Zobrazit příspěvky

Tato sekce Vám umožňuje zobrazit všechny příspěvky tohoto uživatele. Prosím uvědomte si, že můžete vidět příspěvky pouze z oblastí Vám přístupných.


Příspěvky - bobprasak

Stran: [1]
1
Server / Re:SQL dotaz: defragmentace tabulky
« kdy: 07. 08. 2022, 22:11:06 »
Mozna by bylo dobry si nejdriv rict co chapete pod pojmem fragmentace tabulky a jak to tento pojem chapou ostatni. A bylo by fajn vedet co za db engine to je.

Napriklad na oracle (ehh mam informace do 12c, uz db dlouho nedelam) fragmentace vznikala defakto na urovni tablespace, kdy bloky objektu (v tomto pripade tabulky) byly rozstrkany vsude mozne vlivem pridavani a mazani zaznamu. Tbs zde totiz byla popsana bitmapou neco jako byla treba FAT. Pokud jste chtel udelat "defragmentaci", znamenalo to analyzu objektu v prislusne tablespace, jejich move jinam a zase zpet, pripadne rebuild u indexu. Nicmene k tomu, aby clovek mohl bez ztraty kyticky takovou operaci provest, musel vedet jake objekty jsou jak na sobe zavisle, kam je presunout a kdyz tim presunem neco rozbil (indexy, procky, package..) vedet co rebuildnout. Nekdo delal import/export ale to mi prislo uz trochu hardcore

2
Server / Re:iSCSI - perspektivní protokol dnes (2022?)
« kdy: 01. 07. 2022, 21:21:04 »
….a samozrejme jsem zapomnel na ruzna objektova udelatka typu ceph, s3 apod.

3
Server / Re:iSCSI - perspektivní protokol dnes (2022?)
« kdy: 01. 07. 2022, 21:19:35 »
Uprimne moc netusim o jakem enterprise svete kolegove mluvi :). Imho vnimam nekolik smeru a iscsi v nem moc nefiguruje.

1) Pokud chci slusnou blokovou storage a mam prachy pak je tu stary dobry fc
2) Pokud z nejakeho duvodu fc nemam rad (treba kvuli dedikovane inrastrukture) pak je to vetsinou reseny necim ala NetApp na dedikovane infrastrukture => tedy nfs like, ktere uz samo o sobe zajistuje paralelni pristup  (kolikrat nahrada vmfs) plus mrte cool ficur navic jako replikace, failover apod.
3) Diky rozmachu technologii podporujici sharding apod je tu takova skromna renesance DAS.

iscsi je porad jen publikovani blokove storage - nic vic nic min.

4
Vývoj / Re:Google OpenID connect a mikrosluzby
« kdy: 23. 06. 2022, 23:01:09 »
Imho nevidim duvod proc neresit vyse zmineny problem prave pres sessions vydane na zaklade oidc tokenu (treba pres auth code flow). V praxi i v microservice architekture je to vcelku bezna metoda, ktera resi prave problem okamziteho odhlaseni. Pokud jde distribuci stavu a jeji dopad na skalovatelnost pak ji lze castecne resit session affinity. Proste zaridite, aby pozadavky od konkretniho klienta koncily vzdy na stejne instanci/podu a session budete na ostatni pody replikovat jen pro ucely ha. Jasne, nebudete moc skalovat az do vesmiru kvuli overheadu na distribuci, ale budete skalovat nejspis dostacne na to, aby to pokrylo Vas load.

Dalsi moznosti je presunout celej oidc stack na nejakou apigw/proxy pred microservice svet (k8s) na nejakej nadupanejsi hw pripadne se podivat zda to neumi treba cloudflare nebo jinej provider. Tim Vam odpadne nutnost resit do detailu tyto veci(authorizaci, refresh fazi, synchronizaci apod) na samotnych microservisach a nechat jejich logiku zamerenou na vas business problem se vsema vyhodama co microservice svet prinasi. Opet v praxi se tento scenar normalne pouziva.

Proti argumentu "pouzij jwt token authorizaci protoze microservices" muze stat argument bezpecaku "kdyz jwt tak oidc a kdyz uz oidc tak auth codeflow a zadny tokeny na fe/v browseru). Muzeme vest dlouhe filosoficke disputace jak moc stateless ma microservice svet byt, nicmene "opet v praxi" to zalezi na konkretnim pripadu a vysledku PoC.

Jinak zkuste se podivat jak funguje oidc codeflow, relaying party a vytvoreni session (v tomhle pripade auth cookie) zde:

https://www.nginx.com/blog/authenticating-users-existing-applications-openid-connect-nginx-plus/amp/

Navod je na nginx plus (placena verze nginxu), nicmene muzete pouzit jine reseni. Melo by Vam to dat ale predstavu jak to cele funguje a co od toho chtit.


5
Vývoj / Re:Google OpenID connect a mikrosluzby
« kdy: 21. 06. 2022, 16:21:41 »
Pokud potrebujete uzivatele odhlasit a zaroven chcete pouzit oidc/jwt authorizaci resi se to to scenarem v jednomz prvnich prispevku: Backend ziska tokeny a vygeneruje session s expiraci stejnou jako ma access token a ty posle fe(uzivateli). Pokud uzivatele potrebujete okamzite odhlasit, znevalidujete jeho session v aplikaci a tokeny v idp (tedy autentizace pres refresh selze) a vynutite jeji opetovne prihlaseni. Jak to udelat primo skrz google/fb apod netusim, ncimene treba konkretne keycloak ktery umi idp brokering pro zminene providery to umi: odhlasite session a tim padem se pres refresh uz neprihlasite. Zaroven tez muzete uzivatele uplne zablokovat. Pozor v tomto pripade musite take nejak zajistit samotnou refresh fazi s idp po te co expiruje access_token a to nejlip nejak transparentne (tedy beze zmeny user session). Vyhoda takove postupu je ze fe/uzivatel nema vybec sajnu o nejakych tokenech a tudiz vubec nevi jake interni prava ma. Nevyhodou je komplexita se kterou se ale da hrat. Session overovani Vsm muze delat treba nejaka proxy/apigw a na be budou chodit jen claimy z tokenu (ulozene interne nebo v nejake key/val) takze i kdyz vyvojari be nechtej zabrednout do bazin oidc, lze to nechat na nejakem lepsim ifrastrukturnim prvku co to umi :)

6
Server / Re:Proxy s API pro nastavení přístupu uživatelem
« kdy: 04. 06. 2022, 13:42:35 »
Priznam se ze sem uplne nepochopil Vas case, nicmene mozne reseni bych videl v libovolne gw/proxy s podporou oidc tokenu. Zakaznik si bude vydavat tokeny jak uzna za vhodne a vy je budete validovat na gw a dle claimu ridit pristup. Kde bude IdP (mue byt provazano s jeho ad) je uz vcelku fuk, jen Vase gw mu bude muset verit (mit public cast klice ktera tokeny overi). Dal se muzeme bavit jake schema pouzit, zda je mozne oidc codeflow ci jen overovat tokeny na gw. Na to jste dal malo informaci. Kouknete se na projekty typu nginx, oidc proxy, keycloak, dex apod.

7
Hardware / Re:HP DL 580 G7 nestartuje po přidání grafiky
« kdy: 16. 05. 2022, 19:09:20 »
Bez informaci z iLo tady muzeme jen hadat co serveru je, protoze je v nem videt jak diagnostika, verze jednoivych fw atd apod. Soustredil bych se tedy na to jak se do nej dostat. Na desce je jumper, ktery ho umi prepnout do defualtniho nastaveni, pripadne pokud znat prihlasovaci udaje (defaultni jsou na stitku) ale ne ip adresu pak staci pripojit ethernet, pustit tcpdump a on vam ji praskne sam. Pokud Vam server nabiha bez karty, zkusil bych nejdriv udelat upgrade veskerejch fw na posledni verzi. HW je obcas docela
magie :)

8
Server / Re:Kontejnerizace a různé pohledy
« kdy: 09. 04. 2022, 14:09:33 »
Pokud mate vic zakazniku a planujete dlouhodobejsi spolupraci pak bych sel cestou k8s/okd v on-premu. Ano neni to ze zacatku jednoduchy na nasazeni, ale po prvotnich porodnich bolestech vam spravne navrzene reseni usetri spoustu casu. U k8s je jen dobre si dat pozor na network cni, aby reflektovalo to co od nej chcete (treba egress/ingress na namespaces, network policy etc) a dat tomu nakou stabni kulturu pouzivanejch technologii aby se Vam to nezvrhlo v technologicke zoo.

Pokud to chcete bastlit pres podmana nebo jine docker like systemy, dovedu si predstavit reseni mit ruzne kontejnery jednoho zakaznika ve vlastnim bridgi, ktery pak pres veth proroutujete/pronatujete ven. Pokud pouzijete misto linux bridge napr. openswitch daj se s tim delat kouzla jako tuneling l2 pres vxlany (pokud se treba rozhodne mit ten redis na jinym zeleze nez ty nginxy z nakejch duvodu) apod. Fantasii se meze nekladou a zalezi jen na Vasem na designu.

Imho zalezi hodne na tom kolik a jake zakazniky na tom chcete provozovat, kolik a jake aplikace chcete mit atd apod.

Jinak nechapu jaky je rozdil automatizovat vmka a automatizovat kontejnery…. Smirte se s tim ze holt musite vyvinout nejake usili aby Vam to prineslo kyzeny efekt. Obecne moderni it je hlavne o automatizaci, takze otazka imo neni proc ano, ale spis proc proboha ne ?

9
Podle me ne, protoze markovani paketu je vec network stacku a skbuff struct kam uz tcpdump nevidi. Musel byste na to jit treba pres systemtap nebo ebpf.

10
Bazar / Re:Prodám server 200 core (20 CPU) a 2,5 TB RAM
« kdy: 21. 01. 2022, 12:08:36 »
Mohla by to byt zajimava nabidka treba pro lab, ale bohuzel vubec neuvadite to nejdulezitejsi:

1) Co je to blade system(vendor/typ apod)
2) Jaky je backplane, jestli jsou tam nejake virtualconnecty, nejake jejich parametry, typy apod
3) jake karty maji samotne ziletky
4) jake jsou tam dalsi licence
atd apod

Kupovat toto zarizeni bez techto informaci nema vubec smysl.

Stran: [1]