Ну Марию растягивать на несколько цод, чет такое себе )
Почему?
Особенно если в РФ все три и в пределах пары тыщ километров, то идея не идиотская.
Слуги народа пока своими идеями не успели еще до конца уничтожить один из лучших по связности сегментов интернета)
Особой разницы ведь и нет в соседних рядах стоек у тебя экземпляры марии или в соседних городах. Задержки при маршрутизации и коммутации на норм железе измеряются сотнями наносекунд, а остальное время на распространение сигнала в среде. А оно происходит со скоростью света, так что, даже 2-3к километров это около миллисекунды.
J
Рамиль
Действия персонала для восстановления услуги после отказа цода должны быта максимально примитивными:
1) найди сервер 25 в стойке 15
2) включи сервер 25 в стойке 15
Рамиль
У вас же не дежурит админ стека в цоде 24/7
J
Действия персонала для восстановления услуги после отказа цода должны быта максимально примитивными:
1) найди сервер 25 в стойке 15
2) включи сервер 25 в стойке 15
Вот это больше на фантазию похоже)
Во-первых, у многих дежурят, а во-вторых, если и не дежурит, то в случае такой жопы точно позвонят и разбудят всех кто может ускорить процесс)
Рамиль
Ага, и придется тебе ехать в цод
Рамиль
Если не будет на месте человека, который вм запустить через либвирт не сможет
J
Если не будет на месте человека, который вм запустить через либвирт не сможет
А зачем человеку на месте быть?
Из дома, из бара или где он там подключится и запустит. Да можно это прописать хоть через кастомный systemd юнит хоть черезскрипт в rc.local.
Вопрос то не в том как запустить, а в развалившемся кластере бд)
Рамиль
А откуда у вас из дома доступ в серую сеть цода?
Рамиль
Верно. Впн пользователей где хранит?
Рамиль
Фрипа или ад какой-нибудь, наверное
Рамиль
Которые живут в вм стека)
Рамиль
Локальные на циске?)
J
Чем проще тем лучше, да.
J
Локальные на циске?)
ipsec на циске.
Да хоспаде, хоть wireguard на пачке raspberry pi запитанных от автомобильных аккумуляторов.
Рамиль
Ага. Это порождает существования процесса, который обеспечит наличие пользователей админов на цисках/форти во всех цодах и актуальности кредов )
Рамиль
Да не важно какой инструмент будет задействован. Важно то, что для работоспособности системы мы вводим еще одну точку отказа, на эксплуатацию которой еще и ресурсы тратит нужно
J
Рамиль
Удаленный доступ это точка отказа?)
Конечно. В случае отказа нам нужно зайти на машину и что-то сделать.
J
Не очень я понимаю в чем проблема распихать логины и пароли или сертификаты и приватные ключи для впна по нескольким десяткам или даже сотням устройств.
Миллион средств автоматизации для этого и нужна даже не дисциплина, а самая капелька организованности.
Рамиль
Рамиль
А если админов будет 30к
Рамиль
Еще и увольняются и новые приходят десятками
Рамиль
Я тут все пишу с колокольни масштаба сбера
J
Ну не в обиду всем коллегам работающим в сбере, но сбер неповоротливая и во многом архаичная контора.
J
А уж в плане практик иб так и вовсе как будто приверженцы школы кгб.
gwaewion
Ну не в обиду всем коллегам работающим в сбере, но сбер неповоротливая и во многом архаичная контора.
"Где виртуалку создавали, туда и идите"
J
Для экстренных случаев 30к сотрудников ведь не нужно.
Достаточно иметь пару десятков человек в разных регионах и часовых поясах. Вот для них экстренными доступами и рулить.
J
Это уже организационная проблема, которую бессымсленно пытаться перевести в техническую плоскость.
NS 🇷🇺
Почему?
Особенно если в РФ все три и в пределах пары тыщ километров, то идея не идиотская.
Слуги народа пока своими идеями не успели еще до конца уничтожить один из лучших по связности сегментов интернета)
Особой разницы ведь и нет в соседних рядах стоек у тебя экземпляры марии или в соседних городах. Задержки при маршрутизации и коммутации на норм железе измеряются сотнями наносекунд, а остальное время на распространение сигнала в среде. А оно происходит со скоростью света, так что, даже 2-3к километров это около миллисекунды.
Ага, только практика суровее. И даже у одного владельца цодов между ними труха
J
Ага, только практика суровее. И даже у одного владельца цодов между ними труха
Если труха, то не надо)
А если норм связность, то чо бы и нет)
Рамиль
Ну не в обиду всем коллегам работающим в сбере, но сбер неповоротливая и во многом архаичная контора.
Эт ты давно в сбере не работал) действительно, поворотливость масштабной компании проигрывает маленьким. Но кто сказал что их сравнивать правильно)
NS 🇷🇺
Эт ты давно в сбере не работал) действительно, поворотливость масштабной компании проигрывает маленьким. Но кто сказал что их сравнивать правильно)
Там не надо работать, чтобы знать весь писец
J
Эт ты давно в сбере не работал) действительно, поворотливость масштабной компании проигрывает маленьким. Но кто сказал что их сравнивать правильно)
Вот именно)
Поэтому с деньгами и возможностями Сбера проще и дешевле многократно зарезервировать все что можно и свести вероятность отказа к ничтожным долям процента.
J
Ждем когда напишут)
Рамиль
Вообщем поделитесь описанием системы и результатами учений. Будем посмотреть)
J
Вообщем поделитесь описанием системы и результатами учений. Будем посмотреть)
А самый смех то что, вроде, решили что схема с контрол плейном в виртуалках эт чисто выпендреж и делать её никто не собирается)
Рамиль
Ну главное на хер никто не пошел)
Рамиль
А говорят, что русское комунити токсичное)
J
А говорят, что русское комунити токсичное)
Ну с точки зрения нежных юношей и девушек, наверное, токсичное)
Илья | 😶☮️🐸
Совсем охренели со своими вейпами и смузи
Vyacheslav
Vyacheslav
Да его в проде, кроме кровавого тырпрайза кто-то использует?
Но там контролы второго облака в первом облаке
NS 🇷🇺
Только он сам свой еще контролплейн держет
NS 🇷🇺
Где логика?
Stanley
Директор?
Den
Stanley
Транспортного участка )
Ага, с перерывом на обед и праздники. Обычно эвакуация так и работает.
Илья | 😶☮️🐸
Ага, с перерывом на обед и праздники. Обычно эвакуация так и работает.
Камеру вырубай, здесь съёмка запрещена
Vyacheslav
В эвакуации нет смысла - у тебя обычно 3 ноды и кола уже умеет в fail tolerance ехать на 2х нодах
Илья | 😶☮️🐸
Кстати, про коллу. Хранить инвентори и конфиги в репе гита норм ?
Vyacheslav
Все схемы с трипло скорее больше в жадности или нищебродстве - у нас 2 облака, мы не хотим вкладывать в отдельные контролы - го на виртуализации их запускать
Vyacheslav
Что бы если упадёт так сразу все наверняка
Илья | 😶☮️🐸
тхк
Ilya
Кстати, про коллу. Хранить инвентори и конфиги в репе гита норм ?
только шифруй файл с паролями валтом хотябы
Fedor
только шифруй файл с паролями валтом хотябы
Ты видел, что в кололо теперь скрипт для нативного хранения в хашикорп волте есть?
Vyacheslav
Fedor
https://docs.openstack.org/kolla-ansible/latest/user/operating-kolla.html
Ilya
Ты видел, что в кололо теперь скрипт для нативного хранения в хашикорп волте есть?
Угу. Спасибо. Поднимать свой волт - это следующий уровень
Vyacheslav
Спорная штука
Vyacheslav
Что так что так в ci/cd можно посмотреть все пароли имея доступ на мердж реквест
Fedor
Угу. Спасибо. Поднимать свой волт - это следующий уровень
Мне кажется, нет ни одной причины не поднять волт. Весьма удобная вещ)
NS 🇷🇺
Что так что так в ci/cd можно посмотреть все пароли имея доступ на мердж реквест
Маскировать не пробовал?)
Vyacheslav
printenv
Vyacheslav
как это скрыть, если берёшь переменные из hashi vault