по принципу запилил, показал тестинг народу, через неделю в прод

могу и ничего не показывать конечно, но так потом больше вопросов от людей о том что можно делать с этим всем

могу и ничего не показывать конечно, но так потом больше вопросов от людей о том что можно делать с этим всем

у тебя хомпага, а тут у людей бизнес.

синяя ! я видел !

У меня вопрос про докер.

Вопрос по бестпрактисам сборки контейнеров. У вас есть автоматические сборки контейнеров по результатам создания тега в той или иной ветке ? Или всегда собираете из одной ветки только, к примеру мастера ?

у тебя хомпага, а тут у людей бизнес.

по идее этот бизнес должен был бы скинуться, создать рабочую группу ( в рамках того же ХО или других объединений), рабочая группа провела бы анализ, выработала подходы по улучшению протокола или клиента, отправила бы свои предложения на рассмотрение в LE, дальше запилила бы свой клиент или отправила бы патчи к существующему

Ох опять идеальные миры :D

Ох опять идеальные миры :D

бюрократические проблемы .m, методология разработки и трудности изменения существующей инфраструктуры к LE не относятся ровно никак.

Да блядь я про аппрув руководства вообще в шутку сказал

Что вы зацепились-то за это.

потому что технологических аргументов кроме "сложнааа" я как-то не заметил. :(

И я согласен, что ничего *сложного* нет.

Просто все *сложнее*, чем кажется людям с двумя нжинксами.

еще раз - вы совершенно правы по поводу скейл мисматча, только не в ту сторону.

И это не в сторону вот вас двоих

да блин, решение с сохранением нужной информации и генерации ответа на базе луа делается за день включая мониторинг и прочее

Я вообще изначально это больше @lorddaedra говорил.

@openfbtd а, ну он упрощает все, да

Я вообще изначально это больше @lorddaedra говорил.

+

впрочем под его задачи реально если один единственный nginx полежит немного, то никому хуже не станет

Я вообще не понимаю, с чего ты решил со мной поспорить, демонстрируя при этом мой пойнт :D

Я вообще не понимаю, с чего ты решил со мной поспорить, демонстрируя при этом мой пойнт :D

ну лично мне казалось что твой поинт в том что задача пипец какая сложная и не решается вот так с наскоку

Технически задача вообще не сложная, здесь я не спорю

И решений сильно больше одного.

LE создавалась всё же не под нужны хостеров и поэтому, да, из коробки для хостеров всё может быть не так удобно, как им бы того хотелось

Так, отвлеченно — существующая инфраструктура вносит коррективы. Но это, опять же, довольно очевидно.

Я просто как-то не очень делю задачу в вакууме от ее решения в рамках того, что есть сейчас.

И так, навскидку, там, где я работал, делаться это будет месяц, не меньше.

https://github.com/schors/perkele/tree/master/contrib кстати про либу

для обычных мелких пользователей LE вполне норм работает, а если Большому Бизнесу нужно что-то другое - стоит сделать как я написал выше - выделить деньги, собрать рабочую группу и дальше что-то там решать, на реализацию нанять того же Фила и товарищей (кто уже разобрался в теме)

Это с момента, когда все скажут «да, это вообще нужно»

@schors я кстати с ходу нашел lua имплементацию под nginx :)

для обычных мелких пользователей LE вполне норм работает, а если Большому Бизнесу нужно что-то другое - стоит сделать как я написал выше - выделить деньги, собрать рабочую группу и дальше что-то там решать, на реализацию нанять того же Фила и товарищей (кто уже разобрался в теме)

Так есть решения, одно прям выше расписано.

@schors и решение интересно еще тем, что там ssl_certificate_by_lua используется - то есть если серта нет, он его получит

И я уже упоминал, что можно просто размазать токены по кластеру и так подписывать.

Решение втупую такое

Причем у многих хостеров вообще нет балансировки

Про это я вообще забыл

Просто сервера с лампом, смотрящие в интернет

Для них LE вообще за вечер пилится :)

Причем у многих хостеров вообще нет балансировки

где мой 2006-й.

где мой 2006-й.

Ой нет, и сейчас такое много где.

Вы там обсудили, что сервер не всегда знает какие домены обслуживает? А если это бэкенд, то узнать ему об этом чутка сложно

Ну поэтому и обсуждаются схемы с подписью сертов где-то перед бекендами

Ой нет, и сейчас такое много где.

Да ладно. LAMP жопой в интернете я в 2002 уже не застал. Был или squid, или oops, у какого-то хостинга был 0w

Да ладно. LAMP жопой в интернете я в 2002 уже не застал. Был или squid, или oops, у какого-то хостинга был 0w

Опять же, NDA и все такое, но я вот прям знаю двух человек из разных русских небольших хостингов, где так и есть почти.

Ну, там nginx еще на каждой тачке

Ну поэтому и обсуждаются схемы с подписью сертов где-то перед бекендами

Я кстати поступил топорно. Я на фронте сделал location .well-known/блаблабла. И в нем @try_files :))))

Ну, там nginx еще на каждой тачке

А. Ну это норм. Конкретно балансировщик тема достаточно особенная

Угу. А если фронтендов больше одного, можно размазать токены по ним чем-нибудь.

ДА ХОТЬ SSHFS

Я просто по SCP

ой, rsync. scp недолюбливаю

Угу. Научить скрипт, который кладет токен на место, размазывать его по пачке серверов — тоже мне проблема.

Опять же, NDA и все такое, но я вот прям знаю двух человек из разных русских небольших хостингов, где так и есть почти.

Ой, NDA. Хостеры такие конечно скрытные и никто не знает как у соседа сделано :))) Тебе про какой рассказать? :)))

Угу. Научить скрипт, который кладет токен на место, размазывать его по пачке серверов — тоже мне проблема.

Да мне понятно. Я две недели на внедрение потратил и в бешенстве

Да я просто чуток не хочу прям под повестку в суд попадать в случае чего. Так-то да, все все знают.

В приватиках вон сколько инфы внутренней летает бгг

В приватиках вон сколько инфы внутренней летает бгг

Да потому что она никому не интересна. Вы кстати с 0w слезли да?

Я не в курсе, что такое 0w :<

http://0w.ru/httpd/

Я не в курсе, что такое 0w :<

Значит слезли

Я вообще изначально это больше @lorddaedra говорил.

я, действительно, люблю упрощать) но вещи и должны быть простыми: можно просто поставить Caddy Server, дать ему настройки DNS и пусть дальше он сам парится о всех этих сертификатах... [это если вы не Большой Бизнес] а если Большой Бизнес - вот тогда все эти пляски, наверное, нужны

https://caddyserver.com/docs/automatic-https

А. Я чт не уверен, что он в .m был еще, если был, когда меня наняли.

ERROR: S client not available

Я пришел в 10 году, уже не натыкался

И кстати я там уже больше не работаю :)

С октября.

А. Я чт не уверен, что он в .m был еще, если был, когда меня наняли.

Был-был. Когда .m осторожно посоветовал мне nginx в 2004, 0w был ещё пропиетарный. По какому-то старому знакомству собствено он отлаживался на .m

я, действительно, люблю упрощать) но вещи и должны быть простыми: можно просто поставить Caddy Server, дать ему настройки DNS и пусть дальше он сам парится о всех этих сертификатах... [это если вы не Большой Бизнес] а если Большой Бизнес - вот тогда все эти пляски, наверное, нужны

У нас явно разные понятия о простоте. Мне кажется, что *некий код внутри сервера* это потенциально больше проблем, чем решение сверху. Особенно учитывая контекст: мы все-таки говорим о том, что не всегда у тебя сайт там же, где терминируется http(s) например.

Ну то есть я лично даже в очень простом юзкейсе предпочитаю скрипт.

я, действительно, люблю упрощать) но вещи и должны быть простыми: можно просто поставить Caddy Server, дать ему настройки DNS и пусть дальше он сам парится о всех этих сертификатах... [это если вы не Большой Бизнес] а если Большой Бизнес - вот тогда все эти пляски, наверное, нужны

Мы говорим об "автоматизации". Это не совсем тоже самое, чем "коробка".

У меня кстати на холокосте так и сделано: просто nginx на хосте ловит лайк весь HTTP(S), поэтому скрипт renew запускается на нем один раз в три месяца.

И я не вижу здесь смысла переходить с проверенного и надежного nginx на caddy только чтобы сертифкатики получать автоматом

@lorddaedra для nginx'а тоже такое есть

Вот тем более, да

@lorddaedra для nginx'а тоже такое есть

там был какой-то модуль, который был бета, когда я последний раз его смотрел

Я как-то под личные нужды не заморачивался интеграцией с вебсервером, не вижу смысла в тесной связке здесь.

Гибкость! UNIX Way! Не надо все в один бинарник совать!

я просто, наверное, не особо понимаю проблему...

Тем более! Тем более, что x509 серты не только для веба используются.

Гибкость! UNIX Way! Не надо все в один бинарник совать!

it depends. 10к релоадов нджинкса в сутки я бы не хотел.

it depends. 10к релоадов нджинкса в сутки я бы не хотел.

Справедливо.

it depends. 10к релоадов нджинкса в сутки я бы не хотел.

А можно кейс, когда это надо?

Ну смотри, у тебя 10 тысяч раз в день поменялся стор сертов на кластере.

так после обновления сертификата же нужно релоад

Каждый раз релоад

Ну смотри, у тебя 10 тысяч раз в день поменялся стор сертов на кластере.

Вот можно кейс для этого

Виртуальный хостинг? Ну там не 10к раз будет даже у очень большого хостера, наверное.

А можно кейс, когда это надо?

использовали косую схему для хранилища картинок, которая разрослась до этого кошмара. 2048 шардов, 2048 апстримов, около 600 бэкендов, шарды разложены по ним. при перекластеризации (деплой микробазы, читай шарда) нужно порелоадить все нджинксы.

Но тем не менее.

Мне кажется, 10к это просто гипербола.

Виртуальный хостинг? Ну там не 10к раз будет даже у очень большого хостера, наверное.

Даже у очень большого не будет

Разве что мы считаем не 1 релоад на кластер, а кажый релоад на каждой машине

использовали косую схему для хранилища картинок, которая разрослась до этого кошмара. 2048 шардов, 2048 апстримов, около 600 бэкендов, шарды разложены по ним. при перекластеризации (деплой микробазы, читай шарда) нужно порелоадить все нджинксы.

Но это 10000 раз в день

10к гипербола, но во время роллинг-деплоя микробаз релоады были примерно со скоростью 1 в секунду.

Ну то есть надо смотреть, проблема ли это вообще.