jldugger's questions

Estou fazendo uma pequena VM no Google Cloud , com uma imagem de base de disco, e desejo gerenciar minha infraestrutura GCP com o Terraform da HashiCorp Aqui está o código TF básico que estou executando:

resource "google_compute_disk" "blog" {
    image = "ubuntu-1604-lts"
}
resource "google_compute_instance" "blog-vm" {
    disk {
        disk = "${google_compute_disk.blog.id}"
        auto_delete = false
    }
}

Quando eu tf apply, ele funciona bem na primeira vez. Mas os planos subsequentes querem reconstruir o disco e, portanto, a própria VM.

-/+ google_compute_disk.blog
    image:                      "ubuntu-1604-xenial-v20170619a" =>
                                "ubuntu-1604-lts" (forces new resource)

Meu objetivo aqui é escolher o modelo mais recente do ubuntu-lts na criação de imagens, mas deixar o disco em paz se criado. Isso é possível no Terraform?

Escrevendo alguns testes para uma configuração semi-complicada. Preciso recarregar systemddepois de remover algum script init instalado por um pacote.

pager.rb:

execute 'systemctl daemon-reload' do
  action :nothing
end

...

file '/etc/init.d/pdagent' do
  notifies :run, 'execute[systemctl daemon-reload]', :immediately
  action :delete
end

Tudo isso funciona, mas estou tendo problemas para escrever um conjunto de testes ChefSpec para o bloco de execução . Os exemplos de Seth Vargo mostram um matcher para run_execute, mas usá-lo para action :nothingfalhas:

spec.rb:

it do
  expect(chef_run).to run_execute('systemctl daemon-reload')
end

resulta em:

Falha/erro: expect(chef_run).to run_execute('systemctl daemon-reload') ações "execute[systemctl daemon-reload]" esperadas [] para incluir :run # ./spec/pagerduty_spec.rb:18:in `block (2 níveis) em '

Dentro do grande conjunto de arquivos que compõem nosso servidor Nagios, está o serviço de checagem para carga:

define service{
        use                             generic-service
        name                            check-load
        hostgroup_name                  nrpe-hosts,!webnodes,!build-cluster
        notification_options            c,r
        service_description             NRPE - Load
        check_command                   check_nrpe!check_load
        contacts                        irc
}

E dois contatos:

define contact{
        contact_name                    irc
        alias                           ircbot
        host_notification_period        24x7
        service_notification_period     24x7
        host_notification_options       d,u,r,f
        service_notification_options    w,u,c,r,f
        service_notification_commands   notify-by-epager
        host_notification_commands      host-notify-by-epager
        pager                           [email protected]
        }

define contact {
       contact_name                             pagerduty
       alias                                    PagerDuty Pseudo-Contact
       service_notification_period              24x7
       host_notification_period                 24x7
       service_notification_options             u,c,r
       host_notification_options                d,r
       service_notification_commands            notify-service-by-pagerduty
       host_notification_commands               notify-host-by-pagerduty
       pager                                    lol-no
}

EDIT: também, uma coisa de herança de serviço:

define service{
        name                            generic-service
        check_period                    24x7
        max_check_attempts              3
        normal_check_interval           3
        retry_check_interval            1
        notification_interval           0
        notification_period             24x7
        notification_options            w,c,r
        register                        0       ; DONT REGISTER THIS DEFINITION - ITS NOT A REAL SERVICE, JUST A TEMPLATE!
}

Edit2: E uma definição de comando de notificação, apenas para os que duvidam;) :

# 'notify-by-epager' command definition
define command{
        command_name    notify-by-epager
        command_line    /usr/bin/printf "%b" "Service: $SERVICEDESC$\nHost: $HOSTNAME$\nAddress: $HOSTADDRESS$\nState: $SERVICESTATE$\nInfo: $SERVICEOUTPUT$\nDate: $LONGDATETIME$" | /bin/mail -s "$NOTIFICATIONTYPE$: $HOSTALIAS$/$SERVICEDESC$ is $SERVICESTATE$" $CONTACTPAGER$
}

Edit3: E uma definição de host:

define host{
        host_name                       vmprod1
        alias                           vmprod1.example.com
        address                         192.1.1.123
        use                             generic-host
        hostgroups                      nrpe-hosts,vm-hosts,vm-prod,dellraid-hosts
        contact_groups                  example,example-pager
}

Esta é a única verificação com a descrição do serviço "NRPE - Carga". Pela minha leitura, isso deve alertar apenas o contato do irc, e não o contato do pagerduty. No entanto, recebi mais de 100 alertas "NRPE - Load" no mês passado no PagerDuty.

o que estou perdendo?

Após uma reinicialização recente, tenho um par de servidores que agora não conseguem monitorar o status do disco. Relatórios do Nagios:

HP RAID Array
UNKNOWN Error: No controllers detected. -/-/- (LD : []) 

Recebo o mesmo erro ao executar a verificação manualmente no host. Quando o faço, o log do kernel mostra o seguinte sempre que executo essa verificação manualmente:

Apr  8 17:00:00 www.example.org kernel: [12345.000000] grsec: 
From 10.11.12.13: denied use of iopl() by /opt/hp/hpacucli
/hpacucli.bin[hpacucli.bin:666] uid/euid:0/0 gid/egid:0/0, parent 
/bin/bash[bash:777] uid/euid:0/0 gid/egid:0/]

hpacucli é a ferramenta usada para interagir com o controlador raid de hardware e coletar coisas como o status do disco. Não é surpresa que ele use iopl(). A documentação do grsec sugere que isso é governado por, kernel.grsecurity.disable_priv_iomas o sysctl diz que a chave é desconhecida e também não consigo configurá-la.

Existe uma maneira de alterar isso para permitir o acesso hpacucli a iopl () sem dizer reconstruir para um kernel não-grsec?

Eu tenho uma caixa rodando Win2k3 e algumas instruções da Microsoft KB sobre certificados SSL, para IIS 5.0 e 6.0. Como posso saber qual versão do IIS está instalada no momento?