All perguntas(server)

Criei um cluster do Kubernetes usando este guia para o Fedora: https://docs.fedoraproject.org/en-US/quick-docs/using-kubernetes/

Configurei 1 painel de controle e 1 nó de trabalho (2 VMs libvirt) e consigo implantar aplicativos, ingressá-los, executar coisas e assim por diante...

A única coisa que sinto falta é de obter algumas métricas ( kubectl top nodes/ kubectl top pods), então tentei instalar o servidor de métricas usando o arquivo yaml oficial ( https://github.com/kubernetes-sigs/metrics-server/releases/latest/download/components.yaml ).

Em seguida, editei a implantação para corrigir os erros do certificado x509 adicionando --kubelet-insecure-tls-o à lista de argumentos (este não é um cluster de produção, então deixei os certificados autoassinados padrão).

Meu problema é que o servidor de métricas não funciona: no log ele mostra erros ao extrair nós porque recebe 403 (proibido) ao solicitar recursos:"

I0919 08:32:37.415029       1 dynamic_serving_content.go:132] "Starting controller" name="serving-cert::/tmp/apiserver.crt::/tmp/apiserver.key"
I0919 08:32:37.415090       1 secure_serving.go:213] Serving securely on [::]:10250
I0919 08:32:37.415119       1 tlsconfig.go:240] "Starting DynamicServingCertificateController"
E0919 08:32:37.417167       1 scraper.go:149] "Failed to scrape node" err="request failed, status: \"403 Forbidden\"" node="f40-work1"
E0919 08:32:37.421847       1 scraper.go:149] "Failed to scrape node" err="request failed, status: \"403 Forbidden\"" node="f40main"

Estou preso lá e não consigo descobrir como resolver isso, o Google não pode me ajudar...

Versões do nó:

NAME        STATUS   ROLES                                            AGE     VERSION   INTERNAL-IP       EXTERNAL-IP   OS-IMAGE                           KERNEL-VERSION            CONTAINER-RUNTIME
f40-work1   Ready    metrics-server-aggregated-reader                 2d19h   v1.29.8   192.168.124.128   <none>        Fedora Linux 40 (Server Edition)   6.10.10-200.fc40.x86_64   cri-o://1.28.2
f40main     Ready    control-plane,metrics-server-aggregated-reader   2d20h   v1.29.8   192.168.124.146   <none>        Fedora Linux 40 (Server Edition)   6.10.9-200.fc40.x86_64    cri-o://1.28.2

Rotulei ambos os nós com Role metrics-server-aggregate-readertentando corrigir erros, mas sem sucesso...

Estou procurando conselhos sobre quais configurações ajustar/testar e/ou o que fazer para diagnosticar melhor esse problema, pois não sou especialista em redes e há centenas de configurações nos roteadores, etc.

Tenho um túnel VPN IPsec Lan-to-Lan da DrayTek configurado entre dois sites, principalmente para gerenciar a segurança no site remoto (CFTV/alarme/portão etc.).

Tudo funciona bem, na maioria das vezes. Do site local (192.168.1.X), consigo ver todos os dispositivos no site remoto (172.19.0.X), consigo conectar-me às interfaces web dos dispositivos, consigo transmitir feeds de câmeras, controlar dispositivos, etc.

No entanto, uma coisa que não funciona são as atualizações remotas de firmware de dispositivos. Por exemplo, uma atualização de firmware de câmera que envolve um upload de 75 MB sempre falha.

Se eu abrir uma porta no roteador, posso atualizar uma câmera remotamente pela internet usando o mesmo arquivo de firmware, então sei que esse lado está tudo bem. Só não funciona no túnel IPsec e eu gostaria de consertar isso.

Desde então, confirmei que esse é um problema geral de "upload" ao testar grandes uploads de FTP do mesmo site local para um site remoto. Eles falham (travam) na VPN.

SITE LOCAL:

WAN: Fibre Internet 
DrayTek Vigor2926
DrayTek Lan to Lan accepts Dial-In:
IPsec Tunnel (IKEv1/IKEv2)
Pre-Shared Key / Medium (AH) AES

SITE REMOTO:

WAN: 3G/4G LTE Modem
DrayTek Vigor2865
DrayTek Lan to Lan Dial-Out:
IPsec Tunnel IKEv2
Pre-Shared Key / Poposal Encryption Auto
IKE Phase 2 Settings: ESP (High) AES256 
Proposal Authentication: All

EDIT 1 - Configurações de MTU nos roteadores:

O Local Site WAN em Internet Access -> Static or Dynamic IPestá definido como 1500. O Remote Site WAN em Internet Access -> 3G/4G/5G Modem(DHCP mode)está definido como 1500(o padrão de acordo com o texto ali).

EDIT 2 - Valor de MTU do teste de ping:

Encontrei um script de teste de ping aqui que usei para encontrar o tamanho máximo de MTU da seguinte maneira:

• Do site local para o site remoto via VPN:1500
• Do site local para o site remoto via WAN:1500
• Da minha casa para o site local via WAN:1492
• Da minha casa para o site remoto via WAN:1492

EDIT 3 - Isso PARECE ser um problema de MTU, mas ainda não entendi completamente:

O adaptador de rede no site local tem a MTU definida como 1500se eu alterasse temporariamente para um valor menor, por exemplo:

sudo ifconfig enp6s0 mtu 1360

Então um upload de teste ftp funciona na VPN. Mas eu consideraria isso uma solução alternativa, não uma solução.

Olhei mais de perto as configurações do roteador e descobri que VPN and Remote Access -> IPsec General Setuphá uma configuração VPN TCP maximum segment size (MSS)para IPsec (IKEv1/IKEv2)que pode ser entre 512 and 1381e o padrão é 1360. Pensei que talvez essa fosse a resposta, e alterar a configuração para um valor muito baixo ( 512) afeta o teste de ping (ele retorna um valor máximo de MTU de 1044), mas isso ainda não afeta o funcionamento dos uploads pela VPN.

Não entendo por que o teste de ping diz que a MTU máxima é 1500, mas preciso alterar a configuração de MTU do adaptador de rede para que os uploads funcionem e, aparentemente, nenhuma alteração nas configurações do roteador DrayTek permite que os uploads funcionem em sua própria VPN IPSec.

Então, estou pensando em hospedar dois sites em servidores separados. Por exemplo: site de produção no servidor IIS: 192.168.0.1 e SpecialApps IIS: 192.168.0.2, que também é o servidor de teste atual que eventualmente entrará em produção.

Atualmente, após inúmeras horas de pesquisa, foi sugerido que eu instalasse o Application Request Routing (ARR), o que eu fiz no servidor .2

meu objetivo é poder ir para https://test.mycompany.com.au para ir para .2 e https://test.mycompany.com.au/prod para ir para .1

quando o usuário acessa https://test.mycompany.com.au/prod , precisa redirecionar para https://mycompany.com.au , que é a URL de produção hospedada em .1

Está com problemas para tentar fazer o padrão de código de reescrita de URL funcionar

Isso é mesmo viável?

Quero usar dd no Linux para fazer uma imagem de backup do meu disco. Com dispositivos sata, há um /dev/sda para o disco e /dev/sdaX para cada partição.

Mas com este nvme eu vejo /dev/nvme0, /dev/nvme0n1 e /dev/nbme0n1pX. Este último é claramente as partições, mas qual dos primeiros eu devo usar para fazer backup do meu disco? (nvme0 vs nvme0n1).

Qual é o propósito de ter 2 dispositivos representando o disco?

E quando eu restauro o disco, em qual dispositivo eu escrevo?

Acabamos de converter 4 dos nossos grupos de segurança do AD para habilitados para e-mail. Esses grupos concedem acesso a diferentes áreas de um aplicativo e ocasionalmente precisamos notificar os usuários sobre interrupções planejadas, interrupções inesperadas, etc., desse aplicativo. É por isso que convertemos esses grupos para habilitados para e-mail.

No entanto, alguns dos nossos usuários estão em vários grupos. Gostaria de enviar um e-mail para todos os 4 grupos para notificar os usuários. Se eu fizer isso, quantos e-mails os membros que existem em >1 grupo receberão?

Por exemplo:

Member Aestá em group 1e group 2. Eu envio um e-mail para onde ambos os grupos estão no Tocampo. Quantos e-mails Member Areceberei?

Normalmente eu testaria isso sozinho, mas criar um novo grupo de segurança requer uma autorização de instalação e outras informações da equipe de administração, então espero que alguém possa me dar a resposta.

No Intune, Entra, como posso encontrar e excluir dispositivos órfãos, onde o UPN primário é excluído? Também preciso removê-los do Autopilot. Alguém tem um script do PowerShell?

Meu objetivo é atender solicitações de dispositivos móveis em uma URL diferente (um local específico) do que a genérica usada na versão desktop do meu site.

Também preciso servir arquivos de uma raiz de documento diferente, que deve ser vista como o caminho base (não quero que minha localização faça parte da estrutura do diretório).

Tenho esta configuração (extrato):

    location / {
        if ($http_user_agent ~* '(iPhone|iPod|iPad|Android|BlackBerry|webOS|Windows Phone)') {
            rewrite ^ /mobile/ permanent;
        }
        index  index.html index.htm;
    } 

    location /mobile/ {
        root /my/mobile/website;            # new document root
        rewrite ^/mobile(.*)$ $1 break;     # strip /mobile prefix from the path
#        try_files $uri $uri/ /index.html;  # I tried this (don't know exactly what this should do), but it doesn't work anyway
        index  index.html index.htm;
    }

Isso não funciona e está causando um loop de redirecionamento.

Parece que as solicitações para www.mydomain.com/mobile/não são correspondidas na location /mobile/seção, mas ainda caem em location /, causando um loop de redirecionamento 301.

Se eu deixar a rewrite ^/mobile(.*)$ $1 break;diretiva de lado, ela funciona. Eu obtenho uma página index.html que coloquei no /my/mobile/website/mobilediretório para teste, mas não é de lá que meus arquivos devem ser servidos.

O que estou perdendo?

Já abri um problema no GitHub no repositório NGINX ( https://github.com/nginx/nginx/issues/189 ) e gostaria de ter certeza novamente se isso foi intencional ou não.

Quero compilar o nginx com o openssl, que eu mesmo tive que compilar com sucesso. No entanto, quando eu digito “make” para o nginx, sempre recebo este erro:

cd /opt/nginx-1.26.2 \
&& if [ -f Makefile ]; then make clean; fi \
&& ./config --prefix=/opt/nginx-1.26.2/.openssl no-shared no-threads  \
&& make \
&& make install_sw LIBDIR=lib
make[2]: Entering directory '/opt/nginx-1.26.2'
rm -rf Makefile objs
make[2]: Leaving directory '/opt/nginx-1.26.2'
/bin/sh: line 3: ./config: No such file or directory
make[1]: *** [objs/Makefile:1641: /opt/nginx-1.26.2/.openssl/include/openssl/ssl.h] Error 127
make[1]: Leaving directory '/opt/nginx-1.26.2'
make: *** [Makefile:10: build] Error 2
bash-5.1# ./config
bash: ./config: No such file or directory

Comando Configurar:

./configure --conf-path=/etc/nginx/nginx.conf --modules-path=/etc/nginx/modules/ --add-module=/opt/ModSecurity-nginx --with-http_ssl_module --with-http_auth_request_module --with-http_v2_module --with-http_v3_module --with-http_realip_module --with-http_gunzip_module --with-openssl=/opt/nginx-1.26.2

Já vi muitos exemplos de como fazer uma sincronização unidirecional para um bucket S3 a partir de um sistema de arquivos do Windows, mas gostaria de fazer isso de outra maneira.

Eu tinha um sistema que usava aws sync regular, mas, para meu horror, as alterações locais estavam sendo refletidas de volta para o bucket. Não consigo descobrir uma maneira de fazer isso sincronizar apenas em uma direção.

O aws cp funciona, mas parece receber uma cópia totalmente nova toda vez, e o bucket tem meio TB de dados, o que não é nada ideal do ponto de vista de custos e largura de banda, principalmente quando há apenas algumas centenas de MB de alterações por dia.

Alguém poderia me indicar a direção certa para resolver isso, ou se eu esqueci de alguma pergunta sobre isso, talvez me indique isso (eu procurei, mas talvez meu Google-fu esteja um pouco enferrujado ultimamente)

Eu escrevi um script do PowerShell que vou implantar em 50 dispositivos usando o Intune. O script exclui os dados do cache do navegador no Chrome. Ainda não implantei pelo Intune. Em uma máquina de teste, coloquei o script em um diretório e o executei. Recebi o seguinte erro:

File C:\scripts\deleteGoogleCache.ps1 cannot be loaded because running scripts is 
disabled on this system. For more
information, see about_Execution_Policies at https:/go.microsoft.com/fwlink/? 
LinkID=135170.
+ CategoryInfo          : SecurityError: (:) [], ParentContainsErrorRecordException
+ FullyQualifiedErrorId : UnauthorizedAccess

Então, eu procuro uma solução. Eu deveria executar o PowerShell como administrador. Obviamente, eu não vou para cada dispositivo e executar o powershell como administrador. Então, eu encontrei outra dica emitindo este comando:

Set-ExecutionPolicy -ExecutionPolicy RemoteSigned

e obtive a seguinte resposta.

Execution Policy Change
The execution policy helps protect you from scripts that you do not trust. Changing the 
execution policy might expose
you to the security risks described in the about_Execution_Policies help topic at
https:/go.microsoft.com/fwlink/?LinkID=135170. Do you want to change the execution 
policy?
[Y] Yes  [A] Yes to All  [N] No  [L] No to All  [S] Suspend  [?] Help (default is "N"):

Obviamente, não vou fisicamente até cada dispositivo e pressiono [A] para Sim para todos.

Qualquer ajuda será muito apreciada, sou novo no Powershell.