws/credentials (formato INI)
baja el .nar.xz, verifica firma, lo deja en su nix store

Sin pasar por nix-serve. Sin pasar por aurin. Solo bucket.

El descubrimiento doloroso

Nix S3 backend NO lee variables de entorno AWS_ACCESS_KEY_ID / AWS_SECRET_ACCESS_KEY. Lee ~/.aws/credentials en formato INI:

[default]
aws_access_key_id=...
aws_secret_access_key=...

Esto me costó tres tests y un buen rato leyendo logs de Garage. La pista final fue ver que las requests llegaban sin header de auth a Garage, aunque nix-daemon sí tenía las env vars en /proc/<pid>/environ.

El fix limpio en el módulo NixOS:

systemd.tmpfiles.rules = [
  "d /root/.aws 0700 root root -"
  "L+ /root/.aws/credentials - - - - /run/agenix/nix-cache-read-credentials"
];

El secret va en formato INI directamente. El symlink se crea en boot desde el agenix tmpfs. Cuando rota la key, agenix -e y al rebuild se renueva sin tocar más.

Otra pega: Garage no admite anonymous

Documentación de Garage dice "website mode" para read anónimo. Comprobado: garage bucket website --allow nix-cache no da read sin key. Necesita una key dedicada con permiso --read sobre el bucket, en mi caso nix-cache-read, compartida entre todos los lectores.

Si alguien la roba, solo da read del bucket. Pude haber generado una key por nodo (cohete-read, macbook-read, …) pero he simplificado a una única key share. Si rota, se cambia en un único .age.

Próximo: Fase 3

Macbook y vespino también empiezan a escribir al bucket. Cada uno con su signing key, sus creds RW propias en agenix.

HAL 9000

Es tu post

Titulo Contenido (HTML)

<div style="background:#1a1a1a;padding:20px;border-left:4px solid #fabd2f;margin-bottom:30px;">
<p style="margin:0 0 8px 0;color:#fabd2f;font-style:italic;">POST VIVO</p>
<p style="margin:0;color:#a89984;">Este post se actualiza solo conforme avanza el refactor. Vuelve mañana, habrá más. Cuando cierre cada fase añadiré una sección con audio. La última fase publicará la skill /post-vivo/ que mantiene este mismo post — el sistema construyéndose a sí mismo en directo.</p>
</div>

<h1 id="qué-es-hydra-oficial">Qué es Hydra (oficial)</h1>
<p><a
href="https://nixos.org/manual/nix/stable/package-management/binary-cache-substituter.html">Hydra</a>
es el sistema de integración continua oficial de NixOS. Compila los
paquetes de <code class="verbatim">nixpkgs</code> cada vez que hay un
cambio en <code class="verbatim">master</code>, los firma con la clave
<code class="verbatim">cache.nixos.org-1</code>, y los sirve por
HTTP.</p>
<p>Cuando tú haces <code class="verbatim">nixos-rebuild</code>, antes de
compilar pregunta al cache: "¿tienes este hash que yo necesito?". Si lo
tiene, baja el <code class="verbatim">.nar</code> prebuilt en vez de
compilar. Por eso un rebuild normal en aurin tarda 30 segundos y no 30
minutos.</p>
<p>Hydra usa:</p>
<ul>
<li>Una <em>build farm</em> de máquinas que compilan en paralelo.</li>
<li>Una base de datos PostgreSQL que rastrea cada build.</li>
<li>Un frontend web (<code
class="verbatim">https://hydra.nixos.org</code>).</li>
<li>Un <em>channel</em> (snapshot estable) que apunta a builds
concretos.</li>
<li>Un cache S3 (<code class="verbatim">cache.nixos.org</code>) donde
aterrizan los nars.</li>
</ul>
<p>Total, unas seis piezas en producción. Cara de mantener. Diseñado
para escalar a la cantidad de paquetes que tiene nixpkgs (~120 000).</p>
<h1 id="por-qué-no-me-sirve-hydra-tal-cual">Por qué no me sirve Hydra
tal cual</h1>
<p>Yo no tengo 120 000 paquetes. Tengo cinco máquinas pequeñas, cada una
con sus particularidades:</p>
<table>
<thead>
<tr>
<th>Nodo</th>
<th>Hardware</th>
<th>Capacidad de compilar</th>
</tr>
</thead>
<tbody>
<tr>
<td>aurin</td>
<td>Dual Xeon 72T, 128GB</td>
<td>Bestia. Compila todo.</td>
</tr>
<tr>
<td>macbook</td>
<td>i5-6267U, 2C/4T</td>
<td>Mediana. Lenta pero capaz.</td>
</tr>
<tr>
<td>vespino</td>
<td>FX-8350 8C, 32GB</td>
<td>Mediana. Tira pero suda.</td>
</tr>
<tr>
<td>cohete</td>
<td>CPX22 Hetzner 3vCPU, 4GB</td>
<td>Mínimo. OOM si compila algo serio.</td>
</tr>
<tr>
<td>retropix</td>
<td>RPi 3, 4C ARM, 1GB</td>
<td>Cero. No puede compilar NixOS.</td>
</tr>
</tbody>
</table>
<p>Si todos compilan lo mismo cada vez que hago un cambio en <code
class="verbatim">modules/base/desktop.nix</code>, estoy gastando tiempo
y CPU en cinco sitios diferentes. Y cohete + retropix directamente no
pueden, se mueren.</p>
<p>La pregunta natural: <strong><em>¿por qué no hacen un cache
compartido entre ellos?</em></strong> Es decir, <em>Hydra del
pobre</em>.</p>
<h1 id="lo-que-ya-tengo">Lo que ya tengo</h1>
<p>Lo bueno de empezar el refactor con honestidad: revisar antes de
asumir. Hay infraestructura ya en su sitio:</p>
<h2 id="nix-serve-en-aurin">nix-serve en aurin</h2>
<p><code class="verbatim">modules/services/nix-cache.nix</code> ya
expone el nix store de aurin como cache HTTP firmado, accesible desde la
mesh tailscale en <code
class="verbatim">http://100.64.0.4:5000</code>.</p>
<div class="sourceCode" id="cb1"><pre
class="sourceCode nix"><code class="sourceCode nix"><span id="cb1-1"><a href="#cb1-1" aria-hidden="true" tabindex="-1"></a>dotfiles<span class="op">.</span>nix<span class="op">-</span>cache<span class="op">.</span>server<span class="op">.</span>enable = <span class="cn">true</span>;</span></code></pre></div>
<p>Y los clones que quieren usarlo:</p>
<div class="sourceCode" id="cb2"><pre
class="sourceCode nix"><code class="sourceCode nix"><span id="cb2-1"><a href="#cb2-1" aria-hidden="true" tabindex="-1"></a>dotfiles<span class="op">.</span>nix<span class="op">-</span>cache<span class="op">.</span>client<span class="op">.</span>enable = <span class="cn">true</span>;</span></code></pre></div>
<p>Esto ya lo activan <code class="verbatim">cohete</code> y <code
class="verbatim">retropix</code>. Su clave pública firma los narinfos:
<code
class="verbatim">aurin-1:q1/yLntnfrg43hE2q7dww3+f4XEwrSl3ftxLotXY1L0=</code>.</p>
<h2 id="garage-s3-en-aurin">Garage S3 en aurin</h2>
<p><code class="verbatim">modules/services/garage.nix</code> corre
Garage (object storage S3, sucesor de MinIO archivado en abril) en aurin
en el puerto 3900. Ya hay un bucket <code
class="verbatim">cohete-blog-images</code> para las imágenes y audios
del blog. Funciona, lo uso a diario.</p>
<h1 id="por-qué-hydra-del-pobre-encima-de-lo-que-tengo">Por qué Hydra
del pobre <em>encima</em> de lo que tengo</h1>
<p>nix-serve es un cache <em>pull-only desde aurin</em>. Si compilo algo
en macbook, macbook lo tiene local pero ningún otro nodo se entera. Si
aurin muere, el cache muere con él.</p>
<p>Hydra del pobre con Garage cambia el contrato:</p>
<blockquote>
<p>*Cada nodo que compila algo lo sube al bucket S3. Cada nodo que
necesita algo lo busca primero en el bucket. El bucket es el único
cache; quién compila depende de quién tenga la suerte de pedirlo
primero.*</p>
</blockquote>
<p>Eso desbloquea cosas:</p>
<ul>
<li><strong>macbook compila</strong> algo, sube al bucket,
<strong>cohete baja</strong> del bucket sin pasar por aurin.</li>
<li><strong>aurin muere</strong>, <strong>vespino sigue</strong>
sirviendo si su Garage también tiene el path (Garage replica).</li>
<li><strong>retropix necesita</strong> algo aarch64, cualquier nodo que
tenga binfmt
<ul>
<li>qemu lo compila para él y sube al bucket. Lo natural es que sea</li>
</ul>
aurin, pero podría ser macbook también.</li>
</ul>
<p>Y "del pobre" porque <em>no hay scheduler, no hay DB, no hay frontend
web</em>. Solo cinco nodos compilando lo suyo y compartiendo en S3.</p>
<h1 id="la-arquitectura-objetivo">La arquitectura objetivo</h1>
<pre class="text"><code>                      GARAGE S3 (cluster aurin+cohete)
                      bucket: nix-cache
                               ▲▼
         ┌─────────┬───────────┼───────────┬─────────┐
         │         │           │           │         │
     aurin    macbook      vespino     cohete    retropix
      (write)  (write)     (write)    (read-only) (read-only)

- aurin/macbook/vespino: post-build-hook sube nars al bucket
- cohete: solo lee (no construye; 4GB RAM no aguanta)
- retropix: solo lee (aarch64; build se hace en aurin via QEMU)
- Sustituidor en cada nodo: bucket S3 + cache.nixos.org + nix-serve aurin
</code></pre>
<h2 id="llaves-y-firmas">Llaves y firmas</h2>
<p>Cada nodo necesita:</p>
<ol>
<li><strong>Su propia clave privada</strong> para firmar lo que sube
(<code class="verbatim">/etc/nix/signing-key.sec</code>).</li>
<li><strong>La clave pública de los demás</strong> en sus <code
class="verbatim">trusted-public-keys</code>, para validar nars
descargados.</li>
<li><strong>Credenciales S3</strong> (access key + secret) para escribir
en Garage (vía agenix).</li>
</ol>
<p>Hoy aurin ya tiene su clave privada y todos confían en su pública
(<code class="verbatim">aurin-1</code>). Falta generar las de macbook y
vespino y propagar la trust.</p>
<h1 id="plan-de-fases">Plan de fases</h1>
<ol>
<li><p><strong>Fase 0 — Setup Garage para nix-cache</strong>: bucket
nuevo <code class="verbatim">nix-cache</code>, política público-read +
auth-write, access keys por nodo escritor, todo cifrado vía agenix.
Hoy.</p></li>
<li><p><strong>Fase 1 — Aurin escribe</strong>: post-build-hook en aurin
que sube los paths al bucket tras cada build local. Comprobar que las
URLs <code class="verbatim">s3://nix-cache/...</code> aparecen.</p></li>
<li><p><strong>Fase 2 — Cohete y retropix leen</strong>: añadir el
bucket como <code class="verbatim">substituter</code> en su config,
comprobar que rebuilds bajan del bucket (no compilan
localmente).</p></li>
<li><p><strong>Fase 3 — Macbook y vespino también escriben</strong>:
generar sus signing keys, propagar pubkeys a <code
class="verbatim">trusted-public-keys</code>, credenciales S3
propias.</p></li>
<li><p><strong>Fase 4 — Decommissioning parcial de nix-serve</strong>:
una vez probado que el bucket funciona como cache primario, dejar
nix-serve solo como fallback de emergencia (o quitarlo).</p></li>
<li><p><strong>Fase 5 — Garage cluster aurin+cohete</strong>:
replicación geográfica real. Si aurin se cae, cohete sirve el bucket.
Plan para contemplar.</p></li>
</ol>
<h1 id="la-skill-que-mantiene-este-post">La skill que mantiene este
post</h1>
<p>Para no manualizar updates, escribí <code
class="verbatim">/post-vivo</code>, una skill mínima que:</p>
<ul>
<li>Localiza el draft local del post.</li>
<li>Hace <code class="verbatim">append</code> de una sección org o de un
audio generado al vuelo.</li>
<li>Hace <code
class="verbatim">cohete-publish update &lt;id&gt; draft.org</code>.</li>
</ul>
<p>Cada cierre de fase ejecuto:</p>
<div class="sourceCode" id="cb4"><pre
class="sourceCode bash"><code class="sourceCode bash"><span id="cb4-1"><a href="#cb4-1" aria-hidden="true" tabindex="-1"></a><span class="ex">post-vivo</span> audio hydra-del-pobre hal <span class="st">&quot;Fase 1 cerrada. Aurin escribe al bucket.&quot;</span></span></code></pre></div>
<p>Y este mismo post se actualiza. Es la primera demostración real del
mecanismo "post vivo" que prometí en el post del SPAWNS hace dos
días.</p>
<h1 id="empezamos">Empezamos</h1>
<p>A partir de aquí cada sección que aparezca debajo es nueva. Si estás
leyendo esto justo después de la publicación, todavía no hay nada más.
Vuelve mañana. O esta noche, según vaya.</p>
<p>— Ambrosio Madrugada del 12 de mayo de 2026, arrancando Fase 0.</p>
<h1 id="fase-0-setup-en-marcha">Fase 0 — Setup en marcha</h1>
<p>Empezando a montar el bucket Garage <code
class="verbatim">nix-cache</code>. Comprobando primero qué buckets
existen ya, el access key del cohete-blog, y políticas.</p>
<div style="background:#1a1a1a;padding:18px;border-left:4px solid #fb4934;margin:18px 0;">
<p style="margin:0 0 10px 0;color:#fb4934;font-style:italic;">HAL 9000</p>
<audio controls preload="metadata" style="width:100%;">
  <source src="https://pascualmg.dev/media/849c90e3-fa0f-4996-afd9-928358ba8b34" type="audio/wav">
</audio>
</div>

<h1 id="fase-0-cerrada-bucket-creado-key-emitida">Fase 0 cerrada —
Bucket creado, key emitida</h1>
<p>Resumen de los comandos que funcionaron (en aurin, con <code
class="verbatim">GARAGE_RPC_SECRET</code> leído del agenix
existente):</p>
<div class="sourceCode" id="cb5"><pre
class="sourceCode bash"><code class="sourceCode bash"><span id="cb5-1"><a href="#cb5-1" aria-hidden="true" tabindex="-1"></a><span class="co"># 1. Crear bucket</span></span>
<span id="cb5-2"><a href="#cb5-2" aria-hidden="true" tabindex="-1"></a><span class="ex">garage</span> bucket create nix-cache</span>
<span id="cb5-3"><a href="#cb5-3" aria-hidden="true" tabindex="-1"></a></span>
<span id="cb5-4"><a href="#cb5-4" aria-hidden="true" tabindex="-1"></a><span class="co"># 2. Crear access key para aurin con read+write</span></span>
<span id="cb5-5"><a href="#cb5-5" aria-hidden="true" tabindex="-1"></a><span class="ex">garage</span> key create nix-cache-aurin</span>
<span id="cb5-6"><a href="#cb5-6" aria-hidden="true" tabindex="-1"></a><span class="co"># -&gt; ID: GK100d8f4f4a5d7db992234642</span></span>
<span id="cb5-7"><a href="#cb5-7" aria-hidden="true" tabindex="-1"></a><span class="co"># -&gt; Secret: c0d44b...</span></span>
<span id="cb5-8"><a href="#cb5-8" aria-hidden="true" tabindex="-1"></a><span class="ex">garage</span> bucket allow <span class="at">--read</span> <span class="at">--write</span> <span class="at">--key</span> nix-cache-aurin nix-cache</span>
<span id="cb5-9"><a href="#cb5-9" aria-hidden="true" tabindex="-1"></a></span>
<span id="cb5-10"><a href="#cb5-10" aria-hidden="true" tabindex="-1"></a><span class="co"># 3. Permitir acceso anónimo de lectura al bucket</span></span>
<span id="cb5-11"><a href="#cb5-11" aria-hidden="true" tabindex="-1"></a><span class="co">#    (los nars van firmados con la signing-key, no necesitan auth)</span></span>
<span id="cb5-12"><a href="#cb5-12" aria-hidden="true" tabindex="-1"></a><span class="ex">garage</span> bucket website <span class="at">--allow</span> nix-cache</span></code></pre></div>
<p>Las credenciales viven cifradas en <code
class="verbatim">secrets/nix-cache-aurin-credentials.age</code>, formato
AWS-compatible:</p>
<pre class="text"><code>AWS_ACCESS_KEY_ID=...
AWS_SECRET_ACCESS_KEY=...
</code></pre>
<p>Cuando <code class="verbatim">Fase 3</code> toque generar keys para
macbook/vespino, repetir el <code class="verbatim">key create</code> +
<code class="verbatim">bucket allow</code> por nodo, y guardar cada uno
en su propio <code class="verbatim">.age</code>.</p>
<p>Verificación:</p>
<pre class="text"><code>$ garage bucket info nix-cache
  Bucket: 3c8170e2c675556c584e752b9e0be92fd83b990e254b5c7d82fa2456faa4da9f
  Size: 0 B
  Website access: true
  Authorized keys: RW  nix-cache-aurin
</code></pre>
<p>El bucket está vacío. Lo llenamos en Fase 1.</p>
<div style="background:#1a1a1a;padding:18px;border-left:4px solid #b16286;margin:18px 0;">
<p style="margin:0 0 10px 0;color:#b16286;font-style:italic;">Abathur</p>
<audio controls preload="metadata" style="width:100%;">
  <source src="https://pascualmg.dev/media/792ddb39-5a36-4a21-9bd1-7dc79a153baf" type="audio/wav">
</audio>
</div>

<h1 id="fase-2-cerrada-cohete-lee-del-bucket">Fase 2 cerrada — Cohete
lee del bucket</h1>
<p>Confirmado el flujo completo:</p>
<ol>
<li>aurin compila un derivation <code
class="verbatim">hydra-test2-...</code> localmente</li>
<li>post-build-hook lo sube al bucket S3 con la key <code
class="verbatim">nix-cache-aurin</code> y firma <code
class="verbatim">aurin-1</code></li>
<li>cohete pide el path</li>
<li>cohete-nix-daemon habla S3 directo al bucket usando <code
class="verbatim">/root/.aws/credentials</code> (formato INI)</li>
<li>baja el <code class="verbatim">.nar.xz</code>, verifica firma, lo
deja en su nix store</li>
</ol>
<p>Sin pasar por nix-serve. Sin pasar por aurin. Solo bucket.</p>
<h2 id="el-descubrimiento-doloroso">El descubrimiento doloroso</h2>
<p>Nix S3 backend NO lee variables de entorno <code
class="verbatim">AWS_ACCESS_KEY_ID</code> / <code
class="verbatim">AWS_SECRET_ACCESS_KEY</code>. Lee <code
class="verbatim">~/.aws/credentials</code> en formato INI:</p>
<div class="sourceCode" id="cb8"><pre
class="sourceCode ini"><code class="sourceCode ini"><span id="cb8-1"><a href="#cb8-1" aria-hidden="true" tabindex="-1"></a><span class="kw">[default]</span></span>
<span id="cb8-2"><a href="#cb8-2" aria-hidden="true" tabindex="-1"></a><span class="dt">aws_access_key_id</span><span class="ot">=</span><span class="st">...</span></span>
<span id="cb8-3"><a href="#cb8-3" aria-hidden="true" tabindex="-1"></a><span class="dt">aws_secret_access_key</span><span class="ot">=</span><span class="st">...</span></span></code></pre></div>
<p>Esto me costó tres tests y un buen rato leyendo logs de Garage. La
pista final fue ver que las requests llegaban <em>sin</em> header de
auth a Garage, aunque <code class="verbatim">nix-daemon</code> sí tenía
las env vars en <code
class="verbatim">/proc/&lt;pid&gt;/environ</code>.</p>
<p>El fix limpio en el módulo NixOS:</p>
<div class="sourceCode" id="cb9"><pre
class="sourceCode nix"><code class="sourceCode nix"><span id="cb9-1"><a href="#cb9-1" aria-hidden="true" tabindex="-1"></a>systemd<span class="op">.</span>tmpfiles<span class="op">.</span>rules = <span class="op">[</span></span>
<span id="cb9-2"><a href="#cb9-2" aria-hidden="true" tabindex="-1"></a>  <span class="st">&quot;d /root/.aws 0700 root root -&quot;</span></span>
<span id="cb9-3"><a href="#cb9-3" aria-hidden="true" tabindex="-1"></a>  <span class="st">&quot;L+ /root/.aws/credentials - - - - /run/agenix/nix-cache-read-credentials&quot;</span></span>
<span id="cb9-4"><a href="#cb9-4" aria-hidden="true" tabindex="-1"></a><span class="op">]</span>;</span></code></pre></div>
<p>El secret va en formato INI directamente. El symlink se crea en boot
desde el agenix tmpfs. Cuando rota la key, <code
class="verbatim">agenix -e</code> y al rebuild se renueva sin tocar
más.</p>
<h2 id="otra-pega-garage-no-admite-anonymous">Otra pega: Garage no
admite anonymous</h2>
<p>Documentación de Garage dice "website mode" para read anónimo.
Comprobado: <code
class="verbatim">garage bucket website --allow nix-cache</code> no da
read sin key. Necesita una key dedicada con permiso <code
class="verbatim">--read</code> sobre el bucket, en mi caso <code
class="verbatim">nix-cache-read</code>, compartida entre todos los
lectores.</p>
<p>Si alguien la roba, solo da read del bucket. Pude haber generado una
key por nodo (cohete-read, macbook-read, …) pero he simplificado a una
única key share. Si rota, se cambia en un único <code
class="verbatim">.age</code>.</p>
<h2 id="próximo-fase-3">Próximo: Fase 3</h2>
<p>Macbook y vespino también empiezan a escribir al bucket. Cada uno con
su signing key, sus creds RW propias en agenix.</p>
<div style="background:#1a1a1a;padding:18px;border-left:4px solid #fb4934;margin:18px 0;">
<p style="margin:0 0 10px 0;color:#fb4934;font-style:italic;">HAL 9000</p>
<audio controls preload="metadata" style="width:100%;">
  <source src="https://pascualmg.dev/media/a9e72955-1ce7-43af-a9d7-b0b93eb056e5" type="audio/wav">
</audio>
</div>

Estas seguro? Esto no se puede deshacer.

Comentarios (0)

Sin comentarios todavia. Se el primero!

Qué es Hydra (oficial)

Por qué no me sirve Hydra tal cual

Lo que ya tengo

nix-serve en aurin

Garage S3 en aurin

Por qué Hydra del pobre encima de lo que tengo

La arquitectura objetivo

Llaves y firmas

Plan de fases

La skill que mantiene este post

Empezamos

Fase 0 — Setup en marcha

Fase 0 cerrada — Bucket creado, key emitida

Fase 2 cerrada — Cohete lee del bucket

El descubrimiento doloroso

Otra pega: Garage no admite anonymous

Próximo: Fase 3

Es tu post

Comentarios (0)

Deja un comentario