Lex
хм, а если так?
ENV=${ENV:-prod}
exec nginx -c /nginx.${ENV}.conf -g daemon off;
Lex
и никакого shell'а
Mikhail
а любопытная мысль ! :) пойду ее думать
Tadeusz
кто-нибудь юзает pure-ftpd на systemd с использованием ExtAuth (socket)?
Pavel
Есть хост-машина с адресом 1.2.3.4 а на ней крутится контейнер с внутренним адресом 10.0.1.42. Надо чтобы все TCP соединения, приходящие на 1.2.3.4:6666 _временно_ проксировались на контейнер 10.0.1.42:7666
Варианты:
1) iptables правила
2) SSH port forwarding
3) Nginx stream proxy
4) haproxy
Какой из них стоит выбрать и почему?
Lotus
я бы выбрал iptables
Alexander
я б iptables заюзал как самый простой вариант с минимальной нагрузкой на ресурсы системы
Lotus
+
Lotus
по той же причине
Pavel
😫
Pavel
Мне вариант с iptables видится плохим вот почему - если просто форвардить пакеты, то не будет видно что на хост машине открыт порт 6666
Pavel
По-моему это дико неочевидно
Andrew
Это ж временное решение - iptables.
Pavel
Мне вот как раз видится хорошим временным решением закостылить проксирование через nginx
Andrew
Да даже и не временное.
Чем плохо?
И чем плохо что открытый порт не виден? Кем он не виден и чему это мешает?
Pavel
Порт будет явно слушаться, его видно в netstat -an, нельзя случайно забиндить что-то другое на него и нельзя ниче напутать
Pavel
Да даже и не временное.
Чем плохо?
И чем плохо что открытый порт не виден? Кем он не виден и чему это мешает?
Был один случай в моей практике, у нас один коллега в команде взял и через iptables форварднул все коннекты с 80 порта на 8080, на котором слушал jenkins. А я про эти правила не знал. Когда я на эту же машину поставил nginx то мне стоило полдня где-то нервов чтобы понять что какая-то херота происходит и почему открываются не те сайты
Pavel
Хотя nginx ровненько слушает 80 порт но в логи ничего не пишет
Pavel
С тех пор я ненавижу костылизм через iptables :)
Lotus
так это проблемы не iptables, а коммуникации между коллегами
Andrew
Ну вообще да, риск такой возможен :)
Andrew
И траблшутинг не самый очевидный.
Pavel
Почему я уточнил что это будет временное решение - потому что оно должно кричать о себе что оно временное. А iptables будет себе тихонько работать и все. Я могу про него забыть через неделю и потом это ударит.
Lotus
если есть проблемы - то это либо селинукс, либо iptables?))
Lotus
Pavel
так это проблемы не iptables, а коммуникации между коллегами
Представь еще более типичный случай - люди приходят и уходят, а говнопроекты продолжают жить.
Pavel
Документацию поддерживать особо никто не жаждет, приходится в духе девопс делать все что можно явным.
Lotus
человеческий фактор слишком очевиден, чтобы его упоминать :)
Pavel
Если порт будет редиректиться через nginx, то не удастся его занять, человек полезет смотреть кто на нем слушает, увидит что это nginx, полезет в конфит и сразу поймет что к чему. А в случе iptables правил хрен его знает зачем что-то куда-то редиректится. Вот такой девопс в моем мире.
Lotus
скажите, кто ансиблом менеджил авс, где можно почитать про управление с помощью аксесс ключей? ситуация такая, что по полиси не могу создать роль для ес2 машины, нужно в ансибл запровайдить ключи иам юзера
Pavel
Хотя это случай больше как раз для не-временных решений
Sergey
Lotus
это конечно хорошо
Lotus
спасибо за линк
Даня
кто-нибудь пробовал запускать квм слейвы в дженкинсе при помощи либы Libvirt? как там обстоит дело с днс, их нужно самому прописывать в образе?
Даня
стоит ли вообще сюда копать или это неудобно?
Aleksei
кто-нибудь пробовал запускать квм слейвы в дженкинсе при помощи либы Libvirt? как там обстоит дело с днс, их нужно самому прописывать в образе?
Я в кикстарт писал, но думаю можешь и потом инжектнуть чем-нибудь
Даня
Я в кикстарт писал, но думаю можешь и потом инжектнуть чем-нибудь
можно подробнее, плз? не совсем понял о чем ты
Aleksei
Ну я поднимаю либвиртом свежие ноды и ставлю убунту. Вот в ее кикстарте конфишь днс. Либо второй вариант собирать готовый образ из которого клонировать пакером каким-нибудь
Aleksei
Ну или когда уже убунта бегает то можно ансиблом сконфигурировать тоже
Sergey
кому актуально - группа по сбору логов @ru_logs
Даня
Ну или когда уже убунта бегает то можно ансиблом сконфигурировать тоже
а, прям внутри сразу после старта?
Даня
провтычил сообщзения
Даня
Ну я поднимаю либвиртом свежие ноды и ставлю убунту. Вот в ее кикстарте конфишь днс. Либо второй вариант собирать готовый образ из которого клонировать пакером каким-нибудь
просто там проблема со свободным местом, всего 100 гб есть, а надо запустить 6 виртов по 12гб
Aleksei
а в чем проблема то?
Vladimir
Народ, а никто не подскажет, есть ли какие-нибудь более легковесные альтернативы rundeck? Задача дать паре не сильно технических коллег вебинтерфейс к паре ссх комманд рассованых по множеству серверов. При этом писать свое как-то нихочица.
Vladimir
Rundeck я завел, все работает, но он просто огромен для того, что нам надо
Denis 災 nobody
Denis 災 nobody
скрипт на питоне/пхп в экран кода? )
Denis 災 nobody
обвязкой к
Vladimir
> При этом писать свое как-то нихочица.
:)
Denis 災 nobody
оок )
Vladimir
я тут погуглил, но пока ниче не нашел толкового. а rundeck просто монстрообразен :)
jagga
он вырвиглазен еще вдобавок
Vladimir
@spuzirev а ты кажется находил какую-то красивую фигулину
Vladimir
энное время назад
Sergei
@spuzirev а ты кажется находил какую-то красивую фигулину
nyet
ну или я не помню/не понимаю о чем ты говоришь
в голове ничего не всплывает
Vladimir
ок
Vladimir
мне помнится ты пока искал какой-нибудь нормальный CI находил что-то простенькое которое сгодилось бы как альтернатива rundeck'а
Vladimir
но может я ошибаюсь и то все же был норм CI :)
Leonid
Pavel
Помогает прояснить ситацию для того кто читает дамп правил, но не спасет если кто-то не догадывается про iptables
Dmitrii
-m comment уже предложили к iptables? :-)
Ты еще параметр для логгирования в сислог бы предложил
Dmitry
а нет ли часом тут кого из русоникса... вдруг... техническо-кулуарный вопрос есть ;)
Mikhail
дайте пожалста ссылку на подобную этой https://onetimesecret.com приблуду для пересылки паролей, нужно у себя развернуть, наверняка кто-то выбирал уже
Bogdan (SirEdvin)
Время орать и бегать кругами: https://github.com/moby/moby/issues/35336
Просто офигенн)
G72K
Время орать и бегать кругами: https://github.com/moby/moby/issues/35336
Просто офигенн)
1. Нафига вам userns
2. А что вы хотели от древнего ядра, куда чем дальше тем сложнее бекпортировать нужности?
Mikhail
спасиб
G72K
Есть хост-машина с адресом 1.2.3.4 а на ней крутится контейнер с внутренним адресом 10.0.1.42. Надо чтобы все TCP соединения, приходящие на 1.2.3.4:6666 _временно_ проксировались на контейнер 10.0.1.42:7666
Варианты:
1) iptables правила
2) SSH port forwarding
3) Nginx stream proxy
4) haproxy
Какой из них стоит выбрать и почему?
А что Docker run -P нету в вариантах?
Pavel
Не, там докера нет вообще в экосистеме
Pavel
Неплохо
Pavel
А я вчера гуглил насчет nc но как-то с ним не получилось. Забыл что есть еще socat
Pavel
Но я наверное сделаю через nginx, все равно он на хост машине установлен, и конфигурация там должна быть тривиальной
G72K
Что б прям изолента отовсюду торчала
Yuri
Всем привет. Кто здесь разбирается в хероку и тарифах аддонов? Есть бесплатный тариф, есть вопрос: что будет, если будет превышен какой-либо из лимитов тарифа? Вроде в доке хероку где-то видел, что хероку просто переключается на след. тариф на текущий месяц, или нет?
Roman
http://www.opennet.ru/opennews/art.shtml?num=48117