Zobrazit příspěvky

Tato sekce Vám umožňuje zobrazit všechny příspěvky tohoto uživatele. Prosím uvědomte si, že můžete vidět příspěvky pouze z oblastí Vám přístupných.


Témata - czechsys

Stran: 1 ... 3 4 [5] 6
61
Server / SPF záznam + include a parametr MX
« kdy: 18. 10. 2019, 10:55:36 »
Zdravim,

mam pro domenu domain.tld toto v DNS:

1] domain.tld in txt "v=spf1 mx include:_spf.domain.tld ~all"
2] _spf.domain.tld in txt "v= spf1 mx ip4:ip1 ip4:ip2 ... ip4:ipX ?all"

A ted...kdyz to prozenu spf kontrolou na mxtoolbox.com, tak oba zaznamy jsou v poradku. Kdyz to ale prozenu dmarcanalyzer.com spf kontrolou, tak to vyhodi:

a] spf pro domain.tld je v poradku
b] spf pro _spf.domain.tld -> Warning: No valid MX record found for the domain _spf.cortex.cz

Udajne kvuli tomu jednomu zakaznikovi nechodi emaily. Zakaznici si ve svych spf zaznamech includuji prave to _spf.domain.tld.

Existuje moznost, jak 1] a 2] zapsat tak, aby v 2] byl MX zaznam? Protoze pokud budu potrebovat pro nektereho zakaznika mit odlisny spf zaznam, tak v soucasnem stavu by to znamenalo, ze je mx paramter k nicemu, protoze se neda pouzit (je to jen txt, kdo tvrdi, ze to je skutecna domena??).

62
Hardware / HP a backplane s expanderem
« kdy: 04. 10. 2019, 16:48:12 »
Ahoj,

mam tu jednu HP DL360P G8 s 10x sff, takze backplane je s expanderem. Nevedel jsem, jak presne to maji udelany, ale plan byl, zapojit jeden sas port na interni p420i a druhy sas port na hba h220. A zde je kamen urazu...oproti 8x sff variante zde kazdy sas port vidi vsechny disky na backplane...cili:

8x sff:
sas port - p420i - vidi 4 sloty
sas port - h220 - vidi 4 sloty

10x sff:
sas port - p420i - vidi vsechny disky
sas port - h220 - vidi vsechny disky

Jde tomu nejak u te 10x sff zabranit, aby kazdy sas port videl jen danou skupinu disku, napr. 4+6 konfigurace?

Diky.

63
Server / Ansible - mount a chybějící modul
« kdy: 04. 10. 2019, 09:34:11 »
Ahoj,

pouzivam v ansible meta zavislosti v rolich. Mam tedy roli common, ktera spousti roli mounts, ktera namountuje prislusne adresare/disky podle parametru v host_vars. Problem je v tom, ze kdyz to mountovani vyzaduji dodatecny modul (nfs, samba, apod), tak tam ten modul jeste neni, nebot role pro instalaci (nfs,samba, apod) se spousti az pozdeji. Jak z toho ven? Instalovat to do "golden image" nema smysl kvuli rozdilnym potrebam. Defacto potrebuji aby v posloupnosti:
A]
(nfs, samba apod)
1] nainstaluj baliky pro sluzbu
2] nakonfiguruj mount point a aktivuj
3] nakonfiguruj zbytek sluzby

B]
(postgresql, apod)
1] nakonfiguruj mount point a aktivuj
2] nainstaluj baliky pro sluzbu

bylo mozne tu roli mounts zavolat. Jak je videt, jednou je potreba ji zavolat pred instalaci, jindy az po instalaci obsluznych programu sluzby. Jeste bych si umel predstavit, ze bych jednou mel "meta" a jindy "postrole" zavislosti, ale netusim jak. Nejaky tip?

Diky.

64
Server / Ceph failure scenario
« kdy: 18. 09. 2019, 09:24:37 »
Ahoj,

hraju si tu s cephem (PVE6/nautilus) v konfiguraci 3x pve node, kazdy node obsahuje mgr, mon, 2x OSD. Ceph backend je pres mesh na 10G siti, frontend pouziva 10G v lacp. Testovaci VM bezi na jednom z techto nodu.

A ted testovany scenar - tvrdy vypadek jednoho node. Behem testu bezel randrw fio na jedne VM, aby bylo videt, co to udela s diskem v cephu. Tvrdy vypadek node zpusobi, ze iowaity jsou na 100% zhruba 20+ sekund, cili zrejme tam uraduje defaultni "osd_hearbeat_grace = 20" a "osd_hearbeat_interval = 6". Pouziva to nekdo v takovehle konfiguraci, nebo to ma prenastaveny? Myslel jsem, ze preklopeni na sekundarni OSD/pgs je v ramci male chvile, takze me odstavka disku pro cely cluster v tak dlouhe dobe prekvapuje...

Diky.

65
Server / Distribuce certifikátů Let's Encrypt pomocí Ansible
« kdy: 11. 09. 2019, 10:08:35 »
Ahoj,

mam naimplementovanou distribuci certifikatu pro TLS sluzby. Jenze mam problem, jak tohle udelat v pripade letsencrypt automaticky. Kdybych mel puppet, tak by si z hlediska klienta sam overoval, zda ma shodne soubory jako na cetralnim node, ale jak tohle udelat v ansible? Rad bych se vyhnul vsemoznym cron/syncthing apod metodam nastavenych primo na danych serverech. Metoda by byla dns-01 (http-01 je nepouzitelna v tomhle rozsahu). Jenze to, jake certifikaty ktera sluzba potrebuje, mam defaultne definovane v ramci group_vars/project, ale ne v ramci host_vars/fqdn, coz to dela slozitejsi.

Jake je rozmne reseni? Uzuz jsem rozhodnut pro zakoupeni potrebneho wildcard certfikatu, ktery pokryje problem vyse, ale to vyresi jen danou (sub)domenu.

Diky.

66
Server / Haproxy check backend
« kdy: 11. 09. 2019, 09:29:43 »
Caus,

zkousim novou Haproxy 2.0.x s vyuzitim http/2 na backendech. Pro http/1.1 pouzivam:

Kód: [Vybrat]
option httpchk HEAD / HTTP/1.1\r\n\Host:\ neco.domain.tld\r\nUser-Agent:\ hostname

do "server" parametru jsem pridal volby
Kód: [Vybrat]
alpn h2,http/1.1

Pokud nahradim HTTP/1.1 za HTTP/2.0 v HEAD, tak mi proxy funguje proti nginx bez http/2. Jakmile ale na nginx zapnu http/2, tak dostavam v checku L7RSP a backendy se odpoji. Jak spravne napsat check pro http/2? A je lepsi varianta, jak checkovat backendy? V tomhle pripade vyuzivam, ze mi to totiz projede i funkcnost php i dostupnost zdrojovych kodu.

Diky.

67
Hardware / Tip na 12+ LFF server
« kdy: 03. 09. 2019, 16:09:59 »
Ahoj,

uz jsme meli vyhlednuto HP DL380(e/p) G8, ale zastavilo nas to, ze podle vsemoznych obrazku apod. je pouze 8 disku pripojeno na SAS radice pres SFFxxxx, zbytek je jinymi kabely/konektory, nelze je tedy pripojit pro vyuziti HW sifrovani u P430 apod. (rad bych se pletl...)

Je nejaky Dell (R710/720 apod.) nebo standardne sehnatelny refurbished server, ktery by v cenove relaci te G8 (~30k czk) splnoval tyto podminky:

1] 12+ LFF
2] vsechny backplane disky pripojeni na standardni radice (raid, hba) stejnym konektorem

Kdyby to i umelo HW sifrovani jako Secure Encryption u HP P430 (nevyzaduje SED disky), bylo by to super. Ale stacilo by nam i SW sifrovani pres luks2 ci primo v zfs.

G9 nam uz financne tak dobre nevychazi i z duvodu DDR4.

Diky.

68
Server / Výkon NFS nad Cephem
« kdy: 26. 08. 2019, 18:03:23 »
Ahoj,

testuju minimalni redundantni reseni hyperconverged reseni PVE6 + Ceph. Presne je to popsane v https://forum.proxmox.com/threads/nfs-vm-over-ceph.57227/ . Zajimalo by me, zda ma nekdo pristup k nejakemu mensimu clusteru a mohl by mi udelat pro srovnani ty fio testy - cekal jsem mensi vykon nez u DRBD, ale ne az tak hrozny, ze nfs bude defacto nepouzitelne.

Kdyby byly nejake pripominky, tak sem s nimi. Ten test je delany proto, aby se odhadlo, zda vubec bude mit smysl kupovat obdobny HW (levnejsi starsi HW ve vice kusech) pro takovy cluster v 3/2 setupu a 3-4 node s mensim poctem disku (max 2-4 per node).

Diky

69
Ahoj,

mam tu prvni pripad, kdy se na jednom serveru potkaji dve sluzby stejneho typu v apache2. Takze konfigurace je asi takto:
Kód: [Vybrat]
#/env/prod/group_vars/project1:
project_uid: "1"

#/env/prod/group_vars/project2:
project_uid: "2"

#/env/prod/hosts
[project1]
fqdn

[project2]
fqdn

Na "fqdn" jsou tedy vhosty projekt1 a projekt2. Kdyz zavolam:
Kód: [Vybrat]
ansible-playbook -i /env/prod/ -l project1 apache2.ymlplaybook se provede spravne. Kdyz ale zavolam
Kód: [Vybrat]
ansible-playbook -i /env/prod/ -l project2 apache2.ymlpromenne jsou stale z group_vars/project1.

Kde je chyba a jak to zmenit, aby to fungovalo samostatne i "sdilene"?

Diky.

70
Server / Samba AD bitlocker
« kdy: 02. 08. 2019, 13:35:58 »
Ahoj,

mam samba4 ve verzi distribuce Debian8 (4.2) jako AD. Nemuzu ale zprovoznit Bitlocker tab na objektech - funguje to nekomu?

Druha vec, nejak se mi ztratil atribut msFVE-RecoveryPassword. Pokud si dobre pamatuji, byl videt v seznamu atributu, resp. pres LdapExplorer jsem se k nemu taky dostal. Nyni ale nemuzu ani overit, zda se tam skutecne uklada. Z windows spusteny "manage-bde -adbackup ..." oznami, ze to bylo uspesne ulozene do AD, ale potreboval bych to videt. Jak?

Diky.

71
Server / Plánovač serverových údržbových oken
« kdy: 01. 08. 2019, 10:57:49 »
Caus,

nevite nekdo o necem sikovnem, co by se dalo pouzit na planovani udrzby serveru? At nevymyslim znova kolo? I kdyby to bylo soucasti neceho, co by tvorilo dynamicky seznam serveru apod. (cmdb). Kdyby to umelo i takove veci, ze dany server neni zarazen do nejakeho planovaci okna, tak by to bylo super.

Diky.

72
Server / Plánovač aktualizací
« kdy: 31. 07. 2019, 17:19:12 »
Ahoj,

nevite o nejakem software, pomoci ktereho by se dalo delat planovani aktualizaci? Predstava je takovato, software by mel k dispozici nejaky inventar serveru a na zaklade nejakych parametru (nebo rucni volby) by sestavil seznam serveru, kterych by se tykala aktualizace a priradilo se to k nejakemu datumu. Jako kdyby se exportovalo kus CMDB, kde kdyz clovek vybere server X a on obsahuje nejaka VM, tak aby se to do exportu dostalo. Hledam ted obecne, az na zaklade moznych reseni bych dokazal specifikovat dotazy do googlu. Mam napr. servery v phpipam, zaroven v Ansible, ale treba dedicnost (prirazeni) dane VM k danemu serveru/clusteru tam navazane nemam...

Diky

73
Software / Ansible - změna statusu tasku a restarty služby
« kdy: 25. 07. 2019, 10:45:47 »
Ahoj,

badam nad timhle...mam treba netdata, a a konfiguruji v X souborech parametry dle daneho stroje. Kazdy soubor ma tedy svuj vlastni task (vse je v jednom .yml). A tedka...

1] nakonfiguruji netdata.conf -> register X
2] nakonfiguruji nginx.conf -> register Y

Rad bych restartoval sluzbu pouze jednou (reload neni u kazde sluzby pouzitelny). Muzu tedy udelat:

1] restart service, when: X is changed and Y is changed atd.
-> je tam prilis mnoho parametru
2] pouzit handler za kazdym taskem
-> prilis mnoho zbytecnych restartu

Jak z toho ven? Napr. ted tam ma 10x register a to je jen cast. Nejaka funkcni varianta, ktera by zareagovala na zmenu libovolneho tasku v danem playbooku (resp. taskbooku, je to v roli), nebo sla nejak pouzit specificka promenna, ktera by se nezmenila na puvodni stav? Ted me napada napr...

na zacatku celeho tastkbooku nastavit promennou result na False treba...ale jak ji zmenit na True, pokud task bude ve stavu "changed"?

74
Software / Ansible a připojení na repozitáře přes proxy
« kdy: 24. 07. 2019, 10:48:56 »
Ahoj,

mam tu takovy stupidni problem se stupidnimi repozitary. V tomhle pripade se jedna o gitlab-runner repo. Oficialne sidli na packages.gitlab.com, ale apt se snazi pripojit na $random.cloudfront.net

A ted komplikace s ansible/apt-dater. Snaha je jit s apt bez pouziti proxy. S tim neni problem. Problem je, ze povolit cloudfront.net obecne pro servery je ...riziko. Takze jsem udelal odbocku, ktera pri pristupu na gitlab pouzije proxy, pro zbytek naprimo. No a to je problem.

Acquire::http::proxy neakceptuje *.cloudfront.net. Samotny cloudfront.net taky neprojde.

V ansible si sice muzu proxy pro dany task nastavit, ale! pokud zustane v sources.list.d odkaz na ten repozitar, tak apt-dater spadne na nemoznosti pristupu (nepusti se to pres fw, viz riziko vyse). Pokud ten odkaz budu zapinat/vypinat, tak zase apt-dater neuvidi updaty a musel bych to updatovat pres ansible popr. vzdy predtim/potom zapnout/vypnout.

Pokud budu mit vice repozitaru chovajici se takhle, tak jsem v pytli. Nema nekdo elegantni reseni? Jak jsem rekl, tahat cele pres proxy se mi to moc nechce...

75
Software / Ansible - jak sparovat hosty s playbookem?
« kdy: 02. 07. 2019, 10:52:48 »
Ahoj,

jak spustit playbooky podle urcitych kriterii vim. Ale nad cim badam...

Ve vzorove dokumentaci adresaroveho stromu jsou soubory typu site.yml, database.yml, webserver.yml  apod. Me by zajimalo, jak kdybych chtel spustit napr. site.yml, co v nem vlastne je? Je to:

1] specific_server.yml  s tasky pro konfiguraci
2] specific_site.yml s tasky pro konfiguraci 1 a vice hostu - vyuziti group_vars (pro dany projekt), nastaveni host (nebo se vsude pouziva all a limituje se to v cli?)
3] site.yml s tasky pro konfiguraci celeho environmentu

Resp...ted muzu omylem pustit webserver.yml vuci db serveru, sice to padne na chybejicich promennych v host_vars, pokud nejsou definovany i defaultne, ale obecne to udela nejake zmeny. Jake metody se tedy pouzivaji k ochrane (mimo AWX apod.) v pripade statickeho inventare? Vylucovat kazdou skupinu serveru je neefektivni.

Diky.

Stran: 1 ... 3 4 [5] 6