• úvod
  • témata
  • události
  • tržiště
  • diskuze
  • nástěnka
  • přihlásit
    registrace
    ztracené heslo?
    INDIANCentralizovaná správa stanic a ostatních prvků v síti - automation/monitoring/alerting a dalsi devops nastroje
    MAJA
    MAJA --- ---
    SPM: DNSko bohužel spravuje externí firma, tak jsem skončil u té jednodušší webové varianty ... ale zase je to rychlejší resp. člověk nemusí rešit, jestli už se záznam updatoval a prosáklo to na druhý konec apod.
    SPM
    SPM --- ---
    ja to jinak na interni subdomeny vyresil tak, ze pouzivam dns auth, mam jeden stroj s dns vystavenej do internetu, na nej delegovanou tu interni domenu a jednotlivy masiny si pres api na nem vytvari a mazou ten txt zaznam
    KOLCON
    KOLCON --- ---
    MAJA: Jo jeden stroj obnovi vsechny certifikaty a vsechny pak rsyncuju vsude
    MAJA
    MAJA --- ---
    KOLCON: přímo podhodíš certifikáty třeba pod apache (plus reload service) nebo řešíš nějakou kontrolu/zálohu stávajících ?
    KOLCON
    KOLCON --- ---
    MAJA: Já to normálně rsyncuju...
    MAJA
    MAJA --- ---
    MUXX: Jaké jsou pohnutky nemít interní systémy v LE seznamu ?
    MUXX
    MUXX --- ---
    MAJA: no ja to mam tak, ze mam nginx, ktery se stara certbotem o certifikaty a dela zaroven ssl offload. certifikaty tak nemam potreba nikam dal kopirovat. na ostatni veci pouzivam interni CA, protoze nechci, aby moje interni systemy byly ve verejnym lets encrypt seznamu.
    MAJA
    MAJA --- ---
    CHOROBA: díky za tip

    raději bych, aby si každý stroj sosnul svůj certifikát než aby proxy měla přístup na všechny stroje s certifikáty - nějak mi tenhle směr přijde bezpečnější
    CHOROBA
    CHOROBA --- ---
    no ja nevim, pouzivam getssl a to umi co chces.

    GitHub - srvrco/getssl: obtain free SSL certificates from letsencrypt ACME server Suitable for automating the process on remote servers.
    https://github.com/srvrco/getssl
    MAJA
    MAJA --- ---
    MUXX: Koncept je takový, že jedině ta certifikační proxy vidí do internetu a obnovuje pravidelně LE certifikáty pomocí Dehydrated.io. Stroje, pro které ty certifikáty jsou, budou víceméně odříznuté ... nemám vymyšlenou cestičku distribuce ... napadlo mě, aby si každý stroj cronem/skriptem z té proxy nakopíroval potřebné soubory, cheknul že jsou všechny a podstrčil je apache,nginx etc ... jenom si říkám, že už to pravděpodobně někdo vymyslel a dost pravděpodobně líp než bych to zbastlil já :-)
    MUXX
    MUXX --- ---
    MAJA: Proč to nenecháš na té proxy?
    MAJA
    MAJA --- ---
    Mám ne jednom vm stroji certifikační proxy na Let`s Encrypt. Přemýšlím, jak vygenerované certifikáty distribuovat k zamýšleným serverům. Nemáte někdo tip ? Nerad bych znovu vymýšlel kolo ... :-)
    RUDOLF
    RUDOLF --- ---
    hele, má si po deploy infra přes jenkins napsat testovací bash skripty jestli ty služby běží na webu korekně. Nebo je na to nějaký hezký framework? Mohl bych třeba použít ansible, ale přijde mi to vlastě neohrabaný.
    TOOMIX
    TOOMIX --- ---
    MAJA: jojo, jednou týdně mám v emailu backup report a když se něco nezálohovalo v posledních 3 dnech, už posílá varování
    INDIAN
    INDIAN --- ---
    Ja sem s AWX celkem spokojenej, nepouzivam teda moc gui jako spis API. Hlavnim duvodem byly prave ACL ktery mam pres SSO a mame tak nad tim audit, dalsi vyhodou je hlavne scheduler
    MAJA
    MAJA --- ---
    TOOMIX: dobrý vědět, že Crashplan funguje
    TOOMIX
    TOOMIX --- ---
    MAJA: jo, obnovoval jsem asi 80GB, které jsem omylem smazal a bez problému
    CHOROBA
    CHOROBA --- ---
    MAJA: ono rundeck nejni o moc jednodussi, ale umi i jiny veci nez ansible (winrm,python/bash scripty) umi formatovat json output hezky do tabulek, nebo do html, suprovy moznosti input options filteringu...
    MAJA
    MAJA --- ---
    CHOROBA: Ten rundeck okouknu, AWX mi přijde hrozně složitý ... možná pro velkou infrastrukturu a hodně hodně userů se to vyplatí všechno nastavovat.
    CHOROBA
    CHOROBA --- ---
    MAJA: na console verzi ansible maj users public klic,kazdej vlastni, kterej je ale zaloguje jako ansible usera.
    jinak na gui pouzivame Rundeck a jsem tak nejak o dost spokojenejsi nez s AWX
    Kliknutím sem můžete změnit nastavení reklam