Příspěvky

16

Server / Re:Instalace Zabbixu na AWS EC2 nebo VPS

« kdy: 14. 11. 2022, 16:56:01 »

Nie si bezpecne "free", pretoze napr. mozes platit za traffic. Takze nebude to free, ale za beznych okolnosti to nebude majland ale par halierov (teda pokial nepustis EC2 dostupnu z odkialkovek a zapnute SSH s jednoduchym heslom - v takom pripade cakaj botov, ktory si podrobia tvoju EC2 a vygeneruju ti napr. pekne velky plateny traffic).

V case kontajnerov si proste urob lokalne docker compose (zabbix ich ma dost oficialnych) a ten uz iba pustit na volakom cloude.

Ak chces byt na skutocnej 0 pre development, tak si vyber iny cloud - napr. Oracle, kde mas na prvych 30 dni kredit US$300, takze bez strachu si mozes pustit aj platene sluzby a zatiahnes to z uvodneho kreditu. Aj AWS rozdava sem tam vouchre pre devs na podobne vyskusanie - mozes pogooglit.

17

Server / Re:Cloud storage - silent data corruption

« kdy: 01. 06. 2022, 21:06:52 »

Je otazne co myslis pod "cloud storage" - ci to nebude len nejake GUI/apka, ktora ti bezi na PC a synchronizuje data dakde do cloudu.
Vseobecne AWS S3 je "cloud storage" (oficialna durability je 99.999999999%) - ale je to object storage, takze nad nim mozes este potrebovat nejaku app nadstavbu. Je vsak dost flexibilny, ked vies ako na to - napr. sifrovanie, multi region replikaciu, tiering, storage gateway, ...

18

Sítě / Re:Network monitor tool

« kdy: 01. 05. 2022, 10:10:02 »

Odporucil by som implementaciu cez OpenTelemetry (OTEL) https://opentelemetry.io standard. V heterogennej sieti budu mat rozne zariadenia roznu podporu cez rozne nastroje, co sa da vyuzit a cez OTEL kolektor to zjednotit. Napr. niektore zariadenie budu posielat metriky cez Prometheus, niektore cez Telegraf avsak vsetky to budu posielat na OTEL kolektor. Tam si vytvori metric pipeline, ktora to bude exportovat do zvoleneho ciela (zvycajne time series DB - TSDB). Napriklad mas velky rozpocet tak do plateneho Dynatrace. Po case budes nespokojny tak iba zapnes dalsi exporter, napr. InfluxDB a vybavene.

Obmedzenie je ze OTEL collector musi podporovat dany nastroj, je ich celkom dost https://github.com/open-telemetry/opentelemetry-collector-contrib/tree/main/receiver a zaroven na zvoleny ciel musis mat exporter https://github.com/open-telemetry/opentelemetry-collector-contrib/tree/main/exporter . Pre zaznam: OTEL protokol pre metriky je stabilny, avsak implementacia v OTEL kolektore je este stale oficialne experimentalna https://opentelemetry.io/status/ - OTEL preferoval implementaciu tracingu najprv, teraz sa robi intezivne na metrikach a logy budu posledne.

OTEL bude prostrednik, ktory ti dovoli pouzivat viacer nastroje na zber metrik avsak zaroven ich vsetky ulozis na jedno miesto (TSDB). V najhorsom pripade si budes musiet napisat sam vlastny receiver/exporter pre OTEL kolektor ak dany nastroj/OTEL nie su podporovane. Je to iba tranformacia legacy protokolu na OTEL protokol (OTLP). Taky Zabbix (zatial) alebo check_mk, nagios, icinga asi nemaju este OTEL podporu. Naviac OTEL koncept moze byt pouzity aj pre aplikacny monitoring/tracing, co moze byt dalsi zdroj metrik.

Zvolenu TSDB mozes vyuzit na alerting. Niektore TSDB maju svoje buzzwordy ako machine learning, artifcial inteligence, anomaly detection, tak tieto mozu vhodne doplnat staticke thresholdy.

OTEL ziskava na popularite a velky vyrobcovia ho priamo implementuju - napr. Elasticsearch potreboval niekedy svoj exporter avsak teraz uz ma OTLP podporu, takze nic specialne nie je potrebne. AWS dokonca ma svoj "klon" kolektora oficialne podporovany. Takze namiesto sustredenia sa na jeden tool, by som postavil OTEL infrastrukturu, ktora bude pripravena na buducnost, t.j. budes moct pouzivat viacere nastroje a posielat ich metriky do viacerych TSDB - aj takych ktore este neexistuju avsak budu a budu podporovat OTEL.

19

Server / Re:Doporučení webhosting

« kdy: 25. 03. 2022, 19:52:41 »

Vyzera to ze mas problem s mailami a nie s webom. Vacsinou maily riesi poskytovatel webhostingu, ale nik ti nebrani na maily pouzit osobitneho poskytovatela (nastavis DNS MX zaznam spravne na noveho poskytovatela).
Asi by som sa poobzeral po velkych poskytovateloch (Google - G Suite, Microsoft 365, Amazon WorkMail , ...) - ked uz sa nieco pokazi u nich tak ich bude nahanat X dalsich zakaznikov a v pripade velkych problemov nebudu mat problem nasadit na problem vela svojich ludi.

20

Odkladiště / Re:Účet v EUR na práci v zahraničí (EU)

« kdy: 23. 03. 2022, 08:24:41 »

Wise taktiez nie je banka https://wise.com/help/articles/2949821/is-it-safe-to-keep-money-in-my-wise-account

21

Vývoj / Re:Webové API pro zasílání OTP v SMS

« kdy: 29. 01. 2022, 16:22:50 »

Amazon SNS - https://docs.aws.amazon.com/sns/latest/dg/sms_publish-to-phone.html s nim uz mozes ist aj na push notifikacie v pripade potreby https://docs.aws.amazon.com/sns/latest/dg/sns-mobile-application-as-subscriber.html
V roku 2022 by som sa vsak asi vyhol OTP v SMS (vid SIM swap attack). Asi by som skor integroval MFA service (napr. https://duo.com/editions-and-pricing/duo-mfa) a povolil iba vybrane MFA (mobile push, TOTP/HOTP).

22

Server / Re:LDAP a OAuth/SAML v jednom

« kdy: 16. 12. 2021, 08:29:28 »

Kdyby to umelo FIDO key tak je to uplne uzasne 

Ja si myslim, ze aj FIDO je dostupne. Teda ak FIDO = Webauthn https://www.keycloak.org/docs/latest/server_admin/index.html#_webauthn

Keycloak je kanon, ale v oblasti autentifikacie je to asi najlepsi open source, ktory je dostupny, co sa tyka sirky podporovanych SSO technologii.

23

Server / Re:LDAP a OAuth/SAML v jednom

« kdy: 15. 12. 2021, 02:09:14 »

OT: skusal si s Keycloakom edit mode: writable? Redhat doc: https://access.redhat.com/documentation/en-us/red_hat_single_sign-on/7.2/html/server_administration_guide/user-storage-federation

Tipnem ze OSS Keycloak doc ma v tejto cast preklep lebo tvrdi, ze aj writable edit mod nemeni LDAP.

24

Sítě / Re:Výběr SIEM - jak sledujete, co se děje v síti?

« kdy: 09. 11. 2021, 18:51:39 »

Pozri Grafana stack - maju vsetko na:
- logy -> Loki - cize Splunk, Elasticsearch alternativa
- metriky -> ich Prometheus/Metrics
- traces -> Tempo - cize Jaeger, Zipkin alternativa
+ dalsie ako K6 na load testing, OnCall na oncall manazement, ...

A samozrejme na vizualizaciu Grafana - tam ta vsak neobmedzuju iba na svoje produkty - v zasade vies vizualizovat data zo vsetkych beznych log/metric/trace backendov a databaz. Grafana cloud dava 50GB priestoru zdarma, cize na zaciatok dost aj na realne hranie a testovanie.

25

Server / Re:10Gbps VPS niekde v európe

« kdy: 17. 09. 2021, 23:54:23 »

Mozno si obrie firmy ktore davaju miliony eur do cloudu to vedia nejak obhajit. Ale ja som zatial v mojej praxi nic take nezaznamenal.

Tie firmy su zamerane hlavne na inovacie v praxi. Vies "usetrit" na vypoctovom zeleze, ale potom pride inovacia, ze napr. treba pouzit big data. Zaobstaras ludi, ktori to vedia nakonfigurovat na tom lacnom zeleze (CAPEX), ale vo vysledku budu naklady vacsie (novi ludia = novy OPEX) a dodanie projektu dlhsie - a v klude mozu zistit, ze big data na to proste nie je vhodne. Zato samotny dev v tej obrej firme si to pusti v cloude ako SaaS okamzite a ked po tyzdni badania zisti, ze je to slepa vetva, tak to proste vypne.

Inak vidim u obrich firiem odklon od EC2, radsej pouziju Fargate ECS a nemusia riesit OS security (patching, hardening), pripadne Lambda pre malo pouzivane apps. Vendor lock je minimalny, kedze vacsinou su aplikacie v kontajneroch.

26

Vývoj / Re:PHP - mikroslužby - autentizace

« kdy: 01. 08. 2021, 11:53:36 »

mam vyskusane ze redis je v tomto pripade daleko efektivnejsi

Vyzera to, ze vas niekto posluchol nedavno a dal to do toho efektivnejsieho Redisu a zial dosiahol 65k limit :-( https://www.pcgamer.com/the-splitgate-crossplay-beta-is-so-popular-the-developers-had-to-take-it-offline/

Ja by som volil JWT (cez Open ID Connect). Mimochodom aj JWT implementacia umoznuje revokaciu (keyword backchannel sesion revocation/logout).

27

Server / Re:Autorizační služby(RADIUS/LDAP/SAML) a sjednocení do jedné?

« kdy: 06. 05. 2021, 22:34:05 »

Na SSO by som dal Keycloak (napojeny na LDAP) - zvlada SAML aj OIDC (OAuth) protokol a dalsie SSO chutovky ako TOTP, WebAuthn, PKCE flow, social logins, brokering, .... Teoreticky s trochu zaspinenymi rukami od kodovania by Keycloak mohol byt aj auth backend pre RADIUS (https://github.com/thomasdarimont/keycloak-freeradius-demo).

28

Sítě / Re:Předávání přihlašovacích údajů

« kdy: 01. 05. 2021, 20:56:31 »

Pre nedolezite hesla https://pwpush.com/
Pripadne bezpecne na enterprise urovni cez zdielanie cez lastpass ucty.

29

Vývoj / Re:Google/Facebook Oauth2 pri architekture SPA + mikrosluzby

« kdy: 11. 04. 2021, 09:34:45 »

Nevymyslal by som nic noveho, ale pouzil by som Open ID Connect (OIDC) - to vlastne autentifikacia, ktoru poskytuje Google, Facebook,...  OIDC != OAuth, OIDC je rozsirenie postavene nad OAuth (ale vacsina ludi si to aj tak zamiena).

SPA potrebuje Authorization Code Flow with PKCE (zabudni na stary implicit flow, silent refresh v iframe a pod).
Backend iba verifikuje/authorizuje token, ziaden redirect na login, ale max vrati 401/403 a SPA frontend si tento chybovy stav musi poriesit.

30

Vývoj / Re:Používá někdo cloudové IDE?

« kdy: 09. 04. 2021, 09:23:09 »

Ja mam rad cloudove IDE - trebars taky Gitpod a ich Theia/VS Code. Click a mas prostredie s 62GB RAM a 1G internetom:

Kód: [Vybrat]

root@ws-bc1cf89b-63a3-4cc1-a556-d0cf3c893b40:~# speedtest-cli
Retrieving speedtest.net configuration...
Testing from Google Cloud (35.241.216.254)...
Retrieving speedtest.net server list...
Selecting best server based on ping...
Hosted by LaFibre.info (Douai) [102.86 km]: 13.128 ms
Testing download speed................................................................................
Download: 1384.35 Mbit/s
Testing upload speed...
Upload: 1044.10 Mbit/s

Obcasne pouzivam na SPA veci. Predsa len cakat na npm install na pomalom domacom nete je pomalsie ako si to nechat pustit v takomto cloude. Odporucam vyskusat ich priklady https://www.gitpod.io/docs/examples