DavisTasar's questions

我一直在努力为 Terraform 建立一个 monorepo 并运行。Terraform 在容器内执行。但是，当我尝试将inithttp 指向我的自托管 Gitlab 的后端时，它返回为需要身份验证：

Successfully configured the backend "http"! Terraform will automatically
use this backend unless the backend configuration changes.
2021-04-15T13:02:00.815Z [TRACE] Meta.Backend: instantiated backend of type *http.Backend
2021-04-15T13:02:00.815Z [DEBUG] checking for provisioner in "."
2021-04-15T13:02:00.815Z [DEBUG] checking for provisioner in "/bin"
2021-04-15T13:02:00.815Z [INFO]  Failed to read plugin lock file .terraform/plugins/linux_amd64/lock.json: open .terraform/plugins/linux_amd64/lock.json: no such file or directory
2021-04-15T13:02:00.815Z [TRACE] Meta.Backend: backend *http.Backend does not support operations, so wrapping it in a local backend
2021/04/15 13:02:00 [DEBUG] GET https://gitlab.my_domain.tld/api/v4/projects/2/terraform/state/infrastructure
Error refreshing state: HTTP remote state endpoint requires auth

我已经确认我的项目令牌确实可以通过对具有 API 访问权限的令牌的项目使用 curl 来工作：

bash-5.1# curl -k -I "https://gitlab.my_domain.tld/api/v4/projects?<my_token_id>"
HTTP/2 200 
server: nginx
date: Wed, 14 Apr 2021 23:59:43 GMT
content-type: application/json
vary: Accept-Encoding
cache-control: no-cache
link: <https://gitlab.my_domain.tld/api/v4/projects?<my_token_id>=&membership=false&order_by=created_at&owned=false&page=1&per_page=20&repository_checksum_failed=false&simple=false&sort=desc&starred=false&statistics=false&wiki_checksum_failed=false&with_custom_attributes=false&with_issues_enabled=false&with_merge_requests_enabled=false>; rel="first", <https://gitlab.my_domain.tld/api/v4/projects?<my_project_token>=&membership=false&order_by=created_at&owned=false&page=1&per_page=20&repository_checksum_failed=false&simple=false&sort=desc&starred=false&statistics=false&wiki_checksum_failed=false&with_custom_attributes=false&with_issues_enabled=false&with_merge_requests_enabled=false>; rel="last"
vary: Origin
x-content-type-options: nosniff
x-frame-options: SAMEORIGIN
x-gitlab-feature-category: projects
x-next-page:
x-page: 1
x-per-page: 20
x-prev-page:
x-request-id: 01F39D73G8ZXPJ1E1ZAK0ZS860
x-runtime: 0.184197
x-total: 1
x-total-pages: 1
strict-transport-security: max-age=31536000
referrer-policy: strict-origin-when-cross-origin

bash-5.1# 

凭据不会通过，-backend-config也不会直接放入backend.tfvars我在后端拥有的文件中：

后端.tf：

terraform {
    backend "http" { }
}

后端.tfvars：

lock_method = "POST" 
unlock_method = "DELETE" 
retry_max = "3" 
skip_cert_verification = true

我已经通过导出确认 和 的值TF_HTTP_USERNAME是TF_HTTP_PASSWORD在环境变量中设置的。见鬼，我什至将它们设置为全局变量：

declare -x TERRAFORM_VERSION="0.15.0"
declare -x TF_HTTP_PASSWORD="[MASKED]"
declare -x TF_HTTP_USERNAME="project_2_bot"
declare -x TF_LOG="trace"
declare -x TF_PASSWORD="[MASKED]"
declare -x TF_USERNAME="project_2_bot"
declare -x bot_2_token="[MASKED]"

我检查了 api_json.json 的 Gitlab 日志，我看到请求进来了，但是使用 INFO 他们并没有告诉我太多，只是尝试进来了：

{
  "time": "2021-04-15T13:02:00.924Z",
  "severity": "INFO",
  "duration_s": 0.00915,
  "db_duration_s": 0.00207,
  "view_duration_s": 0.00708,
  "status": 401,
  "method": "GET",
  "path": "/api/v4/projects/2/terraform/state/infrastructure",
  "params": [],
  "host": "gitlab.my_domain.tld",
  "remote_ip": "10.4.6.95, 127.0.0.1",
  "ua": "Go-http-client/1.1",
  "route": "/api/:version/projects/:id/terraform/state/:name",
  "queue_duration_s": 0.011228,
  "db_count": 2,
  "db_write_count": 0,
  "db_cached_count": 1,
  "cpu_s": 0.017418,
  "mem_objects": 10346,
  "mem_bytes": 423664,
  "mem_mallocs": 1771,
  "correlation_id": "01F3ASZH67FMVS0449NC289C47",
  "meta.caller_id": "/api/:version/projects/:id/terraform/state/:name",
  "meta.remote_ip": "10.4.6.95",
  "meta.feature_category": "infrastructure_as_code",
  "meta.client_id": "ip/10.4.6.95"
}

我正在尝试找出如何提高日志级别以捕获所有进入 API 的事件，但到目前为止还没有。

每次我尝试对后端运行命令时，它都会返回：

Error refreshing state: HTTP remote state endpoint requires auth

我试过 Terraform 版本 0.14.x（不记得最新的是什么）和 0.15

而且我已经没有办法去看了。任何人都经历过这种情况或就如何进一步排除故障提供想法？

首次构建 Gitlab 的本地/自托管部署。我已经完成了自我安装，单个盒子和三个用于跑步者的专用主机（我正在努力让它们为 docker-in-docker 码头化）。

这是两天前从软件包安装中完成的，所以没有从源代码构建，99% 的东西仍然来自开箱即用的综合安装程序。

我正在尝试启动并运行 Container Registry，以便我可以签入容器并将它们拉到我的 CI/CD 管道中，但是每次我的本地主机尝试进行身份验证时，它都会超时。当我启用调试日志时，它似乎没有生成任何东西？

PS C:\Users\my_user_name\docker-gl-runner> docker login gitlab.my_domain.tld:5050 -u my_user_name 
Password:
Error response from daemon: Get https://gitlab.my_domain.tld:5050/v2/: net/http: request canceled while waiting for connection (Client.Timeout exceeded while awaiting headers)

我确实有一个用户帐户设置，我确实生成了一个个人访问令牌，并且都尝试了（用户名 + 密码，用户名 + 令牌）。

该服务正在侦听 5050：

[root@gitlab gitlab]# netstat -an | grep 50..
tcp        0      0 0.0.0.0:5050            0.0.0.0:*               LISTEN
tcp        0      0 127.0.0.1:5000          0.0.0.0:*               LISTEN
tcp        0      0 127.0.0.1:5001          0.0.0.0:*               LISTEN
tcp        0      0 127.0.0.1:5001          127.0.0.1:46666         ESTABLISHED
tcp        0      0 127.0.0.1:5001          127.0.0.1:46560         TIME_WAIT
tcp        0      0 127.0.0.1:46666         127.0.0.1:5001          ESTABLISHED

以下是 gitlab.rb 文件中的相关设置（我相信）：

[root@gitlab gitlab]# cat gitlab.rb | grep registry
# gitlab_rails['gitlab_default_projects_features_container_registry'] = true

registry_external_url 'https://gitlab.my_domain.tld'
gitlab_rails['registry_enabled'] = true
gitlab_rails['registry_host'] = "gitlab.my_domain.tld"
gitlab_rails['registry_port'] = "5005"
gitlab_rails['registry_path'] = "/var/opt/gitlab/gitlab-rails/shared/registry"
# gitlab_rails['registry_notification_secret'] = nil
# gitlab_rails['registry_api_url'] = "http://localhost:5000"
# gitlab_rails['registry_key_path'] = "/var/opt/gitlab/gitlab-rails/certificate.key"
# gitlab_rails['registry_issuer'] = "omnibus-gitlab-issuer"

registry['enable'] = true
# registry['username'] = "registry"
# registry['group'] = "registry"
# registry['uid'] = nil
# registry['gid'] = nil
registry['dir'] = "/var/opt/gitlab/registry"
registry['registry_http_addr'] = "localhost:5000"
registry['debug_addr'] = "localhost:5001"
registry['log_directory'] = "/var/log/gitlab/registry"
registry['env_directory'] = "/opt/gitlab/etc/registry/env"

registry['log_level'] = "info"
registry['log_formatter'] = "text"
# registry['rootcertbundle'] = "/var/opt/gitlab/registry/certificate.crt"
# registry['health_storagedriver_enabled'] = true
# registry['storage_delete_enabled'] = true
# registry['validation_enabled'] = false
# registry['autoredirect'] = false
# registry['compatibility_schema1_enabled'] = false

关于有什么不同、搞砸或应该调查的任何想法？或者甚至可能是，“这是我的样子，和你的比较一下”（如果你给我看你的，我就给你看？）

设置一些 Squid 代理，并试图找出一些行为。

Squid 在 pass-all 配置中，将 linux 节点设置为将 80 转发到 Squid 正在侦听的端口 3128。

我在代理前面确实有一个 AWS NLB，但是当我通过专用主机 IP 地址定位代理时会发生相同的行为。

如何：

curl -v --proxy http://my-proxy-pal.lab.my_domain.com:80 https://www.microsoft.com

和

curl -v --proxy http://my-proxy-pal.lab.my_domain.com https://www.microsoft.com

不是同一个 curl 命令？HTTP 在 tcp/80 上运行？当您执行 :80（或 :3128）时，请求会通过，但如果您省略它，则请求会失败。

我假设它与 http 与 tcp 的行为有关，但我不是 100% 确定。因此，任何对这种行为有一些见解的人，都非常感谢正确的方向。

我正在尝试将一些 PowerDNS 服务器部署为内部 DNS 主机，并且我已经让递归器工作，并且权威工作，但我唯一没有功能的是反向查找。系统配置为在 Native 设置中运行，以 MySQL 作为后端。

Recursor 和 Authoritative 在同一个盒子上运行。Recursor 正在侦听 udp/53，并设置为将适当域的请求转发给在 udp/5300 上运行的权威。我有一个内部公司名称的前向设置（internal.corp 如下例所示），因此 A 记录、CNAMES 等都可以正常工作。我遇到的问题是反向区域。

我试过做：

forward-zones+=139.10.in-addr.arpa=127.0.0.1:5300

forward-zones+=0.139.10.in-addr.arpa=127.0.0.1:5300

forward-zones+=0.0.139.10.in-addr.arpa=127.0.0.1:5300

地狱，我什至尝试了一个特定的条目：

forward-zones+=10.0.139.10.in-addr.arpa=127.0.0.1:5300

而且没有喜悦。所以，如果有人对我应该如何戳它有建议，我将不胜感激！

以下配置：

#power dns authoritative
launch=gmysql
gmysql-host=127.0.0.1
gmysql-user=root
gmysql-dbname=pdns
gmysql-password=thisismysuperawesomepassword
webserver=yes
webserver-address=0.0.0.0
api=yes
api-key=changeme
local-ipv6=
local-address=127.0.0.1
local-port=5300


--------
#powerdns recursor
setgid=pdns-recursor
setuid=pdns-recursor
local-address=0.0.0.0
webserver=yes
webserver-port=8082
api-key=changeme
forward-zones=example.com=127.0.0.1:5300
forward-zones+=internal.corp=127.0.0.1:5300

我在 Windows Azure 托管的虚拟机上全新安装了 Microsoft Exchange 2013。我以前从未安装过 Exchange，所以，我仍然倾向于小事。安装似乎进展顺利，但我无法让客户端通过 Outlook 2013 进行连接。

我知道电子邮件有效，因为如果我在本地登录到盒子，在本地浏览器上打开 OWA，我可以通过这种方式发送和接收电子邮件，但 Outlook 无法连接。我尝试将其作为 Exchange、IMAP 和 POP3 连接。Outlook 自动发现只是说它无法找到我的域的任何加密或未加密设置。

由于这是托管在 Azure 上的，我几乎可以肯定这与他们正在进行的端口转发/NAT 有关——我将 POP3/S、IMAP/S、SMTP/S 全部转发到该主机。我的 DNS 托管在 NameCheap 上，它将 mail.mydomain.com 作为 A 记录指向 Azure 的 VIP。

如果有人能指出我排除故障的方向，我将不胜感激。

我最近刚刚安装了一个 Nagios 实现，我正在尝试让 LDAP 身份验证在 Red Hat 上为 httpd 工作。（下面的 Apache 配置的 nagios.conf，当然已经过清理）

ScriptAlias /nagios/cgi-bin "/usr/local/nagios/sbin"

<Directory "/usr/local/nagios/sbin">
#SSLRequireSSL
Options ExecCGI
AllowOverride none
AuthType Basic
AuthName "LDAP Authentication"
AuthLDAPURL "ldap://my.domain.controller:389/OU=Users,DC=my,DC=domain,DC=controller?sAMAccountName?sub?(objectClass=user)" NONE
AuthzLDAPAuthoritative off
AuthLDAPBindDN "CN=NagiosAdmin,DC=my,DC=domain,DC=controller"
AuthLDAPBindPassword "myPassword"
require valid-user
</Directory>

Alias /nagios "/usr/local/nagios/share"

<Directory /usr/local/nagios/share>
#SSLRequireSSL
Options None
AllowOverride none
AuthBasicProvider ldap
AuthType Basic
AuthName "LDAP Authentication"
AuthzLDAPAuthoritative off
AuthLDAPURL "ldap://my.domain.controller:389/OU=Users,DC=my,DC=domain,DC=controller?sAMAccountName?sub?(objectClass=user)" NONE
AuthLDAPBindDN "CN=NagiosAdmin,DC=my,DC=domain,DC=controller"
AuthLDAPBindPassword "myPassword"
require valid-user
</Directory>

现在，初始身份验证有效，因此当您第一次点击该页面时，您可以正常登录。但是，当您去其他任何地方时，它会提示您进行身份验证，失败（要求重新提示），并给出以下错误消息：

[Mon Oct 21 14:46:23 2013] [error] [client 172.28.9.30] access to /nagios/cgi-bin/statusmap.cgi failed, reason: verification of user id '<myuseraccount>' not configured, referer: http://<nagiosserver>/nagios/side.php

我几乎可以肯定它是一个简单的标志或选项，但我找不到它，而且我没有很多使用 Apache 的经验。任何帮助或帮助将不胜感激。

我有一个 Postfix 服务器运行了很短的时间，它工作了，但我今天不得不重新启动服务器，我不再接收来自外部来源的电子邮件：

Jan 23 01:34:44 myservername postfix/smtpd[1055]: connect from db3ehsobe006.messaging.microsoft.com[213.199.154.144]
Jan 23 01:34:45 myservername postfix/smtpd[1055]: warning: connect to 127.0.0.1:10023: Connection refused
Jan 23 01:34:45 myservername postfix/smtpd[1055]: warning: problem talking to server 127.0.0.1:10023: Connection refused
Jan 23 01:34:46 myservername postfix/smtpd[1055]: warning: connect to 127.0.0.1:10023: Connection refused
Jan 23 01:34:46 myservername postfix/smtpd[1055]: warning: problem talking to server 127.0.0.1:10023: Connection refused
Jan 23 01:34:46 myservername postfix/smtpd[1055]: NOQUEUE: reject: RCPT from db3ehsobe006.messaging.microsoft.com[213.199.154.144]: 451 4.3.5 Server configuration problem; from=<MyKnownWorking@EmailAccountOutside> to=<[email protected]> proto=ESMTP helo=<db3outboundpool.messaging.microsoft.com>

服务器正在监听port 10023，但我注意到它只通过 IPv6 监听：

> sudo netstat -a | grep 10023
tcp6       0      0 ip6-localhost:10023     [::]:*                  LISTEN

我没有适当的防火墙规则来拒绝特定端口，该死，我继续刷新规则集只是为了确认它。这是我的 postconf -n 的输出（我删除了我的域名以代替“mydomain.com”：

> sudo postconf -n
alias_database = hash:/etc/aliases
alias_maps = hash:/etc/aliases
    append_dot_mydomain = no
biff = no
broken_sasl_auth_clients = yes
config_directory = /etc/postfix
content_filter = amavis:[127.0.0.1]:10024
disable_vrfy_command = yes
inet_interfaces = all
inet_protocols = ipv4
mailbox_size_limit = 0
message_size_limit = 0
mydestination = localhost.$mydomain, localhost, mail.mydomain.com, servername.mydomain.com
mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128
mynetworks_style = host
myorigin = /etc/mailname
readme_directory = no
receive_override_options = no_address_mappings
recipient_delimiter = +
relayhost =
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
smtp_use_tls = yes
smtpd_banner = mail.mydomain.com ESMTP $mail_name
smtpd_delay_reject = yes
smtpd_helo_required = yes
smtpd_recipient_restrictions = reject_unauth_pipelining, permit_mynetworks, permit_sasl_authenticated, reject_non_fqdn_recipient, reject_unknown_recipient_domain, reject_unauth_destination, check_policy_service inet:127.0.0.1:10023, permit
smtpd_sasl_auth_enable = yes
smtpd_sasl_local_domain =
smtpd_sasl_security_options = noanonymous
smtpd_sender_restrictions = permit_sasl_authenticated, permit_mynetworks, warn_if_reject reject_non_fqdn_sender, reject_unknown_sender_domain, reject_unauth_pipelining, permit
smtpd_tls_cert_file = /etc/ssl/private/mail.mydomain.com.crt
smtpd_tls_key_file = /etc/ssl/private/mail.mydomain.com.key
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtpd_use_tls = yes
virtual_alias_maps = mysql:/etc/postfix/maps/alias.cf
virtual_gid_maps = static:5000
virtual_mailbox_base = /var/spool/mail/virtual
virtual_mailbox_domains = mysql:/etc/postfix/maps/domain.cf
virtual_mailbox_limit = 0
virtual_mailbox_maps = mysql:/etc/postfix/maps/user.cf
virtual_uid_maps = static:5000

如您所见，我什至试图通过 inet_protocols 指定它侦听 ipv4 连接。我已经尝试过使用和不使用该命令。

任何故障排除方面的帮助将不胜感激！当然，如果您发现我的配置中有任何明显愚蠢的地方，我也不会拒绝建议或批评。

我刚刚在 Ubuntu 12.04 上加载了 Postfix（按照几个指南），大多数人说要将 /etc/postfix/maps（user.cf、alias.cf、domain.cf）中的文件权限更改为 700 并归 postfix 所有用户。

然而，当我这样做时，无法读取这些文件。我必须 chmod 777 整个文件夹才能使 postfix 工作。关于如何解决此问题以便我不必对整个目录使用 777 的任何想法？

我知道这是一个权限问题，并且 postfix 应该在 postfix 帐户下运行，我只是想我可能会征求你们的建议。

询问资料：

ps 辅助 | grep 后缀

root      1839  0.0  0.1 158844   864 ?        Ss   Dec28   0:00 /usr/sbin/saslauthd -a pam -r -c -m /var/spool/postfix/var/run/saslauthd -n 5
root      1840  0.0  0.2 158844  1040 ?        S    Dec28   0:00 /usr/sbin/saslauthd -a pam -r -c -m /var/spool/postfix/var/run/saslauthd -n 5
root      1841  0.0  0.1 158844   912 ?        S    Dec28   0:00 /usr/sbin/saslauthd -a pam -r -c -m /var/spool/postfix/var/run/saslauthd -n 5
root      1842  0.0  0.1 158844   844 ?        S    Dec28   0:00 /usr/sbin/saslauthd -a pam -r -c -m /var/spool/postfix/var/run/saslauthd -n 5
root      1844  0.0  0.1 158844   924 ?        S    Dec28   0:00 /usr/sbin/saslauthd -a pam -r -c -m /var/spool/postfix/var/run/saslauthd -n 5
root      2633  0.0  0.0  25108   356 ?        Ss   Dec28   0:00 /usr/lib/postfix/master
postfix   2637  0.0  0.0  27336   368 ?        S    Dec28   0:00 qmgr -l -t fifo -u
postfix   2697  0.0  0.1  38244   980 ?        S    Dec28   0:00 tlsmgr -l -t unix -u -c
root     18742  0.0  0.1   9388   884 pts/1    S+   00:11   0:00 grep --color=auto     postfix

ls -al /etc/后缀

drwxr-xr-x   4 root root     4096 Dec 28 16:29 .
drwxr-xr-x 117 root root     4096 Dec 28 17:24 ..
-rw-r--r--   1 root root      329 Dec 24 21:33 dynamicmaps.cf
-rw-r--r--   1 root root     2216 Dec 28 16:29 main.cf
-rw-r--r--   1 root root     1370 Dec 24 21:44 main.cf.old
drwxrwxrwx   2 root postfix  4096 Dec 28 17:10 maps
-rw-r--r--   1 root root     4797 Dec 24 21:46 master.cf
-rw-r--r--   1 root root    19707 Oct 23 10:10 postfix-files
-rwxr-xr-x   1 root root     8729 Oct 23 10:10 postfix-script
-rwxr-xr-x   1 root root    26498 Oct 23 10:10 post-install
drwxr-xr-x   2 root root     4096 Dec 24 21:55 sasl

当我收到错误消息时，它们将是：

Dec 28 17:04:43 prodserv1 postfix/virtual[7194]: error: open /etc/postfix/maps/user.cf: Permission denied
Dec 28 17:04:43 prodserv1 postfix/virtual[7194]: warning: mysql:/etc/postfix/maps/user.cf is unavailable. open /etc/postfix/maps/user.cf: Permission denied
Dec 28 17:04:43 prodserv1 postfix/virtual[7194]: warning: table virtual_mailbox_maps: lookup [email protected]: Permission denied

我们正在进行全新的部署，我们的大学已经购买了 WebEx MeetingPlace。我们让 Cisco CallManager 组件正常工作，但与单点登录和 ADFS 2.0 的集成简直就是折磨。我遇到的最大问题是我们使用裂脑 DNS，并且我们的内部域名与外部域名不同。尝试确定来回传递的凭证、使用自签名证书的证书错误等。

有没有人有这方面的经验或类似的经验？你有什么提示，或者注意这个等等吗？我以前没有使用过联合身份验证系统，这个场景非常黑盒式。抱歉，我也很沮丧，所以我也在咆哮。