CMDR Jack
Технически задача вообще не сложная, здесь я не спорю
CMDR Jack
И решений сильно больше одного.
CMDR Jack
Так, отвлеченно — существующая инфраструктура вносит коррективы. Но это, опять же, довольно очевидно.
CMDR Jack
Я просто как-то не очень делю задачу в вакууме от ее решения в рамках того, что есть сейчас.
CMDR Jack
И так, навскидку, там, где я работал, делаться это будет месяц, не меньше.
🏳️ Phil
https://github.com/schors/perkele/tree/master/contrib кстати про либу
CMDR Jack
Это с момента, когда все скажут «да, это вообще нужно»
Vladimir
@schors я кстати с ходу нашел lua имплементацию под nginx :)
CMDR Jack
Так есть решения, одно прям выше расписано.
Vladimir
@schors и решение интересно еще тем, что там ssl_certificate_by_lua используется - то есть если серта нет, он его получит
CMDR Jack
И я уже упоминал, что можно просто размазать токены по кластеру и так подписывать.
CMDR Jack
Решение втупую такое
CMDR Jack
Причем у многих хостеров вообще нет балансировки
CMDR Jack
Про это я вообще забыл
CMDR Jack
Просто сервера с лампом, смотрящие в интернет
CMDR Jack
Для них LE вообще за вечер пилится :)
Sergei
🏳️ Phil
Вы там обсудили, что сервер не всегда знает какие домены обслуживает? А если это бэкенд, то узнать ему об этом чутка сложно
CMDR Jack
Ну поэтому и обсуждаются схемы с подписью сертов где-то перед бекендами
🏳️ Phil
Ой нет, и сейчас такое много где.
Да ладно. LAMP жопой в интернете я в 2002 уже не застал. Был или squid, или oops, у какого-то хостинга был 0w
CMDR Jack
Да ладно. LAMP жопой в интернете я в 2002 уже не застал. Был или squid, или oops, у какого-то хостинга был 0w
Опять же, NDA и все такое, но я вот прям знаю двух человек из разных русских небольших хостингов, где так и есть почти.
CMDR Jack
Ну, там nginx еще на каждой тачке
🏳️ Phil
Ну поэтому и обсуждаются схемы с подписью сертов где-то перед бекендами
Я кстати поступил топорно. Я на фронте сделал location .well-known/блаблабла. И в нем @try_files :))))
🏳️ Phil
Ну, там nginx еще на каждой тачке
А. Ну это норм. Конкретно балансировщик тема достаточно особенная
CMDR Jack
Угу. А если фронтендов больше одного, можно размазать токены по ним чем-нибудь.
CMDR Jack
ДА ХОТЬ SSHFS
🏳️ Phil
Я просто по SCP
🏳️ Phil
ой, rsync. scp недолюбливаю
CMDR Jack
Угу. Научить скрипт, который кладет токен на место, размазывать его по пачке серверов — тоже мне проблема.
🏳️ Phil
Опять же, NDA и все такое, но я вот прям знаю двух человек из разных русских небольших хостингов, где так и есть почти.
Ой, NDA. Хостеры такие конечно скрытные и никто не знает как у соседа сделано :))) Тебе про какой рассказать? :)))
🏳️ Phil
Угу. Научить скрипт, который кладет токен на место, размазывать его по пачке серверов — тоже мне проблема.
Да мне понятно. Я две недели на внедрение потратил и в бешенстве
CMDR Jack
Да я просто чуток не хочу прям под повестку в суд попадать в случае чего. Так-то да, все все знают.
CMDR Jack
В приватиках вон сколько инфы внутренней летает бгг
🏳️ Phil
В приватиках вон сколько инфы внутренней летает бгг
Да потому что она никому не интересна. Вы кстати с 0w слезли да?
CMDR Jack
Я не в курсе, что такое 0w :<
🏳️ Phil
http://0w.ru/httpd/
CMDR Jack
А. Я чт не уверен, что он в .m был еще, если был, когда меня наняли.
CMDR Jack
Я пришел в 10 году, уже не натыкался
CMDR Jack
И кстати я там уже больше не работаю :)
CMDR Jack
С октября.
🏳️ Phil
А. Я чт не уверен, что он в .m был еще, если был, когда меня наняли.
Был-был. Когда .m осторожно посоветовал мне nginx в 2004, 0w был ещё пропиетарный. По какому-то старому знакомству собствено он отлаживался на .m
CMDR Jack
У нас явно разные понятия о простоте. Мне кажется, что *некий код внутри сервера* это потенциально больше проблем, чем решение сверху. Особенно учитывая контекст: мы все-таки говорим о том, что не всегда у тебя сайт там же, где терминируется http(s) например.
CMDR Jack
Ну то есть я лично даже в очень простом юзкейсе предпочитаю скрипт.
🏳️ Phil
Мы говорим об "автоматизации". Это не совсем тоже самое, чем "коробка".
CMDR Jack
У меня кстати на холокосте так и сделано: просто nginx на хосте ловит лайк весь HTTP(S), поэтому скрипт renew запускается на нем один раз в три месяца.
CMDR Jack
И я не вижу здесь смысла переходить с проверенного и надежного nginx на caddy только чтобы сертифкатики получать автоматом
Vladimir
@lorddaedra для nginx'а тоже такое есть
CMDR Jack
Вот тем более, да
CMDR Jack
Я как-то под личные нужды не заморачивался интеграцией с вебсервером, не вижу смысла в тесной связке здесь.
CMDR Jack
Гибкость! UNIX Way! Не надо все в один бинарник совать!
CMDR Jack
Тем более! Тем более, что x509 серты не только для веба используются.
Sergei
Гибкость! UNIX Way! Не надо все в один бинарник совать!
it depends.
10к релоадов нджинкса в сутки я бы не хотел.
CMDR Jack
Ну смотри, у тебя 10 тысяч раз в день поменялся стор сертов на кластере.
CMDR Jack
Каждый раз релоад
🏳️ Phil
Ну смотри, у тебя 10 тысяч раз в день поменялся стор сертов на кластере.
Вот можно кейс для этого
CMDR Jack
Виртуальный хостинг? Ну там не 10к раз будет даже у очень большого хостера, наверное.
Sergei
А можно кейс, когда это надо?
использовали косую схему для хранилища картинок, которая разрослась до этого кошмара.
2048 шардов, 2048 апстримов, около 600 бэкендов, шарды разложены по ним.
при перекластеризации (деплой микробазы, читай шарда) нужно порелоадить все нджинксы.
CMDR Jack
Но тем не менее.
CMDR Jack
Мне кажется, 10к это просто гипербола.
🏳️ Phil
Виртуальный хостинг? Ну там не 10к раз будет даже у очень большого хостера, наверное.
Даже у очень большого не будет
CMDR Jack
Разве что мы считаем не 1 релоад на кластер, а кажый релоад на каждой машине
🏳️ Phil
Sergei
10к гипербола, но во время роллинг-деплоя микробаз релоады были примерно со скоростью 1 в секунду.
CMDR Jack
Ну то есть надо смотреть, проблема ли это вообще.
🏳️ Phil
что такоен роллинг деплой микробаз раз в секунду? это вообще зачем?
CMDR Jack
меня больше смущает например релоад нжинкса с 50к сертов на сервере.
CMDR Jack
Это занимает *какое-то время* :)
CMDR Jack
И память жрет.
🏳️ Phil
меня больше смущает например релоад нжинкса с 50к сертов на сервере.
меня смущает 50k серверов в конфиге nginx. начнем с этого :)))))
CMDR Jack
Ну, кластер, который швыряет коннекты дальше
CMDR Jack
в мапе прям все домены хостинга.
CMDR Jack
И да, да, я знаю, что по-хорошему его надо разделять на куски
🏳️ Phil
мм, не понял вопрос.
для меня это набор пустых звуков. исходя из корней слов я слышу что-то про перезаливку базы раз в секунду, что немного выносит мне мозг