Aleksey
правила пишет гамадрил ? или крайне сложная политика ?
Sergei
ну я это про 2013-й год конкретно говорю
ipset был в ядре намного раньше.
подозреваю что если iptables в openvz завезли, то и ipset вполне можно было завезти.
впрочем, я сварщик ненастоящий.
Aleksey
почему заказчик принимает решения об этом ?
Aleksey
админ должен был заюзать ipset.
Tadeusz
ipset был в ядре намного раньше.
подозреваю что если iptables в openvz завезли, то и ipset вполне можно было завезти.
впрочем, я сварщик ненастоящий.
наверное можно было, но там 5-й центос и все настолько дико древнее и тормозное )
Aleksey
почему там для нагруженного фронта ipset в openvz ?
Tadeusz
там и фронт и бек все в одном… и все это на битриксе… почему так? "исторически сложилось"
Tadeusz
никто не хочет таскать каштаны из огня 🙂
Aleksey
ядро линукса конечно сосет. но админ или должен менять картриджи или быть инженером.
Tadeusz
ядро линукса конечно сосет. но админ или должен менять картриджи или быть инженером.
очень специфичный клиент и манагеры ебланы
Aleksey
манагеры не имеют отношения к адмтнистрированию
Tadeusz
к продажам твоих услуг имеют
Tadeusz
или ты на добровольных началах хочешь работать?
Aleksey
как манагеры связаны с iptables ?
Tadeusz
ой все
Tadeusz
видать, вы просто не работали с ебанатами в диджитал агентствах
Roman
наверное можно было, но там 5-й центос и все настолько дико древнее и тормозное )
берем vm и заводим весь трафик через нее
Tadeusz
где у тебя пачка проектов и под каждый проект свой манагер
Tadeusz
а-ля "железный"
Roman
ну и главный вопрос: как вы апдейты ставите на этот centos 5?
Tadeusz
да, если у тебя все так плохо.
ну там на столько все плохо, что интерфейсы физически прокинуты в контейнеры, по 2 на контейнер, в т.ч. для связи с мультимастер percona mysql
Roman
ну там на столько все плохо, что интерфейсы физически прокинуты в контейнеры, по 2 на контейнер, в т.ч. для связи с мультимастер percona mysql
ну так если все сделано так хреново, то надо переделывать. не все, но хотя бы до поддерживаемой конфигурации
Roman
либо сильно лихо пуржить правила, либо переходить на BSD + PF/ipfw (кому как нравится)
я немного не понимаю как связаны ovz & pf/ipfw
Tadeusz
ну так если все сделано так хреново, то надо переделывать. не все, но хотя бы до поддерживаемой конфигурации
согласен, но, повторюсь, там битрикс и черт ногу сломит
Tadeusz
я немного не понимаю как связаны ovz & pf/ipfw
та нет там pf/ipfw, это просто как пример было сказано
Sergei
согласен, но, повторюсь, там битрикс и черт ногу сломит
началось с того, сосет ли fail2ban, закончили тем, тчо битрикс и черт ногу сломит. и диджитал-агентства.
Nazar
согласен, но, повторюсь, там битрикс и черт ногу сломит
а какая разница битрикс там или не битрикс? он к архитектуре мало какое отношение имеет
Tadeusz
а какая разница битрикс там или не битрикс? он к архитектуре мало какое отношение имеет
ну все сводится к тому - что надо нах послать openvz и построить нормальную архитектуру, не так ли?
Tadeusz
началось с того, сосет ли fail2ban, закончили тем, тчо битрикс и черт ногу сломит. и диджитал-агентства.
если не углубляться, то да — iptables без ipset не держит 10-15к правил
Aleksey
я бы начал с того что админ 6 месяцев посидел без премии.
Tadeusz
а я бы нахуй уволил тупорылых манагеров (что и было сделано)
Tadeusz
и перестал бы водить за нос клиента, продавая всякий доп функционал на сайте
Sergei
если не углубляться, то да — iptables без ipset не держит 10-15к правил
iptables держит много правил. сотни тысяч и миллионы точно держит.
он плохо держит проход одного пакета по 10к+ правил. неудивительно, впрочем.
Nazar
Aleksey
манагеры это про распечатать из 1с-ки
Aleksey
манагеры ойпитаблес не трогают.
Nazar
и перестал бы водить за нос клиента, продавая всякий доп функционал на сайте
тут пересекаются твои и его интересы)
Tadeusz
тут пересекаются твои и его интересы)
в том то и дело… для бизнеса то хорошо когда клиента за нос водят продажники
Tadeusz
впаривая тот или иной функционал на сайте/проекте
Roman
если не углубляться, то да — iptables без ipset не держит 10-15к правил
да и ipfw/pf в виде линейных правил тоже.
Tadeusz
есть table с дохуилионом ip’ов, ведущих в drop…
Nazar
впаривая тот или иной функционал на сайте/проекте
Да, но когда функционал начинает хуево работать, тогда продажник начинает посасывать от клинета)
Tadeusz
Да, но когда функционал начинает хуево работать, тогда продажник начинает посасывать от клинета)
при этом "это ок" — сказано свыше 🙂
Tadeusz
тут такая грань блядства присутствует
Tadeusz
если все будет слишком охуенно работать, то и доп кост не за что будет выставлять 🙂
Denis
Возьмите tc и маркируйте им пакетики а в иптейблсах правило по марку
Denis
Быстро будет. И как раз это где то год 2008, времена 5го центоса.
Denis
какая древняя и прикольная хреновина https://www.gnu.org/software/recutils/
Anonymous
Ребята а кто то может подсказать почему
virsh iface-list --all
может не выводить список интерфейсов
при этом они реально есть и сеть на них работает
Deleted
virsh dumpxml?
Deleted
Там есть?
Anatoliy
Привет народ, меня тут к девопсам отправили, так что задам вопрос еще вам :)
Anatoliy
В общем хочу запустить приложение типа торрента в кластере. Понятно что не сам торрент, но работать будет по типу. Надо понять как пойдет трафик - есть допустим 3 ноды, только одна работает как прокся, остальыне нет. Т.е. вход через один ИП, так вот, если это приложение будет не на ноде-прокси, какой будет исходящий ИП у этого приложения?
Anatoliy
Мне надо будет ему открыть порт просто и надо понимать как к нему должно идти обращение.
Deleted
В общем хочу запустить приложение типа торрента в кластере. Понятно что не сам торрент, но работать будет по типу. Надо понять как пойдет трафик - есть допустим 3 ноды, только одна работает как прокся, остальыне нет. Т.е. вход через один ИП, так вот, если это приложение будет не на ноде-прокси, какой будет исходящий ИП у этого приложения?
Проксей обязательно должен быть сорм, иначе оштрафуют
Dmitri
В общем хочу запустить приложение типа торрента в кластере. Понятно что не сам торрент, но работать будет по типу. Надо понять как пойдет трафик - есть допустим 3 ноды, только одна работает как прокся, остальыне нет. Т.е. вход через один ИП, так вот, если это приложение будет не на ноде-прокси, какой будет исходящий ИП у этого приложения?
вот по данному описанию можно сказать только, что что-то из подсети 0.0.0.0/0...
Что вы считаете "исходящим IP", в чем разница между "работает как прокся" и "нет"? Почему 3 одинаковых ноды, но одна прокся, а остальные нет? Одна из них балансировщик нагрузки, остальные воркеры? Или вообще все не так? Какого эффекта вы пытаетесь добиться, например?
Alexey
В общем хочу запустить приложение типа торрента в кластере. Понятно что не сам торрент, но работать будет по типу. Надо понять как пойдет трафик - есть допустим 3 ноды, только одна работает как прокся, остальыне нет. Т.е. вход через один ИП, так вот, если это приложение будет не на ноде-прокси, какой будет исходящий ИП у этого приложения?
Исходящий трафик - имеются ввиду ответы на входящие запросы с прокси?
Если так, то адрес прокси, т.к. с других адресов клиенты не примут ответы...
Если запрос инициализируется самой нодой, то всё зависит как настроен роутинг, но если вы ничего не настраиваете специального, то какждый со своим адресом
Anatoliy
вот по данному описанию можно сказать только, что что-то из подсети 0.0.0.0/0...
Что вы считаете "исходящим IP", в чем разница между "работает как прокся" и "нет"? Почему 3 одинаковых ноды, но одна прокся, а остальные нет? Одна из них балансировщик нагрузки, остальные воркеры? Или вообще все не так? Какого эффекта вы пытаетесь добиться, например?
исходящий я в данном случае имел в виду тот, что инициализирует приложение в контейнере ноды "не прокси", т.е. не на балансировщике.
Dmitri
давайте начнем с архитектуры:
я правильно понимаю, что есть нода балансировщика/прокси, которая получает запросы снаружи, и есть две воркер-ноды, на которые она форвардит запросы?
Yaroslav
Доброго дня коллеги , можете подсказать кто хорошо знаком с gitlab, есть ли возможность в нем через UI запустить pipline с возможность выбора,ввода variables ?
Dmitry
Dmitry
когда то тоже задавался этим вопросом
Dmitry
это может дженкинс и тимсити
Yaroslav
@count0ru да jenkins могет такое , но мы с него перезжаем на gitlab,
Просто есть java maven project который в зависмости от полигона разные профили при сборки использует. В jenkins у меня просто два jobs сделаны под каждый профиль.
Думал такую структуру в gitlab перенести , но как оказалось нельзя.
Dima
Доброго дня коллеги , можете подсказать кто хорошо знаком с gitlab, есть ли возможность в нем через UI запустить pipline с возможность выбора,ввода variables ?
почему бы просто не сделать гитлаб-джобы, где эти переменные будут уже определены
Yaroslav
@dmsol да сейчас так и хотел сделать и выбор job будет зависеть от tag. Только вот не знаю насколько это правильно , может есть более удобное решение ?
Dmitry
почему бы просто не сделать гитлаб-джобы, где эти переменные будут уже определены
ну так и делают обычно
Dima