Хрыч, ты, случайно, Nexus не умеешь готовить?
ты чёт чатиком ошибся
Gleb
Gleb
если ты не про этот нексус https://www.sonatype.com/nexus-repository-sonatype
Александр
чем он принципиально отличается от просто циско? по синтаксису обычной иос
архитектура у nxos другая
Alexey
ну я ccnp так-то уже лет 5, так а вам что-то настроить надо?
Gleb
пожалуйста
🇷🇺 Роман
ну я ccnp так-то уже лет 5, так а вам что-то настроить надо?
мне нужно настроить простейшие acl, ограничивающие трафик между разными вланами
🇷🇺 Роман
никак не соображу, как сделать правильно
Alexey
пффф, я тумал там мплс и ТЕ нужно какое-то навороченное, "архитектура у них другая"
🇷🇺 Роман
пффф, я тумал там мплс и ТЕ нужно какое-то навороченное, "архитектура у них другая"
сегодня ospf на нем поднимал, по привычке сунулся - а там все не так )))
Alexey
ну небольшая разница в синтакисисе. причем способ оспф с нексуса и в иос работал, просто все по олдовому делали
так, а что за проблемы с асл? у вас нет сетевиков и нексусами админы/девопсы рулят?
🇷🇺 Роман
ну небольшая разница в синтакисисе. причем способ оспф с нексуса и в иос работал, просто все по олдовому делали
так, а что за проблемы с асл? у вас нет сетевиков и нексусами админы/девопсы рулят?
настройка ospf как бы очень отличается )) нет никаких network, например, половина конфига по интерфейсам распихана...
с асл - никак не могу понять, как сделать красиво, получаются только длинные списки
Alexey
> половина конфига по интерфейсам распихана..
Это можно было и в иос, причём OSPFv3 только так и настраивался
🇷🇺 Роман
> половина конфига по интерфейсам распихана..
Это можно было и в иос, причём OSPFv3 только так и настраивался
в иос конфиг выглядит иначе... ну что спорить, когда можно открыть примеры циски и посмотреть )))
Alexey
http://docwiki.cisco.com/wiki/Cisco_NX-OS/IOS_OSPF_Comparison
🇷🇺 Роман
но вопрос не в этом ))
Alexey
Так, а списки будут длинными если требования такие, что много хостов нужно индивидуально разграничивать.
Хоть на iptables, хоть листами циски пиши их, хоть на Асе.
🇷🇺 Роман
Так, а списки будут длинными если требования такие, что много хостов нужно индивидуально разграничивать.
Хоть на iptables, хоть листами циски пиши их, хоть на Асе.
у меня 25 разных вланов + дефортный маршрут через один из вланов... я не пойму, как правильно учесть выход трафика через дефолтный маршрут, а так же куда правильно вешать acl: на in или out. башка сегодня трещит, не улавливает каких-то нюансов
Alexey
если ограничивать нужно входящий трафик извне, т.е. который входит через дефолтный влан, то асл лучше вешать на in, на этот самый влан
будет типа такого:
(outside net) -> (in acl) (vlan) -> (nexus) -> 25 vlans
🇷🇺 Роман
ограничивать надо трафик между вланами
🇷🇺 Роман
ну, один влан - девелоперы, второй бюстгалтерия, третий охрана, принтеры, камеры, серверы и т.д., стандартная схема
🇷🇺 Роман
одним можно камеры смотреть, другим нет
🇷🇺 Роман
в дефолт тоже кому-то можно, кому-то нет
🇷🇺 Роман
я понимаю, что на нехусе это делать не совсем хорошо ))) но задачу поставили
Alexey
понятно, это простая схема.
зачем ты звал специалиста по нексусам, когда нужен просто человек понимающий маршрутизаицию))
вообще, есть 2 подхода - просто понавещать асл на интерфейсы, или второй - zbf, только у меня тут сомнения, что нексус может контролить естеблишед сессии
🇷🇺 Роман
он может в acl established, вроде бы
🇷🇺 Роман
просто понавешать acl: я так понимаю, что в них надо сначала задропать все, что нужно задропать, а затем разрешить все остальное, иначе дефолт не дефолт поолучается
🇷🇺 Роман
я вполне допускаю, что я acl не сильно понял после 3-х кратного прочтения доки от cisco ))
Alexey
ну или вначале разрешить что нужно, а всё остально задропать, от ваших политик зависит
🇷🇺 Роман
ну или вначале разрешить что нужно, а всё остально задропать, от ваших политик зависит
такой вариант у меня не получается из-за дефолтного роута
Alexey
ну это понятно, но может пользователи у вас в интернет через прокси сервер хотят, тогда им не нужен прямой выход в интернет
🇷🇺 Роман
прокси да, но он не может во все протоколы
🇷🇺 Роман
проще считать, что его нет )))
🇷🇺 Роман
в соседнем чате мне предложили роутер на палочке, к стати говоря, только его бы хотелось избежать )))
Alexey
в соседнем чате мне предложили роутер на палочке, к стати говоря, только его бы хотелось избежать )))
что за чат? они это говорят, т.к нексус беден по функционалу секьюрному.
Чтобы решить в какую сторону лучше вешать листы - скажи, у тебя только тех кому нужно запретить доступ или место куда нужно ограничить доступ?
🇷🇺 Роман
Дмитрий Харитонов
Подскажите, а бареос/бакула есть возможность из коробки бэкапить Mongodb?
🇷🇺 Роман
Подскажите, а бареос/бакула есть возможность из коробки бэкапить Mongodb?
не видел в бесплатной бакуле и в бареосе
Alexey
по сути все вланы в чем-то ограничены
ну я тебе не могу по этим скудным данным дать дельный совет. Задача простая,
скажу только одно - АСЛ нужно (бест практис) вешать как можно ближе к источнику, которому нужно что-то запретить. т.е. если буху подключаться к охране, то асл с денай до сети охраны и вешать его на влан бухов и ИН.
Дмитрий Харитонов
А подскажите что умеет бедать инкрементальные мэкапы и бэкапить базы такие как Mysql Postgresql и Mongodb из коробки?
Дмитрий Харитонов
Я что-то нахожу системы либо по файлам либо по базы)
Даня
пытаюсь законнектиться с машины на гипервизор:
virsh -c qemu+ssh://virtadmin@example.com/system
ввожу пасскей от ключа и получаю ошибку:
error: failed to connect to the hypervisor
error: authentication unavailable: no polkit agent available to authenticate action 'org.libvirt.unix.manage'
при чем по ssh с этими же параметрами коннект идет без проблем.
Даня
где я мог профакапиться?
Даня
может ли причиной быть то, что я пытаюсь выполнить эту манипуляцию внутри виртуальной машины?
т.к. при kvm-ok - выдает unsupported
Александр
)
Александр
Блин знакомая фигня, не могу вспомнить как решал
Даня
на мастере?
Даня
virtadmin : virtadmin :}
Даня
ану я прямо на сервере попробую
Александр
а почему?
Даня
хз, не я разворачивал
Александр
Ну всмысле, подключение идет к гипервизору
Александр
на гипервизоре есть пользователь такой?
Даня
да
Александр
Вот на гипервизоре и посмотреть в какие группы входит пользователь
Александр
он должен в qemu вроде входить
Даня
в одну, virtadmin
Даня
сейчас проверю на другом сервере
Даня
libvirt
Даня
ага, вот она
Александр
вот да
Александр
пользователь должен входить в группу
Александр
что б подключится к гипервзиору
Даня
да, есть
Даня
спасибо
Даня
выручил :)
Александр
Но может не заработать
Александр
Аутентификация есть еще какая-та дополнительная?
Даня
коннект пошел, там по ключу
Даня
я приконнектился, list смог посмотреть
Александр
Нее, я о аутентификации qemu
Александр
Там есть виды внутри
Александр
3 или 4
Александр
Забыл как они называются.. Но типа без пароля например ты не сможешь запустить вм