Системное администрирование *

Рассматриваем возможные решения, считаем производительность и прикидываем, как правильно настроить систему.

В мире существует множество различных систем для хранения кода. Различаются они как протоколом работы: Git, Mercurial, Bazaar, — так и форматом работы (cloud, self-hosted). Но есть и другой важный параметр: степень интеграции с сопутствующим инструментарием: issue tracker, CI/CD, wiki и т.д. Так сложилось, что мы в компании предпочитаем GitLab (вариант on-premise) и по умолчанию, если клиент не против, предлагаем ему это решение. В статье я расскажу про миграцию из Gitea c Jenkins в GitLab и о том, с какими сложностями пришлось столкнуться, а заодно поделюсь Python-скриптами, которые пригодились для успеха этого мероприятия.

Zimbra Proxy - очень важный элемент Zimbra OSE, который выполняет целый ряд функций, связанных с безопасностью и быстродействием почтовой инфраструктуры. Именно на узле Zimbra Proxy происходит централизованная аутентификация пользователей и их перенаправление на соответствующий почтовый сервер, а также централизованный сбор логов. Кроме того, Zimbra Proxy выполняет функции балансировщика нагрузки и обратного прокси - скрывает от пользователей топологию и характеристики узлов инфраструктуры Zimbra OSE, что затрудняет проведение разного рода кибератак. Также на узле Zimbra Proxy происходит терминация SSL-соединения, что снижает нагрузку на остальные серверы инфраструктуры Zimbra OSE, и кэширование. Но главная ценность Zimbra Proxy заключается в том, что этот узел позволяет обеспечивать централизованный доступ к другим узлам инфраструктуры Zimbra OSE.

На самом сервере Zimbra Proxy устанавливаются такие компоненты как Nginx и memcached. Также на почтовых серверах Zimbra OSE устанавливаются обработчики маршрутизации запросов, который позволяет Zimbra Proxy корректно находить почтовый сервер при подключении пользователя. Всё это нужно для обеспечения централизованного доступа пользователей к серверам Zimbra OSE. Суть его заключается в том, что при подключении пользователя к узлу Zimbra Proxy он самостоятельно определяет, к какому почтовому серверу относится его учетная запись и перенаправляет подключение на нужный почтовый сервер, чтобы пользователь в итоге попал в свой почтовый ящик. То, что со стороны пользователя работает как магия, на самом деле является довольно сложным механизмом со множеством различных нюансов. О них мы расскажем в данной статье. 

Итак, мы (офисные повелители и техно-шаманы) хотим знать, где наши кровные, корпоративные ноутбуки. Где они вот сейчас. И где были вчера.

Как-то давно на хабре публиковалась статья Опытные мелочи Windows-админа. В ней рассказывалось как быстро и достаточно эффективно находить компьютеры на которых залогинился тот или иной пользователь.

Мне эта идея понравилась, т.к. всё делается достаточно просто, быстро и без модификации схемы Active Directory. Я постепенно улучшал изложенные в статье подходы и в итоге появились три скрипта, которыми я и хочу поделится с вами.

The Update Framework (TUF) — программный фреймворк с открытым кодом для защиты репозиториев, из которых скачиваются обновления. Главная задача TUF — предоставить возможность обновлять софт безопасно, а также минимизировать ущерб в случае, если обновление скомпрометировано. Фреймворк можно использовать для создания собственной системы обновления ПО (например, менеджера пакетов) либо для повышения безопасности существующей.

В 2017 году TUF приняли в экосистему CNCF, а в 2019-м он стал первым выпускником среди проектов из области безопасности. TUF ориентирован на внедрение в любые системы обновления ПО и системы управления конфигурациями (а раз проект в CNCF, то речь, конечно, идет про решения из мира cloud native). Его уже используют Microsoft, Amazon, Google, DigitalOcean, Docker, IBM, Datadog, VMware, Red Hat и другие компании.

В этой серии постов я хотел бы поговорить о Linux Page Cache. Я считаю, что данные знания теори и инструментов жизненно необходимы и важны для каждого SRE. Общее понимание как работает Page Cache помогает и в рутинных повседневных задачах, и в экстренной отладке на продакшене. При этом Page Cache часто оставляют без внимания, а ведь его лучшее понимание. как правило, приводит к:

- более точному планированию емкости системы и лимитов сервисов и контейнеров;
- улучшенным навыкам отладки приложений, интенсивно использующих память и диски (СУБД и храанилища данных);
- созданию безопасных и предсказуемых сред выполнения специальных задач, связанных с памятью и/или вводом-выводом (например: сценарии резервного копирования и восстановления, rsyncоднострочники и т.д.).

Я покажу, какие утилиты вы можете использовать, когда имеете дело с задачами и проблемами, связанными с Page Cache, как правильно к ним подходить, и как понять реальное использование памяти.

Зачем собирать образ с помощью Packer?

1. Время создания инстанса из готового образа значительно меньше, чем время, которое нужно затратить с нуля на подготовку виртуальной машины к работе. Это достаточно критичный момент, так как порой очень важно ввести в работу новый инстанс нужного типа за кратчайшее время для того, чтобы начать пускать на него трафик.
2. Помимо того что образ виртуальной машины для DEV, TEST, Staging окружений, он всегда будет соответствовать по набору ПО и его настройкам тому серверу, который используется в production. Важность этого момента трудно недооценить — крайне желательно, чтобы деплой нового кода на продакшн привел к тому, чтобы сайт продолжал корректную работу с новой функциональностью, а не упал из-за какой-то ошибки, связанной с недостающим модулем или отсутствующим ПО.
3. Автоматизация сборки production- и development-окружений экономит время системного администратора. В глазах работодателя это также должно быть несомненным плюсом, так как это означает, что за то же время администратор сможет выполнить больший объем работы.
4. Время для тестирования набора ПО, его версий, его настроек. Когда мы подготавливаем новый образ заранее, у нас есть возможность (и, что самое главное, время!) для того, чтобы спокойно и вдумчиво проанализировать различные ошибки, которые возникли при сборке образа, и исправить их. Также есть время для тестирования работы приложения на собранном образе и внесения каких-то настроек для оптимизации приложений. В случае же, если мы настраиваем инстанс, который нужно было ввести в работу еще вчера, все возникающие ошибки, как правило, исправляются по факту их возникновения уже на работающей системе — конечно же, это не совсем правильный подход.

Введение

Когда я устанавливаю Vault в Kubernetes, я держу в голове, что очень важно иметь возможность сделать автоматическое распечатывание(Auto-Unseal), чтобы кластер Vault был по настоящему высокодоступным.

В моей предыдущей статье "Highly available Vault cluster in Kubernetes" (ссылка), несмотря на то, что я изо всех сил пытался сделать кластер Vault максимально доступным, без автоматического распечатывания кластер Vault мог бы выдержать частичный отказ подов, но не пережил бы перезагрузку всего кластера.

В этой статье хорошо объяснено, почему это произошло. Для меня проблема заключается в том, что я не пользуюсь "службой AWS KMS", которую можно было бы использовать, или подобной службы безопасности от "облачного" провайдера, потому что я управляю Kubernetes на self-hosted "облаке" (в этой статье объясняется моя настройка).

В Vault версии 1.1 добавлена поддержка "Transit Auto Unseal", которая заключается в использовании второго Vault кластера B для автоматического распечатывания (Auto-Unseal) кластера А.

Итак, вот идея: развернуть 2 кластера Vault A и B и настроить их так, чтобы они делали автоматическое распечатывание друг для друга.

Эта статья, скорее даже не статья, а заметка, и цель ее - подсветить саму идею полезности построения моделей, которые можно использовать в процессе принятия решений, при проектировании IT инфаструктур, да и в целом любых систем. Ну и, конечно, еще раз показать сам инструмент, и подход к мышлению, необходимый при использовании этого инструмента.

С первых же строк надо оправдать цель этой затеи, ответить на три "почему": почему Windows, и почему именно 7, а также, почему macbook air 2017.

Как бы так зайти, не шибко кружа, к оправданию такого поступка? Windows на macbook это не диковинка, это удобно, надежно и привычно. Ну и позволяет нативно запускать некий специальный софт, который существует исключительно для этой ОС.

Почему Windows 7? Ну есть же люди что увлекаются ретрожелезом? Почему бы не побаловать себя ретро-ОС? Семерка стабильна и очень привычна, всё в ней на местах и не бесит. Пока еще себе можно это позволить, поддержка закончилась сравнительно недавно, и вроде система без обновлений еще не решето.

Теперь о том, что же не так с Macbook air 2017, собственно почему бы просто не поставить "семерку"? Вот тут как раз и суть этой статьи: нельзя просто взять и поставить Windows 7 на свежие макбуки! (боромир.жпг) Настолько нельзя, что на макбуках 2015-2017 годов не запускается даже установщик: висит на черном экране.

Эта статья компиляция личного опыта и перевода удивительно ценной ветки c macrumors. Охватывает позитивный опыт для макбуков с одним видеоядром в до-ретина эпоху. Про более новые модели данных у меня нет.

Давайте рассмотрим вопрос о авто обнаружениях в Zabbix не предусмотренных разработчиками, но очень нужные для решения ряда задач.

Важным элементом любой производственной ИТ-инфраструктуры является система мониторинга состояния серверов. Сбор данных об ошибках, отказах и корректной работе сервера позволяет администратору своевременно получить информацию об ошибке и максимально оперативно приступить к ее устранению. Также правильно настроенная система мониторинга может помочь администратору предсказать появление какой-либо ошибки и принять в связи с этим профилактические меры. В Zimbra OSE есть встроенная система мониторинга, доступная из консоли администратора. В ней доступны для просмотра: статусы серверов и служб; учет количества и среднего размера электронных писем; активности антиспама и антивируса; почтовых очередей и статистка серверов. Однако для просмотра данной статистики требуется зайти в графическую консоль администратора, что не всегда удобно, а имея в своем распоряжении несколько серверов, администратору стоит задуматься о внедрении на предприятии централизованной системы мониторинга. Одним из наиболее распространенных решений для этих целей является Zabbix - бесплатный сервер для сбора логов и мониторинга состояния серверов с открытым исходным кодом. В данной статье мы расскажем о том, как настроить мониторинг сервера Zimbra OSE с помощью LTS-релиза Zabbix 5, а также о том, как интегрировать сервер Zimbra OSE с уже настроенным сервером сбора логов.

Microsoft выпустила плановые обновления безопасности для закрытия 60 уязвимостей (86 включая уязвимости в браузере Microsoft Edge). Среди закрытых 3 уязвимости были классифицированы как критические, 16 – потенциально приводили к удалённому исполнению кода. Среди прочих две уязвимости относились к уязвимостям нулевого дня (0-day), и эксплуатация одной уязвимости была зафиксирована в реальных атаках. Максимальный рейтинг CVSS среди всех закрытых уязвимостей составил 9.8.

Kubernetes стал стандартом для запуска микросервисных (и не только) приложений. Компании разных размеров — от стартапов до enterprise — стараются проектировать свои приложения готовыми для запуска в Kubernetes-кластере.

А для запуска приложения в K8s обычно используют Helm-шаблоны с описанием манифестов. Хотя формат шаблонов легко читается и прост в изучении, он может вызвать определенные сложности, когда логика деплоя приложения разрастается, когда создаются дополнительные тестовые контуры (с деплоем только отдельных частей приложения) и т.д. При активном использовании Go-шаблонов рефакторинг манифестов может превратиться в нетривиальную задачу*.

Что делать, если у разработчиков нет времени разбираться со всеми тонкостями Helm-шаблонов, синтаксисом YAML и Go templates, но нужно запустить приложение в Kubernetes? Ответом на этот вопрос может стать использование cdk8s.

Сегодня мы выпускаем развлекательный ролик ко дню программиста, в котором предлагаем представить, как можно было бы отметить профессиональный праздник.

День программиста отмечается в России на 256 день года, в 2021 году праздник выпал на 13 сентября. Идеей ролика было в позитивном ключе обыграть профессиональный юмор и специфику работы программистов.