Příspěvky

376

Server / Re:Distribuce certifikátů Let's Encrypt pomocí Ansible

« kdy: 12. 09. 2019, 09:30:51 »

Já asi nerozumím, jak to souvisí s Ansible – to chcete periodicky spouštět Ansible? Pokud ano, přijde mi to jako ohýbání Ansiblu…

Co je na tom k ohybani? Pokud si rekneme, ze pravidelne spousteny certbot/dehydrated aktualizuje certifikaty, tak na zaklade toho se muze spustit reconfig pomoci ansible (klasicky CI postup).

Problem se odviji zhruba od tohoto:
1] ansible potrebuje mit pristup k aktualnim crt pripadne inicializovat vytvoreni i pro konfiguraci
2] je potreba deploy na ruzne typy serveru, ktere jsou redundantni (napr. haproxy, web servery atd), nemluve o pripadny kontejnerech - ruzny format certifikatu
3] neni centralni seznam domen a serveru. Kazdy projekt ma v group_vars/project_name ulozene domeny. Mohl bych to ukladat do host_vars/fqdn, coz by resilo chybejici centralni seznam, ale zase bych duplikoval veskere parametry mezi vice konfigy(co je mensi zlo..., resp. co je asi tak optimal zpusob ukladani seznamu kombinace domena/server)
4] neni mozne spoustet certbot primo ze serveru - viz 1] a 2]

377

Server / Re:Distribuce certifikátů Let's Encrypt pomocí Ansible

« kdy: 11. 09. 2019, 15:43:48 »

Rad bych se vyhnul vsemoznym cron/syncthing apod metodam nastavenych primo na danych serverech.

Pokud se vyhneš nejjednodušší a nejpřímočařejší cestě, zbudou ti jenom horší, zbytečně komplikovaná řešení.

A vůbec nejjednodušší cesta je terminovat TLS na jednom stroji. Ale to asi víš.

Jo, pokud to bezi na jednom stroji, tak to je brnkacka. Ale nam uz vice veci bezi v HA, takze treba ty certifikaty pro tu samou domenu potrebuji na vice strojich najednou...A to uz ta brnkacka neni.

378

Server / Re:Haproxy check backend

« kdy: 11. 09. 2019, 14:09:28 »

Tak vyreseno, httpchk momentalne nepodporuje http/2, takze je potreba limitovat zpusob checku:

Kód: [Vybrat]

server ... ... check-alpn http/1.1

379

Server / Distribuce certifikátů Let's Encrypt pomocí Ansible

« kdy: 11. 09. 2019, 10:08:35 »

Ahoj,

mam naimplementovanou distribuci certifikatu pro TLS sluzby. Jenze mam problem, jak tohle udelat v pripade letsencrypt automaticky. Kdybych mel puppet, tak by si z hlediska klienta sam overoval, zda ma shodne soubory jako na cetralnim node, ale jak tohle udelat v ansible? Rad bych se vyhnul vsemoznym cron/syncthing apod metodam nastavenych primo na danych serverech. Metoda by byla dns-01 (http-01 je nepouzitelna v tomhle rozsahu). Jenze to, jake certifikaty ktera sluzba potrebuje, mam defaultne definovane v ramci group_vars/project, ale ne v ramci host_vars/fqdn, coz to dela slozitejsi.

Jake je rozmne reseni? Uzuz jsem rozhodnut pro zakoupeni potrebneho wildcard certfikatu, ktery pokryje problem vyse, ale to vyresi jen danou (sub)domenu.

Diky.

380

Server / Haproxy check backend

« kdy: 11. 09. 2019, 09:29:43 »

Caus,

zkousim novou Haproxy 2.0.x s vyuzitim http/2 na backendech. Pro http/1.1 pouzivam:

Kód: [Vybrat]

option httpchk HEAD / HTTP/1.1\r\n\Host:\ neco.domain.tld\r\nUser-Agent:\ hostname

do "server" parametru jsem pridal volby

Kód: [Vybrat]

alpn h2,http/1.1

Pokud nahradim HTTP/1.1 za HTTP/2.0 v HEAD, tak mi proxy funguje proti nginx bez http/2. Jakmile ale na nginx zapnu http/2, tak dostavam v checku L7RSP a backendy se odpoji. Jak spravne napsat check pro http/2? A je lepsi varianta, jak checkovat backendy? V tomhle pripade vyuzivam, ze mi to totiz projede i funkcnost php i dostupnost zdrojovych kodu.

Diky.

381

Server / Re:Přetížený disk

« kdy: 10. 09. 2019, 10:51:26 »

Pro snadnější manipulaci je však dobré mít nad ním virtualizaci HW v podobě LVM nebo třeba ZFS. Případná výměna SSD tak může proběhnout za plného provozu.

Protože to, aby odešel celý SSD naráz z jiných důvodů než prošoupání buněk, se nestává...

Proto ZFS. Máš snad něco proti němu?

Pozadavky na HW, performance, atd...Ne vzdy je zfs to optimalni.

382

Hardware / Re:Tip na 12+ LFF server

« kdy: 06. 09. 2019, 13:44:13 »

Primo v konfiguratoru je tohle (dalsi moznosti mimo konfigurator):

Adaptec ASR-71605
LSI 92xx-8i
LSI MegaRAID 9266-8i
LSI SAS9300-8i 9300-8i

kde bych vahal mezi cistou HBA 92xx a 9300

Zatim mi nejlepe vychazi HP DL380p 12lff s P430 kvuli Secure Encryption. Z hlediska sw encryption se mi libi i DL380e (14lff), popr. dell R720xd (12lff 2sff, nejdrazsi), SM 826 (12lff) a 4U varianta (24lff).

383

Server / Re:HTTP 421 Misdirected request - vysvětlení, příčina

« kdy: 06. 09. 2019, 12:46:53 »

Zazil jsem neco podobneho, kdyz se na nase servery pripojoval jeden klient (z pohledu pripojeni). Chyba byla v jejich firewallu, ktery nejak spatne chapal, ze domenaA a domenaB jsou sice na stejne IP a tak sdilel spojeni pro obe domeny. Ze to pak nefungovalo na urovni SNI - apache2 neumel "prepojit" na druhou domenu, pak uz nikoho neprekvapilo.

384

Hardware / Re:Tip na 12+ LFF server

« kdy: 06. 09. 2019, 12:41:56 »

A zjišťovali jste, kolik by stálo dodat 826ku s tou JBOD backplane bez expandéru od smicro.cz?

Refurbished DDR3 verzi s predpokladanym expanderem (coz by nemuselo vadit, je to na offsite backup) mam bez disku nacenenou na 1kE s E5 cpu a 128GB RAM. V tuhle chvili mi expander moc nevadi, hlavne, kdyz jsou vsechny disky na SAS portech.

385

Hardware / Re:Tip na 12+ LFF server

« kdy: 06. 09. 2019, 09:40:08 »

Tak z dostupnych info to vypada, ze vetsina 12+LFF serveru ma v backplane integrovany expander, jak u Dellu, tak u HP...no tim se to zjednodusuje i zeslozituje...Ale aspon je to pouzitelne.

386

Hardware / Re:Tip na 12+ LFF server

« kdy: 04. 09. 2019, 11:32:03 »

Supermicro

Jo, SM mame taky v behu s LSI radicem, ale X10 generaci. Tu X9 uz mame v hledacku, ale potrebuji to kompletne poskladane od prodejce, nebot uz jakykoliv atyp (jako je P430 u G8) komplikuje shaneni kabelaze. Navic, sef by to rad s fakturama, takze ne kazdy cinan/ebay vyhovuje...

387

Hardware / Re:Tip na 12+ LFF server

« kdy: 04. 09. 2019, 11:29:31 »

Podle:https://h20195.www2.hpe.com/v2/getdocument.aspx?docname=c04123238existují pro G8 různý skříně až s 25 SFF dírama.
To je co se týče skříně - ta Tvoje požadavky splňuje.
Druhá věc je řadič. HP 420 i 430 má co vím standardně 2 SAS 4-lanes porty. Takže připojí 8 disků.V některejch serverech je co vím SATA expander přímo v backplane, do některejch bys
buďto ten SAS expander musel dokooupit.
Disky přes SAS expander se nepřipojuje jinejma konektorama, jen prostě SAS expander
se připojí na řadič a z něho by měli jít normální klasický SAS kabely do disků.Řadič vidí standardně všechny připojené disky, není důvod, proč by v takovémpřípadě nemělo jít použít šifrování na řadiči apod.
Druhá možnost je pořídit si separátní víceportovej řadič (popř. druhej řadič,pokud by bylo možno pole rozdělit na dvě). To bude mít lepší výkon(SAS expander bude sdílet konektivitu k diskům), ale bude dražší.

Snad nekecam....

Uvazujeme o variante 2xP430 ci 1xP830 pri HW sifrovani, pripadne neco jako 2xH220 pro ZFS variantu. Prave to pripojeni tech disku 9-12/14 nam dela vrasky. Zatim shanime info tam, kde nam konfiguruji servery na miru...

388

Hardware / Tip na 12+ LFF server

« kdy: 03. 09. 2019, 16:09:59 »

Ahoj,

uz jsme meli vyhlednuto HP DL380(e/p) G8, ale zastavilo nas to, ze podle vsemoznych obrazku apod. je pouze 8 disku pripojeno na SAS radice pres SFFxxxx, zbytek je jinymi kabely/konektory, nelze je tedy pripojit pro vyuziti HW sifrovani u P430 apod. (rad bych se pletl...)

Je nejaky Dell (R710/720 apod.) nebo standardne sehnatelny refurbished server, ktery by v cenove relaci te G8 (~30k czk) splnoval tyto podminky:

1] 12+ LFF
2] vsechny backplane disky pripojeni na standardni radice (raid, hba) stejnym konektorem

Kdyby to i umelo HW sifrovani jako Secure Encryption u HP P430 (nevyzaduje SED disky), bylo by to super. Ale stacilo by nam i SW sifrovani pres luks2 ci primo v zfs.

G9 nam uz financne tak dobre nevychazi i z duvodu DDR4.

Diky.

389

/dev/null / Re:Auta na baterky - má to budoucnost?

« kdy: 03. 09. 2019, 10:28:22 »

Do tesly je nacpanejch tolik penez ze ta firma snad ani nemuze krachnout. Nakonec to i u tesly skonci "hybridem" - vodikem s malou baterkou na rozjezd/pojezd. Ucinnost vodiku (palivoveho clanku)  je nekde mezi 50 - 60 % , zbytek dale vyuzitelne teplo. Vodik je u vetsiny chemicek odpad a nestabilni vetrniky maji rozumne vyuziti - elektrolyzou mate vodik a kyslik. Oboji vyuzijete.

No vodik...ten ma jeste vetsi porodni bolesti nez baterka. Ale jestli si myslite, ze vodik jako "odpad" chemicek nacpete do palivoveho clanku, tak se s tim clankem rozloucite mnohem drive, nez si myslite.

390

/dev/null / Re:Auta na baterky - má to budoucnost?

« kdy: 03. 09. 2019, 09:43:05 »

Tesla model S battery pack 75kWh, pouzite a pry jen 6 mil najeto. A pry je to dobre pro solar, takze s tou baterii neco je v neporadku.

https://www.ebay.com/itm/Tesla-Model-S-Battery-Pack-75-kWh-Capacity-low-miles-great-for-solar/183811813767?hash=item2acc09b187:g:q3YAAOSwcfNcrlJu

708850,- Kc


A ted tu o Jenickovi a Marence prosim. 1kWh vyjde na techto POUZITYCH bateriich na 9500,-. Kolik by staly nove?

Takze nejaky z prstu vyvucany graf o poklesu ceny baterii, ktery nahore nekdo postoval, a z ktereho je jeste predikovany pokles ceny baterii na dalsich 10 let, si muzete strcit za klobouk. A co rika ten sejdir Musk, jehoz Tesla je uz nekolik let ve ztrate, to uz je uplne jedno.

9500CZk ~ 400$.

Cena za 1kwh nove baterie je pod 200$. Tolik k te ebay.