sbrattla's questions

Estou configurando um corretor MQ em um ambiente AWS.

O corretor MQ será usado por serviços em execução nesse ambiente AWS, bem como por serviços em execução em outros locais.

Todos os outros serviços implantados no ambiente AWS são executados em sub-redes privadas, por isso estou inclinado a implantar o corretor MQ em uma sub-rede privada e configurar um balanceador de carga de rede para passar o tráfego externo para o corretor MQ.

No entanto, para fins práticos, eu também poderia simplesmente implementar o broker MQ em uma sub-rede pública. Dessa forma, eu seria capaz de expor o corretor à Internet pública apenas configurando um grupo de segurança (e ignorando o balanceador de carga da rede).

Estou inclinado a uma implantação de sub-rede privada, mas não tenho certeza se a sobrecarga de configuração adicional (balanceador de carga de rede) oferece algum benefício real.

Qual é o benefício de fazer uma implementação de sub-rede privada do broker MQ?

Eu tenho um PD (Powered Device: Ubiquity AirCube ISP access point) e um PSE (Power Sourcing Equipment: switch TP-Link TL-SG1005P ).

Meu entendimento é que existem duas maneiras de fornecer energia: A e B. O PSE (switch) neste caso suporta A. Também é meu entendimento que para um PD (ponto de acesso) ser compatível, ele precisa suportar tanto A e B. Em outras palavras, o PSE controla qual usar.

Atualmente, todos os switches PoE da TP-Link são PSE padrão e projetados com base na Alternativa A e o par de linha 1/2 é o polo passivo, enquanto o par de linha 3/6 é o polo positivo.

https://www.tp-link.com/no/support/faq/1003/

O PSE, não o PD, decide se o modo de energia A ou B deve ser usado. PDs que implementam apenas o modo A ou o modo B não são permitidos pelo padrão.

https://en.wikipedia.org/wiki/Power_over_Ethernet

Estou conectando o PD diretamente no PSE usando um cabo CAT5e. O cabo vai da porta 1 no PSE para a porta 24v PoE IN no PD.

O PD não indica alimentação, então ou estou fazendo algo errado ou o equipamento não é compatível.

Perdi alguma coisa em relação ao funcionamento dos dispositivos PoE?

Quando observo as opções de armazenamento em disco (dispositivo de bloco) de vários provedores de hospedagem em nuvem, geralmente vejo números como:

• Google Cloud ( SSD zonal ): 15.000 - 100.000 IOPS de leitura
• Nuvem OVH: ( Alta Velocidade /SSD): Até 3.000 IOPS
• AWS: ( io1 /SSD): Até 64.000 IOPS

Eu não sei nada sobre a tecnologia subjacente.

Mesmo que esses provedores de nuvem usem algumas das opções de SSD mais lentas disponíveis (ssds SATA de consumidor comuns), alguns desses discos vêm com especificações de IOPS para leituras e gravações na faixa de 90.0000 e superior (observando 860 EVO SSD 2.5). Um SSD NVMe daria uma taxa de transferência muito melhor. Mesmo que esses provedores de nuvem empilhassem esses discos SSD em algum tipo de cluster de armazenamento, ainda ficaria surpreso ao ver que o IOPS cairia de 90.000 para 3.000.

Tenho a sensação de que esses números não são comparáveis, embora a mesma métrica (IOPS) seja usada.

Como devo interpretar o IOPS de disco listado pelos provedores de nuvem versus o IOPS de disco listado pelos fabricantes de disco?

Eu tenho um arquivo de composição (3) do docker no qual estou fazendo um docker stack deployon. Eu faço isso em um pipeline Jenkins.

A maneira como eu lido com tags é que eu defino uma variável de ambiente API_TAGe a (parte relevante do) arquivo de composição do docker correspondente se parece com isso.

version: '3'

services:
  api:
    image: registry:5000/api:${API_TAG}

Como faço para lidar com tags para outros serviços nesse arquivo de composição de pilha / docker que eu não criei apenas? O pipeline com o qual estou lidando apenas cria um aplicativo de API, não os três bancos de dados dos quais ele depende. No entanto, esses bancos de dados também possuem tags específicas (não apenas latest). Eu realmente preciso consultar o cluster swarm para os serviços e tags atualmente em execução para esses bancos de dados para que docker stack deploynão estrague nada?

Quando olho para o docker_gwbridge, vejo que todos os contêineres nesse host são membros da ponte.

bridge name         bridge id           STP enabled  interfaces
docker_gwbridge     8000.0242e581b3f5   no           veth0987748
                                                     veth21aa5ea
                                                     veth358d367
                                                     veth473e3a5
                                                     vetha199713
                                                     vethf482f5f
                                                     vethf4ceab6

No entanto, como pode ser que uma interface física no host não seja membro dessa ponte? A documentação descreve essa rede como a ponte de saída para o tráfego que sai de um cluster de enxame do Docker. Ou seja, o tráfego que provavelmente sairá do host. Qual mecanismo está garantindo que os pacotes que entram no docker_gwbridge(de qualquer contêiner) eventualmente deixem o host em uma interface física quando nenhuma interface física participa da ponte?

Estou tendo dificuldade em descobrir o que HEALTHCHECKrealmente é usado ao executar o Docker no modo swarm.

Um local sugere que o Docker reiniciará uma tarefa considerada não íntegra. Outro lugar explica que o Docker deixará de enviar tráfego para tarefas que não estejam íntegras. A própria documentação do Docker explica apenas o HEALTHCHECKque é a diretiva e como configurá-la. Ele não tenta explicar o que acontece quando uma tarefa não é saudável.

Em outras palavras, estou lutando para encontrar uma explicação clara e confiável do que HEALTCHECKrealmente faz.

Além disso, olhando para a API REST do Docker , esse dado específico (é uma tarefa íntegra ou não) nem é exposto para tarefas (embora seja exposto para contêineres). Isso dificulta o uso dessa métrica para monitorar um Docker Swarm, portanto, também não me parece que esse seja o objetivo principal da métrica.

O que realmente acontece quando uma tarefa se torna não íntegra ao executar o Docker no modo swarm?

Vamos supor um cluster Docker de 3 nós. Um desses nós, os recursos são apertados. Alguns serviços que podem ser bastante gananciosos em termos de CPU ou RAM começaram no mesmo host.

Em algum momento, o Docker verificará se os outros nós têm menos trabalho a fazer e migrará um ou mais serviços do nó pressionado para um dos nós menos pressionados?

Existe alguma funcionalidade embutida no Docker para lidar com isso ou uma migração eventualmente será resultado de, por exemplo, um assassino OOM retirar um contêiner?

Eu tenho dois hosts que executarão um ambiente da Web usando o Docker Engine Swarm. Eu poderia colocar todas as funções de servidor na mesma rede de sobreposição, mas gostaria de manter os contêineres da Web e o contêiner do banco de dados em redes separadas.

Eu sei que o Docker Engine Swarm - para cada serviço - cria uma entrada DNS para a rede de sobreposição em questão e distribui o tráfego entre os contêineres que fazem parte desse serviço. O Docker Engine Swarm cuida do roteamento entre os hosts do Docker dentro da rede de sobreposição fornecida. Isso é tudo de bom.

No entanto, como faço para que os nós da web sejam resolvidos e roteados para um nó de banco de dados localizado em outra rede de sobreposição?

No momento, estamos usando o Docker para desenvolvimento e estamos analisando como podemos usar o Docker também para executar nosso software em outros ambientes, como teste e produção.

O que fazemos agora é compilar nosso software Java com Jenkins e, em seguida - na mesma compilação do Jenkins - também construir uma imagem do Docker na qual o software Java será executado usando o docker-compose.

Agora, depois que a imagem do Docker foi criada, precisamos passar essa imagem para o host Docker (remoto) onde o software será executado. Este host Docker remoto NÃO é o mesmo host em que o Jenkins é executado. Acredito que podemos fazer isso seguindo a resposta aceita para esta pergunta .

No entanto, uma vez que a imagem foi copiada para o Docker Host - como começamos essa imagem com docker-compose? A imagem que copiamos é apenas a imagem - não os docker-compose.ymlarquivos ou Dockerfileo que importa.

Quando olho para a lista de nomes de domínio no gerenciador de DNS do Windows Server, vejo uma longa lista de registros A associados a clientes. Por que cada cliente obtém um registro A - e é realmente necessário?

Finalmente consegui colocar um túnel entre meu computador (strongswan) e um Zyxel Zywall 110 funcionando.

Estou me conectando usando certificados e, a julgar pelos logs, a conexão VPN real parece ter sido estabelecida.

May  4 14:14:49 user charon-nm: 10[IKE] authentication of 'remote.company.com' with RSA signature successful
May  4 14:14:49 user charon-nm: 10[IKE] IKE_SA Company[1] established between 192.168.43.101[C=NO, CN=user]...X.X.X.X[remote.company.com]
May  4 14:14:49 user charon-nm: 10[IKE] scheduling rekeying in 35793s
May  4 14:14:49 user charon-nm: 10[IKE] maximum IKE_SA lifetime 36393s
May  4 14:14:49 user charon-nm: 10[CFG] handling INTERNAL_IP4_NETMASK attribute failed
May  4 14:14:49 user charon-nm: 10[IKE] installing new virtual IP 192.168.100.6
May  4 14:14:49 user charon: 14[KNL] 192.168.100.6 appeared on wlan0
May  4 14:14:49 user avahi-daemon[645]: Registering new address record for 192.168.100.6 on wlan0.IPv4.
May  4 14:14:49 user charon-nm: 10[IKE] received ESP_TFC_PADDING_NOT_SUPPORTED, not using ESPv3 TFC padding
May  4 14:14:49 user charon-nm: 10[IKE] CHILD_SA Company{1} established with SPIs c71e085c_i 46449091_o and TS 192.168.100.6/32 === X.X.X.X/32 
May  4 14:14:49 user NetworkManager[1076]: <info> VPN connection 'Company' (IP4 Config Get) reply received from old-style plugin.
May  4 14:14:49 user NetworkManager[1076]: nm_ip4_config_add_nameserver: assertion 'nameserver > 0' failed
May  4 14:14:49 user NetworkManager[1076]: nm_ip4_config_add_wins: assertion 'wins > 0' failed
May  4 14:14:49 user NetworkManager[1076]: nm_ip4_config_add_wins: assertion 'wins > 0' failed
May  4 14:14:49 user NetworkManager[1076]: <info> Tunnel Device: tun0
May  4 14:14:49 user NetworkManager[1076]: <info> IPv4 configuration:
May  4 14:14:49 user NetworkManager[1076]: <info>   Internal Address: 192.168.100.6
May  4 14:14:49 user NetworkManager[1076]: <info>   Internal Prefix: 32
May  4 14:14:49 user NetworkManager[1076]: <info>   Internal Point-to-Point Address: 0.0.0.0
May  4 14:14:49 user NetworkManager[1076]: <info>   Maximum Segment Size (MSS): 0
May  4 14:14:49 user NetworkManager[1076]: <info>   Forbid Default Route: yes
May  4 14:14:49 user NetworkManager[1076]: <info>   Internal DNS: 192.168.16.2
May  4 14:14:49 user NetworkManager[1076]: <info>   DNS Domain: '(none)'
May  4 14:14:49 user NetworkManager[1076]: <info> No IPv6 configuration
May  4 14:14:49 user charon-nm: 14[KNL] interface tun0 activated
May  4 14:14:49 user charon: 07[KNL] interface tun0 activated
May  4 14:14:49 user kernel: [15417.710286] brcmsmac bcma0:1: brcms_ops_bss_info_changed: arp filtering: 2 addresses (implement)
May  4 14:14:49 user charon-nm: 05[KNL] 192.168.100.6 appeared on tun0
May  4 14:14:49 user charon: 11[KNL] 192.168.100.6 appeared on tun0
May  4 14:14:50 user NetworkManager[1076]: <info> VPN connection 'Company' (IP Config Get) complete.

No entanto, embora a VPN pareça estar estabelecida, parece que a saída de ipsec statusallnão concorda.

Status of IKE charon daemon (strongSwan 5.1.2, Linux 3.19.0-33-generic, x86_64):
  uptime: 4 hours, since May 04 09:57:53 2016
  malloc: sbrk 2568192, mmap 0, used 330496, free 2237696
  worker threads: 11 of 16 idle, 5/0/0/0 working, job queue: 0/0/0/0, scheduled: 0
  loaded plugins: charon test-vectors aes rc2 sha1 sha2 md4 md5 rdrand random nonce x509 revocation constraints pkcs1 pkcs7 pkcs8 pkcs12 pem openssl xcbc cmac hmac ctr ccm gcm attr kernel-netlink resolve socket-default stroke updown eap-identity addrblock
Listening IP addresses:
  192.168.43.101
  192.168.100.6
  10.0.3.1
  192.168.100.6
Connections:
Security Associations (0 up, 0 connecting):
  none

Por último, a saída de ip route showme dá o seguinte.

default via 192.168.43.1 dev wlan0  proto static 
10.0.3.0/24 dev lxcbr0  proto kernel  scope link  src 10.0.3.1 
192.168.43.0/24 dev wlan0  proto kernel  scope link  src 192.168.43.101  metric 9 

A conexão VPN foi configurada com o Network Manager e estou usando certificados para estabelecer a conexão. Não consigo acessar nenhum recurso na rede com a qual estabeleci a conexão VPN.

Estou faltando alguma coisa na configuração? O que eu poderia estar perdendo?

Estou planejando alugar um servidor físico e executar o MySQL dentro de um contêiner LXC nesse servidor. Eu gostaria de controlar o uso máximo de memória para a instância do MySQL usando os limites do cgroup:

lxc.cgroup.memory.limit_in_bytes = 8192M

Isso controlará efetivamente a quantidade de memória que o contêiner pode usar, mas topou freedentro do contêiner ainda relatará a memória geral para o host LXC (servidor físico). Não sou um especialista em como o Linux gerencia a memória em geral, mas presumo que - em uma máquina física - o Linux começará a trocar se perceber que está prestes a atingir um limite de memória física. O Linux lida com o limite de memória "efetivo" (seja limite de cgroup ou limite físico) da mesma maneira, independentemente de ser executado dentro de um contêiner ou em um host físico?

Se eu fosse configurar servidores físicos para executar um site crítico para os negócios, certamente criaria redundância nesse ambiente. Eu me esforçaria para não ter nenhum ponto único de falha e, no mínimo, executar dois servidores de cada função (dois servidores da Web, dois servidores de banco de dados, etc.). Mesmo que eu optasse por adicionar uma camada de virtualização a esses servidores, eu ainda buscaria redundância (e, nesse caso, também garantiria que, por exemplo, os bancos de dados fossem distribuídos em hosts diferentes).

No entanto, não tenho certeza se esse modo de pensar se aplica a ofertas de servidores em nuvem baseadas, por exemplo, em openstack. Primeiro, eu sempre poderia executar dois servidores da Web e dois servidores de banco de dados, mas como sei que meus dois servidores de banco de dados não são executados nos mesmos hosts físicos? Em segundo lugar, estou no escuro quando se trata de como a pilha aberta opera as máquinas virtuais. Uma única VM está vinculada a um host específico ou existe um pool de hardware físico no qual as VMs são embaralhadas?

Devo pensar em servidores de nuvem de pilha aberta apenas como outra forma de sabor de VPS/VM? Devo planejar servidores de nuvem de pilha aberta da mesma forma que planejo com servidores virtuais antigos físicos ou simples

Eu tenho um servidor host que executa o Jenkins. Eu gostaria que Jenkins criasse automaticamente novos contêineres e preparasse esses contêineres com SALT. O objetivo final é usar esses contêineres para testar o código.

Qual é a melhor maneira de criar um novo contêiner, instalar o salt-minion e, em seguida, provisionar o servidor com salt?

Eu tentei algo parecido com, lxc-attach -n myContainer -- salt-call --local state.highstatemas estou tendo problemas para fazer isso. Se eu executar lxc-attach -n [name] -- [command] manualmente na linha de comando, ele funcionará. No entanto, fazer isso a partir de um script me dá erros.

lxc-start -n "$1" -d
lxc-attach -n "$1" -- apt-get update

...resulta em...

Starting the container 'test2'...
Err http://archive.ubuntu.com trusty InRelease
Err http://archive.ubuntu.com trusty-updates InRelease
Err http://archive.ubuntu.com trusty Release.gpg
  Could not resolve 'archive.ubuntu.com'
Err http://security.ubuntu.com trusty-security InRelease
Err http://security.ubuntu.com trusty-security Release.gpg
  Could not resolve 'security.ubuntu.com'
Err http://archive.ubuntu.com trusty-updates Release.gpg
  Could not resolve 'archive.ubuntu.com'
Reading package lists... Done
W: Failed to fetch http://archive.ubuntu.com/ubuntu/dists/trusty/InRelease  

... e vários outros erros. Estou executando o script e os comandos manualmente na linha de comando como o mesmo usuário.

O que eu poderia estar fazendo de errado aqui?

Eu tenho um diretório que contém centenas de milhares de arquivos. Um arquivo geralmente se parece com isto: CED375_description_01.jpg. Preciso mover este arquivo para outro diretório, mas o arquivo precisa ser movido para a estrutura /ced/ced375/ced375_description_01.jpg.

Que opções eu tenho para conseguir isso?

Sou novo no Logstash e estou tentando entender como entradas, filtros e saídas funcionam juntos. Entendo que há uma variedade de entradas, filtros e saídas, mas o que não entendo é como o Logstash funciona com mensagens internamente.

Digamos que eu configure uma entrada syslog e gostaria que os eventos syslog fossem enviados para o índice de log como GELF. Há uma entrada syslog que posso usar e uma saída GELF que posso usar. No entanto, é minha responsabilidade (usando filtros) preencher o campo GELF correto com base nos valores do evento syslog?

Devo olhar para os eventos (dos filtros de entrada) como uma entidade com campos nomeados (uma espécie de matriz chave:valor) e, em seguida, usar filtros para garantir que as saídas possam obter os dados corretos?

Por vários motivos, seguimos um esquema de DNS interno em que o site de teste interno para 'www.test.com' seria 'p.test-tst.com.local'. Não vou entrar em detalhes porque acabamos com o esquema que estamos usando.

Agora, eu poderia adicionar 'p.test-tst.com.local', 'p.test-tst.de.local', 'p.test-tst.co.uk.local' (e assim por diante) ao Nginx arquivo de configuração para este site de teste específico. No entanto, não existe uma maneira mais flexível de fazer isso? Eu poderia, de alguma forma, fazer o Nginx aceitar 'p.test.tst.com.local' e reescrever isso internamente para 'www.test.com' para que o site (rodando no Drupal) pensasse que a solicitação veio para ' www.test.com'?

Uma das principais razões pelas quais isso seria bom é que eu não teria que pensar em adicionar mais lógica ao Drupal quando se trata de manipulação de linguagem (definir uma linguagem para 'com.local').