1
Server / Re:Kubernetes a správa uživatelů
« kdy: 28. 01. 2026, 09:07:22 »
Na redditu jsem zahledl info o Project Capsule - vytvari abstrakci tenant, ktery sdruzuji namespaces, network/security politiky, rbac atd.
Zobrazit příspěvky
Tato sekce Vám umožňuje zobrazit všechny příspěvky tohoto uživatele. Prosím uvědomte si, že můžete vidět příspěvky pouze z oblastí Vám přístupných.
2
Server / Re:Kubernetes a správa uživatelů
« kdy: 28. 01. 2026, 08:56:55 »Co co myslíte těmi uživateli? K čemu chcete vlastně ten kubernet používat? Kubernet je systém pro běh služeb v kontejnerech, o jaké uživatele vám jde? Uživatele pro správu toho kubernetu nebo aplikační uživatele těch služeb??
Uzivatele, kteri budou mit moznost pristupu ke kubernetu, s omezenymi pravy - napr. aby skupina uzivatelu mela pristup jen do sveho namespace a nemohla tak pracovat s namespacem jine skupiny.
3
Server / Kubernetes a správa uživatelů
« kdy: 27. 01. 2026, 10:36:57 »
Cau,
vyvojari si chteji zkusit nejaky kubernetes, tak jsem zatim rozbehl zakladni k3s. Nejdrive jsem zkusil pouzit rootless k3s, ale testovaci kontejnery nespolupracovaly s gpu. Tak jsem se vratil k rootful. No a narazil jsem na to, ze tam vlastne neni zadna sprava uzivatelu. V tuhle chvili by mi na testovani stacilo aspon, kdyby se to dalo omezit na neprivilegovane kontejnery a omezit uzivatele do jejich namespace.
Postup pro funkcni pridani uzivatelu jsem musel nakonec musel hledat po githubech (wtf), defacto via uzivatelske certifikaty. Rancher UI jsem do toho jeste nezkousel nainstalovat. Nez budu zatracet cas ruznymi hokus pokusy, ma nekdo tip na nejakou administracni free variantu, ktera by se dala zkusit, resp. pripadne klidne i pripadne cele reseni (kube + administrace)?
Diky.
vyvojari si chteji zkusit nejaky kubernetes, tak jsem zatim rozbehl zakladni k3s. Nejdrive jsem zkusil pouzit rootless k3s, ale testovaci kontejnery nespolupracovaly s gpu. Tak jsem se vratil k rootful. No a narazil jsem na to, ze tam vlastne neni zadna sprava uzivatelu. V tuhle chvili by mi na testovani stacilo aspon, kdyby se to dalo omezit na neprivilegovane kontejnery a omezit uzivatele do jejich namespace.
Postup pro funkcni pridani uzivatelu jsem musel nakonec musel hledat po githubech (wtf), defacto via uzivatelske certifikaty. Rancher UI jsem do toho jeste nezkousel nainstalovat. Nez budu zatracet cas ruznymi hokus pokusy, ma nekdo tip na nejakou administracni free variantu, ktera by se dala zkusit, resp. pripadne klidne i pripadne cele reseni (kube + administrace)?
Diky.
4
Distribuce / Re:Časté aktualizace jádra a restarty systému
« kdy: 16. 01. 2026, 10:59:04 »Mel, bych jeden spis obecny dotaz a doufam ze z toho nebude dalsi hadka.
Za posledni rok mozna uz dele se frekvence aktualizaci kernelu zvysila na cca jedenkrat tydne. Delate poctive aktualizace kernelu a restarty OS, nebo jako ja pravidelne aktualizujete, ale restarty jsou jen vyjimecne?
Podle monitoringu bude prumerny uptime serveru hodne pres sto dni. Nemuzu a ani nejsem ochotny kazdy tyden restartovat vice jak stovku serveru. Na nekterych probihaji nekolik dnu a nekdy i tydnu dlouhe vypocty a par aplikaci ma zavislost na trech i vice serverech, takze automaticke restarty by byly dost problematicke.
A co resis? Aktualizace a jejich cetnost jsou soucasti firemni IT politiky a to je vec, kterou se mas ridit. Pokud takovy plan nemas, tak se obrat na vedeni, jak mas postupovat.
5
Server / Zabbix a rozdělení notifikací dle uživatelských skupin
« kdy: 25. 11. 2025, 14:06:16 »
Ahoj,
dlouhodobe pouzivame zabbix a oproti predchazejicimu centreonu postradam jednoduche ci rozumne rozdeleni, komu se posilaji notifikace. Momentalne pouzivana varianta pres acl na host/hostgroup neni dostatecna. Napr. admin skupinam chodi vsechno, non-admin skupinam chodi jen neco, ale z celeho hosta. Proste zakladni princip. Chodi toho ale tolik, ze i z hlediska oddeleni aplikacnich/systemovych notifikaci to neni ono. Rekneme, ze mam
fqdn (host)
a] web scenar 1
b] web scenar 2
c] vlastni monitoring specificke sluzby/parametru
Jak oddelit, aby c] nechodilo admin skupinam?
- prozatim jsem pridal tag, ktery v nastaveni akce pro notifikace danou sluzbu neposila napr. na admin skupinu. To ale neni asi reseni pro vice skupin.
Jaky princip se nejlepe u Vas uplatnil? Nastavit tag (nap. devel, customer, appX) na danou sablonu a napsat spoustu akci pro notifikace vcetne kombinace tagu? Nebo milion uzivatelskych skupin? Proste pro mne zabbix postrada viditelne a jednoduche deleni az na uroven "sluzby".
Diky.
dlouhodobe pouzivame zabbix a oproti predchazejicimu centreonu postradam jednoduche ci rozumne rozdeleni, komu se posilaji notifikace. Momentalne pouzivana varianta pres acl na host/hostgroup neni dostatecna. Napr. admin skupinam chodi vsechno, non-admin skupinam chodi jen neco, ale z celeho hosta. Proste zakladni princip. Chodi toho ale tolik, ze i z hlediska oddeleni aplikacnich/systemovych notifikaci to neni ono. Rekneme, ze mam
fqdn (host)
a] web scenar 1
b] web scenar 2
c] vlastni monitoring specificke sluzby/parametru
Jak oddelit, aby c] nechodilo admin skupinam?
- prozatim jsem pridal tag, ktery v nastaveni akce pro notifikace danou sluzbu neposila napr. na admin skupinu. To ale neni asi reseni pro vice skupin.
Jaky princip se nejlepe u Vas uplatnil? Nastavit tag (nap. devel, customer, appX) na danou sablonu a napsat spoustu akci pro notifikace vcetne kombinace tagu? Nebo milion uzivatelskych skupin? Proste pro mne zabbix postrada viditelne a jednoduche deleni az na uroven "sluzby".
Diky.
6
Server / Re:DMARC/SFP a hlavička Return-Path
« kdy: 03. 11. 2025, 11:58:53 »
Testoval jsem to s jednim sikovnym dmarc analyzatorem a muzu potvrdit, ze pokud v hlavicce Return-Path bude jina domena nez v hlavicce From, tak spf sice autorizuje ip adresu, ale dmarc alignment neni validni.
Celkovy vysledek pak je: spf fail, dkim pass, dmarc pass (spf a dkim relax mode).
Celkovy vysledek pak je: spf fail, dkim pass, dmarc pass (spf a dkim relax mode).
7
Server / Re:DMARC/SFP a hlavička Return-Path
« kdy: 03. 11. 2025, 09:17:37 »Pěkně to má popsáno Seznam.cz - https://o-seznam.cz/napoveda/email/profi/zaznamy-pro-autentifikaci-posty/dmarc/
Ten clanek neresi samostatnou hlavicku Return-Path.
8
Server / DMARC/SFP a hlavička Return-Path
« kdy: 30. 10. 2025, 15:51:12 »
Zakaznikum zrejme budeme zpracovavat bounce emaily, ale potrebuji si overit, ze to chapu spravne, standardne se generuje Return-Path z MailFrom:
0] RFC 5322.From: zakaznik@example.org
1] RFC 5321.MailFrom: zakaznik@example.org
2] vlozime extra hlavicku Return-Path: bounce@some-example.org
SPF zaznamy jsou pro domeny v 0]1] a 2] nastaveny korektne.
Co jsem cetl blogy z ruznych ESP, jsem to pochopil tak, ze aby bylo "SPF aligment to pass DMARC", musi domena v 2] byt shodna v 0]. Nebo se pletu a ma to byt pri pridane 2] zarovnane v 0] a 1]?
Diky.
0] RFC 5322.From: zakaznik@example.org
1] RFC 5321.MailFrom: zakaznik@example.org
2] vlozime extra hlavicku Return-Path: bounce@some-example.org
SPF zaznamy jsou pro domeny v 0]1] a 2] nastaveny korektne.
Co jsem cetl blogy z ruznych ESP, jsem to pochopil tak, ze aby bylo "SPF aligment to pass DMARC", musi domena v 2] byt shodna v 0]. Nebo se pletu a ma to byt pri pridane 2] zarovnane v 0] a 1]?
Diky.
9
Server / Re:PostgreSQL 18 neinicializuje databázi při instalaci
« kdy: 08. 10. 2025, 10:07:15 »
Jo, nasel jsem to v postgresql-common ve verzi pro debian 13, v debian tahle zmena neni.
10
Server / Re:PostgreSQL 18 neinicializuje databázi při instalaci
« kdy: 08. 10. 2025, 08:30:22 »
Tak jiz mi odpovedeli.
https://salsa.debian.org/postgresql/postgresql-common/-/commit/d9139f7777a42a39b5b6fabbffc9f020fad4dce5
The reasoning was that most people will want to upgrade their old
"main" cluster without having to type a scary "pg_dropcluster 18
main" first.
Christoph
Tak diky, ted si musim "scary" naprogramovat initdb do spravy postgresql.
https://salsa.debian.org/postgresql/postgresql-common/-/commit/d9139f7777a42a39b5b6fabbffc9f020fad4dce5
The reasoning was that most people will want to upgrade their old
"main" cluster without having to type a scary "pg_dropcluster 18
main" first.
Christoph
Tak diky, ted si musim "scary" naprogramovat initdb do spravy postgresql.
11
Server / PostgreSQL 18 neinicializuje databázi při instalaci
« kdy: 07. 10. 2025, 09:32:30 »
Cau,
setkavam se s tim opakovane, ale nedohledal jsem zatim zadnou informaci ohledne tohoto. Instalace postgresql 18 v debianu z repozitare apt.postgresql.org oproti predchazejicim zpusobuje toto:
1] pokud na (treba) VM neni zadna predchozi instalace libovolne verze postgresql, inicializuje se databaze + konfigurace
2] pokud na te same VM je predchozi instalace libovolne verze postgresql, NEinicializuje se databaze + konfigurace
Proc a jak z toho ven? Pan Stehule by mohl vedet?
Diky
setkavam se s tim opakovane, ale nedohledal jsem zatim zadnou informaci ohledne tohoto. Instalace postgresql 18 v debianu z repozitare apt.postgresql.org oproti predchazejicim zpusobuje toto:
1] pokud na (treba) VM neni zadna predchozi instalace libovolne verze postgresql, inicializuje se databaze + konfigurace
2] pokud na te same VM je predchozi instalace libovolne verze postgresql, NEinicializuje se databaze + konfigurace
Proc a jak z toho ven? Pan Stehule by mohl vedet?
Diky
12
Sítě / Re:LG TV a obcházení NextDNS
« kdy: 29. 08. 2025, 15:39:39 »
Nastavit dns v tv. Pokud ten router umi nastavovat dns per network/ssid, tak to lze tam. Jinak by to vyzadovalo vlastni dhcp/slaac apod. konfigurace mimo router.
13
Software / Re:Doporučte správce hesel pro rodiče
« kdy: 11. 08. 2025, 09:17:51 »Je nějaký problém s ukládáním hesel přímo v prohlížeči?
Problem je to velky. Kdejaky malware/etc si ta hesla vytahne, pripadne si to uzivatel ulozi nekde jinde a dostane se k tomu zase nekdo jiny.
14
Distribuce / Debian 13 a /tmp jako tmpfs
« kdy: 01. 08. 2025, 17:02:57 »
Cau,
ma nekdo zkusenosti s provozem serveru, kdy /tmp je tmpfs a ne prostor na disku? Debian 13 to tak bude jako standard, da se to sice snadno vypnout/zmenit, ale zajimaly by mne zkusenosti. Me to uplne nevoni - sam /tmp pouzivam pri sitovem prenosu cehokoli bez ohledu na velikost. Kdyz si predstavim, ze mam v infrastrukture spousta VM se < 8 GB RAM, tak zakladni omezeni na 50% RAM zni...no nepouzitelne a dost riskantne.
Diky.
ma nekdo zkusenosti s provozem serveru, kdy /tmp je tmpfs a ne prostor na disku? Debian 13 to tak bude jako standard, da se to sice snadno vypnout/zmenit, ale zajimaly by mne zkusenosti. Me to uplne nevoni - sam /tmp pouzivam pri sitovem prenosu cehokoli bez ohledu na velikost. Kdyz si predstavim, ze mam v infrastrukture spousta VM se < 8 GB RAM, tak zakladni omezeni na 50% RAM zni...no nepouzitelne a dost riskantne.
Diky.
15
Server / Elasticdump - kopírování uživatelů do jiného clusteru
« kdy: 11. 07. 2025, 10:56:02 »
Ahoj,
uz nevim kudy. Elasticsearch 8.x, zkousim zkopirovat uzivatele z jednoho clusteru do druheho bez pouziti snapshotu. Nasel jsem spousta navodu na elasticdump:
Dump:
Restore
To
Pro testovani migrace pres snapshot jeste nemam zprovoznene sitove uloziste. Testovani pripojenim serveru "noveho" do "stareho" ES a nejakym typem replikace se mi zdaji zatim jeste slozitejsi, tak jsem to zaitm vynechal. V principu jde o to, ze nejakym zpusobem budu potrebovat nakonec ten ES zalohovat/obnovovat, takze snapshot, nebo dump.
DIky
uz nevim kudy. Elasticsearch 8.x, zkousim zkopirovat uzivatele z jednoho clusteru do druheho bez pouziti snapshotu. Nasel jsem spousta navodu na elasticdump:
Dump:
Kód: [Vybrat]
# node_modules/.bin/elasticdump --debug --input=https://restore_user:SOMEPWD@SRC:9200/.security-7 --output=/tmp/.security.json
Restore
Kód: [Vybrat]
node_modules/.bin/elasticdump --debug --output=https://restore_user:SOMEPWD@DEST:9200/.security-7 --input=/tmp/.security.json
...
{
_index: '.security-7',
_id: 'user-SOMEUSER',
status: 403,
error: {
type: 'security_exception',
reason: 'action [indices:data/write/bulk[s]] is unauthorized for user [restore_user] with effective roles [restore_role] on restricted indices [.security-7], this action is granted by the index privileges [create_doc,create,delete,index,write,all]'
}
}
Fri, 11 Jul 2025 08:43:10 GMT | sent 63 objects, 0 offset, to destination elasticsearch, wrote 0
Fri, 11 Jul 2025 08:43:10 GMT | Total Writes: 0
Fri, 11 Jul 2025 08:43:10 GMT | dump complete
To
Kód: [Vybrat]
indices:data/write/bulk[s] jsem nasel jako acl v Opensearch, ale v ES nic takoveho neni. Vi nekdo, jak na to? Zkousel jsem tomu dat veskere mozne role (samozrejme i all/superuser atd.), ktere nejsou aplikacne specificke (napr. kibana_* atd.)Pro testovani migrace pres snapshot jeste nemam zprovoznene sitove uloziste. Testovani pripojenim serveru "noveho" do "stareho" ES a nejakym typem replikace se mi zdaji zatim jeste slozitejsi, tak jsem to zaitm vynechal. V principu jde o to, ze nejakym zpusobem budu potrebovat nakonec ten ES zalohovat/obnovovat, takze snapshot, nebo dump.
DIky
