Naftuli Kay's questions

Estou no CentOS 7.4 tentando configurar o dnsmasq para cache DNS e servidores DNS por zona para executar o Consul. Essencialmente, a configuração do dnsmasq se resume a isso:

# filter everything with consul in the name and send to local consul resolver
server=/consul/127.0.0.1#8600

O problema que estou tendo é obter o resolvedor local /etc/resolv.confsem substituir nenhum outro resolvedor no arquivo.

Eu costumava ser capaz de fazer isso usando a dhclientconfiguração assim:

prepend domain-name-servers 127.0.0.1;

Como tudo agora é NetworkManager, descobri que a maneira de usar o dnsmasq é adicionar a seguinte linha à [main]seção de /etc/NetworkManager/NetworkManager.conf:

dns=dnsmasq

Antes de reiniciar o NetworkManager, vejo que meu /etc/resolv.confcontém o servidor DNS de rede recebido pelo DCHP:

# Generated by NetworkManager
search nowhere
nameserver 10.0.2.3
options single-request-reopen

Ao reiniciar o NetworkManager com a alteração de configuração acima, ele substitui meu servidor DNS de rede com 127.0.0.1:

# Generated by NetworkManager
search nowhere
nameserver 127.0.0.1
options single-request-reopen

Como o dnsmasq usa o /etc/resolv.confpara detectar resolvedores locais, gostaria de deixar o(s) resolvedor(es) /etc/resolv.confpara que o dnsmasq possa descobri-los.

Existe uma maneira de alcançar a funcionalidade anterior de ter o NetworkManager apenas precedendo o resolvedor local?

Normalmente, balanceadores de carga como os Elastic Load Balancers da Amazon usam um conjunto de registros DNS com vários registros A para fornecer várias instâncias de balanceadores de carga que podem lidar com o tráfego para endpoints solicitantes:

$ dig +short my-fancy-elb.us-east-1.elb.amazonaws.com
10.0.1.1
10.0.1.2

Se eu tentar enrolar este URL no modo detalhado, noto que curlparece tentativas de round-robin para os dois endereços IP:

$ curl -ivs http://my-fancy-elb.us-east-1.elb.amazonaws.com | grep -i 'connected'
* Connected to my-fancy-elb.us-east-1.elb.amazonaws.com (10.0.1.1)
$ curl -ivs http://my-fancy-elb.us-east-1.elb.amazonaws.com | grep -i 'connected'
* Connected to my-fancy-elb.us-east-1.elb.amazonaws.com (10.0.1.2)

O fato de curlfazer round-robin nos registros A descritos no conjunto de registros é feito pelo curlpróprio binário ou é algo que o kernel do Linux faz por ele?

O TCP existe na camada 4 e o DNS existe na camada 7, então imagino que os binários e bibliotecas individuais teriam que implementar seu próprio balanceamento de carga e failover: buscar o conjunto de registros DNS para o nome de domínio fornecido e escolher um endereço TCP para conectar a partir desse conjunto.

Posso razoavelmente esperar que linguagens de programação, navegadores e bibliotecas como curl façam balanceamento de carga e failover em registros A para mim?

Na minha organização, temos várias AMIs básicas simples de usar para diferentes serviços, como ECS e Docker. Como muitos de nossos projetos envolvem o CloudFormation, estamos usando o cfn-bootstrap, que consiste em alguns scripts e um serviço executado na inicialização para instalar determinados pacotes e executar determinadas tarefas de gerenciamento de configuração para nós.

Na inicialização de um sistema, um script equivalente ao seguinte deve ser executado:

#!/bin/bash

# capture stderr only
output="$(cfn-init -s $STACK_NAME -r $RESOURCE_NAME --region $REGION >/dev/null)"

# if it failed, signal to CloudFormation that it failed and include a reason
returncode=$?
if [[ $returncode == 0]]; then
    cfn-signal -e $returncode -r "$output"
    exit $returncode
fi

# otherwise, signal success
cfn-signal -s

Eu estava pensando em executar isso como um serviço systemd oneshotque executa After=network.targete WantedBy=multi-user.target.

O único problema é que eu gostaria que minha AMI fosse flexível e só a executasse se um determinado arquivo existir. Em vez de incorporar o script acima nos dados do usuário do EC2, posso fazer com que os dados do usuário definam apenas um arquivo de ambiente que define as variáveis ​​necessárias e execute apenas meu serviço único se esse arquivo de ambiente existir:

#cloud-init
write_files:
    - path: /etc/sysconfig/cloudformation
      # ...
      content: |
          CFN_STACK_NAME="stack-name"
          CFN_RESOURCE="resource-name"
          CFN_REGION="region"

Existe uma maneira de fazer com que o systemd execute apenas um serviço se uma determinada condição for atendida?

Eu tenho dois diretórios dos quais preciso servir ativos estáticos:

1. /srv/web: recursos estáticos que incluem imagens, JavaScript, HTML etc.
2. /srv/php: Scripts PHP dinâmicos juntamente com alguns ativos estáticos.

Estou usando o NGINX e configurei assim:

server {
    listen 80;
    server_name _;

    # root /;
    index index.php index.html index.htm;
    try_files /srv/web/$uri /srv/php/$uri =404;

    location ~ \.php$ {
        root /srv/php;
        try_files $uri =404;
        fastcgi_pass unix:/var/run/php5-fpm.sock;
        fastcgi_index index.php;
#       fastcgi_param SCRIPT_FILENAME /srv/php$fastcgi_script_name;
        include fastcgi_params;
    }
}

Estou no Ubuntu 14.04, a versão do pacote PHP FPM é 5.5.9, a versão do pacote NGINX é 1.4.6.

O objetivo simples aqui é servir arquivos estáticos de /srv/webprimeiro, caso contrário /srv/php, retorne 404. Todos os arquivos que terminam em \.php$serão solicitados do PHP FPM pelo soquete Unix, e isso está funcionando.

O problema que estou tendo atualmente é que a indexdiretiva sobre o servernão está funcionando como planejado. Eu tenho um index.htmlarquivo em /srv/web, e quando eu faço

curl -is http://localhost/

Eu recebo um 404.

Esta é a maneira mais ideal de configurar um site NGINX com várias pastas de sistema de arquivos para servir ao lado do PHP? Alguma ideia de por que meu índice estático não está funcionando?

Atualizar

De acordo com a resposta do AD7six abaixo, atualizei minha configuração para ficar assim:

server {
    listen 80;
    server_name _; # listen at all host names

    # serve static files first from /srv/web, then from /srv/php, and any dynamic PHP files from
    # FastCGI/FPM at the Unix socket.
    location / {
        root /srv/web;
        index index.html index.htm;
        try_files $uri $uri/ @php;
    }

    location @php {
        root /srv/php;
        index index.php;
        try_files $uri $uri/ =404;
    }

    location ~ \.php$ {
        root /srv/php;
        fastcgi_pass unix:/var/run/php5-fpm.sock;
        fastcgi_index index.php;
        fastcgi_param SCRIPT_FILENAME /srv/php/$fastcgi_script_name;
        include fastcgi_params;
    }
}

Minha listagem de diretórios é assim:

/srv/
|-- php
|   |-- demo.php
|   |-- index.php
|   `-- phpstatic.txt
`-- web
    |-- static.html
    `-- subdir
        `-- index.html

3 directories, 5 files

Obter arquivos estáticos e arquivos PHP funciona conforme planejado e obter /subdir/com seu índice funciona bem, mas se eu GET /, recebo um 403 proibido e o nginx reclama da listagem de diretórios:

2015/08/24 21:50:59 [error] 9159#0: *7 directory index of "/srv/web/" is forbidden, client: 127.0.0.1, server: _, request: "GET / HTTP/1.1", host: "localhost"

Não sei por que isso está falhando, mas pelo menos cheira a progresso.

Quero criar um Elastic Load Balancer na frente do meu site SSL que simplesmente passe pelas portas 80 e 443. Não quero que meu Elastic Load Balancer tenha um certificado SSL próprio, só quero que ele passe o tráfego para o meu único servidor.

Existe uma maneira de fazer isso de forma transparente? Agora ele está me pedindo para importar um certificado enquanto estou criando o Elastic Load Balancer.