Zobrazit příspěvky

Tato sekce Vám umožňuje zobrazit všechny příspěvky tohoto uživatele. Prosím uvědomte si, že můžete vidět příspěvky pouze z oblastí Vám přístupných.


Témata - czechsys

Stran: 1 ... 3 4 [5] 6
61
Server / Ansible - netdata a php-fpm status
« kdy: 21. 11. 2019, 16:17:49 »
Ahoj,

hledam inspiraci. Mam na webserverch php-fpm per uzivatel, takze netdata je automaticky nezdetekuji. Takze je musim do konfigu generovat. Ale vzhledem k tomu, ze nemuzu pouzivat group_vars, tak nelze tak snadno zjistit promenne pro vytvoreni url...Rekneme ze
Kód: [Vybrat]
pm.status_path = php-status-$pool

Ten $pool odpovida "project_username", pod kterym to php-fpm bezi. A ted jak ho ziskat?

1] prohledat /etc/php/X.Y/fpm/pool.d/*, vyextrahovat pm.status_path?
2] zjistit, do jakych skupin v inventory spada dany server a pak nasledne sparovat s "vars/project_username.yml"? Ta vazba mi ale pripada nejista (stromova struktura skupin)
3] ??

Je to obdobny pripad, jako kdyz bych chtel menit certifikaty napr. pro nginx - ta role "certificates" nevi sama o sobe (nema seznam), kde je jaky certifikat, certifikaty se sparuji pri spusteni role "nginx" v ramci "projekt.yml".

Vzhledem k tomu, ze ty parametry nejsou v databazi, tak se mi moc ty seznamy delat nechce, takze propaguju nastaveni projektu skrz projektovy varfile, nez to definovat na urovni host_vars.

Diky

62
Server / Rspamd - když není ClamAV dostupný, propustí email
« kdy: 04. 11. 2019, 15:02:00 »
Ahoj,

zatim jsem narazil na jednu issue na gitu rspamd ohledne tohoto, pry az nekdy ve v2 pokud vubec. Nema nekdo rspamd nasazeny? Rad bych, aby clamav byl ovladany pres rspamd (jednodussi konfig nez postfix/amavis), ale nevim jak se vyhnout tomu, ze kdyz neni clamav na IP/portu dostupny, tak aby ho rspamd nepustil dale...Jedine, co me napada, je mit restransmision na vysokem cisle - existuje nekonecno/time limit?

Jak na to?
Diky

63
Server / Ansible - update baličků z backportu
« kdy: 22. 10. 2019, 11:40:43 »
Caus,

mam tyhle konfigy:

server:
Kód: [Vybrat]
/etc/apt/preferences.d/preferences
Package: *
Pin: release a=buster-backports
Pin-Priority: 450

ansible:
Kód: [Vybrat]
---
- name: Install haproxy packages
  apt:
   name: "{{ haproxy_packages }}"
   state: present
   update_cache: true
  tags: haproxy_packages

Pri spusteni tohoto tasku doslo k upgradu stable verze haproxy v Deb 10 z 1.8.x na 2.0.x z backportu. Pritom podle priority by mel byt preferovan stable. V host_vars pro dany server bylo:
Kód: [Vybrat]
haproxy_version="*"Je mozny, ze to prebilo prioritu v aptu a proc? Cekal jsem, ze to bude drzet maximalni stable verzi (aneb, priprava, pokud by to muselo byt v presne dane verzi).

Diky.

64
Sítě / Proxmox a více switchů
« kdy: 21. 10. 2019, 11:13:50 »
Ahoj,

zkousim tu nove nastaveni nasi site a znamena to zmenu z hlediska konfigurace site pro Proxmox. Nas bezny postup byl:

2x fyzicka linka ze switche popr. stacku -> lacp -> proxmox -> openvswitch -> bridge/ovsporty(mgmt, corosync apod s prislusnou vlan)

Toto reseni umoznilo pridavat vlany pouze na hw switchi a pak jiz nastavit v konfiguraci VM (openvswitch bridge).

Nyni tu mam ale 2 switche misto ve stacku v routovacim setupu. Bezny lacp/stp ze serveru tedy nemuzu udelat (active-backup linky nechci). Ma nekdo vzorovou konfiguraci, jak zajistit stejnou funkcionalitu jako v uvedenem priklade? At uz ve forme openvswitch/native linux. Potrebuji se hlavne vyhnout nutnosti upravovat sitovou konfiguraci na proxmox hostech kvuli pridani dalsi a dalsi vlan.

Diky

65
Server / SPF záznam + include a parametr MX
« kdy: 18. 10. 2019, 10:55:36 »
Zdravim,

mam pro domenu domain.tld toto v DNS:

1] domain.tld in txt "v=spf1 mx include:_spf.domain.tld ~all"
2] _spf.domain.tld in txt "v= spf1 mx ip4:ip1 ip4:ip2 ... ip4:ipX ?all"

A ted...kdyz to prozenu spf kontrolou na mxtoolbox.com, tak oba zaznamy jsou v poradku. Kdyz to ale prozenu dmarcanalyzer.com spf kontrolou, tak to vyhodi:

a] spf pro domain.tld je v poradku
b] spf pro _spf.domain.tld -> Warning: No valid MX record found for the domain _spf.cortex.cz

Udajne kvuli tomu jednomu zakaznikovi nechodi emaily. Zakaznici si ve svych spf zaznamech includuji prave to _spf.domain.tld.

Existuje moznost, jak 1] a 2] zapsat tak, aby v 2] byl MX zaznam? Protoze pokud budu potrebovat pro nektereho zakaznika mit odlisny spf zaznam, tak v soucasnem stavu by to znamenalo, ze je mx paramter k nicemu, protoze se neda pouzit (je to jen txt, kdo tvrdi, ze to je skutecna domena??).

66
Hardware / HP a backplane s expanderem
« kdy: 04. 10. 2019, 16:48:12 »
Ahoj,

mam tu jednu HP DL360P G8 s 10x sff, takze backplane je s expanderem. Nevedel jsem, jak presne to maji udelany, ale plan byl, zapojit jeden sas port na interni p420i a druhy sas port na hba h220. A zde je kamen urazu...oproti 8x sff variante zde kazdy sas port vidi vsechny disky na backplane...cili:

8x sff:
sas port - p420i - vidi 4 sloty
sas port - h220 - vidi 4 sloty

10x sff:
sas port - p420i - vidi vsechny disky
sas port - h220 - vidi vsechny disky

Jde tomu nejak u te 10x sff zabranit, aby kazdy sas port videl jen danou skupinu disku, napr. 4+6 konfigurace?

Diky.

67
Server / Ansible - mount a chybějící modul
« kdy: 04. 10. 2019, 09:34:11 »
Ahoj,

pouzivam v ansible meta zavislosti v rolich. Mam tedy roli common, ktera spousti roli mounts, ktera namountuje prislusne adresare/disky podle parametru v host_vars. Problem je v tom, ze kdyz to mountovani vyzaduji dodatecny modul (nfs, samba, apod), tak tam ten modul jeste neni, nebot role pro instalaci (nfs,samba, apod) se spousti az pozdeji. Jak z toho ven? Instalovat to do "golden image" nema smysl kvuli rozdilnym potrebam. Defacto potrebuji aby v posloupnosti:
A]
(nfs, samba apod)
1] nainstaluj baliky pro sluzbu
2] nakonfiguruj mount point a aktivuj
3] nakonfiguruj zbytek sluzby

B]
(postgresql, apod)
1] nakonfiguruj mount point a aktivuj
2] nainstaluj baliky pro sluzbu

bylo mozne tu roli mounts zavolat. Jak je videt, jednou je potreba ji zavolat pred instalaci, jindy az po instalaci obsluznych programu sluzby. Jeste bych si umel predstavit, ze bych jednou mel "meta" a jindy "postrole" zavislosti, ale netusim jak. Nejaky tip?

Diky.

68
Server / Ceph failure scenario
« kdy: 18. 09. 2019, 09:24:37 »
Ahoj,

hraju si tu s cephem (PVE6/nautilus) v konfiguraci 3x pve node, kazdy node obsahuje mgr, mon, 2x OSD. Ceph backend je pres mesh na 10G siti, frontend pouziva 10G v lacp. Testovaci VM bezi na jednom z techto nodu.

A ted testovany scenar - tvrdy vypadek jednoho node. Behem testu bezel randrw fio na jedne VM, aby bylo videt, co to udela s diskem v cephu. Tvrdy vypadek node zpusobi, ze iowaity jsou na 100% zhruba 20+ sekund, cili zrejme tam uraduje defaultni "osd_hearbeat_grace = 20" a "osd_hearbeat_interval = 6". Pouziva to nekdo v takovehle konfiguraci, nebo to ma prenastaveny? Myslel jsem, ze preklopeni na sekundarni OSD/pgs je v ramci male chvile, takze me odstavka disku pro cely cluster v tak dlouhe dobe prekvapuje...

Diky.

69
Server / Distribuce certifikátů Let's Encrypt pomocí Ansible
« kdy: 11. 09. 2019, 10:08:35 »
Ahoj,

mam naimplementovanou distribuci certifikatu pro TLS sluzby. Jenze mam problem, jak tohle udelat v pripade letsencrypt automaticky. Kdybych mel puppet, tak by si z hlediska klienta sam overoval, zda ma shodne soubory jako na cetralnim node, ale jak tohle udelat v ansible? Rad bych se vyhnul vsemoznym cron/syncthing apod metodam nastavenych primo na danych serverech. Metoda by byla dns-01 (http-01 je nepouzitelna v tomhle rozsahu). Jenze to, jake certifikaty ktera sluzba potrebuje, mam defaultne definovane v ramci group_vars/project, ale ne v ramci host_vars/fqdn, coz to dela slozitejsi.

Jake je rozmne reseni? Uzuz jsem rozhodnut pro zakoupeni potrebneho wildcard certfikatu, ktery pokryje problem vyse, ale to vyresi jen danou (sub)domenu.

Diky.

70
Server / Haproxy check backend
« kdy: 11. 09. 2019, 09:29:43 »
Caus,

zkousim novou Haproxy 2.0.x s vyuzitim http/2 na backendech. Pro http/1.1 pouzivam:

Kód: [Vybrat]
option httpchk HEAD / HTTP/1.1\r\n\Host:\ neco.domain.tld\r\nUser-Agent:\ hostname

do "server" parametru jsem pridal volby
Kód: [Vybrat]
alpn h2,http/1.1

Pokud nahradim HTTP/1.1 za HTTP/2.0 v HEAD, tak mi proxy funguje proti nginx bez http/2. Jakmile ale na nginx zapnu http/2, tak dostavam v checku L7RSP a backendy se odpoji. Jak spravne napsat check pro http/2? A je lepsi varianta, jak checkovat backendy? V tomhle pripade vyuzivam, ze mi to totiz projede i funkcnost php i dostupnost zdrojovych kodu.

Diky.

71
Hardware / Tip na 12+ LFF server
« kdy: 03. 09. 2019, 16:09:59 »
Ahoj,

uz jsme meli vyhlednuto HP DL380(e/p) G8, ale zastavilo nas to, ze podle vsemoznych obrazku apod. je pouze 8 disku pripojeno na SAS radice pres SFFxxxx, zbytek je jinymi kabely/konektory, nelze je tedy pripojit pro vyuziti HW sifrovani u P430 apod. (rad bych se pletl...)

Je nejaky Dell (R710/720 apod.) nebo standardne sehnatelny refurbished server, ktery by v cenove relaci te G8 (~30k czk) splnoval tyto podminky:

1] 12+ LFF
2] vsechny backplane disky pripojeni na standardni radice (raid, hba) stejnym konektorem

Kdyby to i umelo HW sifrovani jako Secure Encryption u HP P430 (nevyzaduje SED disky), bylo by to super. Ale stacilo by nam i SW sifrovani pres luks2 ci primo v zfs.

G9 nam uz financne tak dobre nevychazi i z duvodu DDR4.

Diky.

72
Server / Výkon NFS nad Cephem
« kdy: 26. 08. 2019, 18:03:23 »
Ahoj,

testuju minimalni redundantni reseni hyperconverged reseni PVE6 + Ceph. Presne je to popsane v https://forum.proxmox.com/threads/nfs-vm-over-ceph.57227/ . Zajimalo by me, zda ma nekdo pristup k nejakemu mensimu clusteru a mohl by mi udelat pro srovnani ty fio testy - cekal jsem mensi vykon nez u DRBD, ale ne az tak hrozny, ze nfs bude defacto nepouzitelne.

Kdyby byly nejake pripominky, tak sem s nimi. Ten test je delany proto, aby se odhadlo, zda vubec bude mit smysl kupovat obdobny HW (levnejsi starsi HW ve vice kusech) pro takovy cluster v 3/2 setupu a 3-4 node s mensim poctem disku (max 2-4 per node).

Diky

73
Ahoj,

mam tu prvni pripad, kdy se na jednom serveru potkaji dve sluzby stejneho typu v apache2. Takze konfigurace je asi takto:
Kód: [Vybrat]
#/env/prod/group_vars/project1:
project_uid: "1"

#/env/prod/group_vars/project2:
project_uid: "2"

#/env/prod/hosts
[project1]
fqdn

[project2]
fqdn

Na "fqdn" jsou tedy vhosty projekt1 a projekt2. Kdyz zavolam:
Kód: [Vybrat]
ansible-playbook -i /env/prod/ -l project1 apache2.ymlplaybook se provede spravne. Kdyz ale zavolam
Kód: [Vybrat]
ansible-playbook -i /env/prod/ -l project2 apache2.ymlpromenne jsou stale z group_vars/project1.

Kde je chyba a jak to zmenit, aby to fungovalo samostatne i "sdilene"?

Diky.

74
Server / Samba AD bitlocker
« kdy: 02. 08. 2019, 13:35:58 »
Ahoj,

mam samba4 ve verzi distribuce Debian8 (4.2) jako AD. Nemuzu ale zprovoznit Bitlocker tab na objektech - funguje to nekomu?

Druha vec, nejak se mi ztratil atribut msFVE-RecoveryPassword. Pokud si dobre pamatuji, byl videt v seznamu atributu, resp. pres LdapExplorer jsem se k nemu taky dostal. Nyni ale nemuzu ani overit, zda se tam skutecne uklada. Z windows spusteny "manage-bde -adbackup ..." oznami, ze to bylo uspesne ulozene do AD, ale potreboval bych to videt. Jak?

Diky.

75
Server / Plánovač serverových údržbových oken
« kdy: 01. 08. 2019, 10:57:49 »
Caus,

nevite nekdo o necem sikovnem, co by se dalo pouzit na planovani udrzby serveru? At nevymyslim znova kolo? I kdyby to bylo soucasti neceho, co by tvorilo dynamicky seznam serveru apod. (cmdb). Kdyby to umelo i takove veci, ze dany server neni zarazen do nejakeho planovaci okna, tak by to bylo super.

Diky.

Stran: 1 ... 3 4 [5] 6