Jeroen Jacobs提出的问题 -server

Jeroen Jacobs

Asked: 2019-09-19 12:35:44 +0800 CST

如何让 Ansible 使用 SSH 签名的客户端证书进行连接？

4

我已经在我的服务器上实现了 SSH CA 客户端签名。SSHd 在我的服务器上配置了以下指令：

TrustedUserCAKeys /etc/ssh/trusted-users-ca.pem

我修改了我的本地 ssh 配置文件，因此当我连接到我的服务器时，我的证书也被发送：

Host *.internal.headincloud.be
        User centos
        IdentityFile ~/.ssh/datacenter-hic-deploy
        CertificateFile = ~/.ssh/datacenter-hic-deploy-cert.pub

这似乎工作得很好，我能够连接到我的服务器，而无需部署 authorized_keys 文件。

但是，Ansible 无法连接我的服务器：

TASK [Gathering Facts] *********************************************************************************************************************************************************************
fatal: [postgres-01]: UNREACHABLE! => {"changed": false, "msg": "SSH Error: data could not be sent to remote host \"192.168.90.40\". Make sure this host can be reached over ssh", "unreachable": true}

就像我已经提到的那样，我可以通过 ssh 进行连接。

我怀疑 Ansible 没有发送证书文件，这就是我无法连接的原因。

我尝试修改我的 ansible.cfg 如下：

ssh_args = -C -o ControlMaster=auto -o ControlPersist=60s -i ~/.ssh/datacenter-hic-deploy-cert.pub

或者

ssh_args = -C -o ControlMaster=auto -o ControlPersist=60s -i /Users/jeroenjacobs/.ssh/datacenter-hic-deploy-cert.pub

这些都不起作用。

我找不到告诉 Ansible 如何做到这一点的方法。任何人的想法？

Jeroen Jacobs

Asked: 2017-11-03 05:22:56 +0800 CST

为什么禁用 Kubernetes 上的交换

65

从 Kubernetes 1.8 开始，我似乎需要在我的节点上禁用交换（或设置--fail-swap-on为false）。

我找不到 Kubernetes 坚持禁用交换的技术原因。这是出于性能原因吗？安全原因？为什么没有记录其原因？

Jeroen Jacobs

Asked: 2017-07-04 01:53:17 +0800 CST

keepalived virtual_ipaddress 和网络掩码

0

我有以下 keepalived.conf 文件：

vrrp_script chk_nginx {
  script "curl http://localhost/vrrp_healthcheck/"
  interval 2 # every 2 seconds
  weight 2 # add 2 points if OK
}

vrrp_instance VI_1 {
  interface ens160 # interface to monitor
  virtual_router_id 50
  priority 100
  virtual_ipaddress {
    192.168.120.25 label ens160:10
  }
  track_script {
    chk_nginx
  }
  notify /usr/local/bin/notify.sh
}

在主节点上，我在 ifconfig 输出中看到以下内容：

ens160: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 192.168.120.20  netmask 255.255.255.224  broadcast 192.168.120.31
        ether 00:50:56:a5:c5:3a  txqueuelen 1000  (Ethernet)
        RX packets 138308  bytes 130425415 (124.3 MiB)
        RX errors 0  dropped 73  overruns 0  frame 0
        TX packets 122917  bytes 50788591 (48.4 MiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

ens160:10: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 192.168.120.25  netmask 255.255.255.255  broadcast 0.0.0.0
        ether 00:50:56:a5:c5:3a  txqueuelen 1000  (Ethernet)

lo: flags=73<UP,LOOPBACK,RUNNING>  mtu 65536
        inet 127.0.0.1  netmask 255.0.0.0
        loop  txqueuelen 1  (Local Loopback)
        RX packets 9730  bytes 812897 (793.8 KiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 9730  bytes 812897 (793.8 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

让我担心的是 ens160:10 条目（由 keepalived 创建的）中不同的广播和网络地址。

这些不应该与常规界面中的匹配吗？

目前，我的设置似乎有效，但我想确保它设置正确。

Jeroen Jacobs

Asked: 2017-06-02 02:21:38 +0800 CST

用 centos7 和 epel 打破 ceph 依赖关系

1

好的，我正在尝试安装 ceph，只使用 epel 存储库中的“yum install ceph”。

这就是我得到的：

--> Finished Dependency Resolution
Error: Package: 1:python-cephfs-0.80.7-0.8.el7.x86_64 (epel)
           Requires: python-rados = 1:0.80.7
           Available: 1:python-rados-0.94.5-1.el7.x86_64 (base)
               python-rados = 1:0.94.5-1.el7
Error: Package: 1:ceph-0.80.7-0.8.el7.x86_64 (epel)
           Requires: python-rados = 1:0.80.7
           Available: 1:python-rados-0.94.5-1.el7.x86_64 (base)
               python-rados = 1:0.94.5-1.el7
Error: Package: 1:ceph-common-0.80.7-0.8.el7.x86_64 (epel)
           Requires: python-rados = 1:0.80.7
           Available: 1:python-rados-0.94.5-1.el7.x86_64 (base)
               python-rados = 1:0.94.5-1.el7
Error: Package: 1:ceph-common-0.80.7-0.8.el7.x86_64 (epel)
           Requires: python-rbd = 1:0.80.7
           Available: 1:python-rbd-0.94.5-1.el7.x86_64 (base)
               python-rbd = 1:0.94.5-1.el7
Error: Package: 1:ceph-0.80.7-0.8.el7.x86_64 (epel)
           Requires: python-rbd = 1:0.80.7
           Available: 1:python-rbd-0.94.5-1.el7.x86_64 (base)
               python-rbd = 1:0.94.5-1.el7

我也应该向谁报告？对于 Centos 人、epel 人还是 ceph 人？

我该如何临时解决这个问题？我今天需要 Ceph。

Jeroen Jacobs

Asked: 2016-09-18 10:25:32 +0800 CST

NS1 和 CloudFront，别名与 CNAME

0

我的整个网站都在 CloudFront 分配后面，而且我曾经有一个 Route53 区域，其中我网站的区域顶点记录指向 CloudFront 分配的 ALIAS 记录。

但是，现在我切换到 NS1 作为 DNS 提供商。他们也有类似的 ALIAS 记录，但是，文档指出：

地理定位信息丢失。由于发出 lb.example.net 查询的是 example.com 的权威服务器，因此 lb.example.net 记录上的任何智能路由功能都将作用于权威服务器的位置，而不是您的位置。EDNS0 edns-client-subnet 选项不适用于此处。这意味着您可能会被错误路由：例如，如果您在纽约，并且 example.com 的权威服务器在加利福尼亚，那么 lb.example.com 将认为您在加利福尼亚并返回一个在纽约，这对您来说显然不是最佳答案。

基本上，如果我理解正确，我网站的访问者可能会被定向到一个不太理想的 CloudFront 边缘节点。

这是我真的需要担心的事情吗？例如：欧洲访问者被引导到亚洲的 CloudFront 边缘站点的机会有多大？

Jeroen Jacobs

Asked: 2016-04-29 04:02:49 +0800 CST

将kapacitor与influxdb和collectd一起使用

1

我正在尝试将 Kapacitor 与我们的 influxdb 和 collectd 设置集成。但是，它似乎不起作用，我不明白为什么。

Collectd 和 Influxdb 运行正常，我认为 Kapacitor 能够连接到 influxdb。在 kapacitor 日志中，我看到了这个：

[influxdb] 2016/04/22 09:46:42 I! started UDP listener for collectd_db default

这是 collectd 记录指标的 influxdb 数据库的名称。

我创建了以下刻度文件，并将其上传到 kapacitor 并启用它：

stream
    .from().measurement('cpu_value')
    .where(lambda: "type" == "percent")
    .where(lambda: "type_instance" == "idle")
    .alert()
        .crit(lambda: "value" <  100)
        // Whenever we get an alert write it to a file.
        .log('/tmp/alerts.log')

这只是一个测试脚本，希望能产生一些输出。

脚本已启用：

Name                          Type      Enabled   Executing Databases and Retention Policies
cpu_tick                      stream    true      true      ["collectd_db"."default"]

但是，我没有看到任何录音：

[centos@ip-xx-xx-xx-xx tmp]$ kapacitor list recordings
ID                                      Type    Size      Created

“cpu_value”是我数据库中的有效度量。

这是我在错误日志中得到的：

[cpu_alert:stream1] 2016/04/28 13:00:51 E! error while evaluating WHERE expression: name "percent" is undefined. Names in scope: time,value,host,instance,type,type_instance

Jeroen Jacobs

Asked: 2015-11-17 14:56:18 +0800 CST

将节点添加到工头

0

我完全困惑如何将我的服务器添加到工头。我已经设置了一个 Foreman 服务器，我将 /etc/puppet/puppet.conf“server”指令指向我的 Foreman 服务器，并且在“Provisioning=>Smart Proxy”下我看到了签名请求。我已经通过网络界面对它们进行了签名，但是当我转到“Hosts=>All hosts”时，那里只列出了 Foreman 服务器。

我需要什么才能将我的服务器添加到此列表中，以便我可以通过 Puppet 管理服务器？

这是我在服务器上使用的 puppet.conf 文件：

[main]
logdir=/var/log/puppet
vardir=/var/lib/puppet
ssldir=/var/lib/puppet/ssl
rundir=/var/run/puppet
factpath=$vardir/lib/facter
prerun_command=/etc/puppet/etckeeper-commit-pre
postrun_command=/etc/puppet/etckeeper-commit-post

[agent]
server = foreman.srv.mydomain.com

Jeroen Jacobs

Asked: 2015-02-27 04:36:00 +0800 CST

使用 Puppet apt 模块

0

我是 Puppet 的绝对初学者，当我尝试通过 apt-module 安装软件包时遇到问题。

class newrelic {
        apt::source {
                'newrelic':location => 'http://apt.newrelic.com/debian/',
                repos => 'non-free',
                key => '548C16BF',
                key_source => 'https://download.newrelic.com/548C16BF.gpg',
                include_src => false,
                release => 'newrelic',
        }
        package {
                'newrelic-sysmond':ensure => 'present',
                notify => Service['newrelic-sysmond'],
                require => Class['apt::source'],
        }
        service {
                'newrelic-sysmond':ensure => 'running',
                enable => true,
                hasrestart => true,
                hasstatus => true,
                require => Exec['newrelic_config'],
        }
        exec {
                'newrelic_config':path => '/bin:/usr/bin',
                command => "/usr/sbin/nrsysmond-config --set license_key=xxxxxxx",
                user => 'root',
                group => 'root',
                require => Package['newrelic-sysmond'],
                notify => Service['newrelic-sysmond'],
        }
}

这是我收到的错误：

Warning: Scope(Class[Apt::Update]): Could not look up qualified variable '::apt::always_apt_update'; class ::apt has not been evaluated
Warning: Scope(Class[Apt::Update]): Could not look up qualified variable 'apt::update_timeout'; class apt has not been evaluated
Warning: Scope(Class[Apt::Update]): Could not look up qualified variable 'apt::update_tries'; class apt has not been evaluated
Notice: Compiled catalog for host.domain.local in environment production in 0.33 seconds
Error: Could not find dependency Class[Apt::Source] for Package[newrelic-sysmond] at /home/jeroen/puppet/modules/newrelic/manifests/init.pp:16

知道我在模块中做错了什么吗？

Jeroen Jacobs

Asked: 2013-06-25 05:20:25 +0800 CST

Domino SMTP 路由弄乱了出站邮件

0

关于传入和传出 smtp 邮件，我们有一个非常有趣的问题。

获取这 2 个电子邮件地址。

[email protected] => 我们环境中的现有用户
[email protected] => 现有用户，但“bla”也是我们其中一个外国域名的名称！

正如预期的那样，第一个地址没有问题。

然而，第二个地址给我们带来了很多问题。根据 domino 手册，smtp 路由器将首先查找地址是否与 Domino 目录中的地址匹配。这似乎是这种情况，因为“[email protected]”被定义为主要互联网我们的一位用户的地址。

然而，Domino 决定忽略这个事实，并决定将它转发到“jeroen@bla”（= 我们的外部域）

这似乎与 Domino 手册相矛盾，它说：

Domino 接受消息后，路由器会尝试将收件人的 Internet 地址与 Domino 目录中的条目相匹配。在 Domino 目录中查找收件人时，如果地址中的域后缀与全局域文档中定义的备用因特网域别名匹配，并且没有个人文档包含该地址，则路由器执行二次查找。在此二次查找中，路由器将地址的本地部分与全局域文档中指定的主因特网域的域后缀配对。

第一行是这里最重要的一行。由于收件人地址存在，Domino 没有理由尝试将其与另一个域配对。

我在这里错过了什么？

Jeroen Jacobs

Asked: 2012-10-14 05:55:09 +0800 CST

Esxi 5 没有计划任务？

1

我使用的是 VMWare 的 ESXi 5.1.0 的免费版本。

我以 root 身份登录到 vSphere 客户端，我想创建一些计划任务。根据文档，我应该去“Home”=>“Management”=>“Scheduled tasks”。

但是，当我转到“主页”时，我只有“库存”和“管理”。没有“管理”部分。

这是免费版本的限制吗（我对此表示怀疑，但仍然如此），还是我错过了这里显而易见的地方？

如何让 Ansible 使用 SSH 签名的客户端证书进行连接？

为什么禁用 Kubernetes 上的交换

keepalived virtual_ipaddress 和网络掩码

用 centos7 和 epel 打破 ceph 依赖关系

NS1 和 CloudFront，别名与 CNAME

将kapacitor与influxdb和collectd一起使用

将节点添加到工头

使用 Puppet apt 模块

Domino SMTP 路由弄乱了出站邮件

Esxi 5 没有计划任务？

新安装后 postgres 的默认超级用户用户名/密码是什么？

SFTP 使用什么端口？

命令行列出 Windows Active Directory 组中的用户？

什么是 Pem 文件，它与其他 OpenSSL 生成的密钥文件格式有何不同？

如何确定bash变量是否为空？

Jeroen Jacobs's questions