🏳️ Phil
ты их бюджет видел? я его хочу
🏳️ Phil
а кто сказал сертбот? я не говорил.
если очень хочется сертбот, то вы пущаете сертбот на том самом бэкенде, который в текущий момент active.
запросы от LE проксируете со всех фронтендов на этот бэкенд.
сертбот и не подозревает обо всей этой ебанистике.
естественно, он должен работать в режиме cert-only и просто складывать сертификат вместо попыток переписать конфиги веб-серверов.
вы подхватываете сертификат и пихаете в систему деплоя сертификатов.
и гдето в этой схеме мы сталкивпемся с необходимостью ловить момент выписки сертификата. а мы еще пропустили то, что бэкенд в реалии не знает какие домены обслуживает
Dmitrii
Что за вилидация. Я так понял тебе надо узнать когда протухнет серт
🏳️ Phil
Что за вилидация. Я так понял тебе надо узнать когда протухнет серт
нет. мне иногда хочется узнать, протухла ли валидация домена.
Sergei
и гдето в этой схеме мы сталкивпемся с необходимостью ловить момент выписки сертификата. а мы еще пропустили то, что бэкенд в реалии не знает какие домены обслуживает
емнип certbot делает это все синхронно. но сварщик не настоящий.
🏳️ Phil
емнип certbot делает это все синхронно. но сварщик не настоящий.
это не важно. важно, что мне в ПУ надо от него получить "моя сделать"
🏳️ Phil
Посмотрите perkele - там сделано тяп ляп, но понятно, чего я хотел добитьсч
🏳️ Phil
https://github.com/schors/perkele
Dmitrii
> там сделано тяп ляп, но понятно, чего я хотел добитьсч
Вот так open-source проекты и остаются в таком виде. А потом приходит новый "Фил" и говорит: бля тут какой то кал сделали эти мудаки... 😂
🏳️ Phil
🏳️ Phil
> там сделано тяп ляп, но понятно, чего я хотел добитьсч
Вот так open-source проекты и остаются в таком виде. А потом приходит новый "Фил" и говорит: бля тут какой то кал сделали эти мудаки... 😂
нет, всетаки буду. у меня нет такого бюджета с неба, как у LE
🏳️ Phil
Собственно perkele у меня на хостинге в хвост и гриву.
🏳️ Phil
у него иной воркфлоу
🏳️ Phil
но наверное надо ему кинуть как тулсет
🏳️ Phil
уболтать его раздраконить одну функцию
CMDR Jack
Одна точка это вполне может быть ecmp поверх сотни серверов
Хорошо, ECMP, мы же все равно не знаем, на какую машину придет запрос? Чего я тут не понимаю?
CMDR Jack
Нам в любом случае надо где-то ловить локейшн прям. Это заметно выше роутинга происходит.
Vladimir
@openfbtd смотри, первый шаг - мы на ближайшей возможной точке ловим локейшн
Vladimir
второй шаг - проксируем эти запросы в отдельный пул машинок
Vladimir
ты всегда можешь сделать 2 nginx'а, второй backup'ом
Vladimir
как первое приближение
Vladimir
как второе приближение ты можешь сделать относительно отказоустойчивый допустим MySQL (раз хостинг у тебя. то он уже должен быть)
Vladimir
и на nginx lua налабать за вечер скрипт который будет нужную информацию писать туда
Vladimir
и тогда уже делать полноценный round robin и пр.
Vladimir
вообще можно еще проанализировать ходит ли LE всегда с одного и того же айпишника на все запросы, если да, то все проще и у тебя делается sticky session на базе source ip и все просто работает
Vladimir
затем действительно развозишь сертификат по всем своим фронтэндам
Vladimir
но это придется делать так и так, даже без LE
CMDR Jack
Ага. И вот ты только что сам продемонстрировал, что не так уж и прям как два пальца запилить для хостинга LE :)
CMDR Jack
А то тут пишут что прям ОЛОЛО ЧО СЛОЖНОГО ТО
CMDR Jack
Подобную схему мы обсуждали. Как и еще пару вариантов
Vladimir
CMDR Jack
Мне нравится схема, где уже и так балансеры с нжинксами просто все умеют принимать и подписывать серты.
Vladimir
кажется что схема 1 с nginx + backup nginx делается за час студентом-стажером
Vladimir
вариант со скриптиком на луа который все умеет посложнее, решается за день студентом-стажером который первый раз видит в глаза lua
CMDR Jack
Нюансы, нюансы! В вакууме да, в уже существующей инфраструктуре любые подобные штуки *затягиваются*
Vladimir
Нюансы, нюансы! В вакууме да, в уже существующей инфраструктуре любые подобные штуки *затягиваются*
Честно я не понимаю почему. Возникла необходиомсть - взял и запилил за тот же вечер
Vladimir
дал поревьюить коллегам, на следующий день выкатил
Vladimir
в чем проблема?
Vladimir
можешь дать повариться в тестинге недельку-другую
Vladimir
или выкатить на часть инфры
CMDR Jack
У тебя идеальный мир какой-то. А интеграция с биллингом? А мониторинг? А потестировать?
CMDR Jack
А получить аппрув руководства? :F
Vladimir
У тебя идеальный мир какой-то. А интеграция с биллингом? А мониторинг? А потестировать?
а с биллингом это зачем интегрировать?
Vladimir
Типа не проплатил - нет тебе бесплатного серта?
Vladimir
ну тогда да, конечно, но это жлобство какое-то
CMDR Jack
Да нет же
CMDR Jack
Я прям в шаге от нарушения NDA, к сожалению.
Vladimir
мониторинг - ну да, нужен, но уже включен в заложенное время.
Vladimir
потестировать - неделю на тестинге повариться
CMDR Jack
Но так, в общем — нюансов до-ху-и-ща
Vladimir
апрув от руководства - ну как-то бюрократизация это, нафига надо?
CMDR Jack
В каждой инфраструктуре и в каждой компании эти нюансы свои
CMDR Jack
Ладно, у тебя там идеальные компании с идеальной инфраструктурой, это все замечательно, и я за тебя рад.
Sergei
кажется, что бюрократические процессы никак не связаны с LE
CMDR Jack
Я конкретные примеры без нарушения NDA привести вряд ли смогу, поэтому можно закрыть тему.
Vladimir
@openfbtd конечно ничего не идеально, но реализацию новых фич я могу делать без апрува от начальства
Vladimir
по принципу запилил, показал тестинг народу, через неделю в прод
Vladimir
могу и ничего не показывать конечно, но так потом больше вопросов от людей о том что можно делать с этим всем
Sergei
могу и ничего не показывать конечно, но так потом больше вопросов от людей о том что можно делать с этим всем
у тебя хомпага, а тут у людей бизнес.
Denis
синяя ! я видел !
Denis
У меня вопрос про докер.
Denis
Вопрос по бестпрактисам сборки контейнеров.
У вас есть автоматические сборки контейнеров по результатам создания тега в той или иной ветке ? Или всегда собираете из одной ветки только, к примеру мастера ?
CMDR Jack
Ох опять идеальные миры :D
Sergei
Ох опять идеальные миры :D
бюрократические проблемы .m, методология разработки и трудности изменения существующей инфраструктуры к LE не относятся ровно никак.
CMDR Jack
Да блядь я про аппрув руководства вообще в шутку сказал
CMDR Jack
Что вы зацепились-то за это.
Sergei
потому что технологических аргументов кроме "сложнааа" я как-то не заметил. :(
CMDR Jack
И я согласен, что ничего *сложного* нет.
CMDR Jack
Просто все *сложнее*, чем кажется людям с двумя нжинксами.
Sergei
еще раз - вы совершенно правы по поводу скейл мисматча, только не в ту сторону.
CMDR Jack
И это не в сторону вот вас двоих
Vladimir
да блин, решение с сохранением нужной информации и генерации ответа на базе луа делается за день включая мониторинг и прочее
CMDR Jack
Я вообще изначально это больше @lorddaedra говорил.
Vladimir
@openfbtd а, ну он упрощает все, да
Vladimir
впрочем под его задачи реально если один единственный nginx полежит немного, то никому хуже не станет
CMDR Jack
Я вообще не понимаю, с чего ты решил со мной поспорить, демонстрируя при этом мой пойнт :D
Vladimir
Я вообще не понимаю, с чего ты решил со мной поспорить, демонстрируя при этом мой пойнт :D
ну лично мне казалось что твой поинт в том что задача пипец какая сложная и не решается вот так с наскоку