Jeroen Jacobs's questions

Implementei a assinatura de cliente SSH CA em meus servidores. O Sshd está configurado em meus servidores com a seguinte diretiva:

TrustedUserCAKeys /etc/ssh/trusted-users-ca.pem

Modifiquei meu arquivo de configuração ssh local para que meu certificado também seja enviado quando me conectar aos meus servidores:

Host *.internal.headincloud.be
        User centos
        IdentityFile ~/.ssh/datacenter-hic-deploy
        CertificateFile = ~/.ssh/datacenter-hic-deploy-cert.pub

Isso parece funcionar bem e consigo me conectar ao meu servidor sem a necessidade de implantar um arquivo authorized_keys.

No entanto, o Ansible não consegue conectar meus servidores:

TASK [Gathering Facts] *********************************************************************************************************************************************************************
fatal: [postgres-01]: UNREACHABLE! => {"changed": false, "msg": "SSH Error: data could not be sent to remote host \"192.168.90.40\". Make sure this host can be reached over ssh", "unreachable": true}

Como já mencionei, consigo me conectar via ssh muito bem.

Suspeito que o Ansible não esteja enviando o arquivo de certificado e é por isso que não consigo me conectar.

Eu tentei modificar meu ansible.cfg da seguinte forma:

ssh_args = -C -o ControlMaster=auto -o ControlPersist=60s -i ~/.ssh/datacenter-hic-deploy-cert.pub

ou

ssh_args = -C -o ControlMaster=auto -o ControlPersist=60s -i /Users/jeroenjacobs/.ssh/datacenter-hic-deploy-cert.pub

Nenhum desses funciona.

Não consigo encontrar uma maneira de dizer ao Ansible como fazer isso. Alguém uma ideia?

Desde o Kubernetes 1.8, parece que preciso desabilitar a troca em meus nós (ou definir --fail-swap-oncomo false).

Não consigo encontrar o motivo técnico pelo qual o Kubernetes insiste que a troca seja desabilitada. Isso é por razões de desempenho? Razões de segurança? Por que a razão para isso não está documentada?

Eu tenho o seguinte arquivo keepalived.conf:

vrrp_script chk_nginx {
  script "curl http://localhost/vrrp_healthcheck/"
  interval 2 # every 2 seconds
  weight 2 # add 2 points if OK
}

vrrp_instance VI_1 {
  interface ens160 # interface to monitor
  virtual_router_id 50
  priority 100
  virtual_ipaddress {
    192.168.120.25 label ens160:10
  }
  track_script {
    chk_nginx
  }
  notify /usr/local/bin/notify.sh
}

No nó mestre, vejo o seguinte na saída do ifconfig:

ens160: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 192.168.120.20  netmask 255.255.255.224  broadcast 192.168.120.31
        ether 00:50:56:a5:c5:3a  txqueuelen 1000  (Ethernet)
        RX packets 138308  bytes 130425415 (124.3 MiB)
        RX errors 0  dropped 73  overruns 0  frame 0
        TX packets 122917  bytes 50788591 (48.4 MiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

ens160:10: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 192.168.120.25  netmask 255.255.255.255  broadcast 0.0.0.0
        ether 00:50:56:a5:c5:3a  txqueuelen 1000  (Ethernet)

lo: flags=73<UP,LOOPBACK,RUNNING>  mtu 65536
        inet 127.0.0.1  netmask 255.0.0.0
        loop  txqueuelen 1  (Local Loopback)
        RX packets 9730  bytes 812897 (793.8 KiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 9730  bytes 812897 (793.8 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

O que me preocupa é o endereço de broadcast e de rede diferente na entrada ens160:10 (que é a criada pelo keepalived).

Eles não deveriam corresponder aos da interface normal?

No momento, minha configuração parece funcionar, mas quero ter certeza de que está configurada corretamente.

Ok, estou tentando instalar o ceph, usando apenas "yum install ceph" dos repositórios epel.

Isto é o que eu recebo:

--> Finished Dependency Resolution
Error: Package: 1:python-cephfs-0.80.7-0.8.el7.x86_64 (epel)
           Requires: python-rados = 1:0.80.7
           Available: 1:python-rados-0.94.5-1.el7.x86_64 (base)
               python-rados = 1:0.94.5-1.el7
Error: Package: 1:ceph-0.80.7-0.8.el7.x86_64 (epel)
           Requires: python-rados = 1:0.80.7
           Available: 1:python-rados-0.94.5-1.el7.x86_64 (base)
               python-rados = 1:0.94.5-1.el7
Error: Package: 1:ceph-common-0.80.7-0.8.el7.x86_64 (epel)
           Requires: python-rados = 1:0.80.7
           Available: 1:python-rados-0.94.5-1.el7.x86_64 (base)
               python-rados = 1:0.94.5-1.el7
Error: Package: 1:ceph-common-0.80.7-0.8.el7.x86_64 (epel)
           Requires: python-rbd = 1:0.80.7
           Available: 1:python-rbd-0.94.5-1.el7.x86_64 (base)
               python-rbd = 1:0.94.5-1.el7
Error: Package: 1:ceph-0.80.7-0.8.el7.x86_64 (epel)
           Requires: python-rbd = 1:0.80.7
           Available: 1:python-rbd-0.94.5-1.el7.x86_64 (base)
               python-rbd = 1:0.94.5-1.el7

A quem devo denunciar isso também? Para o povo Centos, o povo epel ou o povo ceph?

E como posso corrigir isso temporário? Preciso do Ceph hoje.

Tenho todo o meu site por trás de uma distribuição do CloudFront e costumava ter uma zona Route53, onde o registro de apex de zona do meu site apontava para um registro ALIAS para a distribuição do CloudFront.

No entanto, agora estou mudando para NS1 como provedor de DNS. Eles também têm um registro ALIAS semelhante, no entanto, a documentação afirma:

As informações de segmentação geográfica são perdidas. Como é o servidor autoritativo para example.com que está emitindo as consultas para lb.example.net, qualquer funcionalidade de roteamento inteligente no registro lb.example.net atuará no local do servidor autoritativo, não em seu local. A opção EDNS0 edns-client-subnet não se aplica aqui. Isso significa que você pode ser mal encaminhado: por exemplo, se você estiver em Nova York e o servidor autoritativo para example.com estiver na Califórnia, lb.example.com acreditará que você está na Califórnia e retornará um resposta que é distintamente abaixo do ideal para você em Nova York.

Basicamente, se bem entendi, os visitantes do meu site podem ser direcionados para um nó de borda do CloudFront abaixo do ideal.

Isso é algo que eu realmente preciso me preocupar? Por exemplo: qual é a chance de um visitante europeu ser direcionado para um ponto de presença do CloudFront na Ásia?

Estou tentando integrar o Kapacitor com nossa configuração influxdb e collectd. No entanto, não parece funcionar e não entendo o porquê.

Collectd e Influxdb estão funcionando corretamente e acho que o Kapacitor pode se conectar ao influxdb. No log do kapacitor, vejo isso:

[influxdb] 2016/04/22 09:46:42 I! started UDP listener for collectd_db default

Este é o nome do banco de dados influxdb onde o collectd está registrando as métricas.

Eu criei o seguinte tick-file, carreguei-o no kapacitor e o habilitei:

stream
    .from().measurement('cpu_value')
    .where(lambda: "type" == "percent")
    .where(lambda: "type_instance" == "idle")
    .alert()
        .crit(lambda: "value" <  100)
        // Whenever we get an alert write it to a file.
        .log('/tmp/alerts.log')

Este foi apenas um script de teste, que esperamos produzir alguma saída.

O script está ativado:

Name                          Type      Enabled   Executing Databases and Retention Policies
cpu_tick                      stream    true      true      ["collectd_db"."default"]

No entanto, não vejo nenhuma gravação:

[centos@ip-xx-xx-xx-xx tmp]$ kapacitor list recordings
ID                                      Type    Size      Created      

"cpu_value" é uma medida válida em meu banco de dados.

Isso é o que recebo no meu log de erros:

[cpu_alert:stream1] 2016/04/28 13:00:51 E! error while evaluating WHERE expression: name "percent" is undefined. Names in scope: time,value,host,instance,type,type_instance

Estou completamente confuso sobre como adicionar meus servidores ao Foreman. Configurei um servidor Foreman, apontei a diretiva /etc/puppet/puppet.conf "server" para meu servidor Foreman e, em "Provisioning=>Smart Proxy", vejo as solicitações de assinatura. Eu os assinei por meio da interface da web, mas quando vou para "Hosts=>All hosts", apenas o servidor Foreman está listado lá.

O que eu preciso para adicionar meus servidores a esta lista, para que eu possa gerenciá-los via Puppet?

este é o arquivo puppet.conf que uso em meus servidores:

[main]
logdir=/var/log/puppet
vardir=/var/lib/puppet
ssldir=/var/lib/puppet/ssl
rundir=/var/run/puppet
factpath=$vardir/lib/facter
prerun_command=/etc/puppet/etckeeper-commit-pre
postrun_command=/etc/puppet/etckeeper-commit-post

[agent]
server = foreman.srv.mydomain.com

Sou totalmente iniciante no Puppet e estou tendo um problema ao tentar instalar um pacote por meio do apt-module.

class newrelic {
        apt::source {
                'newrelic':location => 'http://apt.newrelic.com/debian/',
                repos => 'non-free',
                key => '548C16BF',
                key_source => 'https://download.newrelic.com/548C16BF.gpg',
                include_src => false,
                release => 'newrelic',
        }
        package {
                'newrelic-sysmond':ensure => 'present',
                notify => Service['newrelic-sysmond'],
                require => Class['apt::source'],
        }
        service {
                'newrelic-sysmond':ensure => 'running',
                enable => true,
                hasrestart => true,
                hasstatus => true,
                require => Exec['newrelic_config'],
        }
        exec {
                'newrelic_config':path => '/bin:/usr/bin',
                command => "/usr/sbin/nrsysmond-config --set license_key=xxxxxxx",
                user => 'root',
                group => 'root',
                require => Package['newrelic-sysmond'],
                notify => Service['newrelic-sysmond'],
        }
}

Este é o erro que recebo:

Warning: Scope(Class[Apt::Update]): Could not look up qualified variable '::apt::always_apt_update'; class ::apt has not been evaluated
Warning: Scope(Class[Apt::Update]): Could not look up qualified variable 'apt::update_timeout'; class apt has not been evaluated
Warning: Scope(Class[Apt::Update]): Could not look up qualified variable 'apt::update_tries'; class apt has not been evaluated
Notice: Compiled catalog for host.domain.local in environment production in 0.33 seconds
Error: Could not find dependency Class[Apt::Source] for Package[newrelic-sysmond] at /home/jeroen/puppet/modules/newrelic/manifests/init.pp:16

Alguma ideia do que estou fazendo de errado no meu módulo?