346
Server / Re:Webový server - s www nebo bez a RapidSSL nebo LetsEncrypt?
« kdy: 08. 11. 2019, 09:31:18 »
Bude ten eshop viset primo na verejne IP adrese? Pokud ano, tak LE. Pokud ne, je potreba si to dobre rozmyslet.
Zobrazit příspěvky
Tato sekce Vám umožňuje zobrazit všechny příspěvky tohoto uživatele. Prosím uvědomte si, že můžete vidět příspěvky pouze z oblastí Vám přístupných.
347
Software / Re:Nastavení Crontab
« kdy: 06. 11. 2019, 14:31:25 »
Anebo zkusit systemd timers, podporu pro "last someday" maji.
https://www.freedesktop.org/software/systemd/man/systemd.time.html#Calendar%20Events
https://www.freedesktop.org/software/systemd/man/systemd.time.html#Calendar%20Events
348
Server / Re:Rspamd - když není ClamAV dostupný, propustí email
« kdy: 06. 11. 2019, 10:18:00 »ad b] můžeš si v master.cf vytvořit druhou lokální instanci postfixe na které bude pověšený rSpamd, první a hlavní instance, která bude vystrčena do světa bude přijímat emaily tzn. pro protistranu bude stav, že ti zprávu doručil, ta ji bude následně doručovat do lokální instance s rSpamd, pokud rSpamd soft bouncne z důvodu nedostupnosti ClamAV, předá ji zpět hlavní instanci, která se ji bude znovu snažit doručit dle nastavených parametrů do lokální.
Do neceho takoveho se mi moc nechce. Pouzivam uz neco obdobneho - virtual postfix instance, sice je to funkcni, ale ma to sva ale. Necham si to do zalohy. No co, zkusim to zatim s jednou instanci.
349
Server / Re:Rspamd - když není ClamAV dostupný, propustí email
« kdy: 05. 11. 2019, 09:49:56 »
No, nastavil jsem local.d/force_actions.conf:
S timhle to tu zpravu odmitne. To by slo. Ale vaham nad metodou, jak mam rspamd dle dokumentace napojen na postfix - jako self-scan proxy.
a] amavis: muj postfix prijme email, pak ho preda do amavisu, dokud neprojde zpracovanim amavisu, tak zustava na mem mailserveru -> zatez rozlozena na pocet mailu na postfixu. Vyhodou je prijem emailu bez cekani na zpracovani, nevyhodou, ze tak prijimam i emaily, co jsou "vadne".
b] rspamd: postfix neprijme email, dokud neprojde rspamd. Vyhodou je, ze se neprijmou emaily co jsou "vadne", odhad nevyhod je ten, ze se zpomali prijimani emailu kvuli nutnosti pruchodu skrz rspamd - z cehoz vznika zavislost na tom, kdy to znovu posle prijemce (v pripade soft bounce atd).
Nejaka zkusenost s chovanim b]?
Kód: [Vybrat]
rules {
CLAMAV_OFFLINE {
action = "soft reject";
expressoin = "CLAM_VIRUS_FAIL";
}
}
S timhle to tu zpravu odmitne. To by slo. Ale vaham nad metodou, jak mam rspamd dle dokumentace napojen na postfix - jako self-scan proxy.
a] amavis: muj postfix prijme email, pak ho preda do amavisu, dokud neprojde zpracovanim amavisu, tak zustava na mem mailserveru -> zatez rozlozena na pocet mailu na postfixu. Vyhodou je prijem emailu bez cekani na zpracovani, nevyhodou, ze tak prijimam i emaily, co jsou "vadne".
b] rspamd: postfix neprijme email, dokud neprojde rspamd. Vyhodou je, ze se neprijmou emaily co jsou "vadne", odhad nevyhod je ten, ze se zpomali prijimani emailu kvuli nutnosti pruchodu skrz rspamd - z cehoz vznika zavislost na tom, kdy to znovu posle prijemce (v pripade soft bounce atd).
Nejaka zkusenost s chovanim b]?
350
Server / Re:Rspamd - kdyz neni clamav dostupny, propusti email
« kdy: 04. 11. 2019, 16:08:35 »
No chtel bych, aby doruceni mailu bylo pozastaveno. Protoze jinak to klidne doruci zavirovany mail k uzivateli. Takze neco jako soft-bounce ze strany rspamd.
351
Server / Rspamd - když není ClamAV dostupný, propustí email
« kdy: 04. 11. 2019, 15:02:00 »
Ahoj,
zatim jsem narazil na jednu issue na gitu rspamd ohledne tohoto, pry az nekdy ve v2 pokud vubec. Nema nekdo rspamd nasazeny? Rad bych, aby clamav byl ovladany pres rspamd (jednodussi konfig nez postfix/amavis), ale nevim jak se vyhnout tomu, ze kdyz neni clamav na IP/portu dostupny, tak aby ho rspamd nepustil dale...Jedine, co me napada, je mit restransmision na vysokem cisle - existuje nekonecno/time limit?
Jak na to?
Diky
zatim jsem narazil na jednu issue na gitu rspamd ohledne tohoto, pry az nekdy ve v2 pokud vubec. Nema nekdo rspamd nasazeny? Rad bych, aby clamav byl ovladany pres rspamd (jednodussi konfig nez postfix/amavis), ale nevim jak se vyhnout tomu, ze kdyz neni clamav na IP/portu dostupny, tak aby ho rspamd nepustil dale...Jedine, co me napada, je mit restransmision na vysokem cisle - existuje nekonecno/time limit?
Jak na to?
Diky
352
Hardware / Re:SSD disky pro server
« kdy: 25. 10. 2019, 11:20:31 »A co se tyce baterii, pro ssd plati, ze se cache hw radice vypina, jinak to srazi vykon.
Chápu, že sync na rychlé SSD mohu poslat rovnou a nemusím kešovat v paměti řadiče. Jakým mechanismem ale dochází ke snížení výkonu, když řadič syncuje do své keše? Je to o tom, že procesor řadiče (defakto soft raid ve firmwaru) není dostatečně rychlý, aby to vše stíhal vyřizovat stejně rychle, jako při zápisu napřímo na SSD?
Priklad pro Kingston DC500M 1.8T na HP G8 serveru (read/write kiops, disk v R0 nebo direct dle radice):
h220 68/58
p420i 42/40 (smart path enabled + drive write cache)
p420i 25/39 (smart path disabled + drive write cache)
p430 43/55 (smart path enabled + drive write cache)
p430 55/51 (smart path disabled + drive write cache)
Nemluve o tom, ze ta raid cache ma limitovanou velikost, coz treba u nvme ssd jiz ztraci vyznam kvuli jejich rychlosti. Je to rezie navic. Ale presneji to neupresnim, lepe to urcite nekdo napsal jinde.
353
Hardware / Re:SSD disky pro server
« kdy: 25. 10. 2019, 09:37:01 »Mám dobré zkušenosti s Intel SSD DC, 2TB se dá sehnat okolo 10k bez DPH.
Jestli budete zvažovat nový řadič, zvažte rovnu NVMe (pokud tam fyzicky ty disky nějak dostanete).
s nvme se ale připraví o raid1, teda pokud ho nechce dělat v lvm softwarově. Na druhou stranu raid bez baterie je pro sql db stejné zlo.
HW raid pro nvme existuje.
Jeho server ale bude umet maximalne SAS/SATA. Takze nvme ne.
A co se tyce baterii, pro ssd plati, ze se cache hw radice vypina, jinak to srazi vykon.
355
Sítě / Re:Zabezpečení databáze
« kdy: 23. 10. 2019, 10:25:49 »
Vsechny ssh tunelare bych poslal nekam.
Pokud nestaci restrikce na IP, tak pouzit vpn.
Pokud nestaci restrikce na IP, tak pouzit vpn.
356
Sítě / Re:Proxmox a více switchů
« kdy: 22. 10. 2019, 11:55:26 »já to mám tak, že servery mají nastavené lacp na dvou síťovkách. Na switchích jsou na příslušných portech všechny vlany které potřebuji a pak na serverech jsou nastaveny jednotlivé vlany v interfaces jako vmbrX kde bridge port je bond0.X
pak už jednotlivé VM mají přiřazené porty z požadovaných bridgů
Spatne precteno.
Mam 2 switche. Mam 2 fyzicke linky ze serveru. Nemuzu pouzit lacp (active-backup nechci). Idealne chci jeden bridge nad 2 interface a vsechny vlany nad timto. A nechci konfigurovat vsechny bridge.vlan v /etc/network/interfaces.
357
Server / Re:Ansible - update balicku z backportu
« kdy: 22. 10. 2019, 11:53:32 »
Tak me jeste napada, koukam na jeden z poslednich serveru, co mely mit stable. A ony maji verzi haproxy misto Deb9 stable maji Deb9 z backportu. Pri upgradu na Deb10 se to mohlo zohlednit?
358
Server / Ansible - update baličků z backportu
« kdy: 22. 10. 2019, 11:40:43 »
Caus,
mam tyhle konfigy:
server:
ansible:
Pri spusteni tohoto tasku doslo k upgradu stable verze haproxy v Deb 10 z 1.8.x na 2.0.x z backportu. Pritom podle priority by mel byt preferovan stable. V host_vars pro dany server bylo:
Diky.
mam tyhle konfigy:
server:
Kód: [Vybrat]
/etc/apt/preferences.d/preferences
Package: *
Pin: release a=buster-backports
Pin-Priority: 450ansible:
Kód: [Vybrat]
---
- name: Install haproxy packages
apt:
name: "{{ haproxy_packages }}"
state: present
update_cache: true
tags: haproxy_packages
Pri spusteni tohoto tasku doslo k upgradu stable verze haproxy v Deb 10 z 1.8.x na 2.0.x z backportu. Pritom podle priority by mel byt preferovan stable. V host_vars pro dany server bylo:
Kód: [Vybrat]
haproxy_version="*"Diky.
359
Sítě / Proxmox a více switchů
« kdy: 21. 10. 2019, 11:13:50 »
Ahoj,
zkousim tu nove nastaveni nasi site a znamena to zmenu z hlediska konfigurace site pro Proxmox. Nas bezny postup byl:
2x fyzicka linka ze switche popr. stacku -> lacp -> proxmox -> openvswitch -> bridge/ovsporty(mgmt, corosync apod s prislusnou vlan)
Toto reseni umoznilo pridavat vlany pouze na hw switchi a pak jiz nastavit v konfiguraci VM (openvswitch bridge).
Nyni tu mam ale 2 switche misto ve stacku v routovacim setupu. Bezny lacp/stp ze serveru tedy nemuzu udelat (active-backup linky nechci). Ma nekdo vzorovou konfiguraci, jak zajistit stejnou funkcionalitu jako v uvedenem priklade? At uz ve forme openvswitch/native linux. Potrebuji se hlavne vyhnout nutnosti upravovat sitovou konfiguraci na proxmox hostech kvuli pridani dalsi a dalsi vlan.
Diky
zkousim tu nove nastaveni nasi site a znamena to zmenu z hlediska konfigurace site pro Proxmox. Nas bezny postup byl:
2x fyzicka linka ze switche popr. stacku -> lacp -> proxmox -> openvswitch -> bridge/ovsporty(mgmt, corosync apod s prislusnou vlan)
Toto reseni umoznilo pridavat vlany pouze na hw switchi a pak jiz nastavit v konfiguraci VM (openvswitch bridge).
Nyni tu mam ale 2 switche misto ve stacku v routovacim setupu. Bezny lacp/stp ze serveru tedy nemuzu udelat (active-backup linky nechci). Ma nekdo vzorovou konfiguraci, jak zajistit stejnou funkcionalitu jako v uvedenem priklade? At uz ve forme openvswitch/native linux. Potrebuji se hlavne vyhnout nutnosti upravovat sitovou konfiguraci na proxmox hostech kvuli pridani dalsi a dalsi vlan.
Diky
360
Server / Re:SPF záznam + include a parametr MX
« kdy: 18. 10. 2019, 11:10:19 »
Tak fixnuto v bode 2]:
ad 2] ...v=spf1 mx:domain.tld ipv4:...
ad 2] ...v=spf1 mx:domain.tld ipv4:...
