1. Fórum Root.cz
  2. Profil czechsys
  3. Zobrazit příspěvky
  4. Témata

Zobrazit příspěvky

Tato sekce Vám umožňuje zobrazit všechny příspěvky tohoto uživatele. Prosím uvědomte si, že můžete vidět příspěvky pouze z oblastí Vám přístupných.


Témata - czechsys

Stran: [1] 2 3 ... 5
1
Server / Pomalé předání e-mailu na Gmail.com
« kdy: 20. 03. 2023, 12:17:44 »
Ahoj,

zhruba pred tydnem nam zakaznik oznamil, ze posilani emailu na gmail je s velkou prodlevou.

Kód: [Vybrat]
Mar 20 11:58:24 MAILSERVER postfix/smtp[1833743]: Untrusted TLS connection established to gmail-smtp-in.l.google.com[108.177.97.26]:25: TLSv1.3 with cipher TLS_AES_256_GCM_SHA384 (256/256 bits) key-exchange X
25519 server-signature ECDSA (P-256) server-digest SHA256
Mar 20 11:58:27 MAILSERVER postfix/smtp[1833743]: 4PgBYB1wBtz76: to=<SOMEUSER@gmail.com>, relay=gmail-smtp-in.l.google.com[108.177.97.26]:25, delay=4.8, delays=0.1/0/2.4/2.3, dsn=2.0.0, status=sent (2
50 2.0.0 OK  1679309906 l4-20020a056a00140400b005a8d595767asi10382056pfu.252 - gsmtp)

Z logu mam prumerne delay zhruba mezi 4-5s na gmail.com. Kolisa to nekde mezi 3. (navazani spojeni) a 4. (predani mailu) delay hodnotou. Ve chvili, kdy posleme hromadne emaily, tak se to zpozdeni sakra nascita. Ten zpomaleny stav trva doted.

Pro srovnani:
Kód: [Vybrat]
Mar 20 12:00:04 MAILSERVER postfix/smtp[1833743]: Untrusted TLS connection established to mx1.seznam.cz[2a02:598:2::1090]:25: TLSv1.3 with cipher TLS_AES_256_GCM_SHA384 (256/256 bits) key-exchange ECDHE (P-25
6) server-signature RSA-PSS (4096 bits) server-digest SHA256
Mar 20 12:00:04 MAILSERVER postfix/smtp[1833743]: 4PgBb74v0Pz76: to=<SOMEUSER@seznam.cz>, relay=mx1.seznam.cz[2a02:598:2::1090]:25, delay=1.3, delays=0.11/0/1.1/0.08, dsn=2.0.0, status=sent (250 2.0.0 message q
ueued (szn-id:4d044e47-a9b6-4975-a1bf-f1f84450a1fb))

Mar 20 11:56:32 MAILSERVER postfix/smtp[1833743]: Untrusted TLS connection established to centrum-cz-10mx2.eco-mx.cz[46.255.227.8]:25: TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)
Mar 20 11:56:32 MAILSERVER postfix/smtp[1833743]: 4PgBW40r3Qz76: to=<SOMEUSER@centrum.cz>, relay=centrum-cz-10mx2.eco-mx.cz[46.255.227.8]:25, delay=0.35, delays=0.1/0.01/0.06/0.18, dsn=2.0.0, status=sent (250 ok:  Message 11722009 accepted)

Netrpi nekdo stejnym zpozdenim ci nekomunikoval nekdo ohledne toho s googlem jiz? Dela nam to na ruznych konektivitach/verzich postfixu, takze serverovou stranu muzu vyloucit. A nezda se mi, ze by za to mohlo TLSv1.3.

Diky.

2
Server / PgBouncer a scram-sha-256
« kdy: 22. 02. 2023, 12:11:59 »
Ahoj,

upgradem na postgresql 15 se nam tak trochu rozpadla vazba pgbouncer/postgresql. Pgbouncer mame primo na postgresql stroji, ale i tak jsem mel nastavene prihlasovani heslem do postgresql. To v kombinaci md5/scram-sha-256 prestalo fungovat v kombinaci s auth_query. Tak jsem trochu zagoogloval a vyznelo z toho testovanim toto:

1] aby fungoval scram, je nutne, aby heslo v postgresql bylo scram jak pro uzivatele pgbouncer, tak pro samotneho zivatele
2] udajne funguje nastaveni scram retezce v userlist.txt pro pgbouncer
- mne ale funguje jen varianta s nesifrovanym heslem
- jinak chyba "cannot do SCRAM authentication: password is SCRAM secret but client authentication did not provide SCRAM keys"
 - je jedno, zda zadam scram retezec do login query psql nebo vyvolam zadani hesla napr. -W
3] nastavenim password_encryption = md5 v postgresql.conf funguje md5/scram kombinace

a] ma nekdo v provozu bod 2] s sifrovanym heslem?
b] v debianu je pgbouncer nainstalovany pod postgres uzivatelem, nelze vyuzit "peer" overeni v ramci localhostu. Je "trust" metoda v ramci localhostu povazovana za dostatecne bezpecna/blbuvzdorna? Samozrejme za predpokladu, ze prihlasit se na samotny server (ssh) muzou pouze administratori. Zde jeste povazuji za nestastne, ze dana "trust" by se musela v pg_hba.conf vlozit pred defaultni "host all all 127.0.0.1/32 scram-sha-256" (pres ansible nechavam default pg_hba a na konec pripojuji modifikace, bohuzel nestastne resene pg_hba od postgresql jede podle poradi)

Diky za nazory.

3
Server / Automatický restart PostgreSQL
« kdy: 19. 01. 2023, 15:35:50 »
Ahoj,

mam nainstalovane postgresql z apt.postgresql.org. Koukal jsem po jednom padu postgresql, proc automaticky nerestartovala, no protoze dana unita (typ oneshot) od maintenera nema nastavene "Restart" apod. parametry.

Ma nekdo zkusenost s nastavenim napr. podle diskuze na DigitalOcean? Narazilo se pri automatickem restartu na nejake specificke stavy, kdy autorestart zpusobil vetsi problem, nez uzitek?

Diky

4
Hardware / Megaraid (LSI) řadiče a velikost virtual drive
« kdy: 08. 12. 2022, 16:22:57 »
Ahoj,

nahradili jsme disky v jednom serveru za vetsi a snazime se zvetsit kapacitu daneho pole. Momentalni stav je takovyto:

Kód: [Vybrat]
CLI Version = 007.1506.0000.0000 Aug 11, 2020
Operating system = Linux 4.19.0-0.bpo.19-amd64
Controller = 0
Status = Success
Description = None


EXPANSION INFORMATION :
=====================

-------------------------------------------
VD     Size OCE NoArrExp WithArrExp Status
-------------------------------------------
 1 2.176 TB N   -        -          -     
-------------------------------------------

OCE - Online Capacity Expansion | WithArrExp - With Array Expansion
 VD=Virtual Drive | NoArrExp - Without Array Expansion

Kód: [Vybrat]
PD LIST :
=======

----------------------------------------------------------------------------------------------------
EID:Slt DID State DG     Size Intf Med SED PI SeSz Model                                    Sp Type
----------------------------------------------------------------------------------------------------
98:8     23 Onln   1 3.492 TB NVMe SSD N   N  512B KINGSTON SEDC1500M3840G                  U  -   
98:10    22 Onln   1 3.492 TB NVMe SSD N   N  512B KINGSTON SEDC1500M3840G                  U  - 
EID=Enclosure Device ID|Slt=Slot No.|DID=Device ID|DG=DriveGroup
DHS=Dedicated Hot Spare|UGood=Unconfigured Good|GHS=Global Hotspare
UBad=Unconfigured Bad|Sntze=Sanitize|Onln=Online|Offln=Offline|Intf=Interface
Med=Media Type|SED=Self Encryptive Drive|PI=Protection Info
SeSz=Sector Size|Sp=Spun|U=Up|D=Down|T=Transition|F=Foreign
UGUnsp=UGood Unsupported|UGShld=UGood shielded|HSPShld=Hotspare shielded
CFShld=Configured shielded|Cpybck=CopyBack|CBShld=Copyback Shielded
UBUnsp=UBad Unsupported|Rbld=Rebuild

Kód: [Vybrat]
VD LIST :
=======

-------------------------------------------------------------
DG/VD TYPE  State Access Consist Cache Cac sCC     Size Name
-------------------------------------------------------------
1/1   RAID1 Optl  RW     No      NRWTD -   ON  2.176 TB     
-------------------------------------------------------------

VD=Virtual Drive| DG=Drive Group|Rec=Recovery
Cac=CacheCade|OfLn=OffLine|Pdgd=Partially Degraded|Dgrd=Degraded
Optl=Optimal|dflt=Default|RO=Read Only|RW=Read Write|HD=Hidden|TRANS=TransportReady|B=Blocked|
Consist=Consistent|R=Read Ahead Always|NR=No Read Ahead|WB=WriteBack|
AWB=Always WriteBack|WT=WriteThrough|C=Cached IO|D=Direct IO|sCC=Scheduled
Check Consistency

Nemuzu se v online modu dostat pres 2TB. A ted otazka - je na techto radicich VD limitovana na 2TB? Nebo to vyzaduje offline expanzi? Nebo je nutne cele pole shodit a udelat znova?

Jedna se o Megaraid 9460-16i (tri-mode)

Diky

5
Server / Instalace Zabbixu na AWS EC2 nebo VPS
« kdy: 14. 11. 2022, 15:48:08 »
Ahoj,

mohl by doporucit nekdo zkuseny? Potrebuji zprovoznit instanci zabbixu pro nekolik sluzeb mimo nasi infrastrukturu, idealne ze zahranici. Sef se kouka po AWS, ale cim vic to zkoumam podminky napr. pro free tier atd., tak mam obavy tam neco pustit, abych nebyl extra zpoplatnen.

Takze:
1] kdyz pouziju free tier a nekterou instanci mikro pro ec2, kam nainstaluji debian+zabbix+postgresql, jsem bezpecne free?
2] to same co bod 1], ale vyplati se misto instalace postgresql na tu ec2 pripojit RDS a opet byt bezpecne free?
3] nejake dalsi rozumne reseni? vps u hetzner? apod.?

Zatim souhrn pozadavku je na:
1] zahranici
2] konektivita mimo NIX
(3] ma preference - vps)

Tu sluzbu pak zaplatime, jen si chci par veci otestovat, v cloudu jsem zatim nic nerozbihal.

Diky moc.

6
Software / Změna časové zóny pomocí Ansible
« kdy: 08. 11. 2022, 12:49:21 »
Ahoj,

ma nekdo v ansible zmenu timezone? Ja zkousel toto https://www.ansibletutorials.com/setting-the-timezone , ale ze zahadneho duvodu to nefunguje. Prvni krok nahraju jako template s danou zonou, na cilovem stroji to je, ale jakmile po spusteni rekonfigurace pres dpkg, tak se mi tam vrati puvodni zona.

Pokud nastavim zonu pres timedatectl set-timezone X/X, tak po rekonfiguraci pred dpkg je nastavena nova zona.
Kdyby nahodou nekdo tusil proc to tak je - detekce zmeny daneho nastaveni pres zmenu souboru je jednodussi nez overovat, jaka zona je vubec nastavena pres timedatectl.

Jedna se o debian 11.

Diky

7
Sítě / FreeRADIUS a skupiny v MSCHAPv2
« kdy: 29. 09. 2022, 10:33:05 »
Ahoj,

zkousim zprovoznit ikev2 vpn a to vyzaduje (free)radius sluzbu. Tak po nejakem hrani jsem rozjel freeradius v ldap, mschap variantach. Problem je v tom, ze nas fw pozaduje ve Filter-Id (param 11) jmeno skupiny, a to umim zatim jen poslat v pripade ldap varianty. Ale fw komunikuje pres mchap, a ja jsem zatim nedohledal, jak naroubovat vyplneni Filter-Id (param 11), kdyz to nejde ldapem.

Nevi nekdo, jak tam tu skupinu dostat? Vim, ze Windows NPS to umi, ale takovym serverem nedisponuji.
Diky.

8
Server / Rabbitmq + Samba AD
« kdy: 07. 09. 2022, 10:46:02 »
Ahoj,
nema nekdo funckni konfiguraci rabbitmq proti AD/ldapu s bind uzivatelem, nejlepe proti samotne Samba AD?
Zkousel jsem:
https://www.rabbitmq.com/ldap.html
https://stackoverflow.com/questions/58970322/how-to-configure-rabbitmq-with-ldap-for-ad-groups apod.,

ale jediny vysledek i pres zapnute logovani network_unsafe je:
Kód: [Vybrat]
2022-09-07 10:22:07 =ERROR REPORT====
** Generic server <0.3216.0> terminating
** Last message in was {submit,#Fun<rabbit_auth_backend_ldap.14.130291405>,<0.3323.0>,reuse}
** When Server state == {from,<0.3323.0>,#Ref<0.1575869796.3397124098.189438>}
** Reason for termination ==
** {error,noSuchObject}
2022-09-07 10:22:07 =CRASH REPORT====
  crasher:
    initial call: worker_pool_worker:init/1
    pid: <0.3216.0>
    registered_name: []
    exception exit: {{error,noSuchObject},[{gen_server2,terminate,3,[{file,"src/gen_server2.erl"},{line,1183}]},{proc_lib,wake_up,3,[{file,"proc_lib.erl"},{line,236}]}]}
    ancestors: [ldap_pool_sup,rabbit_sup,<0.273.0>]
    message_queue_len: 0
    messages: []
    links: [<0.3214.0>,<0.3324.0>]
    dictionary: [{{parse_memo_table,rabbit_semver_parser},#Ref<0.1575869796.3397255169.196445>},{ldap_conns,#{{false,["DC1_FQDN","DC2_FQDN","DC3_FQDN"],[{timeout,10000},{log,#Fun<rabbit_auth_backend_ldap.12.130291405>},{port,636},{idle_timeout,300000},{anon_auth,false}]} => <0.3324.0>}},{timeouts,{dict,1,16,16,8,80,48,{[],[],[],[],[],[],[],[],[],[],[],[],[],[],[],[]},{{[],[],[],[],[[{false,["DC3_FQDN","DC2_FQDN","DC1_FQDN"],[{timeout,10000},{log,#Fun<rabbit_auth_backend_ldap.12.130291405>},{port,636},{idle_timeout,300000},{anon_auth,false}]}|#Ref<0.1575869796.3397124097.196446>]],[],[],[],[],[],[],[],[],[],[],[]}}}},{worker_pool_worker,true},{rand_seed,{#{jump => #Fun<rand.3.47293030>,max => 288230376151711743,next => #Fun<rand.5.47293030>,type => exsplus},[157340505717612509|275064144784962344]}},{worker_pool_name,ldap_pool}]
    trap_exit: false
    status: running
    heap_size: 2586
    stack_size: 28
    reductions: 187199
  neighbours:
    neighbour: [{pid,<0.3324.0>},{registered_name,[]},{initial_call,{erlang,apply,2}},{current_function,{eldap,loop,2}},{ancestors,[]},{message_queue_len,0},{links,[<0.3216.0>]},{trap_exit,false},{status,waiting},{heap_size,987},{stack_size,6},{reductions,15336},{current_stacktrace,[{eldap,loop,2,[{file,"eldap.erl"},{line,517}]}]}]
2022-09-07 10:22:07 =SUPERVISOR REPORT====
     Supervisor: {local,ldap_pool_sup}
     Context:    child_terminated
     Reason:     {error,noSuchObject}
     Offender:   [{pid,<0.3216.0>},{id,1},{mfargs,{worker_pool_worker,start_link,[ldap_pool]}},{restart_type,transient},{shutdown,4294967295},{child_type,worker}]

2022-09-07 10:22:07 =CRASH REPORT====
  crasher:
    initial call: cowboy_stream_h:request_process/3
    pid: <0.3323.0>
    registered_name: []
    exception exit: {{{error,noSuchObject},{gen_server2,call,[<0.3216.0>,{submit,#Fun<rabbit_auth_backend_ldap.14.130291405>,<0.3323.0>,reuse},infinity]}},[]}
    ancestors: [<0.3322.0>,<0.3101.0>,<0.3100.0>,rabbit_web_dispatch_sup,<0.3089.0>]
    message_queue_len: 0
    messages: []
    links: [<0.3322.0>]
    dictionary: []
    trap_exit: false
    status: running
    heap_size: 6772
    stack_size: 28
    reductions: 5148
  neighbours:
2022-09-07 10:22:07 =ERROR REPORT====
Ranch listener {acceptor,{0,0,0,0,0,0,0,0},15672}, connection process <0.3322.0>, stream 1 had its request process <0.3323.0> exit with reason {{error,noSuchObject},{gen_server2,call,[<0.3216.0>,{submit,#Fun<rabbit_auth_backend_ldap.14.130291405>,<0.3323.0>,reuse},infinity]}} and stacktrace []


Coz je spanelska vesnice, ktera se neda debugovat...
Diky

9
Server / Zabbix 6 preprocessing regulary
« kdy: 30. 06. 2022, 14:02:27 »
Ahoj,

mam tenhle vystup z prometheus-postfix-exporter via web.page.get v zabbixu:
Kód: [Vybrat]
HTTP/1.1 200 OK

Connection: close

# HELP go_gc_duration_seconds A summary of the pause duration of garbage collection cycles.
# TYPE go_gc_duration_seconds summary
go_gc_duration_seconds{quantile="0"} 0.000197284
go_gc_duration_seconds{quantile="0.25"} 0.001007571
go_gc_duration_seconds{quantile="0.5"} 0.00133696
go_gc_duration_seconds{quantile="0.75"} 0.001480352
# HELP postfix_qmgr_messages_removed_total Total number of messages removed from mail queues.
# TYPE postfix_qmgr_messages_removed_total counter
postfix_qmgr_messages_removed_total 0
# HELP promhttp_metric_handler_requests_total Total number of scrapes by HTTP status code.
# TYPE promhttp_metric_handler_requests_total counter
promhttp_metric_handler_requests_total{code="200"} 59
promhttp_metric_handler_requests_total{code="500"} 0
promhttp_metric_handler_requests_total{code="503"} 0


0

Nelze bohuzel vzit pouze body odpovedi (volam to pres zabbix-agent2, ne pres HTTP agent), takze pro dalsi zpracovani se z toho snazim dostat 2 zpusoby, abych to pak mohl prevest do json:
1] "komplet" - vytahnuti body
1. regex - parametr: (\#[\s\S]*)   \1
2. regex - parametr ^[\s\S]*?(?=\n{2,})   \0
-> v preprocess testu to funguje, orizne to zacatek i konec, ale pri samotnem volani zabbixem to hlasi chybu pri 2. regexu
Kód: [Vybrat]
266951:20220630:135630.589 item "host.example.com:web.page.get[{$PROMETHEUS_EXPORTER_HOST},{$PROMETHEUS_EXPORTER_URL},{$PROMETHEUS_EXPORTER_PORT}]" became not supported: Preprocessing failed for: HTTP/1.1 200 OK..Connection: close..Transfer-Encoding: chunked..Content-Type: text/plain; version...
1. Result: # HELP go_gc_duration_seconds A summary of the pause duration of garbage collection cycles..# TYP...
2. Failed: cannot perform regular expression "^[\s\S]*?(?=\n{2,})" match for value of type "string": pattern does not match
-> pokud odstranim druhy krok, chybuje to na prvnim prazdnem radku po metrikach

2] "postfix only" - vytahnuti vsech radku obsahujici postfix_:
1. regex - parametr: ^(.*postfix_.*)$   \1
-> tentokrat chyba jiz pri testovani:
Kód: [Vybrat]
cannot perform regular expression "^(.*postfix_.*)$" match for value of type "string": pattern does not match

Nejaky napad?
Diky

10
Server / Monitoring PostgreSQL přes Zabbix
« kdy: 20. 06. 2022, 13:52:16 »
Ahoj,

pro postgresql pouzivam zabbix-agent2 s oficialni postgresql sablonou. Na jedne postgresql instanci mam cca 25 db, coz v kombinaci s zabbix-agent2 dela 25, spise skoro 50 spojeni, ktera se udrzuji.

Jak z toho ven? Treba netdata pouzivaji bulk sber dat, ale zase nemonitoruji v takovem rozsahu. Zna nekdo postgresql sablonu, ktera idealne pouziva bulk sber data? Jinak to totiz z principu monitoringu polozek zabbixu bude palit psql/load.

Nebo je dnes jedina cesta prometheus a spol.?

Diky

11
Server / Proxy s API pro nastavení přístupu uživatelem
« kdy: 03. 06. 2022, 09:23:33 »
Ahoj,

mam tu takovy specificky use-case - nova aplikace (vicemene webova) by potrebovala pristupovat na externi webove sluzby tak, jak si to nastavi zakaznik. Vzhledem k tomu, ze zatim jedeme politiku, kdy se ze serveru externi sluzby povoluji na vyzadani, tak to koliduje s tim, aby to nemusel nastavovat dev/sys. Nastaveni proxy s neomezenym pristupem do internetu a vyuziti v ramci aplikace zatim nekterym nevoni (vidi v tom bezpecnostni riziko).

Hledal jsem neco ve stylu proxy, ktere se da nastavovat pres api, ale snad krome par zminek, ze by squid umel db, jsem nenasel nic? Dalsi navrh byl, zda cast te aplikace nevystrcit mimo nasi infrastrukturu, tim bychom ze serveru povolili pristup jen na tu cast, a dal uz by to mohlo byt neomezene. Je to samozrejme slozitejsi na spravu apod. Treti variantou bylo pouzit proxy s dodatecnym konfig souborem, ktery se bude "aplikacne" upravovat a nejaky planovac by pak zavolal rekonfiguraci proxy.

Nevi nekdo nejake realne moznosti, ktere by takovyhle use case dobre resilo? Jde o to, ze zde neni automatizace, ktera by umoznovala uzivatelsky menit veci, ktere vyzaduji root pristup (sudo cestu zatim ponechme stranou).

Diky

12
Server / Více a více služeb loguje do journald a rsyslog zůstal
« kdy: 19. 04. 2022, 11:14:36 »
Ahoj,

tak nas po posledni aktualizaci serveru malem vypekl pgbouncer. Zapnuli tam defaultne logovani do journald, coz v kombinaci s rsyslog znamenalo, ze ty logy byly 4x...
1x specificky nastavena cesta v pgbounceru
1x journald
1x /var/log/messages
1x /var/log/syslog

Uzasny. Zatim jsem nouzove doplnil do override.conf:
Kód: [Vybrat]
[Service] #pgbouncer package version
LimitNOFILE=4096 #pgbouncer package version
StandardOutput=null #manual override
StandardError=null #manual override

Vypnout globalne journald se mi nezda jako vhodna cesta. Ale x-nasobneho logovani je smrtici...Vypinat to per sluzba je zase otravne hlidani, kdy to same zacne delat nejaka jina. Presunout kvuli tomu cely /var na samostatny oddil se mi velmi prici (treba z duvod zaloh blokovych disku).

Je nejake elegantnejsi reseni? V tuhle chvili asi muzu tak max volit mezi vypinani v rsyslog nebo v override dane sluzby...

13
Distribuce / Debian 11 - chybí /var/run/reboot-required
« kdy: 08. 04. 2022, 09:49:21 »
Ahoj,

zjistil jsem, ze mi chybi /var/run/reboot-required, ktery by mel byt vytvaren automaticky.  Je jedno, zda updatuju pres ansible, ci pres aptitude, proste chybi.

Nevi nekdo, co zkontrolovat? "needrestart -k" detekuje rozdil kernelu, ale pripadne resit, jak to dostat do ansible skriptu, je vetsi opruz...

14
Server / Kontejnerizace a různé pohledy
« kdy: 04. 04. 2022, 16:30:04 »
Ahoj,
budu ted testovat ruzne koncepty kontejnerizaci pro pripadne budouci firemni nasazeni. Nebude to v cloudu, takze k8s apod tu nehrozi.

Kazdopadne, mam tu vzorovy priklad jedne aplikace, kterou muzeme testovat bez toho, ze bychom ohrozili provoz/data. Zajimaly by mne zkusenosti z libovolnych smeru, zejmena principy nebo cesticky, co se ukazaly spatne.

Momentalne zkousim podman, standalone server. Clusterovy provoz zatim primo neresim, resim koncept administrace (CI/CD, pristup vyvojaru) a site. Zajimaly by mne zkusenosti z libovolnych smeru, zejmena principy nebo cesticky, co se ukazaly spatne.

Takze priklad je: kombinace pro jednu aplikaci je nginx + redis. Tech aplikaci je vice (ruzni zakaznici). Nginx je nyni VM, redis chceme kvuli automatizaci zkusit v kontejneru, nebot je to jednodussi nez automatizovat VM (zejmena zalozeni a vse kolem).. Z teto kombinace vychazi dva mozne smery:
1] nginx + redis v jednom subnetu - "zakaznik" v jednom
2] nginx v jednom subnetu, redis v druhem subnetu - subnet per typ sluzba (web, db, apod) pres vsechny zakazniky

Otazky mam zejmena tyto:
- pouziva nekdo uspesne nejaky typ administrace z hlediska principu podmanu? tzn. sluzby per uzivatel, oproti vsechny sluzby v monolitu dockeru
- ktera varianta je obecne lepsi, 1] ci 2]? Beru to i ve vztahu komunikacnich pruchodu (firewall apod) a oddeleni zakazniku.

Treba u siti mi bridge moc nevoni z hledisku pristupu na kontejnery z mimo kontejneroveho prostredi. Ale je pouziti macvlan pak ta spravna cesta? Aspon predpokladam, ze vetsina lidi provozuje kontejnery se stejnym typem sluzby na stejnem portu (tzn dedicated ip:port stejny) oproti (sdileny ip:ruzny port).

At uplne nemusim vymyslet cele kolo...
Diky.

15
Server / Přístup k logům mailserveru
« kdy: 22. 03. 2022, 11:39:08 »
Ahoj,

z duvodu kompletni prestavby naseho mailoveho reseni potrebuji vyresit pristup logum mailserverum, aby z nich mohla nase aplikace tahat data. Jde zejmena o maximalni spolehlivost.

Momentalni nastaveni je takove, ze na mailserveru bezi skripty, ktere parsuji logy a predavaji to zpracovatelskemu serveru. Na ten zpracovatelsky server jsou pak navazany nase dalsi aplikace. Tech mailovych serveru bude mnohem vice, takze overuji cestu, zda to parsovani logu nepresunout z mailserveru primo na zpracovatelsky. Otazkou je, ale jak zajistit spolehlivy pristup. Logy postfixu jsou navic nepristupne beznemu uzivateli

Varianty co me napadaji (styl veskery obsah logu, at si to pak prefiltruji vyvojari):
a] ssh omezeny na "cat mail.log" - pull
b] neco ve stylu filebeat apod.  - push

Mala komplikace je, ze napr. filebeat jiz pouzivam pro graylog. A graylog tu mame v rezimu - kdyz to bezi, fajn, kdyz ne, nic se nedeje. Takze napojeni zpracovatelskeho systemu na graylog neni vhodne a filebeat tedy nevyuziju.

Jeste me napadlo logovani primo do db z postfixu, ale to jsem nikdy nezkousel. Jde o to, aby i ten redeployment serveru byl jednodussi nez doted (kontejnery nevedeme).

Diky za napady.

Stran: [1] 2 3 ... 5