Příspěvky

166

Server / Re:Reverzni proxy - jake pouzivate checky?

« kdy: 15. 12. 2021, 16:55:42 »

Je mozne nastavit, aby v pripade, ze check backendu bude ve stavu FAIL a toto se stane na vice backendech, aby alespon jeden backend zustal pripojeny na proxy bez ohledu na to, zda je check OK ci FAIL? Tzn, aby proxy nevyradila veskere backendy z dane skupiny.

Vy rovnou navrhujete řešení. Lepší by bylo napsat, jaký problém řešíte. Možná je dobré řešení úplně jiné než to, co navrhujete. Např. nginx má pro servery příznak backup, kterým můžete označit záložní servery, které se použijí v případě, kdy není žádný z primárních serverů dostupný. Což se používá pro servírování ochuzených stránek nebo lepších chybových stránek v případě, kdy celý backend selže. Možná je to řešení vašeho problému.

Problem je snad jasny ne? Jednoducha demonstrace pomoci pingu:
1] kazdy backend v danem poolu je kontrolovan pingem
2] z nejakeho duvodu prestane ping fungovat (napr. nedomyslena uprava na FW)
3] kontroly na proxy selzou pro vsechny backendy -> odpojeni vsech backendu

Ale pritom aplikace je funkcni.

Backup parametr mi nepripada jako rozumne reseni takoveho problemu.

167

Server / Reverzní proxy - jaké používáte checky?

« kdy: 15. 12. 2021, 15:26:30 »

Ahoj,

resim tu moznou zmenu zpusobu kontroly funkcniho weboveho backendu. Pokud nekdo zna zajimavy blog/clanek ohledne komplexnejsiho reseni, sem s tim. Momentalne pouzivam http check proti konkretni url. Z hediska risk managementu to neni uplne optimalni (ve smyslu rozdil mezi pingem, dostupnosti portu X, dostupnosti url, a hloubeji), tak padl dotaz tohoto typu:

Je mozne nastavit, aby v pripade, ze check backendu bude ve stavu FAIL a toto se stane na vice backendech, aby alespon jeden backend zustal pripojeny na proxy bez ohledu na to, zda je check OK ci FAIL? Tzn, aby proxy nevyradila veskere backendy z dane skupiny.

Umi to pripadne nejaky balancer? U haproxy jsem zatim na takovou moznost nenarazil.

Diky.

168

Distribuce / Re:Debian 11 - keepalived s ipv6 po restartu OS jde do failure state

« kdy: 14. 12. 2021, 12:44:51 »

Vypada to na tento bug https://github.com/acassen/keepalived/issues/1972, fixnuto z konce srpna, v backports repozitari debianu je 2.2.4 pridana 6.12., akorat z toho nepoznam, zda to ten fix obsahuje ci ne...

Kdyztak tipy na pripadny jiny spolehlivy balancer, co by umel kontrolovat, ze sluzba bezi, snadno konfigurovatelny vcetne testu konfigurace - proste zakladni veci...

169

Distribuce / Debian 11 - keepalived s ipv6 po restartu OS jde do failure state

« kdy: 14. 12. 2021, 12:11:28 »

Ahoj,

po upgradu na debian 11 jsem objevil problem s keepalived, pokud je nakonfigurovana i ipv6. Sit je staticky konfigurovana pres systemd-networkd (GUA adresy)

Kód: [Vybrat]

[Match]
Name=ens18

[Network]
Address=SERVER_IPV6/64

[Route]
Gateway=GW_IPV6
PreferredSource=SERVER_IPV6

Vrrp blok pro ipv6 je takto (ipv4 ma stejny, pouze ipv4 adresy + spojeno v jedne vrrp_sync_group)

Kód: [Vybrat]

vrrp_instance V6 {
    interface ens18
    virtual_router_id 106
    unicast_src_ip SERVER_IPV6
    unicast_peer {
        PEER_SERVER_IPV6
    }
    priority 50
    virtual_ipaddress {
        VIRTUAL_SERVER_IPV6/64 dev ens18
    }
    track_process {
        track_haproxy
     }

Log po bootu

Kód: [Vybrat]

Dec 14 11:26:01 HOSTNAME systemd[1]: Started Network Service.
Dec 14 11:26:01 HOSTNAME systemd[1]: Reached target Network.
Dec 14 11:26:01 HOSTNAME systemd[1]: Reached target Network is Online.
Dec 14 11:26:01 HOSTNAME systemd-networkd[240]: ens20: Link UP
Dec 14 11:26:01 HOSTNAME systemd-networkd[240]: ens20: Gained carrier
Dec 14 11:26:01 HOSTNAME systemd-networkd[240]: ens19: Link UP
Dec 14 11:26:01 HOSTNAME systemd-udevd[250]: ethtool: autonegotiation is unset or enabled, the speed and duplex are not writable.
Dec 14 11:26:01 HOSTNAME systemd-networkd[240]: ens19: Gained carrier
Dec 14 11:26:01 HOSTNAME systemd-networkd[240]: ens18: Link UP
Dec 14 11:26:01 HOSTNAME systemd-networkd[240]: ens18: Gained carrier
...
Dec 14 11:26:01 HOSTNAME Keepalived[370]: Starting Keepalived v2.1.5 (07/13,2020)
Dec 14 11:26:01 HOSTNAME Keepalived[370]: Running on Linux 5.10.0-9-amd64 #1 SMP Debian 5.10.70-1 (2021-09-30) (built for Linux 5.8.14)
Dec 14 11:26:01 HOSTNAME Keepalived[370]: Command line: '/usr/sbin/keepalived' '--dont-fork'
Dec 14 11:26:01 HOSTNAME Keepalived[370]: Opening file '/etc/keepalived/keepalived.conf'.
Dec 14 11:26:01 HOSTNAME Keepalived[370]: NOTICE: setting config option max_auto_priority should result in better keepalived performance
Dec 14 11:26:01 HOSTNAME Keepalived[370]: Starting VRRP child process, pid=424
Dec 14 11:26:01 HOSTNAME Keepalived_vrrp[424]: Registering Kernel netlink reflector
Dec 14 11:26:01 HOSTNAME Keepalived_vrrp[424]: Registering Kernel netlink command channel
Dec 14 11:26:01 HOSTNAME Keepalived_vrrp[424]: Opening file '/etc/keepalived/keepalived.conf'.
Dec 14 11:26:01 HOSTNAME Keepalived_vrrp[424]: (V6) Changing effective priority from 50 to 150
Dec 14 11:26:01 HOSTNAME Keepalived_vrrp[424]: (V4) Changing effective priority from 50 to 150
Dec 14 11:26:01 HOSTNAME Keepalived_vrrp[424]: Registering gratuitous ARP shared channel
Dec 14 11:26:01 HOSTNAME Keepalived_vrrp[424]: Registering gratuitous NDISC shared channel
Dec 14 11:26:01 HOSTNAME Keepalived_vrrp[424]: bind unicast_src SERVER_IPV6 failed 99 - Cannot assign requested address
Dec 14 11:26:01 HOSTNAME Keepalived_vrrp[424]: (V6): entering FAULT state (src address not configured)
Dec 14 11:26:01 HOSTNAME Keepalived_vrrp[424]: (V6) Entering FAULT STATE
Dec 14 11:26:01 HOSTNAME Keepalived_vrrp[424]: VRRP_Group(V64) Syncing instances to FAULT state
Dec 14 11:26:01 HOSTNAME Keepalived_vrrp[424]: (V4) Entering FAULT STATE
...
Dec 14 11:26:02 HOSTNAME systemd-networkd[240]: ens18: Gained IPv6LL
Dec 14 11:26:02 HOSTNAME systemd-networkd[240]: ens19: Gained IPv6LL

Delaji to obe verze keepalived

Kód: [Vybrat]

keepalived:
  Installed: 1:2.1.5-0.2
  Candidate: 1:2.1.5-0.2
  Version table:
     1:2.2.4-0.2~bpo11+1 450
        450 http://ftp.cz.debian.org/debian bullseye-backports/main amd64 Packages
 *** 1:2.1.5-0.2 990
        990 http://ftp.cz.debian.org/debian bullseye/main amd64 Packages
        100 /var/lib/dpkg/status

Prozatim jsem to poresil pres "vrrp_startup_delay 5", ale existuje lepsi cesta, resp. fix? Nerad bych se zbavoval "unicast_src_ip" a "unicast_peer" (aby mi to nechodilo pres link-local atd.). Vypada to na nejake specifikum nastaveni ipv6 na interface oproti ipv4 (dle google).

Diky

170

Hardware / Re:Výkon čtení disku a komprese v NASu (A53 4jádro) - hodnoty

« kdy: 09. 12. 2021, 10:07:40 »

Takze to shrneme:
1] chcete stovky MBps pro kompresi (a zkousite nejpomalejsi formaty typu zip...)
2] zdroj je 1-2 disky na SATA3
3] chcete to posilat na usb3

Hm, rekl bych, ze mate trochu velke oci.

ad 1] lz4, zstd a podobne rychle kompresni algoritmy
ad 2] jak dojdou cache, tak to zpomali, zvlast, jak to nebude sekvencne ulozene na disku (a to nebude)

171

Distribuce / Re:Ansible + debian - security versus main repo bind9-dnsutils

« kdy: 08. 12. 2021, 12:10:19 »

Aha, diky, ja to odkazovane pohledem jen preletl a videl jsem podobny popis - a to zmenu nazvu updates na security.

Kazdopadne, nedokumentovana featura v apt - to teda pouzivat nebudu. Spokojim se s pinning.

Jinak pro ostatni:
Vicenasobne pouziti APT::Default-Release znamena, ze priorita se nastavi na posledni definici toho parametru, ne pro vsechny.

172

Distribuce / Re:Jaké distro na domácí Media server/NAS/Herní VM ?

« kdy: 06. 12. 2021, 14:57:42 »

To já dám asi nakonec disku do Orico boxu na USB. Je k nim lepší přístup. Akorát se mi tím rozšíří problém, jestli předávat, celej řadič jako PCI zařízení, USB port a nebo disky 

Vy chcete mit problemy navic, ze?

173

Software / Re:Proxmox a rozdělení disku

« kdy: 06. 12. 2021, 14:05:22 »

Zruste lvm-thin konfiguraci a pouzijte to pro zfs. Da se to nastavit uz pri instalaci proxmoxu. Qcow vyzaduje storage typu file.

174

Sítě / Re:Protažení optického kabelu do baráku

« kdy: 06. 12. 2021, 11:26:47 »

Nemyslim si, ze vam budou tahat kabel skrz barak, spis pocitejte s tim, ze ho ukonci za prvni zdi.

175

Server / Re:Apache rproxy RewriteRule base path v HAProxy

« kdy: 06. 12. 2021, 09:43:55 »

Jak uz jsem psal na abclinuxu, nedelejte to na haproxy, ale udelejte to na backendu. A vubec, ani takhle nemate garanci, ze se prepisou veskere odkazy - staci, aby byly generovane v javascriptu.

176

Distribuce / Re:Ansible + debian - security versus main repo bind9-dnsutils

« kdy: 06. 12. 2021, 09:42:38 »

Budu číst Release Notes.
Budu číst Release Notes.
Budu číst Release Notes.
...

https://www.debian.org/releases/bullseye/amd64/release-notes/ch-information.en.html#security-archive

5.1.3. Changed security archive layout

 For bullseye, the security suite is now named bullseye-security instead of codename/updates and users should adapt their APT source-list files accordingly when upgrading.

The security line in your APT configuration may look like:

Kód: [Vybrat]

deb https://deb.debian.org/debian-security bullseye-security main contrib

If your APT configuration also involves pinning or APT::Default-Release, it is likely to require adjustments as the codename of the security archive no longer matches that of the regular archive. An example of a working APT::Default-Release line for bullseye looks like:

Kód: [Vybrat]

APT::Default-Release "/^bullseye(|-security|-updates)$/";

which takes advantage of the undocumented feature of APT that it supports regular expressions (inside /).

Vas prispevek je uplne mimo tema.

177

Software / Re:Linux - informace o vytížení disků

« kdy: 02. 12. 2021, 15:56:06 »

Dalsi tip: netdata

178

Distribuce / Re:Ansible + debian - security versus main repo bind9-dnsutils

« kdy: 02. 12. 2021, 11:00:40 »

Priklad jednoho serveru:

Kód: [Vybrat]

Package files:
 100 /var/lib/dpkg/status
     release a=now
 995 http://apt.postgresql.org/pub/repos/apt bullseye-pgdg/main amd64 Packages
     release o=apt.postgresql.org,a=bullseye-pgdg,n=bullseye-pgdg,l=PostgreSQL for Debian/Ubuntu repository,c=main,b=amd64
     origin apt.postgresql.org
 990 https://packages.sury.org/php bullseye/main amd64 Packages
     release o=deb.sury.org,a=bullseye,n=bullseye,c=main,b=amd64
     origin packages.sury.org
 450 https://artifacts.elastic.co/packages/6.x/apt stable/main amd64 Packages
     release o=elastic,a=stable,n=stable,l=. stable,c=main,b=amd64
     origin artifacts.elastic.co
 450 http://ftp.cz.debian.org/debian bullseye-backports/non-free amd64 Packages
     release o=Debian Backports,a=bullseye-backports,n=bullseye-backports,l=Debian Backports,c=non-free,b=amd64
     origin ftp.cz.debian.org
 450 http://ftp.cz.debian.org/debian bullseye-backports/contrib amd64 Packages
     release o=Debian Backports,a=bullseye-backports,n=bullseye-backports,l=Debian Backports,c=contrib,b=amd64
     origin ftp.cz.debian.org
 450 http://ftp.cz.debian.org/debian bullseye-backports/main amd64 Packages
     release o=Debian Backports,a=bullseye-backports,n=bullseye-backports,l=Debian Backports,c=main,b=amd64
     origin ftp.cz.debian.org
 500 http://security.debian.org/debian-security bullseye-security/main amd64 Packages
     release v=11,o=Debian,a=stable-security,n=bullseye-security,l=Debian-Security,c=main,b=amd64
     origin security.debian.org
 990 http://ftp.cz.debian.org/debian bullseye/non-free amd64 Packages
     release v=11.1,o=Debian,a=stable,n=bullseye,l=Debian,c=non-free,b=amd64
     origin ftp.cz.debian.org
 990 http://ftp.cz.debian.org/debian bullseye/contrib amd64 Packages
     release v=11.1,o=Debian,a=stable,n=bullseye,l=Debian,c=contrib,b=amd64
     origin ftp.cz.debian.org
 990 http://ftp.cz.debian.org/debian bullseye/main amd64 Packages
     release v=11.1,o=Debian,a=stable,n=bullseye,l=Debian,c=main,b=amd64
     origin ftp.cz.debian.org
Pinned packages:

V preferences pro samotny debian nastavuji pouze backport repo, jinak per aplikacni repo, je-li potreba.

Ano, APT::Default-Release pouzivam. Obcas potrebuji prekrizit repozitare, tak je to pojistka proti upgrade na novejsi verzi Debianu.

Takze cestou by bylo pridat APT::Default-Release pro security? Blbe je, ze zrovna v deb11 se ten repozitar prejmenoval...

179

Distribuce / Re:Ansible + debian - security versus main repo bind9-dnsutils

« kdy: 01. 12. 2021, 17:06:15 »

No, podle man APT_PREFERENCES(5)

Kód: [Vybrat]

priority 500

to the versions that do not belong to the target release.

priority 990

to the versions that belong to the target release.

180

Distribuce / Ansible + debian - security versus main repo bind9-dnsutils

« kdy: 01. 12. 2021, 11:26:25 »

Ahoj,

nejak mi unika tento pripad:

Kód: [Vybrat]

# apt-cache policy bind9-dnsutils
bind9-dnsutils:
  Installed: (none)
  Candidate: 1:9.16.15-1
  Version table:
     1:9.16.22-1~deb11u1 500
        500 http://security.debian.org/debian-security bullseye-security/main amd64 Packages
     1:9.16.15-1 990
        990 http://ftp.cz.debian.org/debian bullseye/main amd64 Packages

# apt-cache policy bind9-libs
bind9-libs:
  Installed: 1:9.16.22-1~deb11u1
  Candidate: 1:9.16.22-1~deb11u1
  Version table:
 *** 1:9.16.22-1~deb11u1 500
        500 http://security.debian.org/debian-security bullseye-security/main amd64 Packages
        100 /var/lib/dpkg/status
     1:9.16.15-1 990
        990 http://ftp.cz.debian.org/debian bullseye/main amd64 Packages

Kód: [Vybrat]

# apt install bind9-dnsutils
Reading package lists... Done
Building dependency tree... Done
Reading state information... Done
Some packages could not be installed. This may mean that you have
requested an impossible situation or if you are using the unstable
distribution that some required packages have not yet been created
or been moved out of Incoming.
The following information may help to resolve the situation:

The following packages have unmet dependencies:
 bind9-dnsutils : Depends: bind9-libs (= 1:9.16.15-1) but 1:9.16.22-1~deb11u1 is to be installed
E: Unable to correct problems, you have held broken packages.

Jinymi slovy, instalace bind9-dnsutils (debian repo) havaruje na tom, ze jeden z pozadovanych baliku je jiz nainstalovan v novejsi verzi (debian-security repo). Je videt, ze priorita pro debian-security je 500, pro hlavni repo 990.

Jak si s timhle poradit v ansible bez nutnosti definovat verzi bind9-dnsutils? Tim se totiz zrusi idempotency...


Diky