All perguntas(server)

No final, depois de MUITO tempo gasto na configuração, estou sem ideias. Algo que deveria ser bem simples está se tornando bem complicado. Espero que outra pessoa possa me ajudar a encontrar a solução.

Estou tentando executar um contêiner com o Traefik. Em vez de colocar toda a configuração no arquivo docker-compose do contêiner (docker-compose.yml), como muitas pessoas fazem, estou colocando a configuração em um arquivo dedicado (traefik.yml), pois é mais flexível para mim.

Tenho o seguinte arquivo docker-compose.yml para o Traefik:

version: "3.8"

services:
  traefik:
    image: traefik:latest
    hostname: traefik
    container_name: traefik
    restart: unless-stopped
    command:
      - "--configFile=/traefik.yml"
    networks:
      - traefik_gw_bridge
    ports:
      - 80:80
      - 443:443
      - 8080:8080
    volumes:
      - ./traefik.yml:/traefik.yml
      - logs:/logs
      - letsencrypt:/letsencrypt
      - /var/run/docker.sock:/var/run/docker.sock:ro
    healthcheck:
      test: ["CMD", "traefik", "healthcheck", "--ping"]
      interval: 10s
      timeout: 6s
      retries: 2
      start_period: 5s

networks:
  traefik_gw_bridge:
    driver: bridge
    external: true

volumes:
  letsencrypt:
  logs:

E estes são os parâmetros de configuração que estou usando para traefik.yml:

api:
  dashboard: true     
  insecure: false    

ping:
  entryPoint: web      

providers:
  docker:
    endpoint: "unix:///var/run/docker.sock"
    exposedByDefault: false 

entryPoints:
  web:
    address: ":80"   
  websecure:
    address: ":443"   
  traefik:
    address: ":8080" 

http:
  routers:
    dashboard:
      rule: "Host(`traefikdash.mydomain.com`)" 
      entryPoints:
        - traefik
      service: api@internal
      middlewares:
        - auth

  middlewares:
    auth:
      basicAuth:
        users:
          - "admin:$apr1$Nzj4xQwY$QiXQ/eYHzKTFS.Lx.6XG71"

log:                              
  filePath: "/logs/traefik.log"
  format: json
  level: DEBUG

accessLog:                        
  filePath: "/logs/access.log"
  bufferingSize: 150

certificatesResolvers:
  le:    
    acme:
      email: "[email protected]"    
      storage: "/letsencrypt/acme.json"  
      httpChallenge:
        entryPoint: "web" 

Logicamente, na parte seguinte do arquivo de configuração, estou tentando definir um roteador para configurar a autenticação básica com um nome de usuário e senha para o Dashboard:

http:
  routers:
    dashboard:
      rule: "Host(`traefikdash.mydomain.com`)"  # Reemplaza `yourdomain.com` con tu dominio
      entryPoints:
        - traefik
      service: api@internal
      middlewares:
        - auth

  middlewares:
    auth:
      basicAuth:
        users:
          - "admin:$apr1$Nzj4xQwY$QiXQ/eYHzKTFS.Lx.6XG71"

Não consigo obter o resultado que desejo. Quando acesso traefikdash.mydomain.comor traefikdash.mydomain.com:8080ou traefikdash.mydomain.com:8080/dashboard/ traefikdash.mydomain.com/dashboard, simplesmente recebo as seguintes respostas do Traefik e do meu navegador:

• Página HTTP 404 não encontrada
• Erro de conexão recusada

Depois de tentar vários tipos de configurações, simplesmente não consigo encontrar muito mais informações sobre como implementar a autenticação básica HTTP para acessar o painel do Traefik.

Estou tendo algumas dificuldades para fazer algumas coisas funcionarem com cópias de dados entre contas. Especificamente, estou tentando clonar um bucket S3 de uma conta AWS (em eu-west-1) para outra (em eu-west-2).

Tentei configurar a replicação de bucket conforme este guia , adicionando uma Operação em Lote de Replicação para copiar arquivos existentes e também tentei um trabalho DataSync conforme este guia .

Apesar de ter seguido os guias à risca:

• As métricas de replicação não mostram nenhuma atividade e o bucket de destino ainda está vazio 24 horas depois.

• A operação em lote de replicação foi abortada pelo motivo Job failure rate 100% is above 50%.

• O log do CloudWatch para o trabalho do DataSync fornece apenas este detalhe:finished with status Unable to connect to S3 endpoint

Gostaria de saber se estou esquecendo de algum pré-requisito que os guias assumem que já terá sido configurado; por exemplo: há necessidade de estabelecer algum tipo de relação de confiança entre duas contas da AWS antes que as permissões entre contas funcionem?

ou seja, onde o bucket S3 de destino pretendido na conta 987654321098 tem uma política de permissões que inclui este snippet para identificar a função de ação na conta de origem:

        "Sid": "DataSyncCreateS3LocationAndTaskAccess",
        "Effect": "Allow",
        "Principal": { "AWS": "arn:aws:iam::123456789012:role/source-account-datasync-s3-copy-role" }

...isso é tudo o que é necessário para que a conta de destino confie na função do IAM da outra conta?

Tenho uma ferramenta de terceiros que requer uma modificação manual de permissões em um arquivo após uma atualização (nem me faça começar a falar sobre isso, mas é o que é por enquanto)

Eu adoraria configurar um cronjob que atualizasse as permissões para mim.

No entanto, o caminho será dinâmico e terá a seguinte aparência:

/foo/bar/v1.1.0/FILE_TO_MODIFY

Onde o número da versão mudará em cada lançamento. Versões antigas são mantidas no mesmo diretório para fins de rollback

Não tenho ideia de como resolver esse desafio. A ideia de um symlink para "latest" veio à mente, mas como não tenho controle sobre a estrutura de pastas do aplicativo deles, não posso configurar isso

ss -tmmostra informações detalhadas de memória sobre cada sessão TCP. Descobri que algumas das sessões tcp mostram sock_drop, aqui está uma:

ESTAB    ***** some irrelevant info here ****               
     skmem:(r0,rb3446699,t0,tb87040,f0,w0,o0,bl0,d222)  

d222no skmem, de acordo com a página do manual, é o número sock_drop.

Mas ip -s link(ou ifconfig) ambos mostram 0 quedas de pacotes

2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP mode DEFAULT group default qlen 1000
    link/ether 52:54:00:d9:fb:52 brd ff:ff:ff:ff:ff:ff
    RX:   bytes   packets errors dropped  missed   mcast           
    79371129016 110948258      0       0       0       0 
    TX:   bytes   packets errors dropped carrier collsns           
    78030205763  96204113      0       0       0       0 

Então aqui está minha pergunta: Qual é a diferença entre packet drops shown in ip -s linke sock_drop shown in ss -tm? Quais são as possíveis razões que causam packet drop e sock_drop? sock_drop está relacionado à retransmissão tcp?

Desde a documentação do Apache Guacamole, é dito na instalação do Docker do guacd que alavancar sua porta para o host (com "docker run --name some-guacd -d -p 4822:4822 guacamole/guacd") seria um potencial problema de segurança. Minha pergunta é: não é o mesmo se o daemon for instalado sem o Docker, nativamente, no mesmo servidor?

Meu objetivo é obter um serviço Apache Guacamole que possa lidar com o RDP de máquinas que não estão no docker (apenas na mesma rede que o host [via docker ou nativamente])

Temos esta mensagem de erro crítica em nosso painel do FreePBX:

Parece que corrigimos a causa subjacente da notificação, mas quando clicamos no (-)botão para Ignorar , ela volta novamente após a atualização. Não há um botão (x) Excluir para esta notificação.

Como podemos excluir permanentemente essa notificação persistente?

Estou tentando configurar o MD RAID1 (usando o mdadm) com a --write-mostlyopção para que um volume de rede (EBS) e uma unidade local sejam espelhos um do outro (a ideia é que a unidade local seja efêmera para minha instância, mas tenha melhor desempenho).

Para testar essa ideia, obtenho uma estimativa de desempenho básica da minha unidade usando os dois scripts a seguir.

fio -name=RandWrite -group_reporting -allow_file_create=0 \
  -direct=1 -iodepth=128 -rw=randwrite -ioengine=io_uring -bs=32k \
  -time_based=1 -ramp_time=10 -runtime 10 -numjobs=8 \
  -randrepeat=0 -norandommap=1 -filename=$BENCHMARK_TARGET

# Read performance
fio -name=RandRead -group_reporting -allow_file_create=0 \
  -direct=1 -iodepth=128 -rw=randread -ioengine=io_uring -bs=32k \
  -time_based=1 -ramp_time=10 -runtime 10 -numjobs=8 \
  -randrepeat=0 -norandommap=1 -filename=$BENCHMARK_TARGET

Resultados:

• Unidade de rede: 117 MiB/s de gravação, 117 MiB/s de leitura
• Unidade local: 862 MiB/s de gravação, 665 MiB/s de leitura

O problema surge quando introduzo o mdadm. Mesmo ao usar um trivial no-mirror "RAID1", o desempenho de gravação é severamente pior ao usar a unidade de rede.

mdadm --build /dev/md0 --verbose --level=1 --force --raid-devices=1 "$TARGET"
# mdadm --detail /dev/md0
/dev/md0:
           Version :
     Creation Time : Mon Sep 30 14:22:41 2024
        Raid Level : raid1
        Array Size : 10485760 (10.00 GiB 10.74 GB)
     Used Dev Size : 10485760 (10.00 GiB 10.74 GB)
      Raid Devices : 1
     Total Devices : 1

             State : clean
    Active Devices : 1
   Working Devices : 1
    Failed Devices : 0
     Spare Devices : 0

Consistency Policy : resync

    Number   Major   Minor   RaidDevice State
       0       8       16        0      active sync   /dev/sdb

• Matriz RAID1 de 0 espelhos apoiada por unidade de rede: 69,9 MiB/s de gravação, 118 MiB/s de leitura
• Matriz RAID1 de 0 espelhos apoiada por unidade local: 868 MiB/s de gravação, 665 MiB/s de leitura

Como podemos ver aqui, o desempenho de gravação não mudou muito para a unidade local (MD-raid vs. acesso raw), mas é severamente prejudicado ao usar a unidade de rede via MD-raid. Por que isso acontece?

No Ansible, gostaria de substituir isto:

pgsql:
  useCluster: false
  addr: 127.0.0.1:5432
  password: ""
email:
  to: [email protected]
  port: 465
  password: ""

substitua por isso:

pgsql:
  useCluster: false
  addr: 127.0.0.1:5432
  password: "2024xxx"
email:
  to: [email protected]
  port: 465
  password: ""

Como há duas variáveis ​​idênticas que não podem ser substituídas, eu uso esse método. Mas isso não pode ser alcançado. Como todos devem lidar com isso?

replace:
      path: "config.yaml"
      regexp: '(redis:[^<]*)password: ""'
      replace: '\1password: "2024xxx"'

Estou criando um laboratório do Active Directory , com um Windows Server 2022 como o Controlador de Domínio .
Gostaria de remover requisitos de complexidade para senhas no domínio com o powershell .

Eu tentei usar os seguintes comandos:

$passwordPolicy = Get-ADDefaultDomainPasswordPolicy
$passwordPolicy.ComplexityEnabled = $false
Set-ADDefaultDomainPasswordPolicy $passwordPolicy

Não houve mensagens de erro. Mas os requisitos de complexidade ainda estão presentes , conforme indicado por ComplexityEnabled:

> Get-ADDefaultDomainPasswordPolicy


ComplexityEnabled           : True
DistinguishedName           : DC=poudlard,DC=wizard
LockoutDuration             : 00:30:00
LockoutObservationWindow    : 00:30:00
LockoutThreshold            : 0
MaxPasswordAge              : 42.00:00:00
MinPasswordAge              : 00:00:00
MinPasswordLength           : 0
objectClass                 : {domainDNS}
objectGuid                  : 6f5b0803-0227-4454-899f-28df34343bfa
PasswordHistoryCount        : 0
ReversibleEncryptionEnabled : False

E meu usuário faz parte do Domain admins:

PS C:\Users\vagrant> whoami /groups

GROUP INFORMATION
-----------------

Group Name                                      Type             SID                                          Attributes
=============================================== ================ ============================================ ===============================================================
Everyone                                        Well-known group S-1-1-0                                      Mandatory group, Enabled by default, Enabled group
BUILTIN\Administrators                          Alias            S-1-5-32-544                                 Mandatory group, Enabled by default, Enabled group, Group owner
BUILTIN\Users                                   Alias            S-1-5-32-545                                 Mandatory group, Enabled by default, Enabled group
BUILTIN\Pre-Windows 2000 Compatible Access      Alias            S-1-5-32-554                                 Mandatory group, Enabled by default, Enabled group
NT AUTHORITY\NETWORK                            Well-known group S-1-5-2                                      Mandatory group, Enabled by default, Enabled group
NT AUTHORITY\Authenticated Users                Well-known group S-1-5-11                                     Mandatory group, Enabled by default, Enabled group
NT AUTHORITY\This Organization                  Well-known group S-1-5-15                                     Mandatory group, Enabled by default, Enabled group
poudlard\Domain Admins                          Group            S-1-5-21-1683605283-797255120-3757226006-512 Mandatory group, Enabled by default, Enabled group
Authentication authority asserted identity      Well-known group S-1-18-1                                     Mandatory group, Enabled by default, Enabled group
poudlard\Denied RODC Password Replication Group Alias            S-1-5-21-1683605283-797255120-3757226006-572 Mandatory group, Enabled by default, Enabled group, Local Group
Mandatory Label\High Mandatory Level            Label            S-1-16-12288

Qual poderia ser o problema?

Tenho uma pequena empresa. Com pouco conhecimento/experiência anterior em soluções NAS. O orçamento era um pouco problemático, fui limitado a 40.000 CZK = ~ 1800 USD. Primeiro, talvez seja melhor dizer qual solução eu escolhi:

Synology DS923+ com estes conectados em:

• Deixe-me começar com um no-break, que eu já tinha há 3 meses, sinalizando via USB para o NAS (isso obviamente não fazia parte do orçamento);
• A quantidade de RAM incluída era uma piada, então instalei 2 módulos ECC de 16 GB (não da Synology);
• Preciso de cerca de 22 TB para triplicar a solução anterior ruim, então optei por 4 HDDs de 8 TB (não da Synology);
• Por fim, instalei 2x 1 TB M.2 NVMe (não da Synology).
• Uma velocidade de 1 Gigabit/s é suficiente para nós, então não precisei comprar a extensão de 10 Gigabit;
• (Para completar, tenho uma conexão simétrica do meu ISP com 100 Mbit/s de download e também de upload, e tanto o roteador quanto o switch principal não são da Synology).

Quanto à configuração, citando apenas as configurações mais importantes:

• Acesso SSH da minha máquina Linux principal com autenticação pública;
• Conexão confiável e estável com a máquina Linux mencionada via NFSv4.1;
• A solução anterior tinha apenas 2 baias de 4 TB cada em RAID0, desta vez tive dificuldade em pensar, mas no final acabei configurando RAID5;
• Estou ciente de que provavelmente deveria optar pelo RAID6, mas não atingiria a capacidade necessária. É um pouco melhor que o RAID0, certo?
• Quanto ao sistema de arquivos, escolhi o BTRFS só para testá-lo finalmente, ele tem recursos interessantes.
• Configurei essas duas unidades M.2 NVMe rápidas como um cache para o volume, em RAID1 como cache de leitura+gravação.

Eu já havia decidido usar os M.2 em RAID0 como um armazenamento muito rápido, e aqui vamos nós:

• Eu sei como fazer isso de forma não oficial, mas resisti e tentei o cache primeiro;
• Parece ser realmente mais útil do que eu pensava;
• O caso de uso deste NAS é muito amplo, variando desde o simples compartilhamento de documentos, principalmente dentro da rede local com outras pessoas, até a saturação do meu link de upload com alto uso (legal) de torrents;

Conclusão: Graças ao uso intenso de torrents, se não me engano, acredito que utilizar esses NVMes de 1 TB seja uma escolha lógica, mas costumo verificar aquilo com que não tenho experiência.

Então, quanto à formulação da minha pergunta:

Faz mais sentido usar drives NVMe para que nosso Synology NAS atue como um cache do que como um armazenamento (o que não é oficial com drives que não sejam Synology, eu sei)? Obrigado por ler a história toda! Espero ver algumas respostas baseadas em fatos. Obrigado de qualquer forma pelo seu tempo.

O cache atinge normalmente cerca de 95%, imagem para as palavras: