Да, с секьюрити патчами

Но это простите пиздец

Только на рх7 его в принципе попробовать даже нельзя, потому что опенссл от 2012 года

так везде. абсолютно везде

и ты не прав

там можно попробовать, только в chrome работать не будет

там можно попробовать, только в chrome работать не будет

И в фф

А так, да, можно

в фф будет

Лол

Хром же 40% рынка, не ?

Больше уже помоему

а чего не хватает в старом openssl?

а чего не хватает в старом openssl?

Alpn

ALPN

а чего не хватает в старом openssl?

http2

вот статья: https://www.nginx.com/blog/supporting-http2-google-chrome-users/

все кроме ubuntu 16.04 не поддерживают из коробки ALPN

хотя, как я понял когда пытался в этом вопросе разобраться, ALPN более безопасная технология

но учитывая что nginx такая штука, которую собирают все себе сами (ну в многих случаях, скажем так) - то нет никакой проблемы собрать его с нужным вкомпиленным openssl

или даже взять libressl - она полегче например

https://gist.github.com/partounian/c13a445349e0785b2d26f66f2290741d

щас выйдет 8ой скоро.

Как это ни странно, у них нет четкого релизного цикла.

публичного. я так понимаю внутренний всё же есть.

но не берусь утверждать на 100%

Угу, потом еще собери себе питон 3.5, 2.7.12, еще что нибудь, и получи пол системы собранные с нуля чтобы оно работало адекватно

и мы плавно приходим к тому, что стоит сменить дистр :)

Угу, потом еще собери себе питон 3.5, 2.7.12, еще что нибудь, и получи пол системы собранные с нуля чтобы оно работало адекватно

это есть в redhat наборах пакетов для разработчиков

и мы плавно приходим к тому, что стоит сменить дистр :)

Угу, как то так, но только это невообразимо сложно если вся инфраструктура уже завязана на текущий

я забыл как это правильн оназывает

это есть в redhat наборах пакетов для разработчиков

Sclo, но там тоже далеко не все что нужно

Угу, как то так, но только это невообразимо сложно если вся инфраструктура уже завязана на текущий

но можно использовать fedora

это безопасно

а учитывая среднее время жизни современного сервера...

эм, не понял про http2

но можно использовать fedora

Даже Федору воткнуть сложно, если везде рх

мне вот в цености больше всего нравится работать с lxc

если я установлю на centos7 nginx из оф реп то у меня не будет http2?

будет

фуф

но в chrome нет

потому что они поддержку NPN вырубили

Но только на фаерфоксе

а alpn будет работать только начиная с 1.0.2g версии openssl

Но ты же понимаешь, что ФФ в случаи мира это 20% в лучшем случаи?

а её нет в rh и патчи поддержки alpn никто не бекпортировал (хотя думаю было мало запросов от клиентов - они обычно в промежуточных релизах выкатывают такие важные фичи)

Но ты же понимаешь, что ФФ в случаи мира это 20% в лучшем случаи?

около 35 вроде

С в случае внутреннего сервиса хром может быть около 100%

а её нет в rh и патчи поддержки alpn никто не бекпортировал (хотя думаю было мало запросов от клиентов - они обычно в промежуточных релизах выкатывают такие важные фичи)

Их запросами завалили давно уже

в случае внутреннего сервиса второй браузер поставят, не облмаются

в случае внутреннего сервиса второй браузер поставят, не облмаются

Не поставят

Проще рх на дебиан сменить чем заставить людей сменить браузер

в дебиане всё тоже

только ubuntu 16.04 щас поддерживает нужный openssl из коробки

и менять rh на ubuntu особенно если привыклю с первой работать - это боль почище той, чтобы пользоватеелй посадить в нутри одной компании на нужный браузер

а вообще, неужто http2 так горит?

только ubuntu 16.04 щас поддерживает нужный openssl из коробки

Ну ок, на убунту. Масштаб изменинй все равно одинаковый

конечно нет

и менять rh на ubuntu особенно если привыклю с первой работать - это боль почище той, чтобы пользоватеелй посадить в нутри одной компании на нужный браузер

Сменить браузер людям невозможно

масштаб катастрофический

Увы

а вообще, неужто http2 так горит?

Для некоторых сервисов очень полезен

у меня вот safari норм забирает по http2, а firefox чот не хочет, ходит по 1.1

и это дольше даже на глаз

Для графаны и сложных бордов полезно

Всем привет! Можете поделиться конфигом для мониторинга tcp порта в prometheus blackbox или ткнуть на документацию?

и еще вопрос такой, если мне просто хочется отслеживать состояние порта up/down, возможно ли? такое, что именно на этом порту отдается тестовое поле, если ничего нет то down. То есть будет ли так работать или все же на этом порту должны генериться метрики

ERROR: S client not available

если ты про https://github.com/prometheus/blackbox_exporter то он, похоже, заточен на http

вероятно, ты можешь ловить событие неудавшегося запроса

если ты про https://github.com/prometheus/blackbox_exporter то он, похоже, заточен на http

HTTP, HTTPS (via the http prober), DNS, TCP socket and ICMP (v4 only, see permissions section) are currently supported. Additional modules can be defined to meet your needs.

да именно про это, там есть оговорка "The blackbox exporter allows blackbox probing of endpoints over HTTP, HTTPS, DNS, TCP and ICMP"

может кто делал уже такое?

я вот не понял - какое?

а, я мистер внмиательность

tcp_connect_v4_example: prober: tcp timeout: 5s tcp: protocol: "tcp4" оно?

>такое, что именно на этом порту отдается тестовое поле или ты имеешь в виду, что порт слушается всегда, а а ты (мониторинг) по наличию в поле ответа решаешь, лежит или нет?

ну в телеграфе есть гибкий модуль на эту тему, я им мониторю с кучи точек время отклика по http, но заюзать можно и для чего-то посерьёзнее, если тебе не хватит blackbox_exporter ## Optional substring or regex match in body of the response ## response_string_match = "\"service_status\": \"up\"" ## response_string_match = "ok" ## response_string_match = "\".*_status\".?:.?\"up\"" https://github.com/influxdata/telegraf/tree/master/plugins/inputs/http_response

и в прометей можно отдать через output.prometheus.

">такое, что именно на этом порту отдается тестовое поле или ты имеешь в виду, что порт слушается всегда, а а ты (мониторинг) по наличию в поле ответа решаешь, лежит или нет?" - да все верно

tcp_connect_v4_example: prober: tcp timeout: 5s tcp: protocol: "tcp4"

а как тут сказать что мы слушаем порт N

lastsky - спасибо большое! только я вот думал уйти от telegraf и influxdb в сторону, prometheus. а еще не хочется использовать две технологии, для сбора и передачи метрик, то есть поменьше overlap

а как тут сказать что мы слушаем порт N

Там же не /metrics а реквест нужно слать

В конфиге для прома указываешь порт и хост

lastsky - спасибо большое! только я вот думал уйти от telegraf и influxdb в сторону, prometheus. а еще не хочется использовать две технологии, для сбора и передачи метрик, то есть поменьше overlap

ну telegraf выкладывает метрики как node_exporter, а прометей их собирает, технология остается одна по итогу.

какой срач про опенвз и ядра я проспал :)

какой срач про опенвз и ядра я проспал :)

да можешь присоединяться если хочешь, но наверное лучше его в ru_devops перенести

не хочу

https://www.stableit.ru/2016/06/11-reasons-why-you-should-avoid-openvz.html

в свое время писалось буквально в последние дни работы в хостинге, за что был забанен на https://planet.openvz.org/ =)

@Civiloid спасибо за рекомендацию :) открываю день за днем мир телеграм ИТ =)

@Civiloid спасибо за рекомендацию :) открываю день за днем мир телеграм ИТ =)

какую?

ru_devops <---

а

ru_devops <---

не советую. Съедят.

подавятся.

не советую. Съедят.

ру девопс? Ты с девопс_ру путаешь ИМХО

Павел Одинцов как то связан с fastnetmon ?

Или это он и есть ?