nvkv
ну дак вот оно так и сделано
nvkv
проблема простая, мне надо закрыть нечто SSL'ем
nvkv
сначала я на балансировщике для внешних закрываю это SSL'ем, а потом мне надо ещё у себя локально сделать тоже самое
nvkv
то есть сертификат лежит в двух местах
Andrey
не понимаю проблемы
Andrey
зачем внутри ссл ?
nvkv
затем, что дебажить надо, например
Andrey
ну или сделайте аналог балансировщика
nvkv
нужно больше балансировщиков
Andrey
и используйте другой сертификат
Andrey
вы ж хотите чтоб дев среда на прод была похожа ?
nvkv
то есть, бестпрактис это заставлять девелоперов девелопить в условиях отличающихся от боевой
nvkv
а тестеров тестировать
Andrey
я не видел ни разу когда дев среда одинаковая с боевой
Andrey
но за дешего можно балансировать хапрокси
nvkv
так, окей, это лирика
Andrey
или там нджинксом
nvkv
объясните, почему это бестпрактис?
Andrey
архитектура будет хотябы одинаковая
nvkv
не понял, а если я сделаю на одном балансировщике всё из внутренней сети в том числе, то архитектура резко поменяется?
🏳️ Phil
Бест практикс вешать внути вилдкардовые сертификаты, полписанные внутренним CA, и его корневой руками в боаузер
nvkv
Бест практикс вешать внути вилдкардовые сертификаты, полписанные внутренним CA, и его корневой руками в боаузер
и развешивать их на все CI-билдеры, ага
nvkv
например
nvkv
браузеры это не все потребители SSL, если что
🏳️ Phil
а в 2016 году вообще есть ipv6
nvkv
ты не понял, если там селфсайнед, то огромная куча софта требует дополнительных настроек
nvkv
просто пример из практики
nvkv
мы собираем мобильное приложение на CI и деплоим его в наш доморощенный OTA-аппстор
nvkv
деплой по SSL идёт, это requirement такой
nvkv
потом тестеры берут этот самый билд и ставят на айпад
nvkv
установка идёт через SSL, это requirement
nvkv
а теперь самое интересное
nvkv
тестеры бывают офисные и вольные
nvkv
и вот, привет, у меня две проблемы
Denis
Бита, решение, сто пудов в такой ситуации
Denis
Да.
Denis
Про биту не шутка. У нас ритуал такой есть
nvkv
Приходить к опсам с битой? :)
nvkv
или к админам?
Denis
Я и есть опсы.
Denis
Вообще у нас основные тёрки с датасайнтистами, и когда сторона жестко косячит мы приходим с битой исправляет и оставляем ее у ни
Denis
Ака черная метка
nvkv
=)
Andrey
CA можно сделать и нормально
Andrey
я с калашом ходил =)
Andrey
калаш помогает лучшее
Denis
Иногда мы косячим и они приносят ее нам
nvkv
у меня один вопрос — ЗАЧЕМ это нужно?
nvkv
почему это бестпрактис?
nvkv
мне просто объяснять придётся, я хочу понять
Andrey
ну так сформируйте требование опсам и они сделают
nvkv
у нас тут сложно
nvkv
у нас есть опсы, это я. Я работаю чисто на проектах с девелоперами
nvkv
а есть админы
nvkv
™
nvkv
они рулят инфраструктурой конторы и меня туда не пускают
nvkv
то есть чтобы, например, сделать домен, мне нужно писать им тикет
nvkv
но это не важно
nvkv
важно, что я не понимаю пока, почему такая схема бестпрактис
nvkv
киньте ссылку почитать, что ли
Andrey
вы схему более ёмко оббъясните
Andrey
или нарисуйте а то понять сложно
nvkv
ну вот вы же всё верно написали, что "вьюхи это бестпрактис". Давайте из этого исходить
nvkv
допустим у нас те самые вьюхи
nvkv
зачем они нужны?
nvkv
какую они проблему решают?
Andrey
но split view это самое нормальное что можно сделать
Andrey
они решают проблему локальности трафика
Andrey
сесурити
Andrey
и много разного
Andrey
ну или если говорить про амазон то ходить внутри по внешним адресам тупо дорого
Andrey
периметр сети
Andrey
разделение на своих-не своих
Andrey
и много чего еще
Andrey
мне кажется вы не ту проблему решаете
Denis
в амазоновском ДНСе есть вью ?