All perguntas(server)

Eu tenho vários hosts service1.example.com, service2.example.compor trás do gerenciador de proxy Nginx, onde o NPM lida com SSL e permite criptografar o acme. Agora instalei um novo host newhost.exmaple.comque requer o gerenciamento de sua própria geração de certificado. Quero fazer com que o NPM encaminhe todas as consultas http e https newhost.exmaple.compara um endereço IPv4 interno sem proxy.

Dei uma olhada nos streams, mas um stream não tem filtro de reconhecimento de nome de domínio. Os documentos avançados não contêm o que procuro.

Eu sei que o Nginx é capaz disso, relacionado:

• Encaminhamento Nginx TCP baseado no nome do host
• Um proxy reverso pode usar SNI com passagem SSL?
• Use o proxy NGINX (gerente) para encaminhar tráfego HTTPS e HTTP com base no nome do host

Estou executando o NPM no docker.

Preciso dos critérios que resultarão na limitação do armazenamento em disco no Azure.

IOPS de disco elevados (quão alto posso ver a porcentagem nas métricas) resultarão em limitação?

Quais são os fatores que causam a limitação nos discos do Azure?

Ao acessar o site externamente nos é servido um certificado SSL que foi removido anteriormente (meses atrás) por ter expirado e um novo certificado emitido. Não consigo encontrar nenhuma referência ao certificado antigo em lugar nenhum. Ao executar, netsh http show sslcerto certificado antigo não aparece na saída, enquanto o certificado reemitido está. Ao acessar o site no servidor, o certificado esperado é servido corretamente.

Este é um padrão do Windows Server 2019 e IIS 10. O servidor é anterior a mim, então não estive envolvido na configuração. Provavelmente foi criado a partir de uma imagem de um servidor existente enquanto era movido de uma empresa de hospedagem para outra.

Estou executando software do lado do servidor em servidores Digital Ocean. Isso inclui Docker, NPM, Node.js e outros. O servidor está executando o Ubuntu 22.04.

Às vezes, o servidor trava aleatoriamente por vários minutos. Não há padrão em travamentos. Você não pode nem usar SSH no servidor. Após alguns minutos, o servidor retoma as operações normalmente.

Aqui estão as métricas de desempenho do servidor extraídas do painel da Digital Ocean durante o travamento:

Atualizei meu RAID6 com duas unidades adicionais. Agora tem seis unidades de 8 TB. Após adicionar, modifiquei o arraysize para max (SSACLI instalado no PVE), reiniciei e ajustei a partição (parted, ext4). Tudo isso levou algumas horas, mas no final o controlador diz OK, as unidades dizem OK, a parted diz OK - tudo OK.

root@asgard:~# ssacli ctrl slot=3 show config

Smart Array P420 in Slot 3                (sn: PDSXK0BRH7D1C9)

   Gen8 ServBP 12+2 at Port 2I, Box 1, OK


   Port Name: 1I

   Port Name: 2I

[...]

   Array E (SATA, Unused Space: 0  MB)

      logicaldrive 7 (29.11 TB, RAID 6, OK)

      physicaldrive 2I:1:4 (port 2I:box 1:bay 4, SATA HDD, 8 TB, OK)
      physicaldrive 2I:1:5 (port 2I:box 1:bay 5, SATA HDD, 8 TB, OK)
      physicaldrive 2I:1:6 (port 2I:box 1:bay 6, SATA HDD, 8 TB, OK)
      physicaldrive 2I:1:7 (port 2I:box 1:bay 7, SATA HDD, 8 TB, OK)
      physicaldrive 2I:1:8 (port 2I:box 1:bay 8, SATA HDD, 8 TB, OK)
      physicaldrive 2I:1:9 (port 2I:box 1:bay 9, SATA HDD, 8 TB, OK)

root@asgard:~# ssacli ctrl slot=3 ld 7 show detail

Smart Array P420 in Slot 3

   Array E

      Logical Drive: 7
         Size: 29.11 TB
         Fault Tolerance: 6
         Heads: 255
         Sectors Per Track: 32
         Cylinders: 65535
         Strip Size: 256 KB
         Full Stripe Size: 1024 KB
         Status: OK
         Unrecoverable Media Errors: None
         Caching:  Disabled
         Parity Initialization Status: Initialization Completed
         Unique Identifier: 600508B1001C86D80F77048AACBFB61F
         Disk Name: /dev/sde 
         Mount Points: None
         Logical Drive Label: AFA0EEE1PDSXK0BRH7D1C98B94
         Drive Type: Data
         LD Acceleration Method: All disabled

Mas um ícone de status da bandeja de unidades está piscando em verde. Não é a bandeja de uma unidade adicionada.

A documentação diz "A unidade está reconstruindo ou executando uma migração RAID, migração de tamanho de faixa, expansão de capacidade ou extensão de unidade lógica, ou está apagando." Mas não existe tal trabalho em andamento, nenhuma informação sobre um trabalho em execução em lugar algum.

Alguém sabe que 1 de 6 unidades de array estão piscando em verde?

Estou construindo um cluster vSAN que consiste em 2 racks, cada um com 3 nós (este será eventualmente um cluster estendido). Cada rack está em sub-redes diferentes, conforme listado abaixo:

Rack 1:

• Gerenciamento: 10.73.8.0/25 (Gateway: 10.73.8.126)
• vMotion: 10.73.10.0/25 (Gateway: 10.73.10.126)
• vSAN: 10.73.11.0/25 (Gateway: 10.73.10.126)

Rack 2:

• Gestão: 10.73.8.128/25 (Gateway: 10.73.8.254)
• vMotion: 10.73.10.128/25 (Gateway: 10.73.10.254)
• vSAN: 10.73.11.128/25 (Gateway: 10.73.10.254)

Eu construí o cluster com todos os nós no Rack 1. Sem problemas. Tudo funciona e tenho algumas VMs de teste em execução. Quando tento adicionar nós do Rack 2 ao mesmo cluster, recebo um erro "partição de cluster vSAN". Aqui está o que eu verifiquei/testei:

1. Tenho conectividade completa de ponta a ponta entre TODOS os nós (o vmkping entre nós em ambos os racks funciona em todas as sub-redes com mensagens de tamanho MTU sem fragmentação)
2. A lista de agentes unicast em todos os nós mostra corretamente todos os outros nós com os UUIDs, endereços IP e impressões digitais de certificado corretos.
3. Eu tentei várias permutações de sair/entrar no cluster com os nós particionados.

Todo o meu google-fu indicou que meu problema deveria ser um dos acima, mas não parece ser o caso. Até adicionei rotas estáticas para as redes vSAN, embora eu tenha substituído os gateways padrão definidos nas vmks do vSAN. Sem dados.

Eu sei que isso é estranho, mas se alguém puder me indicar outras causas para esse erro, ficaria muito grato.

Empiricamente, parece kubectl exece sshse comporta de maneira diferente nas desconexões do cliente.

Realizei os seguintes experimentos.

SSH

# Terminal 1
ssh <random_host_in_aws> 
bash -c 'sleep 600000'

Terminal 2
kill -9 <pid_of_ssh_process>
ssh <random_host_in_aws> 
ps aux | grep sleep
# No sleep processes

Executivo Kubectl

# Terminal 1
kubectl exec ...
bash -c 'sleep 600000'

# Terminal 2
kill -9 <pid_of_kubectl_process>
kubectl exec ...
ps aux | grep sleep
# Sleep process is still around.

Existe alguma configuração mágica no cluster ou cliente Kubernetes que o forçará a se comportar da mesma maneira que sshdiante de desconexões do cliente?

Eu tenho um laptop com windows11 instalado. Como estava causando problemas com inicialização dupla, instalei o linux e o grub em um disco rígido USB externo de 256 GB. Dessa forma, vejo o menu grub somente quando ligo o laptop com o USB já conectado. Se eu inserir o disco quando o Windows estiver ligado, não o verei no Windows Explorer. Agora quero atualizar a instalação para o Ubuntu LTS mais recente. Criei outro pendrive com a imagem de inicialização do Linux. Como faço para atualizar o Linux no meu disco rígido USB sem danificar meu diretório/home?

Eu tenho todo o meu git no meu diretório inicial. Farei um backup do diretório inicial antes da atualização. No entanto, eu preferiria não tocar em/home, se possível.

Estou construindo um cluster de 6 nós espalhados por 2 racks (isso eventualmente será configurado como um cluster estendido com uma testemunha separada). Tudo é ESXi 8.0U1. Cada rack está em uma sub-rede L3 diferente. Configurei o rack 1 e configurei um cluster vSAN com 3 nós nesse cluster, implantei algumas VMs de teste e tudo está funcionando bem. Quando comecei a adicionar nós do rack 2, acabei com os três problemas a seguir:

• Partição de cluster SAN
• vMotion: verificação de conectividade básica (unicast)
• vMotion: verificação de MTU

Estou estacionando o erro de partição de cluster do vSAN por enquanto, pois o do vMotion deve ser facilmente solucionável. Se eu usar SSH para os nós no Rack 1, posso executar vmk em todas as interfaces do vMotion (usando -S vMotion) no Rack 1, mas não consigo executar ping na interface do vMotion dos nós no Rack 2. Ele falha com o erro:

sendto() falhou (a rede está inacessível)

Confirmei que o gateway padrão está configurado para a interface vMotion e está correto. Além disso, se eu adicionar um novo adaptador VMK a cada nó em ambos os racks usando o mesmo grupo de portas distribuídas do vMotion com IPs na mesma sub-rede e configurado com o mesmo gateway (mas usando a pilha de IP padrão!), posso executar ping entre nós em ambos prateleiras.

Parece que há algum problema com a lógica de roteamento da interface do vMotion, mas além da configuração do gateway padrão, não tenho certeza do que mais há para configurar aqui.

Estou me concentrando neste erro do vMotion, pois estou me perguntando se é o mesmo problema raiz da partição vSAN.

Alguém pode me indicar alguma direção de depuração?

Para maior clareza:

Rack 1:

• Sub-rede de gerenciamento: 10.73.8.0/25 (GW: 10.73.8.126)
• Sub-rede vMotion: 10.73.10.0/25 (GW: 10.73.10.126)
• Sub-rede vSAN: 10.73.11.0/25 (GW: 10.73.11.126)

Rack 2:

• Sub-rede de gerenciamento: 10.73.8.128/25 (GW: 10.73.8.254)
• Sub-rede vMotion: 10.73.10.128/25 (GW: 10.73.10.254)
• Sub-rede vSAN: 10.73.11.128/25 (GW: 10.73.11.254)

Answer: Finalmente descobri para quem se depara com isso. O gateway teve que ser configurado na pilha TCP/IP do vMotion, além de ser configurado no próprio adaptador VMK...

Eu tenho um contêiner docker Nginx, configurado em um arquivo docker-compose assim:

my-nginx:
  image: nginx:1.26.0
  container_name: my-nginx
  hostname: my-nginx
  restart: always
  ports:
    - x.x.x.x:8001:6001
  networks:
    - public
  volumes:
    - "/opt/docker/volumes/nginx-html:/usr/share/nginx/html"
    - "/opt/docker/nginx/nginx.conf:/etc/nginx/conf.d/default.conf"
    - "/opt/docker/volumes/logs/nginx-logs:/var/log/nginx/logs"
    - "/opt/docker/volumes/certs:/etc/certificates/nginx"

O nginx.conf não tem nada de especial, nenhum proxy, apenas servindo arquivos HTML/JS/CSS/IMG de duas pastas locais:

server {
    listen       6001 ssl;
    server_name  my-nginx;
    ssl_certificate /etc/certificates/nginx/my.crt;
    ssl_certificate_key /etc/certificates/nginx/my.decrypted.key;
    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_ciphers HIGH;

    location / {
        root    /usr/share/nginx/html/site1;
        index   index.html;
        try_files $uri $uri/ /site1/index.html;
    }

    location /site2 {
        alias   /usr/share/nginx/html/site2;
        index   my.js;
        try_files $uri $uri/ /site2/my.js;
    }

    location /site1 {
        alias   /usr/share/nginx/html/site1;
        index   index.html;
        try_files $uri $uri/ /site1/index.html;
    }

    access_log /var/log/nginx/logs/access.log;
    error_log /var/log/nginx/logs/error.log warn;

    #error_page  404              /404.html;

    # redirect server error pages to the static page /50x.html
    #
    error_page   500 502 503 504  /50x.html;
    location = /50x.html {
        root   /usr/share/nginx/html;
    }
}

Isso está funcionando muito bem, sem problemas. Os arquivos HTML são encontrados e servidos corretamente a partir da pasta de volume montada, assim como os arquivos de configuração e certificado são carregados. A pasta de log também é montada como um volume e posso ver os arquivos de log access.log e error.log criados com sucesso.

Adicionei uma nova pasta chamada external_imagesabaixo da /opt/docker/volumes/nginx-htmlpasta, que deveria funcionar como uma pasta de upload para arquivos de imagem (de uma fonte interna confiável). Coloquei essa nova pasta na outra pasta de origem html porque essas mesmas imagens precisarão ser veiculadas para outros clientes através de HTTP. A nova configuração da interface de upload é semelhante a esta:

location ~ "/upload/([0-9a-zA-Z-.]*)$" {
    alias /usr/share/nginx/html/external_images/$1;
    client_body_temp_path /tmp;
    dav_methods PUT DELETE MKCOL COPY MOVE;
    create_full_put_path on;
    dav_access user:rw group:rw all:r;
    client_body_in_file_only on;
    client_body_buffer_size 128k;
    client_max_body_size 100M;
    limit_except PUT OPTIONS HEAD { deny all; }
}

Não consigo fazer isso funcionar, nem por minha vida. Continuo recebendo erros de permissão negada:

curl -T test.png https://x.x.x.x:8001/upload/

2024/06/17 16:36:35 [crit] 21#21: *4 open() "/usr/share/nginx/html/external_images/test.png.0000000002" failed (13: Permission denied), client: y.y.y.y, server: my-nginx, request: "PUT /upload/test.png HTTP/1.1", host: "x.x.x.x:8001"

Quando me conecto ao contêiner, sou root internamente, para poder gravar nos arquivos desta pasta sem problemas:

[admin@server docker]$ sudo docker exec -it my-nginx bash
root@voda-nginx:/# echo aaa > /usr/share/nginx/html/external_images/test.png.0000000002
root@voda-nginx:/# exit
exit

[admin@server docker]$ ll volumes/nginx-html/external_images/
total 4
-rw-r--r--. 1 root root 4 Jun 17 18:52 test.png.0000000002
[admin@server docker]$ cat volumes/nginx-html/external_images/test.png.0000000002
aaa

Mas quando tento fazer o mesmo em nome do usuário interno "nginx", recebo permissão negada:

root@my-nginx:/# su -s /bin/bash -c "echo aaa > /usr/share/nginx/html/external_images/test.png.0000000002" - nginx
-bash: line 1: /usr/share/nginx/html/external_images/test.png.0000000002: Permission denied

Tentei o mesmo com a pasta log, onde os arquivos de log já estão sendo gravados pelo nginx com sucesso, e mesmo lá não consegui criar o novo arquivo como usuário "nginx".

o que estou perdendo?

Editar: adicionando detalhes do ambiente

O docker está rodando no RedHat 8.9, com SELinux habilitado, mas não acho que seja um problema do SELinux, porque temos vários containers rodando, cada um deles grava arquivos de log e até arquivos CSV customizados e outros em pastas de volume sem problemas.