сегодня познакомился с опеншифт, огонь тема ))

сегодня познакомился с опеншифт, огонь тема ))

Было раньше с чем сравнить?

@Asgoret

@Asgoret

Что?

Что?

шпам был

сегодня познакомился с опеншифт, огонь тема ))

еще не вкусил всей прелести потом очки розовые спадут)))

та не надо с козырей

угу)))

https://www.opennet.ru/opennews/art.shtml?num=49273

было?

было?

Нет ну никто голой жопой контейнеры не выставляет

Нет ну никто голой жопой контейнеры не выставляет

особенно на alpine

срочно апгрейдимся до latest

особенно на alpine

Ну если выставили сами себе злые буратино

когда не знаешь отправить жалобу на порнографию или на спам

когда не знаешь отправить жалобу на порнографию или на спам

ты думаешь @vizdrag дрочить не будет?

было б на что)

Ssd и sas это разные интерфейсы

Оно не полетит

Плавали. Знаем

Ssd и sas это разные интерфейсы

waaaaat

https://www.seagate.com/ru/ru/enterprise-storage/nytro-drives/nytro-sas-ssd/

Я вспомнил историю как купили sas контроллер и пихали в него ssd. Оно не работало

Короче из другой оперы

Я вспомнил историю как купили sas контроллер и пихали в него ssd. Оно не работало

в него пихали сата наверно. непосредственно ссд тут не при чем

Я вспомнил историю как купили sas контроллер и пихали в него ssd. Оно не работало

Там и сата и сас могут, хз чо у вас было.

И m2 и ide и usb - вариантов масса

nvme забыли)

К слову, а кто как ssh-ключами управляется ? Что-то сходу ничего не нагуглилось.

смотря для чего и на чем

nvme забыли)

scsi )

isa

К слову, а кто как ssh-ключами управляется ? Что-то сходу ничего не нагуглилось.

в смысле?

isa

разве харды такие были? это ж батька pci

ахаха нет конечно

разве харды такие были? это ж батька pci

На шину контроллер вешался

в прямом - есть несколько environment хотелось бы указывать - кто из пользователей может ходить Если еще и expire ssh-ключей можно задать - просто песня :)

в смысле?

!

На шину контроллер вешался

максимум было сетевуху воткнуть

в прямом - есть несколько environment хотелось бы указывать - кто из пользователей может ходить Если еще и expire ssh-ключей можно задать - просто песня :)

ну... каждому юзеру свой ключ, так и регулировать кто может кто нет. на счет экспайра хз

ну... каждому юзеру свой ключ, так и регулировать кто может кто нет. на счет экспайра хз

можно ансиблом, но хочется, чтобы был веб какой-то, где бы ручками "клац-клац" и вот оно.

максимум было сетевуху воткнуть

я относительно недавно ковырялся в ibm-овском серваке, там была была атс, она состаяла из двух иса карт, которые в размерах дадут фору сегодняшним топовым видяхам)

почистили его и назад в работу включили. все еще робит небось

ну... каждому юзеру свой ключ, так и регулировать кто может кто нет. на счет экспайра хз

не пускать прогеров в контейнеры и перезапускать для тех кому можно, плюс предвариельно резать доступ до этого, тогда не нужно будет морочится о ключах

я относительно недавно ковырялся в ibm-овском серваке, там была была атс, она состаяла из двух иса карт, которые в размерах дадут фору сегодняшним топовым видяхам)

они такие и были все)

процы слотовые?

не пускать прогеров в контейнеры и перезапускать для тех кому можно, плюс предвариельно резать доступ до этого, тогда не нужно будет морочится о ключах

иногда девелоперам нужно на сам хост ходить - логи посмотреть, в докере что-то поковырять.

иногда девелоперам нужно на сам хост ходить - логи посмотреть, в докере что-то поковырять.

сторонними сервисами, логи в елк

процы слотовые?

слотовые это начиная с третьего пня и какого то атлона. там было что то вроде пня ммх)

девелоперам нечего делать с рабочим продом

слотовые это начиная с третьего пня и какого то атлона. там было что то вроде пня ммх)

ммх було щастя

сторонними сервисами, логи в елк

Это пока обсуждаем. так или иначе - сотрудники с доступом "везде" иногда увольняются, ключи надо регулярно менять.

иногда девелоперам нужно на сам хост ходить - логи посмотреть, в докере что-то поковырять.

фронтейл прикрути к логам. ковыряются пусть на деве/стейже. а лучше всего в гите

Это пока обсуждаем. так или иначе - сотрудники с доступом "везде" иногда увольняются, ключи надо регулярно менять.

рулить доступы до

отозвали впн серт и все

девелоперам нечего делать с рабочим продом

а в дев и стаджинг - пусть делают что хотят, лишь бы прод не сломали. Правда докер в проде - такая себе история, имхо

рулить доступы до

до чего ?

а в дев и стаджинг - пусть делают что хотят, лишь бы прод не сломали. Правда докер в проде - такая себе история, имхо

ну почему же, вполне рабочий вариант тем более сейчас

до чего ?

в смысле на точке входа рули, что бы в инфраструктуру попасть не могли

до чего ?

до возможности логина куда бы то нибыло на любы дев прод ресурсы

ну почему же, вполне рабочий вариант тем более сейчас

тем более со всякими кубернетесами

в смысле на точке входа рули, что бы в инфраструктуру попасть не могли

+

бастион хост етц блаблабла

пусть выглядит как угодно

Куберов пока нет. бастион - понятная история. вопрос - именно - как "красиво" закрыть доступ такому-то ssh ключу к хостам внутри, кроме ансибла. да и с самого бастиона тоже надо как-то прописывать доступы.

тоже ансиблом можно, конечно .. но как-то беспокойно выглядит на первый взгляд.

а в дев и стаджинг - пусть делают что хотят, лишь бы прод не сломали. Правда докер в проде - такая себе история, имхо

дев да, стейж нет

Куберов пока нет. бастион - понятная история. вопрос - именно - как "красиво" закрыть доступ такому-то ssh ключу к хостам внутри, кроме ансибла. да и с самого бастиона тоже надо как-то прописывать доступы.

доступы к бастиону не проблема вообще

ну у меня на стейджинге много нагрузочных тестов идёт, когда не проходит тестирование выкатки нового прода.

доступы к бастиону не проблема вообще

чем,как ?

тоже ансиблом можно, конечно .. но как-то беспокойно выглядит на первый взгляд.

ипа, любая cm

тоже ансиблом можно, конечно .. но как-то беспокойно выглядит на первый взгляд.

быстрый гугл manage public ssh keys on multiple servers https://serverfault.com/questions/594431/multiple-users-multiple-servers-ssh-key-management

держать открытый ссш наружу это печаль

похер сколько хостов

держать открытый ссш наружу это печаль

в чём печаль ? много багов в sshd нашли ?

в чём печаль ? много багов в sshd нашли ?

в openssl

ипа, любая cm

можно раскрыть - что есть ipa, есть есть cm ?

лишние засраные логи, не секьюрный подход, человеческий фактор, проблема с уволеными сотрудниками

ипа реализация ldap

ипа ваще агонь

ипа реализация ldap

гадость...

можно юзать любые варианты

гадость...

почему?

гадость...

на винде адэ огонь, на линухах не все так хорошо

там только. директори сервер от рх за 18к денег

остальные так себе