Просто в чем суть. Есть несколько проектов в bitbucket, деплой которых неплохо было бы автоматизировать. Пытался играться с Jenkins Pipeline, но они уж больно сложно конфигурируемы.

как ты собираешься автоматизировать?

@Tellef что за зверь?

пайплайны дженкинса

А.

под битбакет вообще готовый код есть

где-то натыкался на него)

завтра в гитлабе создают новую группу: projectX и он автоматически в дженкинсе появляется

и билдится и деплоится)

Да, вот я его и использовал. Очень классная тема.

Но из очень грустного, что нужно писать skip ci, чтобы пропустить билд, а хотелось бы наоборот.

вот я про него

Сразу говорю, там это в настолько зачаточном состоянии, что если ты это раскуришь, то познаешь суть мироздания

Но такого плагина не нашел.

А еще как тебе надо там? Унаследоваться от AD и вместе рулить юзерами, ну это да... Это потянет на дисер

Можно, вообще ебануться: дальше по дереву, еще AD завести (-:

что значит унаследовать от ад?

Как я понял, сделать поддомен, на FreeIPA

да, чтобы рулить sudo и ssh в купе

То есть была AD organisation.local, а стало organisation.local и ipa.organisation.local

там еще дальше могут быть поддомены, но да

Это просто не нужно никогда, в масштабах домена.

не обязательно это должны быть поддомены

могут быть разные домены

чтобы именно поддомент такого требования нет

тоже логично)

Для таких целей и устроено "доверие доменов"

sudo & ssh через группы можно рулить

Ну вот, только хотел спросить, есть ли антиспамботы

т.е. берешь группу из АД и назначаешь ей правило судо

Это не поддомены, но просто группы, в одном домене — все участники второго домена являются членами группы в первом домене. Можно сложнее настроить, но не нужно.

Ну вот, только хотел спросить, есть ли антиспамботы

Есть, конечно. Я, например. Время реакции редко превышает минуту, ложные срабатывания - 0%. ☺️

это могут быть совершенно разные домены. группы и пользователи идут через доверие

ребят, кто дженкинс использует, у меня в pipeline не видно докер. при этом /var/run/docker.sock проброшен. Где я свернул не туда?

Есть, конечно. Я, например. Время реакции редко превышает минуту, ложные срабатывания - 0%. ☺️

А как же личная жизнь и все такое?

т.е может быть kontora.ru & foo.bar

совершенно разные домены

А как же личная жизнь и все такое?

Это всё не должно мешать работе.

и доверие можно настроить как одностороннее так и двустороннее

Просто когда ты начнешь это настраивать, ты будешь жалеть о тех днях, когда у тебя было два не связанных домена.

ну гугл с мотороллой как то же разрулили

Я не про то что это сложно настраивать, это сложно потом удержать во внимании

У тебя появляются проблемы на другом уровне — этим всем очень сложно управлять одному человеку.

Писать GPO это одно, а RBAC совсем другое...

не знаю как в ад, но в ипе с помощью рбак и хбак, и политики белого списка много проблем не будет

не знаю как в ад, но в ипе с помощью рбак и хбак, и политики белого списка много проблем не будет

Ключевое не знаю как в АД так и будет: один не знает как в AD, второй как в IPA

врятли один и тот же человек будет рулить и там и там

Ребят, а можно вопрос, возможно примитвный и\или не в кассу, но все же - а никто не занимался тем, что организовывал процессы CI, CD для Embedded через Jenkins2, возможно обвязочки делали, статейки умные полезные знаете, дописывали свои инструменты, поделитесь опытом. Раскатывать надо прошивки и организовать тестирование вот этого дела. Скорее это все будет в кастом, ну пока так получается что кастом - стандартно через Женкинсы это не решается. Просьба каменья не кидать, конструктивно если что и по делу.

и скорее всего будет одностороннее доверие

Потом один создаст группу, и никому про нее не скажет, второй создаст шару и забудет про нее потом, в итоге ты стоишь на табуретке, а на шее удавка

если ты группы белым списком пускаешь, то ты точно знаешь кого пускать. а то что там еще насоздавали уже не волнует

Потом один создаст группу, и никому про нее не скажет, второй создаст шару и забудет про нее потом, в итоге ты стоишь на табуретке, а на шее удавка

надо уметь делегировать обязанности)

Я к тому, что сделать так можно, только жить станет не особо легче. Мальчики — налево, девочки — направо. Не надо срать в писсуар.

легче станет, что не будет меня в обходном листе, завели нового разраба/тестера, я его включил в нужную группу(определенную, у меня много проектов). Он уволился, да и мне срать.

его корневые админы выпилили + у него везде пароль одинаковый, да ведь?)

вроде того

можно даже не включать в группу

ты можешь правила сразу на группу из ад делать

Ты так говоришь, как будто у тебя но пять разработчиков в день увольняются и еще каждый так и норовит все твои сервера сломать, это не такой уж и головняк, как мне кажется.

Ты так говоришь, как будто у тебя но пять разработчиков в день увольняются и еще каждый так и норовит все твои сервера сломать, это не такой уж и головняк, как мне кажется.

именно так) не по пять, но все же. например в дженкинсе сейчас полно мертвых душ, мне разбираться неохото с ними.

между проектами они так же катаются туда сюда, это точно очень часто. Пусть рулят этим корневые админы.

А почему ты просто не берешь юзеров прямо из их доменов?

К дженкинсу же можно больше одного LDAP подключить.

Microsoft AD не умеет в sudo и openssh

второе по политическим соображениям))

https://www.freeipa.org/page/Active_Directory_trust_setup — ну ты сам напросился

ERROR: S client not available

я туда сам смотрел)

поэтому и спрашиваю, какая там жопа

выше говорят, что не так просто группы делать

Вообще это работает, просто надо уровень раскурки LDAP определенный иметь.

если получится, то можно будет бамбук курить)

если получится, то можно будет бамбук курить)

Если получится, сделай репорт, а лучше вообще доку, думаю многие тебе спасибо скажут

в принципе там ничего сложного

мы делали, но вендовый админ потом сказал, что вообще никому не нужно, и лучше жить порознь

https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/7/html/windows_integration_guide/trust

Кто-нибудь юзал веб-сервер Caddy?

https://caddyserver.com/

https://www.freeipa.org/page/Active_Directory_trust_setup — ну ты сам напросился

это немного устаревшее

Кто-нибудь юзал веб-сервер Caddy?

Кто-нибудь наверняка юзал!

Просто думаю, стоит ли отказаться от Nginx + Apache в его пользу (с php-fpm)

Это от праздности (сиречь: от нехуй делать). Зачем ломать то, что работает?

Просто думаю, стоит ли отказаться от Nginx + Apache в его пользу (с php-fpm)

я смысла не вижу, битрикс такое говно, что его не спасёт это

а вот проблем создать может

Просто думаю, стоит ли отказаться от Nginx + Apache в его пользу (с php-fpm)

Думай.

Просто думаю, стоит ли отказаться от Nginx + Apache в его пользу (с php-fpm)

если битриксов нет всяких ебаных, то юзай fpm

А если есть то все равно апач не нужен

И кадди тоже

а где можно bigquery пообсуждать?

Можешь поделиться наработками ? Мне для начала хотяб в файл все выгружать, дальше в заббикс заберу

https://github.com/tnt4brain/python_jmx_to_graphite

Памятуя о вопросе чтения JMX-метрик питонячьим кодом, выложил код Nagios-совместимой проверки состояния Akka-кластера. Весь опрос делается через JMX.

еще можно через jolokia + telegraf замутить такое.

Да, Jolokia рассматривали в своё время, но там не слишком благостно получалось - при запросе "*" несчастный браузер вставал колом от объёма JSON-а, сваливавшегося ему на голову.

Во время дебага, в смысле? телеграф вроде норм передает метрики

(но, кстати, ходили слухи, что с графитом он средне работает)

Заказчик телеграф (как и другое из инфлакс-стека) не рассматривал ввиду ненужности - у него графит два кластера в разных ДЦ обслуживал, и всё устраивало.

А что собирает инфу о самой системе? (диски, CPU..)?