OS: "Linux Debian/Ubuntu".
Apps: "ifenslave", "netplan", "KVM-Qemu".
Задача: обеспечить высокий уровень надёжности передачи данных для серверов под управлением "Linux Debian/Ubuntu" с подсистемой управления сетевой конфигурацией "Netplan" посредством LACP, вкупе с увеличением пропускной способности каналов.
В "Linux" агрегирование сетевых интерфейсов называется "бондингом". Управление агрегированием осуществляется с помощью утилиты "ifenslave", а работа, как таковая, с помощью модуля ядра "bonding".
Link aggregation → Linux Debian + Netplan + LACP ( Обеспечиваем высокий уровень надёжности передачи данных для серверов под управлением "Linux Debian/Ubuntu" с подсистемой управления сетевой конфигурацией "Netplan". )
15 апреля 2020Redmine → Расширения "Redmine" ( О попытке добавления необходимого функционала к базовой поставке "Redmine". )
12 апреля 2020OS: "Linux Debian 9/10", "Linux Ubuntu Server 16/18 LTS".
Apps: "Redmine".
Задача: добавление необходимого функционала к базовой поставке "Redmine".
Сразу сообщу, что "Redmine" без дополнительно устанавливаемых расширений примитивен и неудобен, а обвешанный "плагинами" становиться чуть более функциональным, но ненамного в результате поднимается от уровня убогости, превращаясь при этом в нечто франкенштейно-подобное - у него буквально отваливается в одном месте, когда что-то добавляется в другом.
Мы около месяца пытались на "Redmine" приблизиться хоть немного к уровню базовой поставки "Atlassian Jira", докупив расширений примерно на тысячу долларов, но в итоге забросили эту затею, купив за те же деньги лицензию на "YouTrack", закрыв при этом все наши потребности.
Тем не менее, выложу здесь перечень апробированных мною "плагинов" - может кому-то будет полезно узнать, работают ли они вообще:
Apps: "Redmine".
Задача: добавление необходимого функционала к базовой поставке "Redmine".
Сразу сообщу, что "Redmine" без дополнительно устанавливаемых расширений примитивен и неудобен, а обвешанный "плагинами" становиться чуть более функциональным, но ненамного в результате поднимается от уровня убогости, превращаясь при этом в нечто франкенштейно-подобное - у него буквально отваливается в одном месте, когда что-то добавляется в другом.
Мы около месяца пытались на "Redmine" приблизиться хоть немного к уровню базовой поставки "Atlassian Jira", докупив расширений примерно на тысячу долларов, но в итоге забросили эту затею, купив за те же деньги лицензию на "YouTrack", закрыв при этом все наши потребности.
Тем не менее, выложу здесь перечень апробированных мною "плагинов" - может кому-то будет полезно узнать, работают ли они вообще:
Web → Redmine ( Установка и настройка "Redmine", в попытке воспользоваться им для ведения процессов управления производственными задачами. )
10 апреля 2020OS: "Linux Debian 9/10", "Linux Ubuntu Server 16/18 LTS".
Apps: "Redmine", "Ruby On Rails", "MySQL", "Unicorn", "Nginx", LDAP.
Задача: установка и настройка написанного на "Ruby" web-приложения "Redmine", в попытке воспользоваться им для ведения "тикетов" процесса управления производственными задачами.
Последовательность дальнейших действий такова:
Apps: "Redmine", "Ruby On Rails", "MySQL", "Unicorn", "Nginx", LDAP.
Задача: установка и настройка написанного на "Ruby" web-приложения "Redmine", в попытке воспользоваться им для ведения "тикетов" процесса управления производственными задачами.
Последовательность дальнейших действий такова:
1. Подготовка системного окружения (отдельная инструкция);
2. Установка интерпретатора языка программирования "Ruby";
3. Установка и настройка СУБД "MySQL";
4. Загрузка и развёртывание web-приложения "Redmine";
5. Предварительная настройка и пробный запуск "Redmine";
6. Установка и настройка сервера приложений "Unicorn";
7. Установка фронтального web-сервера "Nginx";
8. Настройка подключения к внешнему LDAP для аутентификации.
2. Установка интерпретатора языка программирования "Ruby";
3. Установка и настройка СУБД "MySQL";
4. Загрузка и развёртывание web-приложения "Redmine";
5. Предварительная настройка и пробный запуск "Redmine";
6. Установка и настройка сервера приложений "Unicorn";
7. Установка фронтального web-сервера "Nginx";
8. Настройка подключения к внешнему LDAP для аутентификации.
GitLab → GitLab Container Registry ( Активация встроенного в "GitLab" репозитория docker-образов "Container Registry" с проверкой его функциональности. )
3 апреля 2020OS: "Linux Debian 9/10", "Linux Ubuntu Server 16/18/20 LTS".
Apps: "GitLab CE/EE", "GitLab Container Registry".
Задача: активировать встроенный в комбайн "GitLab" репозиторий docker-образов "GitLab Container Registry" с последующей проверкой функциональности. Примем за данность, что "GitLab" уже установлен по вышестоящей инструкции.
Дальнейшие действия:
Apps: "GitLab CE/EE", "GitLab Container Registry".
Задача: активировать встроенный в комбайн "GitLab" репозиторий docker-образов "GitLab Container Registry" с последующей проверкой функциональности. Примем за данность, что "GitLab" уже установлен по вышестоящей инструкции.
Дальнейшие действия:
1. Активация и настройка "GitLab Container Registry";
2. Проверка функциональности "GitLab Container Registry";
3. Автоматизация очистки от ненужных данных в "Container Registry".
2. Проверка функциональности "GitLab Container Registry";
3. Автоматизация очистки от ненужных данных в "Container Registry".
Moodle → Миграция moodle-сайта ( Шпаргалка по переносу простейших сайтов на примере работающих под управлением LMS "Moodle". )
20 марта 2020OS: "Linux Debian 9/10", "Linux Ubuntu 16/18/20 LTS".
Здесь шпаргалка по переносу сайтов, работающих под управлением LMS "Moodle". Далее просто и последовательно.
Здесь шпаргалка по переносу сайтов, работающих под управлением LMS "Moodle". Далее просто и последовательно.
Moodle → Обновление moodle-сайта ( Шпаргалка по обновлению сайтов, работающих под управлением LMS "Moodle". )
19 марта 2020OS: "Linux Debian 9/10", "Linux Ubuntu 16/18/20 LTS".
Здесь шпаргалка по обновлению сайтов, работающих под управлением LMS "Moodle".
Прежде всего, так уж получается, что зачастую обновлять приходится сайты, которые работали в своём исходном состоянии годами. Например, совсем недавно модернизировали весьма активно работающую образовательную площадку с версии "3.0" (2015 год) до "3.9" (2020 год). С учётом того, что у площадки при этом накапливаются сотни гигабайт данных, тысячи курсов, неисчислимое множество взаимодействий преподавателей и учащихся, в один клик такое обновлять крайне рискованно. Я предпочитаю предварительно запускать отдельную временную площадку, копию исходной, которую обновляю и отдаю на проверку службе поддержки пользователей, которые тестируют основной востребованный функционал несколько дней, и только с случае полностью гладкой работы мы обновляем уже основной сайт.
Последовательность дальнейших действий:
Здесь шпаргалка по обновлению сайтов, работающих под управлением LMS "Moodle".
Прежде всего, так уж получается, что зачастую обновлять приходится сайты, которые работали в своём исходном состоянии годами. Например, совсем недавно модернизировали весьма активно работающую образовательную площадку с версии "3.0" (2015 год) до "3.9" (2020 год). С учётом того, что у площадки при этом накапливаются сотни гигабайт данных, тысячи курсов, неисчислимое множество взаимодействий преподавателей и учащихся, в один клик такое обновлять крайне рискованно. Я предпочитаю предварительно запускать отдельную временную площадку, копию исходной, которую обновляю и отдаю на проверку службе поддержки пользователей, которые тестируют основной востребованный функционал несколько дней, и только с случае полностью гладкой работы мы обновляем уже основной сайт.
Последовательность дальнейших действий:
1. Создание действующей копии обновляемого сайта.
2. Обновление тестового сайта.
3. Обновление действующего сайта.
2. Обновление тестового сайта.
3. Обновление действующего сайта.
В Красноярске → Зимняя прогулка на Столбах ( Немного фотографий с зимней прогулки по парку-заповеднику "Красноярские столбы". )
29 февраля 2020GPX-трек за 20200229. С прогулки Каштаковской тропой по заповеднику "Столбы". (44.92 KB)
Смотреть на: , или (скрыть карту)
Так уж получилось, что по приезду в Красноярск у меня было, где погулять и чем заняться, а потому посещение широко известного парка-заповедника "Столбы" всё откладывалось и откладывалось. Но вот, прошло полгода, и я собрался таки "сходить на Столбы". Открыл карту местности, поизучал пешие тропы, и решил, что мне будет неинтересно идти в гору с подъёмом в 500 метров практически по автодороге, а потом эти же путём возвращаться назад - лучше я поднимусь на горный хребет от речки Базаиха, канатной дорогой "Бобрового лога", по верхам погуляю, а спущусь уже традиционным путём пешком, через северный вход на улице Свердловская. Всё получилось, как задумано, кроме того, что "столбов" как таковых я видел немного и не смог их хорошо сфотографировать, ибо лес в горах завален глубоким снегом и невозможно было походить вокруг скальных выступов в поисках удобного ракурса. Значит нужно будет сходить ещё минимум пару раз летом, чтобы увидеть таки "столбы".
Далее с десяток фото снежных видов с Каштаковской тропы.
1024x768 • 20200222. Красноярск. Столбы. На спуске от канатной дороги к Каштаковской тропе.
LDAP → Linux + LDAP Auth ( Наладка аутентификации пользователей Linux-системы посредством PAM через внешний LDAP-сервис. )
19 декабря 2019OS: "Linux Debian 8/9/10", "Linux Ubuntu 14/16/18/20 LTS".
Application: LDAP, NSS, PAM.
Задача: добавить возможность аутентификации через LDAP локальному пользователю операционной системы.
Представим себе небольшой набор linux-серверов, управляемых вручную (производство невелико и затраты на тотальную автоматизацию неоправданны), на которых должно быть всего два-три системных администратора. Традиционно посредством утилиты "useradd" в несущей операционной системе добавляется учётная запись, ей выделяется некий уровень привилегий посредством "sudo", создаётся пароль и таковой передаётся лично пользователю. Можно ли избежать последней компрометирующей процедуры, если в сети предприятия уже имеется сервис централизованной аутентификации - LDAP (или AD)?
Рассмотрим частный случай использования модуля подсистемы PAM, в самой минимальной его конфигурации, для решения поставленной задачи, следуя принципу минимально необходимой достаточности.
Application: LDAP, NSS, PAM.
Задача: добавить возможность аутентификации через LDAP локальному пользователю операционной системы.
Представим себе небольшой набор linux-серверов, управляемых вручную (производство невелико и затраты на тотальную автоматизацию неоправданны), на которых должно быть всего два-три системных администратора. Традиционно посредством утилиты "useradd" в несущей операционной системе добавляется учётная запись, ей выделяется некий уровень привилегий посредством "sudo", создаётся пароль и таковой передаётся лично пользователю. Можно ли избежать последней компрометирующей процедуры, если в сети предприятия уже имеется сервис централизованной аутентификации - LDAP (или AD)?
Рассмотрим частный случай использования модуля подсистемы PAM, в самой минимальной его конфигурации, для решения поставленной задачи, следуя принципу минимально необходимой достаточности.
Перевод 389-AS/DS на SSL → LDAPS-клиенты + "self-signed" сертификат ( Решение проблем с проверкой валидности предлагаемого LDAP-сервером x509-сертификата, если таковой "самоподписанный (self-signed)". )
18 декабря 2019OS: "Linux Debian/Ubuntu/RHEL/CentOS/", "MS Windows 7/10".
Application: LDAPS-клиенты.
После перевода на приём клиент-серверных подключений к LDAP-сервису "389-DS" только в зашифрованных SSL/TLS-соединениях может возникнуть проблема с проверкой валидности предлагаемого сервером x509-сертификата, если таковой "самоподписанный (self-signed)".
Прежде всего стоит проверить возможность подключения к LDAP-серверу посредством SSL/TLS-соединения, запросить сертификата и ознакомится с его параметрами:
Если SSL-сертификат "валидный" и вся цепь его электронных подписей проверяется вплоть до доверенных корневых удостоверяющих центров, то проблем с подключением у подавляющего большинства клиентов не предвидится.
Другое дело - если всю цепь электронных подписей проверить невозможно. Для примера рассмотрим далее способы уговоров разных приложений соединиться с LDAP-сервером, работающим за "самоподписанным" SSL-сертификатом.
Application: LDAPS-клиенты.
После перевода на приём клиент-серверных подключений к LDAP-сервису "389-DS" только в зашифрованных SSL/TLS-соединениях может возникнуть проблема с проверкой валидности предлагаемого сервером x509-сертификата, если таковой "самоподписанный (self-signed)".
Прежде всего стоит проверить возможность подключения к LDAP-серверу посредством SSL/TLS-соединения, запросить сертификата и ознакомится с его параметрами:
$ echo QUIT | openssl s_client -connect ldap0.example.net:636 | openssl x509 -noout -text | less
Если SSL-сертификат "валидный" и вся цепь его электронных подписей проверяется вплоть до доверенных корневых удостоверяющих центров, то проблем с подключением у подавляющего большинства клиентов не предвидится.
Другое дело - если всю цепь электронных подписей проверить невозможно. Для примера рассмотрим далее способы уговоров разных приложений соединиться с LDAP-сервером, работающим за "самоподписанным" SSL-сертификатом.
LDAP → Визуализация статистики ( Пишем простой сервис анализа журналов событий LDAP "389-DS" и представления свода количества подключений пользователей, без выдачи сведений о персоналиях. )
17 декабря 2019OS: "Linux Ubuntu 16/18 (Xenial/Bionic) LTS".
Application: "LDAP 389-AS/DS v1.3", "Apache2", "Bash".
Задача: визуализировать статистику о количестве подключений пользователей к LDAP-сервису, без выдачи сведений о персоналиях.
Статистика нам потребовалась для отслеживания процесса миграции со старого LDAP-сервера на новые инстансы, с попутной нормализацией политики использования учётных записей. От описываемого здесь сервиса требовалось лишь показать таблицы с перечнями комбинаций "источник подключения - пользователь" для каждого инстанса. Этого легко добиться регулярным сканированием журналов событий "389-DS" и генерированием простейшей HTML-страницы с таблицей.
Картинок с примерами здесь не будет - слишком служебная информация на них - но выглядит это примерно как в аналогичном web-сервисе для "Eduroam".
Application: "LDAP 389-AS/DS v1.3", "Apache2", "Bash".
Задача: визуализировать статистику о количестве подключений пользователей к LDAP-сервису, без выдачи сведений о персоналиях.
Статистика нам потребовалась для отслеживания процесса миграции со старого LDAP-сервера на новые инстансы, с попутной нормализацией политики использования учётных записей. От описываемого здесь сервиса требовалось лишь показать таблицы с перечнями комбинаций "источник подключения - пользователь" для каждого инстанса. Этого легко добиться регулярным сканированием журналов событий "389-DS" и генерированием простейшей HTML-страницы с таблицей.
Картинок с примерами здесь не будет - слишком служебная информация на них - но выглядит это примерно как в аналогичном web-сервисе для "Eduroam".