кы

без дочерних групп

Ну просто это какой-то очень резкий подход не с той стороны, учитывая наследование переменных и самих групп.

Получить список групп без детей

Можно получить список всех групп и отфильтровать пустые

Ну просто это какой-то очень резкий подход не с той стороны, учитывая наследование переменных и самих групп.

именно об этом я и говорю

А с какой стороны подойти, основная задача получить список групп в которых состоит хост

Узнать в каких группах состоит хост

я за тебя загуглил, держи - https://coderwall.com/p/kotfzq/ansible-list-groups-host-belongs-to-in-template-module

Там будут все группы, включая родительские, они не нужны

А с какой стороны подойти, основная задача получить список групп в которых состоит хост

По дао - ты применяешь изменения к группам, а не пытаешься самокопатся там внутри, ставить ifы. Ветвить логику внутри flow ансибля - это очень грустно дебажить потом, поэтому и речь, что не с той стороны, мое имхо.

ещё раз - какая задача решается? не "как" она решается ("....получить список групп..."), а "какая задача" ("...я хочу применить роль к хосту, который входит в группу X....."

По дао - ты применяешь изменения к группам, а не пытаешься самокопатся там внутри, ставить ifы. Ветвить логику внутри flow ансибля - это очень грустно дебажить потом, поэтому и речь, что не с той стороны, мое имхо.

+100500 ансибл работает с группами, а не хостами

+100500 ансибл работает с группами, а не хостами

Мир тесен кстати, для меня ансибл начался с твоей лекции в ТТ

Мир тесен кстати, для меня ансибл начался с твоей лекции в ТТ

офигеть, вот такого я точно не ожидал! ?

Я хочу создать зону в файрволле с именем из inventory file. Сейчас у меня все IP в зоне Public, поэтому по ip я нахожу хост и группы в которые он входит, проблема в том, что это все группы.

Костыльно - можно давать имя зоны нужное через допаргументы ansible-playbook -e "zone=<aaa>". Вообще - у меня такого кейса не было, фаер имхо - слишком тонкая и ломающая вещь, чтобы его размазывать по разным местам и разбираться потом с результам уже на хосте назначения. Для фаера есть отдельное окружение обычно, где все правила прописаны прямо и проверяются на конфликты.

там же я бы и зоны задавал, если надо

всем привет. подскажите кто нить репу nginx+pagespeed но что бы версия была более менее свежая.

получаю такую херню

Google detected that your site was running version < 1.9.32.14 or < 1.10.33.7 of PageSpeed. This older version has known security issues that can make your site vulnerable.

Репу для какой ос?

Я хочу создать зону в файрволле с именем из inventory file. Сейчас у меня все IP в зоне Public, поэтому по ip я нахожу хост и группы в которые он входит, проблема в том, что это все группы.

с именем группы, что ли?

да

ubuntu 14.04

у них ещё есть такое bash <(curl -f -L -sS https://ngxpagespeed.com/install) —nginx-version latest

да

оно так не сработает, это ты заббикс-подход какой-то хочешь создать (чтобы оно само как-нибудь). создай вместо этого явным образом отдельную группу, к ней примени роль для настройки файрвола.

но чет на убунту 14 не работает

но чет на убунту 14 не работает

а вот это работает?

bash <(curl -f -L -sS https://ngxpagespeed.com/install) —help

оно так не сработает, это ты заббикс-подход какой-то хочешь создать (чтобы оно само как-нибудь). создай вместо этого явным образом отдельную группу, к ней примени роль для настройки файрвола.

ясно

да

пашет

ясно

явное задание групп и ролей сохранит тебе миллион нервных клеток, 100500 кармы и кучу времени при отладке

И потратит кучу времени

И потратит кучу времени

Группы тебе делать не каждые пять минут и не каждый день, один раз все-таки продумать и запилить.

И потратит кучу времени

Тебе виднее

кто подскажет? [147584.082696] VE13: nf_conntrack: table full, dropping packet. задрал уже: net.netfilter.nf_conntrack_max = 1548576 net.nf_conntrack_max = 1548576 при этом в openvz (ctid 13) просто валится все к херам...

на соседнем (аналогичном) серваке при round-robin dns все ок

Выключите и все

Коннтрак он такой:)))

как выключить?)

он уже >options nf_conntrack ip_conntrack_disable_ve0=1

PING 8.8.8.8 (8.8.8.8) 56(84) bytes of data. 64 bytes from 8.8.8.8: icmp_seq=1 ttl=46 time=13.5 ms 64 bytes from 8.8.8.8: icmp_seq=2 ttl=46 time=13.5 ms 64 bytes from 8.8.8.8: icmp_seq=3 ttl=46 time=13.5 ms 64 bytes from 8.8.8.8: icmp_seq=4 ttl=46 time=13.5 ms ping: sendmsg: Operation not permitted ping: sendmsg: Operation not permitted ping: sendmsg: Operation not permitted 64 bytes from 8.8.8.8: icmp_seq=8 ttl=46 time=13.5 ms 64 bytes from 8.8.8.8: icmp_seq=9 ttl=46 time=13.5 ms ping: sendmsg: Operation not permitted ping: sendmsg: Operation not permitted ^C --- 8.8.8.8 ping statistics --- 11 packets transmitted, 6 received, 45% packet loss, time 10718ms rtt min/avg/max/mdev = 13.524/13.553/13.596/0.152 ms у меня там адище начинается )

A B iptables ?

В правилах наверное везде state?)

правила идентичные

на физ серваке пустой iptables, в контейнерах одинаково все

Chain INPUT (policy ACCEPT) target prot opt source destination ACCEPT tcp -- 127.0.0.1 0.0.0.0/0 tcp multiport dports 20,21,3306,5432,5454,3050,11211,19999 ACCEPT udp -- 127.0.0.1 0.0.0.0/0 udp multiport dports 11211 REJECT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp multiport dports 20,21,3306,5432,5454,3050,11211,19999 reject-with icmp-port-unreachable REJECT udp -- 0.0.0.0/0 0.0.0.0/0 udp multiport dports 11211 reject-with icmp-port-unreachable Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination

Не пустой получается iptables?

это в контейнере

А что говорит /proc/sys/net/ipv4/ip_conntrack_max и conntrack -L все коннекты нормальные? Мусора нет?

Можно ещё и модуль выгрузить:)

/proc/sys/net/ipv4/ip_conntrack_max нет в центосе)

/proc/sys/net/ipv4/ip_conntrack_max нет в центосе)

потому что nf

# cat /proc/sys/net/netfilter/nf_conntrack_max 1548576

modprobe -r xt_NOTRACK nf_conntrack_netbios_ns nf_conntrack_ipv4 xt_state вроде порешало

не смотря на "...already in use"

Соррян, развели зоопарк ос, убунту,цементооси,шляпы красные...

Вы изучите список трекнутых соединений, может быть вы сможете оптимизировать что нибудь

Там трафик и всякое питоновое говно в перемешку с go

Ну это понятно))))

LA 10+ при 8 ядрах

8 ядер физических?

Виртуальные можно не считать

Intel(R) Xeon(R) CPU E3-1275 v5 @ 3.60GHz

Какие частоты, бд?

При этом на обоих серваках одинаковая ос, одинаковое железо, одинаковый sysctl, софт и контейнеры

ERROR: S client not available

И раунд робин трафик

Да да, все одинаково... Слышал мульон раз))

На одном LA 8, на другом 10+

Мамой клянусь 1 в 1

ребзя подскажите такой момент

Хетцнер)

будет ли работать модуль pagespeed выдраный с папки модулей от nginx 1.8 в nginx 1.13

будет ли работать модуль pagespeed выдраный с папки модулей от nginx 1.8 в nginx 1.13

если abi не поменялось, то будет

что такое аби?

application binary interface

Поменялось, пропасть же

тоесть не будет работать?

ты попробуй, а нам раскажешь, поменялось ли abi или нет

я то попробую

и раскажу

но тока када зщ

хз

А совместимость pagespeed с браузерами любыми - ок?

Мамой клянусь 1 в 1

контейнер rsync'ом перелит, поэтому он не может быть другим)

У вас же проблема не в контейнере, а на хосте.

и что в хосте может быть не так?) sysctl идентичный

openvz конфиги идентичные

Я не телепат, извините:)

не актуальная отмазка)

кто то делал на redmine конект по imap? У меня с командной строки работает а вот с cron пока проблема, пишет много не понятного на ruby

а что пишет то?

что значит по imap? он у тебя что-то собирает?)

и, да, там рельсы, не ruby

а что пишет то?

+1

при запуске через крон переменные окружения возможно нужно добавлять, так как там стандартный профвйл вроде как не выполняется

попробуй типа так

0 5 * * * . $HOME/.profile; /path/to/command/to/run