Témata

16

Sítě / FreeRADIUS a skupiny v MSCHAPv2

« kdy: 29. 09. 2022, 10:33:05 »

Ahoj,

zkousim zprovoznit ikev2 vpn a to vyzaduje (free)radius sluzbu. Tak po nejakem hrani jsem rozjel freeradius v ldap, mschap variantach. Problem je v tom, ze nas fw pozaduje ve Filter-Id (param 11) jmeno skupiny, a to umim zatim jen poslat v pripade ldap varianty. Ale fw komunikuje pres mchap, a ja jsem zatim nedohledal, jak naroubovat vyplneni Filter-Id (param 11), kdyz to nejde ldapem.

Nevi nekdo, jak tam tu skupinu dostat? Vim, ze Windows NPS to umi, ale takovym serverem nedisponuji.
Diky.

17

Server / Rabbitmq + Samba AD

« kdy: 07. 09. 2022, 10:46:02 »

Ahoj,
nema nekdo funckni konfiguraci rabbitmq proti AD/ldapu s bind uzivatelem, nejlepe proti samotne Samba AD?
Zkousel jsem:
https://www.rabbitmq.com/ldap.html
https://stackoverflow.com/questions/58970322/how-to-configure-rabbitmq-with-ldap-for-ad-groups apod.,

ale jediny vysledek i pres zapnute logovani network_unsafe je:

Kód: [Vybrat]

2022-09-07 10:22:07 =ERROR REPORT====
** Generic server <0.3216.0> terminating
** Last message in was {submit,#Fun<rabbit_auth_backend_ldap.14.130291405>,<0.3323.0>,reuse}
** When Server state == {from,<0.3323.0>,#Ref<0.1575869796.3397124098.189438>}
** Reason for termination == 
** {error,noSuchObject}
2022-09-07 10:22:07 =CRASH REPORT====
  crasher:
    initial call: worker_pool_worker:init/1
    pid: <0.3216.0>
    registered_name: []
    exception exit: {{error,noSuchObject},[{gen_server2,terminate,3,[{file,"src/gen_server2.erl"},{line,1183}]},{proc_lib,wake_up,3,[{file,"proc_lib.erl"},{line,236}]}]}
    ancestors: [ldap_pool_sup,rabbit_sup,<0.273.0>]
    message_queue_len: 0
    messages: []
    links: [<0.3214.0>,<0.3324.0>]
    dictionary: [{{parse_memo_table,rabbit_semver_parser},#Ref<0.1575869796.3397255169.196445>},{ldap_conns,#{{false,["DC1_FQDN","DC2_FQDN","DC3_FQDN"],[{timeout,10000},{log,#Fun<rabbit_auth_backend_ldap.12.130291405>},{port,636},{idle_timeout,300000},{anon_auth,false}]} => <0.3324.0>}},{timeouts,{dict,1,16,16,8,80,48,{[],[],[],[],[],[],[],[],[],[],[],[],[],[],[],[]},{{[],[],[],[],[[{false,["DC3_FQDN","DC2_FQDN","DC1_FQDN"],[{timeout,10000},{log,#Fun<rabbit_auth_backend_ldap.12.130291405>},{port,636},{idle_timeout,300000},{anon_auth,false}]}|#Ref<0.1575869796.3397124097.196446>]],[],[],[],[],[],[],[],[],[],[],[]}}}},{worker_pool_worker,true},{rand_seed,{#{jump => #Fun<rand.3.47293030>,max => 288230376151711743,next => #Fun<rand.5.47293030>,type => exsplus},[157340505717612509|275064144784962344]}},{worker_pool_name,ldap_pool}]
    trap_exit: false
    status: running
    heap_size: 2586
    stack_size: 28
    reductions: 187199
  neighbours:
    neighbour: [{pid,<0.3324.0>},{registered_name,[]},{initial_call,{erlang,apply,2}},{current_function,{eldap,loop,2}},{ancestors,[]},{message_queue_len,0},{links,[<0.3216.0>]},{trap_exit,false},{status,waiting},{heap_size,987},{stack_size,6},{reductions,15336},{current_stacktrace,[{eldap,loop,2,[{file,"eldap.erl"},{line,517}]}]}]
2022-09-07 10:22:07 =SUPERVISOR REPORT====
     Supervisor: {local,ldap_pool_sup}
     Context:    child_terminated
     Reason:     {error,noSuchObject}
     Offender:   [{pid,<0.3216.0>},{id,1},{mfargs,{worker_pool_worker,start_link,[ldap_pool]}},{restart_type,transient},{shutdown,4294967295},{child_type,worker}]

2022-09-07 10:22:07 =CRASH REPORT====
  crasher:
    initial call: cowboy_stream_h:request_process/3
    pid: <0.3323.0>
    registered_name: []
    exception exit: {{{error,noSuchObject},{gen_server2,call,[<0.3216.0>,{submit,#Fun<rabbit_auth_backend_ldap.14.130291405>,<0.3323.0>,reuse},infinity]}},[]}
    ancestors: [<0.3322.0>,<0.3101.0>,<0.3100.0>,rabbit_web_dispatch_sup,<0.3089.0>]
    message_queue_len: 0
    messages: []
    links: [<0.3322.0>]
    dictionary: []
    trap_exit: false
    status: running
    heap_size: 6772
    stack_size: 28
    reductions: 5148
  neighbours:
2022-09-07 10:22:07 =ERROR REPORT====
Ranch listener {acceptor,{0,0,0,0,0,0,0,0},15672}, connection process <0.3322.0>, stream 1 had its request process <0.3323.0> exit with reason {{error,noSuchObject},{gen_server2,call,[<0.3216.0>,{submit,#Fun<rabbit_auth_backend_ldap.14.130291405>,<0.3323.0>,reuse},infinity]}} and stacktrace []

Coz je spanelska vesnice, ktera se neda debugovat...
Diky

18

Server / Zabbix 6 preprocessing regulary

« kdy: 30. 06. 2022, 14:02:27 »

Ahoj,

mam tenhle vystup z prometheus-postfix-exporter via web.page.get v zabbixu:

Kód: [Vybrat]

HTTP/1.1 200 OK

Connection: close

# HELP go_gc_duration_seconds A summary of the pause duration of garbage collection cycles.
# TYPE go_gc_duration_seconds summary
go_gc_duration_seconds{quantile="0"} 0.000197284
go_gc_duration_seconds{quantile="0.25"} 0.001007571
go_gc_duration_seconds{quantile="0.5"} 0.00133696
go_gc_duration_seconds{quantile="0.75"} 0.001480352
# HELP postfix_qmgr_messages_removed_total Total number of messages removed from mail queues.
# TYPE postfix_qmgr_messages_removed_total counter
postfix_qmgr_messages_removed_total 0
# HELP promhttp_metric_handler_requests_total Total number of scrapes by HTTP status code.
# TYPE promhttp_metric_handler_requests_total counter
promhttp_metric_handler_requests_total{code="200"} 59
promhttp_metric_handler_requests_total{code="500"} 0
promhttp_metric_handler_requests_total{code="503"} 0


0

Nelze bohuzel vzit pouze body odpovedi (volam to pres zabbix-agent2, ne pres HTTP agent), takze pro dalsi zpracovani se z toho snazim dostat 2 zpusoby, abych to pak mohl prevest do json:
1] "komplet" - vytahnuti body
1. regex - parametr: (\#[\s\S]*)   \1
2. regex - parametr ^[\s\S]*?(?=\n{2,})   \0
-> v preprocess testu to funguje, orizne to zacatek i konec, ale pri samotnem volani zabbixem to hlasi chybu pri 2. regexu

Kód: [Vybrat]

266951:20220630:135630.589 item "host.example.com:web.page.get[{$PROMETHEUS_EXPORTER_HOST},{$PROMETHEUS_EXPORTER_URL},{$PROMETHEUS_EXPORTER_PORT}]" became not supported: Preprocessing failed for: HTTP/1.1 200 OK..Connection: close..Transfer-Encoding: chunked..Content-Type: text/plain; version...
1. Result: # HELP go_gc_duration_seconds A summary of the pause duration of garbage collection cycles..# TYP...
2. Failed: cannot perform regular expression "^[\s\S]*?(?=\n{2,})" match for value of type "string": pattern does not match

-> pokud odstranim druhy krok, chybuje to na prvnim prazdnem radku po metrikach

2] "postfix only" - vytahnuti vsech radku obsahujici postfix_:
1. regex - parametr: ^(.*postfix_.*)$   \1
-> tentokrat chyba jiz pri testovani:

Kód: [Vybrat]

cannot perform regular expression "^(.*postfix_.*)$" match for value of type "string": pattern does not match

Nejaky napad?
Diky

19

Server / Monitoring PostgreSQL přes Zabbix

« kdy: 20. 06. 2022, 13:52:16 »

Ahoj,

pro postgresql pouzivam zabbix-agent2 s oficialni postgresql sablonou. Na jedne postgresql instanci mam cca 25 db, coz v kombinaci s zabbix-agent2 dela 25, spise skoro 50 spojeni, ktera se udrzuji.

Jak z toho ven? Treba netdata pouzivaji bulk sber dat, ale zase nemonitoruji v takovem rozsahu. Zna nekdo postgresql sablonu, ktera idealne pouziva bulk sber data? Jinak to totiz z principu monitoringu polozek zabbixu bude palit psql/load.

Nebo je dnes jedina cesta prometheus a spol.?

Diky

20

Server / Proxy s API pro nastavení přístupu uživatelem

« kdy: 03. 06. 2022, 09:23:33 »

Ahoj,

mam tu takovy specificky use-case - nova aplikace (vicemene webova) by potrebovala pristupovat na externi webove sluzby tak, jak si to nastavi zakaznik. Vzhledem k tomu, ze zatim jedeme politiku, kdy se ze serveru externi sluzby povoluji na vyzadani, tak to koliduje s tim, aby to nemusel nastavovat dev/sys. Nastaveni proxy s neomezenym pristupem do internetu a vyuziti v ramci aplikace zatim nekterym nevoni (vidi v tom bezpecnostni riziko).

Hledal jsem neco ve stylu proxy, ktere se da nastavovat pres api, ale snad krome par zminek, ze by squid umel db, jsem nenasel nic? Dalsi navrh byl, zda cast te aplikace nevystrcit mimo nasi infrastrukturu, tim bychom ze serveru povolili pristup jen na tu cast, a dal uz by to mohlo byt neomezene. Je to samozrejme slozitejsi na spravu apod. Treti variantou bylo pouzit proxy s dodatecnym konfig souborem, ktery se bude "aplikacne" upravovat a nejaky planovac by pak zavolal rekonfiguraci proxy.

Nevi nekdo nejake realne moznosti, ktere by takovyhle use case dobre resilo? Jde o to, ze zde neni automatizace, ktera by umoznovala uzivatelsky menit veci, ktere vyzaduji root pristup (sudo cestu zatim ponechme stranou).

Diky

21

Server / Více a více služeb loguje do journald a rsyslog zůstal

« kdy: 19. 04. 2022, 11:14:36 »

Ahoj,

tak nas po posledni aktualizaci serveru malem vypekl pgbouncer. Zapnuli tam defaultne logovani do journald, coz v kombinaci s rsyslog znamenalo, ze ty logy byly 4x...
1x specificky nastavena cesta v pgbounceru
1x journald
1x /var/log/messages
1x /var/log/syslog

Uzasny. Zatim jsem nouzove doplnil do override.conf:

Kód: [Vybrat]

[Service] #pgbouncer package version
LimitNOFILE=4096 #pgbouncer package version
StandardOutput=null #manual override
StandardError=null #manual override

Vypnout globalne journald se mi nezda jako vhodna cesta. Ale x-nasobneho logovani je smrtici...Vypinat to per sluzba je zase otravne hlidani, kdy to same zacne delat nejaka jina. Presunout kvuli tomu cely /var na samostatny oddil se mi velmi prici (treba z duvod zaloh blokovych disku).

Je nejake elegantnejsi reseni? V tuhle chvili asi muzu tak max volit mezi vypinani v rsyslog nebo v override dane sluzby...

22

Distribuce / Debian 11 - chybí /var/run/reboot-required

« kdy: 08. 04. 2022, 09:49:21 »

Ahoj,

zjistil jsem, ze mi chybi /var/run/reboot-required, ktery by mel byt vytvaren automaticky.  Je jedno, zda updatuju pres ansible, ci pres aptitude, proste chybi.

Nevi nekdo, co zkontrolovat? "needrestart -k" detekuje rozdil kernelu, ale pripadne resit, jak to dostat do ansible skriptu, je vetsi opruz...

23

Server / Kontejnerizace a různé pohledy

« kdy: 04. 04. 2022, 16:30:04 »

Ahoj,
budu ted testovat ruzne koncepty kontejnerizaci pro pripadne budouci firemni nasazeni. Nebude to v cloudu, takze k8s apod tu nehrozi.

Kazdopadne, mam tu vzorovy priklad jedne aplikace, kterou muzeme testovat bez toho, ze bychom ohrozili provoz/data. Zajimaly by mne zkusenosti z libovolnych smeru, zejmena principy nebo cesticky, co se ukazaly spatne.

Momentalne zkousim podman, standalone server. Clusterovy provoz zatim primo neresim, resim koncept administrace (CI/CD, pristup vyvojaru) a site. Zajimaly by mne zkusenosti z libovolnych smeru, zejmena principy nebo cesticky, co se ukazaly spatne.

Takze priklad je: kombinace pro jednu aplikaci je nginx + redis. Tech aplikaci je vice (ruzni zakaznici). Nginx je nyni VM, redis chceme kvuli automatizaci zkusit v kontejneru, nebot je to jednodussi nez automatizovat VM (zejmena zalozeni a vse kolem).. Z teto kombinace vychazi dva mozne smery:
1] nginx + redis v jednom subnetu - "zakaznik" v jednom
2] nginx v jednom subnetu, redis v druhem subnetu - subnet per typ sluzba (web, db, apod) pres vsechny zakazniky

Otazky mam zejmena tyto:
- pouziva nekdo uspesne nejaky typ administrace z hlediska principu podmanu? tzn. sluzby per uzivatel, oproti vsechny sluzby v monolitu dockeru
- ktera varianta je obecne lepsi, 1] ci 2]? Beru to i ve vztahu komunikacnich pruchodu (firewall apod) a oddeleni zakazniku.

Treba u siti mi bridge moc nevoni z hledisku pristupu na kontejnery z mimo kontejneroveho prostredi. Ale je pouziti macvlan pak ta spravna cesta? Aspon predpokladam, ze vetsina lidi provozuje kontejnery se stejnym typem sluzby na stejnem portu (tzn dedicated ip:port stejny) oproti (sdileny ip:ruzny port).

At uplne nemusim vymyslet cele kolo...
Diky.

24

Server / Přístup k logům mailserveru

« kdy: 22. 03. 2022, 11:39:08 »

Ahoj,

z duvodu kompletni prestavby naseho mailoveho reseni potrebuji vyresit pristup logum mailserverum, aby z nich mohla nase aplikace tahat data. Jde zejmena o maximalni spolehlivost.

Momentalni nastaveni je takove, ze na mailserveru bezi skripty, ktere parsuji logy a predavaji to zpracovatelskemu serveru. Na ten zpracovatelsky server jsou pak navazany nase dalsi aplikace. Tech mailovych serveru bude mnohem vice, takze overuji cestu, zda to parsovani logu nepresunout z mailserveru primo na zpracovatelsky. Otazkou je, ale jak zajistit spolehlivy pristup. Logy postfixu jsou navic nepristupne beznemu uzivateli

Varianty co me napadaji (styl veskery obsah logu, at si to pak prefiltruji vyvojari):
a] ssh omezeny na "cat mail.log" - pull
b] neco ve stylu filebeat apod.  - push

Mala komplikace je, ze napr. filebeat jiz pouzivam pro graylog. A graylog tu mame v rezimu - kdyz to bezi, fajn, kdyz ne, nic se nedeje. Takze napojeni zpracovatelskeho systemu na graylog neni vhodne a filebeat tedy nevyuziju.

Jeste me napadlo logovani primo do db z postfixu, ale to jsem nikdy nezkousel. Jde o to, aby i ten redeployment serveru byl jednodussi nez doted (kontejnery nevedeme).

Diky za napady.

25

Distribuce / Lze zablokovat instalaci další verze PHP?

« kdy: 15. 02. 2022, 10:18:47 »

Ahoj,

bezim servery s php7.4 z repozitare deb.sury.org. Verzi si ridim skrz ansible, jen jsem zatim neprisel na to, jak zablokovat out-of-box instalaci ruznych verzi pro danou verzi debianu. Tzn., skacou mi tam 5.6 ~ 8.1 verze momentalne.

Existuje moznost nastavit apt, aby videl jen tu 7.4 (plus max. default deb repo), resp, aby aspon nevidel ty "novejsi" verze? Starsi takovy problem nejsou, update-alternatives to drzi na te "nejnovejsi nainstalovane".

preferences.d/php:

Kód: [Vybrat]

Package: *
Pin: origin packages.sury.org
Pin-Priority: 450

26

Software / Chrome 98: nelze potvrdit průchod na TLS 1.0 a 1.1

« kdy: 07. 02. 2022, 11:57:40 »

Ahoj,

po upgrade na chrome a chromium 98 nelze preskocit varovani o starem tls. Mam to chapat, ze dle https://chromestatus.com/feature/5759116003770368 (M-98) to skutecne deaktivovali? Jde to pripadne nejak obejit v ramci chrome (napr. reinstalaci na enterprise verzi, atd.)?

27

Server / Reverzní proxy - jaké používáte checky?

« kdy: 15. 12. 2021, 15:26:30 »

Ahoj,

resim tu moznou zmenu zpusobu kontroly funkcniho weboveho backendu. Pokud nekdo zna zajimavy blog/clanek ohledne komplexnejsiho reseni, sem s tim. Momentalne pouzivam http check proti konkretni url. Z hediska risk managementu to neni uplne optimalni (ve smyslu rozdil mezi pingem, dostupnosti portu X, dostupnosti url, a hloubeji), tak padl dotaz tohoto typu:

Je mozne nastavit, aby v pripade, ze check backendu bude ve stavu FAIL a toto se stane na vice backendech, aby alespon jeden backend zustal pripojeny na proxy bez ohledu na to, zda je check OK ci FAIL? Tzn, aby proxy nevyradila veskere backendy z dane skupiny.

Umi to pripadne nejaky balancer? U haproxy jsem zatim na takovou moznost nenarazil.

Diky.

28

Distribuce / Debian 11 - keepalived s ipv6 po restartu OS jde do failure state

« kdy: 14. 12. 2021, 12:11:28 »

Ahoj,

po upgradu na debian 11 jsem objevil problem s keepalived, pokud je nakonfigurovana i ipv6. Sit je staticky konfigurovana pres systemd-networkd (GUA adresy)

Kód: [Vybrat]

[Match]
Name=ens18

[Network]
Address=SERVER_IPV6/64

[Route]
Gateway=GW_IPV6
PreferredSource=SERVER_IPV6

Vrrp blok pro ipv6 je takto (ipv4 ma stejny, pouze ipv4 adresy + spojeno v jedne vrrp_sync_group)

Kód: [Vybrat]

vrrp_instance V6 {
    interface ens18
    virtual_router_id 106
    unicast_src_ip SERVER_IPV6
    unicast_peer {
        PEER_SERVER_IPV6
    }
    priority 50
    virtual_ipaddress {
        VIRTUAL_SERVER_IPV6/64 dev ens18
    }
    track_process {
        track_haproxy
     }

Log po bootu

Kód: [Vybrat]

Dec 14 11:26:01 HOSTNAME systemd[1]: Started Network Service.
Dec 14 11:26:01 HOSTNAME systemd[1]: Reached target Network.
Dec 14 11:26:01 HOSTNAME systemd[1]: Reached target Network is Online.
Dec 14 11:26:01 HOSTNAME systemd-networkd[240]: ens20: Link UP
Dec 14 11:26:01 HOSTNAME systemd-networkd[240]: ens20: Gained carrier
Dec 14 11:26:01 HOSTNAME systemd-networkd[240]: ens19: Link UP
Dec 14 11:26:01 HOSTNAME systemd-udevd[250]: ethtool: autonegotiation is unset or enabled, the speed and duplex are not writable.
Dec 14 11:26:01 HOSTNAME systemd-networkd[240]: ens19: Gained carrier
Dec 14 11:26:01 HOSTNAME systemd-networkd[240]: ens18: Link UP
Dec 14 11:26:01 HOSTNAME systemd-networkd[240]: ens18: Gained carrier
...
Dec 14 11:26:01 HOSTNAME Keepalived[370]: Starting Keepalived v2.1.5 (07/13,2020)
Dec 14 11:26:01 HOSTNAME Keepalived[370]: Running on Linux 5.10.0-9-amd64 #1 SMP Debian 5.10.70-1 (2021-09-30) (built for Linux 5.8.14)
Dec 14 11:26:01 HOSTNAME Keepalived[370]: Command line: '/usr/sbin/keepalived' '--dont-fork'
Dec 14 11:26:01 HOSTNAME Keepalived[370]: Opening file '/etc/keepalived/keepalived.conf'.
Dec 14 11:26:01 HOSTNAME Keepalived[370]: NOTICE: setting config option max_auto_priority should result in better keepalived performance
Dec 14 11:26:01 HOSTNAME Keepalived[370]: Starting VRRP child process, pid=424
Dec 14 11:26:01 HOSTNAME Keepalived_vrrp[424]: Registering Kernel netlink reflector
Dec 14 11:26:01 HOSTNAME Keepalived_vrrp[424]: Registering Kernel netlink command channel
Dec 14 11:26:01 HOSTNAME Keepalived_vrrp[424]: Opening file '/etc/keepalived/keepalived.conf'.
Dec 14 11:26:01 HOSTNAME Keepalived_vrrp[424]: (V6) Changing effective priority from 50 to 150
Dec 14 11:26:01 HOSTNAME Keepalived_vrrp[424]: (V4) Changing effective priority from 50 to 150
Dec 14 11:26:01 HOSTNAME Keepalived_vrrp[424]: Registering gratuitous ARP shared channel
Dec 14 11:26:01 HOSTNAME Keepalived_vrrp[424]: Registering gratuitous NDISC shared channel
Dec 14 11:26:01 HOSTNAME Keepalived_vrrp[424]: bind unicast_src SERVER_IPV6 failed 99 - Cannot assign requested address
Dec 14 11:26:01 HOSTNAME Keepalived_vrrp[424]: (V6): entering FAULT state (src address not configured)
Dec 14 11:26:01 HOSTNAME Keepalived_vrrp[424]: (V6) Entering FAULT STATE
Dec 14 11:26:01 HOSTNAME Keepalived_vrrp[424]: VRRP_Group(V64) Syncing instances to FAULT state
Dec 14 11:26:01 HOSTNAME Keepalived_vrrp[424]: (V4) Entering FAULT STATE
...
Dec 14 11:26:02 HOSTNAME systemd-networkd[240]: ens18: Gained IPv6LL
Dec 14 11:26:02 HOSTNAME systemd-networkd[240]: ens19: Gained IPv6LL

Delaji to obe verze keepalived

Kód: [Vybrat]

keepalived:
  Installed: 1:2.1.5-0.2
  Candidate: 1:2.1.5-0.2
  Version table:
     1:2.2.4-0.2~bpo11+1 450
        450 http://ftp.cz.debian.org/debian bullseye-backports/main amd64 Packages
 *** 1:2.1.5-0.2 990
        990 http://ftp.cz.debian.org/debian bullseye/main amd64 Packages
        100 /var/lib/dpkg/status

Prozatim jsem to poresil pres "vrrp_startup_delay 5", ale existuje lepsi cesta, resp. fix? Nerad bych se zbavoval "unicast_src_ip" a "unicast_peer" (aby mi to nechodilo pres link-local atd.). Vypada to na nejake specifikum nastaveni ipv6 na interface oproti ipv4 (dle google).

Diky

29

Distribuce / Ansible + debian - security versus main repo bind9-dnsutils

« kdy: 01. 12. 2021, 11:26:25 »

Ahoj,

nejak mi unika tento pripad:

Kód: [Vybrat]

# apt-cache policy bind9-dnsutils
bind9-dnsutils:
  Installed: (none)
  Candidate: 1:9.16.15-1
  Version table:
     1:9.16.22-1~deb11u1 500
        500 http://security.debian.org/debian-security bullseye-security/main amd64 Packages
     1:9.16.15-1 990
        990 http://ftp.cz.debian.org/debian bullseye/main amd64 Packages

# apt-cache policy bind9-libs
bind9-libs:
  Installed: 1:9.16.22-1~deb11u1
  Candidate: 1:9.16.22-1~deb11u1
  Version table:
 *** 1:9.16.22-1~deb11u1 500
        500 http://security.debian.org/debian-security bullseye-security/main amd64 Packages
        100 /var/lib/dpkg/status
     1:9.16.15-1 990
        990 http://ftp.cz.debian.org/debian bullseye/main amd64 Packages

Kód: [Vybrat]

# apt install bind9-dnsutils
Reading package lists... Done
Building dependency tree... Done
Reading state information... Done
Some packages could not be installed. This may mean that you have
requested an impossible situation or if you are using the unstable
distribution that some required packages have not yet been created
or been moved out of Incoming.
The following information may help to resolve the situation:

The following packages have unmet dependencies:
 bind9-dnsutils : Depends: bind9-libs (= 1:9.16.15-1) but 1:9.16.22-1~deb11u1 is to be installed
E: Unable to correct problems, you have held broken packages.

Jinymi slovy, instalace bind9-dnsutils (debian repo) havaruje na tom, ze jeden z pozadovanych baliku je jiz nainstalovan v novejsi verzi (debian-security repo). Je videt, ze priorita pro debian-security je 500, pro hlavni repo 990.

Jak si s timhle poradit v ansible bez nutnosti definovat verzi bind9-dnsutils? Tim se totiz zrusi idempotency...


Diky

30

Sítě / Docker/k?s a vlan

« kdy: 02. 11. 2021, 13:34:45 »

Ahoj,

studuji nejake veci ohledne kontejnerizace a jednu vec mam velmi nejasnou. A to je nastaveni kontejneru ohledne vlan. Pro priklad uvadim standardni konfiguraci pro VM:
- proxmox ma bridge (treba vmbr1) nastaveny pres openvswitch
- VM dostane prirazenou virtualni sitovku na vmbr1 bridge + vlanid
- VM dostane pripadne dalsi virtualni sitovky na vmbr1 + vlanid
- sitovek muze byt 1~x

Tak a ted jak by to fungovalo v zakladnim dockeru? Pokud je docker ve VM, tak jak se resi kontejnerove site? Docker VM per vlanid nedava smysl. Hadam, ze to bude neco ve stylu udelat 1 macvlan per vlanid a danou macvlan namapovat na virtualni sitovku VM?