Недавно рассказывал про web интерфейс для управления reverse proxy nginx. Удобная и полезная штука. В комментариях читатель поделился ссылкой на подобный проект, только для HAProxy. Еще один бесплатный балансировщик.
Сам я haproxy не использую, так как мои потребности закрывает nginx, но знаю, что функционал haproxy богаче в сравнении с бесплатной версией nginx. Часть плюшек, которые есть в хапрокси, продаются в nginx plus за деньги.
А вот и сама веб панель для управления
haproxy-wi - https://github.com/Aidaho12/haproxy-wi На ютубе куча видео, где можно наглядно посмотреть, как все работает - https://www.youtube.com/channel/UCo0lCg24j-H4f0S9kMjp-_w/videos
Функционал тут очень богатый:
◽ Автоматически ставится связка из HAProxy, Nginx и Keepalived.
◽ Тут же идет связка для мониторинга из Grafana и Prometheus вместе с оповещениями.
◽ Простой и user-friendly веб интерфейс.
◽ Просмотр и анализ логов через веб интерфейс.
◽ HA конфигурация по схеме master - slave.
◽ Куча настроек по безопасности, в том числе есть Web application firewall.
◽ Бесплатные сертификаты от let's Encrypt и многое другое.
Посмотреть на все это дело можно на демо стенде - https://demo.haproxy-wi.org/ Учетка admin / admin Ставится на rpm дистрибутивы из репозитория разработчиков. Для deb дистров такой возможности нет. Их поддержка в статусе бета. Можно установить все вручную по инструкции.
Выглядит все очень круто, как по функционалу, возможностям, так и по управлению. Надо присмотреться к этой штуке и где-то попробовать. Если у кого-то есть опыт работы с этой панелью, дайте обратную связь.
#webserver
Сам я haproxy не использую, так как мои потребности закрывает nginx, но знаю, что функционал haproxy богаче в сравнении с бесплатной версией nginx. Часть плюшек, которые есть в хапрокси, продаются в nginx plus за деньги.
А вот и сама веб панель для управления
haproxy-wi - https://github.com/Aidaho12/haproxy-wi На ютубе куча видео, где можно наглядно посмотреть, как все работает - https://www.youtube.com/channel/UCo0lCg24j-H4f0S9kMjp-_w/videos
Функционал тут очень богатый:
◽ Автоматически ставится связка из HAProxy, Nginx и Keepalived.
◽ Тут же идет связка для мониторинга из Grafana и Prometheus вместе с оповещениями.
◽ Простой и user-friendly веб интерфейс.
◽ Просмотр и анализ логов через веб интерфейс.
◽ HA конфигурация по схеме master - slave.
◽ Куча настроек по безопасности, в том числе есть Web application firewall.
◽ Бесплатные сертификаты от let's Encrypt и многое другое.
Посмотреть на все это дело можно на демо стенде - https://demo.haproxy-wi.org/ Учетка admin / admin Ставится на rpm дистрибутивы из репозитория разработчиков. Для deb дистров такой возможности нет. Их поддержка в статусе бета. Можно установить все вручную по инструкции.
Выглядит все очень круто, как по функционалу, возможностям, так и по управлению. Надо присмотреться к этой штуке и где-то попробовать. Если у кого-то есть опыт работы с этой панелью, дайте обратную связь.
#webserver
Товарищи админы! У меня тут невероятная находка. Один из читателей поделился ссылкой на сайт https://www.katacoda.com/ Я пошел посмотреть, что там есть интересного и залип.
Там огромное количество бесплатных курсов на самые актуальные devops темы. Я тут же заказал крафтовый кофе у своего баристы (жена), причесал бороду и стал смотреть.
Все структурировано по урокам. Есть подробная теоретическая часть и тут же практическая лаборатория для самостоятельного выполнения заданий. Сделано все очень удобно и наглядно. И качественно. Даже регистрация не нужна, чтобы учиться. За чей счет банкет? А как же лиды с актуальным номером телефона? Алло, где нас тут обманывают?
Как с такими шикарными бесплатными уроками не стать devops и не зарабатывать удаленно хотя бы 150 - 200 т.р. я не знаю. Дерзайте.
#бесплатно #курсы
Там огромное количество бесплатных курсов на самые актуальные devops темы. Я тут же заказал крафтовый кофе у своего баристы (жена), причесал бороду и стал смотреть.
Все структурировано по урокам. Есть подробная теоретическая часть и тут же практическая лаборатория для самостоятельного выполнения заданий. Сделано все очень удобно и наглядно. И качественно. Даже регистрация не нужна, чтобы учиться. За чей счет банкет? А как же лиды с актуальным номером телефона? Алло, где нас тут обманывают?
Как с такими шикарными бесплатными уроками не стать devops и не зарабатывать удаленно хотя бы 150 - 200 т.р. я не знаю. Дерзайте.
#бесплатно #курсы
У меня заказали платный обзор новой системы видеоконференций VideoUnion от российских разработчиков. Я все собственноручно протестировал и описал в статье. В целом, мне понравился продукт. Из особенностей:
◽ Нативное приложение на C++. Работает быстро, весит 10 мб (шок 😱).
◽ Очень скромное в потреблении ресурсов компьютера во время видеоконференции.
◽ Есть клиент под linux, он работает, проверил с товарищем.
◽ Распространяется по подписке (saas) или как коробочное решение (self hosted).
◽ Бесплатная версия позволяет одновременное общение не более 5-ти человек, дальше стоимость 50 р. в месяц за каждого онлайн пользователя.
◽ Личный кабинет для управления пользователями.
◽ Минималистичный и интуитивно понятный интерфейс, где нет ничего лишнего.
Если вам актуальна тема видеоконфренций, а тем более, если у вас стоит задача подобрать какое-то бюджетное корпоративное решение, то обратите внимание. И тем более обратите внимание, если вам нужно именно отечественное решение (бюджетникам привет). Цены очень демократичны.
Можно и между собой попробовать, если часто с кем-то общаетесь. Не придется для этих целей запускать таких монстров по потреблению ресурсов, как skype и zoom. И тем более регистрироваться там, если нет учетки. Можно кому-то отправить ссылку на дистр с привязкой к своей учетке в сервисе и быстро связаться друг с другом. Например, с родителями.
https://serveradmin.ru/obzor-sistemy-videorazgovorov-i-konferenczij-video-soyuz-videounion/
◽ Нативное приложение на C++. Работает быстро, весит 10 мб (шок 😱).
◽ Очень скромное в потреблении ресурсов компьютера во время видеоконференции.
◽ Есть клиент под linux, он работает, проверил с товарищем.
◽ Распространяется по подписке (saas) или как коробочное решение (self hosted).
◽ Бесплатная версия позволяет одновременное общение не более 5-ти человек, дальше стоимость 50 р. в месяц за каждого онлайн пользователя.
◽ Личный кабинет для управления пользователями.
◽ Минималистичный и интуитивно понятный интерфейс, где нет ничего лишнего.
Если вам актуальна тема видеоконфренций, а тем более, если у вас стоит задача подобрать какое-то бюджетное корпоративное решение, то обратите внимание. И тем более обратите внимание, если вам нужно именно отечественное решение (бюджетникам привет). Цены очень демократичны.
Можно и между собой попробовать, если часто с кем-то общаетесь. Не придется для этих целей запускать таких монстров по потреблению ресурсов, как skype и zoom. И тем более регистрироваться там, если нет учетки. Можно кому-то отправить ссылку на дистр с привязкой к своей учетке в сервисе и быстро связаться друг с другом. Например, с родителями.
https://serveradmin.ru/obzor-sistemy-videorazgovorov-i-konferenczij-video-soyuz-videounion/
Server Admin
Обзор системы видеоразговоров и конференций "Видео Союз"...
Я хочу вам рассказать про новую систему для видеозвонков и конференций от российских разработчиков, с которой мне довелось познакомиться. Отличительной особенностью этой системы будет то, что она...
Мне регулярно пишут и спрашивают на тему того, каким дистрибутивом linux для серверов лучше пользоваться и что ставлю я сам. В свете истории с Centos, такие вопросы стали появляться почти каждый день. Отвечаю разом всем, кто ко мне с таким вопросом обращался. Многих я проигнорировал, потому что нет возможности отвечать всем, кто мне пишет.
Сам я в настоящее время везде устанавливаю Centos 8. К концу 2021 года, я думаю, станет более ли менее ясно, на какой форк RHEL имеет смысл переключиться. Процесс этот простой и быстрый. Все текущие форки предоставляют такую возможность. Надо будет просто подключить их репу и поставить какой-нибудь пакет, либо запустить bash скрипт. И все, вы превратите свой Centos 8 в Oracle Linix 8 или что-то другое. Я не вижу в этом проблемы, поэтому не суечусь.
Мне видится неплохим вариантом использовать 16 бесплатных лицензий, которые предоставляет RedHat по Developer подписке. Если бы я был админом в небольшой компании, я бы наверное поставил RHEL и вообще не заморачивался. Но так как у меня много всевозможных проектов и не везде получится использовать RHEL или 16-ти лицензий будет недостаточно, я его скорее всего не буду ставить, чтобы сохранить единообразие дистрибутивов во всех проектах, что я администрирую. Так что я буду ждать и выбирать какой-то форк.
Много вопросов, почему не Ubuntu / Debian. Убунта мне не нравится, потому что там постоянно идут изменения. То одно поменяют, то другое, то третье. Сейчас опять выкатывают новый установщик. Мне не нравится эта вечная суета с обновлениями и переучиванием, когда я не получаю практической пользы от предложенных изменений. Мне, к примеру, нравится, что в Centos с 5-й версии плюс, минус один и тот же установщик. Зачем его менять?
В Debian изменений меньше, но мне не нравится жизненный цикл релиза в 5 лет. 5 лет вроде бы много, но это если ты ставишь систему сразу после ее релиза. А если прошло почти 2 года, нового релиза еще нет. Ты ставишь существующий и получаешь время поддержки чуть более трех лет. Это мало. Да, можно обновлять релизы, но лично я в проде этого никогда не делаю. Я считаю, что обновление релиза потенциально небезопасная процедура, так что подходить к ней надо со всевозможными подстраховками, тестированием и т.д. То есть тратить на это время.
Таким образом, лично мне оптимальна система типа Centos с жизненным циклом релиза в 10 лет. У меня так получается, что я всегда работаю в долгую. Есть сервера, которыми я управляю уже более 5-ти лет. Занимался обновлением Centos 5, 6. Сейчас еще есть сервера на 6-й версии, которые я ставил. Им предстоит обновление. Мне чем дольше актуален релиз, тем лучше.
А вы как на все это смотрите? На чем остановили свой выбор в качестве linux сервера для прода?
#centos #debian #ubuntu
Сам я в настоящее время везде устанавливаю Centos 8. К концу 2021 года, я думаю, станет более ли менее ясно, на какой форк RHEL имеет смысл переключиться. Процесс этот простой и быстрый. Все текущие форки предоставляют такую возможность. Надо будет просто подключить их репу и поставить какой-нибудь пакет, либо запустить bash скрипт. И все, вы превратите свой Centos 8 в Oracle Linix 8 или что-то другое. Я не вижу в этом проблемы, поэтому не суечусь.
Мне видится неплохим вариантом использовать 16 бесплатных лицензий, которые предоставляет RedHat по Developer подписке. Если бы я был админом в небольшой компании, я бы наверное поставил RHEL и вообще не заморачивался. Но так как у меня много всевозможных проектов и не везде получится использовать RHEL или 16-ти лицензий будет недостаточно, я его скорее всего не буду ставить, чтобы сохранить единообразие дистрибутивов во всех проектах, что я администрирую. Так что я буду ждать и выбирать какой-то форк.
Много вопросов, почему не Ubuntu / Debian. Убунта мне не нравится, потому что там постоянно идут изменения. То одно поменяют, то другое, то третье. Сейчас опять выкатывают новый установщик. Мне не нравится эта вечная суета с обновлениями и переучиванием, когда я не получаю практической пользы от предложенных изменений. Мне, к примеру, нравится, что в Centos с 5-й версии плюс, минус один и тот же установщик. Зачем его менять?
В Debian изменений меньше, но мне не нравится жизненный цикл релиза в 5 лет. 5 лет вроде бы много, но это если ты ставишь систему сразу после ее релиза. А если прошло почти 2 года, нового релиза еще нет. Ты ставишь существующий и получаешь время поддержки чуть более трех лет. Это мало. Да, можно обновлять релизы, но лично я в проде этого никогда не делаю. Я считаю, что обновление релиза потенциально небезопасная процедура, так что подходить к ней надо со всевозможными подстраховками, тестированием и т.д. То есть тратить на это время.
Таким образом, лично мне оптимальна система типа Centos с жизненным циклом релиза в 10 лет. У меня так получается, что я всегда работаю в долгую. Есть сервера, которыми я управляю уже более 5-ти лет. Занимался обновлением Centos 5, 6. Сейчас еще есть сервера на 6-й версии, которые я ставил. Им предстоит обновление. Мне чем дольше актуален релиз, тем лучше.
А вы как на все это смотрите? На чем остановили свой выбор в качестве linux сервера для прода?
#centos #debian #ubuntu
Недавно изучал решения по мониторингу, которые предлагает один из интеграторов. Сразу скажу, что это не реклама, просто делюсь полезной информацией. Мне понравилось то, что они описываю и делают. Отправной точкой можно взять вот эту ссылку - https://gals.software/solutions/free
Там основные идеи по мониторингу и внизу ссылки на некоторые статьи по данной теме. Они ведут свой блог на хабре. Мне понравилась связка в виде Zabbix + Grafana + iTop. Посмотрел на некоторые визуализации и дашборды, понравилось и решил, что имеет смысл повторить то же самое при случае. В Zabbix 5.4 появилась интеграция с iTop через вебхуки.
Статьи у интегратора скорее обзорные, так что просто взять и повторить без глубокого понимания работы предлагаемых инструментов вряд ли получится. Наиболее простое, что повторить не очень сложно - мониторинг принтеров. Возможно, если у меня будет в ближайшее время проект по мониторингу, я попробую что-то из увиденного реализовать и написать более развернутую статью.
Хочу подробнее посмотреть на iTop. Я сам его не использовал, только слышал о нем. У кого-то есть опыт интеграции с Zabbix? Это вообще удобно и имеет смысл?
#zabbix #мониторинг
Там основные идеи по мониторингу и внизу ссылки на некоторые статьи по данной теме. Они ведут свой блог на хабре. Мне понравилась связка в виде Zabbix + Grafana + iTop. Посмотрел на некоторые визуализации и дашборды, понравилось и решил, что имеет смысл повторить то же самое при случае. В Zabbix 5.4 появилась интеграция с iTop через вебхуки.
Статьи у интегратора скорее обзорные, так что просто взять и повторить без глубокого понимания работы предлагаемых инструментов вряд ли получится. Наиболее простое, что повторить не очень сложно - мониторинг принтеров. Возможно, если у меня будет в ближайшее время проект по мониторингу, я попробую что-то из увиденного реализовать и написать более развернутую статью.
Хочу подробнее посмотреть на iTop. Я сам его не использовал, только слышал о нем. У кого-то есть опыт интеграции с Zabbix? Это вообще удобно и имеет смысл?
#zabbix #мониторинг
Очередной бесплатный хостинг с неплохими лимитами - awardspace.com Я его потестил, вроде работает все. IP адрес сервера хостится в Болгарии. Полностью бесплатный тариф включает в себя следующие возможности:
◽ 1 GiB дискового пространства
◽ 5 GiB месячного трафика
◽ Бесплатный субдомен или свой домен
◽ 1 База данных Mysql и 1 база PostgreSQL
◽ Ftp доступ, задания crontab
◽ Php разных версий или Perl
◽ Панель управления на русском языке
◽ Конструктор сайтов с возможностью быстро накатить Wordpress
Как и зачем все это использовать - думайте сами. Очевидно, что для реальной эксплуатации подобные хостинги непригодны, так как лимиты мешают, плюс они чаще всего тормозные. Понятно, что это замануха для перехода на платные тарифы.
Но, к примеру, если вам нужно разместить какую-то заглушку для Европы или простой лендинг, можно поставить ее на бесплатный хостинг. Либо для теста каких-то скриптов. Может пригодится в мониторинге своем для увеличения точек присутствия. Можно простой скрипт залить и запускать по крону.
#бесплатно #хостинг
◽ 1 GiB дискового пространства
◽ 5 GiB месячного трафика
◽ Бесплатный субдомен или свой домен
◽ 1 База данных Mysql и 1 база PostgreSQL
◽ Ftp доступ, задания crontab
◽ Php разных версий или Perl
◽ Панель управления на русском языке
◽ Конструктор сайтов с возможностью быстро накатить Wordpress
Как и зачем все это использовать - думайте сами. Очевидно, что для реальной эксплуатации подобные хостинги непригодны, так как лимиты мешают, плюс они чаще всего тормозные. Понятно, что это замануха для перехода на платные тарифы.
Но, к примеру, если вам нужно разместить какую-то заглушку для Европы или простой лендинг, можно поставить ее на бесплатный хостинг. Либо для теста каких-то скриптов. Может пригодится в мониторинге своем для увеличения точек присутствия. Можно простой скрипт залить и запускать по крону.
#бесплатно #хостинг
Вчера одного из заказчиков сильно ддосили. Решил поделиться опытом и написать заметку на этот счет. А опыт тут очень простой. Сами вы ничего не сделаете, поэтому лучше не терять время, а сразу заказывать услугу по защите.
Атака развивалась стандартно. Нашли тяжелые урлы на сайте и начали туда лить трафик. Сначала немного, так что сайт начал тормозить и иногда пятисотые ошибки выдавать. Потом усилили так, что он прилег. Сайт за reverse proxy был, так что пошел на него и попытался что-то сделать.
Как только я каким-то образом автоматизировал бан ip и сайт оживал, атака менялась, запросы добавлялись, ip адресов было все больше и больше. В какой-то момент все легко. Провайдер просто отправил наш ip в blackhole. Написал об этом сообщение. Прислал подробности атаки, количество и тип запросов и т.д. И сказал, что атака влияет на его инфраструктуру, так что он вынужден нас отключить.
Предложил подключить ddos защиту, что и было сделано. Пока не понятно, насколько это будет эффективно. Защит существует огромное количество на любой бюджет. От слабых атак иногда помогает бесплатный тариф cloudflare, был такой опыт. Но если атака серьезная, то что-то дешевое за 3-5 т.р. в месяц вас вряд ли спасет.
Если вам важен и дорог аптайм, планируйте защиту от ddos заранее и не своими силами. Вас практически любой провайдер быстро отключит, как только на его ip адреса пойдет атака. Потом включит через несколько часов. Если атака не прекратится, быстро отключит снова.
Если все плохо и атаки будут продолжаться, то готовьтесь серьезно к настройке сервера, сайта, почты и т.д. Вам нужно будет прятать свои реальные ip и закрываться защищенными, которые предоставит сервис защиты от ddos.
Кстати, сервер был на тех. поддержке у одного аутсорсера, который обещал реакцию в течении 15 минут круглые сутки в случае проблем с сайтом. У него был свой мониторинг, бэкапы и т.д. Как вы понимаете, они ничего не сделали и не предложили, так что пришлось подключить меня.
#ddos
Атака развивалась стандартно. Нашли тяжелые урлы на сайте и начали туда лить трафик. Сначала немного, так что сайт начал тормозить и иногда пятисотые ошибки выдавать. Потом усилили так, что он прилег. Сайт за reverse proxy был, так что пошел на него и попытался что-то сделать.
Как только я каким-то образом автоматизировал бан ip и сайт оживал, атака менялась, запросы добавлялись, ip адресов было все больше и больше. В какой-то момент все легко. Провайдер просто отправил наш ip в blackhole. Написал об этом сообщение. Прислал подробности атаки, количество и тип запросов и т.д. И сказал, что атака влияет на его инфраструктуру, так что он вынужден нас отключить.
Предложил подключить ddos защиту, что и было сделано. Пока не понятно, насколько это будет эффективно. Защит существует огромное количество на любой бюджет. От слабых атак иногда помогает бесплатный тариф cloudflare, был такой опыт. Но если атака серьезная, то что-то дешевое за 3-5 т.р. в месяц вас вряд ли спасет.
Если вам важен и дорог аптайм, планируйте защиту от ddos заранее и не своими силами. Вас практически любой провайдер быстро отключит, как только на его ip адреса пойдет атака. Потом включит через несколько часов. Если атака не прекратится, быстро отключит снова.
Если все плохо и атаки будут продолжаться, то готовьтесь серьезно к настройке сервера, сайта, почты и т.д. Вам нужно будет прятать свои реальные ip и закрываться защищенными, которые предоставит сервис защиты от ddos.
Кстати, сервер был на тех. поддержке у одного аутсорсера, который обещал реакцию в течении 15 минут круглые сутки в случае проблем с сайтом. У него был свой мониторинг, бэкапы и т.д. Как вы понимаете, они ничего не сделали и не предложили, так что пришлось подключить меня.
#ddos
Продолжая тему ddos, расскажу, что делал я на самом сервере для защиты. Напомню, что это не сам web сервер, а reverse proxy с iptables. Первым делом сразу же настроил с помощью netstat вывод всех ip адресов, у которых больше 10-ти подключений к серверу. Обработал этот вывод, получив чистый список ip.
netstat -ntu | awk '{print $5}' | grep -vE "(Address|servers|127.0.0.1)" | cut -d: -f1 | sort | uniq -c | sort -n| sed 's/^[ \t]*//' | awk '{if ($1 > 10 ) print$2}';
Дальше не стал его отправлять в iptables, так как фаервол начнет тормозить, когда список будет из десятков тысяч адресов и более. Уже проходил это. Так что сразу настроил ipset и поставил правило с блокировкой адресов из этого списка в самый верх:
iptables -A INPUT -m set --match-set blacklist src -j DROP
Важно сделать список ipset не с дефолтными параметрами, а поставить побольше hashsize и maxelem, на случай, если списки будут очень большими. Потом начал его заполнять простым bash скриптом, в цикле перебирая все адреса, полученные из команды выше.
Далее пошел в nginx и настроил там лимит подключений для одного ip. Все, кто его превышают, отмечаются в error логе. Настроил его парсинг и добавление адресов в ipset.
Потом стал смотреть, по каким урлам идут запросы. Это были запросы к поиску и сортировке каталога. Добавил отдельные location и deny правила для этих урлов и так же начал банить ip адреса, которые обращаются к этим урлам, забирая их из error лога nginx.
Скрипты по парсингу и бану запускал каждые 5 секунд. Важно парсить не весь error.log, а только его хвост из нескольких сот строк. Иначе можно повесить сервер, так как лог быстро разрастается до гигабайтов и просто так грепнуть его не получится. Поэтому в таких случаях не поможет fail2ban. Он очень тормозной, начнет вешать сервер своим анализом логов.
В целом, этого хватало, чтобы оперативно банить все фейковые запросы от ботов. На сайт и сервера можно было нормально заходить и настраивать что-то. Но когда все это заработало эффективно, атакующие просто увеличили масштаб атаки и нас заблокировал хостер за превышение какого-то его внутреннего лимита по запросам на ip адрес.
С теми, у кого нет масштабного ботнета, так вполне успешно можно справляться. Так же можно легко закрыться, если весь трафик ботов идет не из вашего региона и вы его можете забанить по спискам стран. Например, отсечь все, что не из РФ. Я так делал и это нормально работает. Но тут ботнет из России был.
А у вас какой опыт отражения ddos атак? Пытались что-то своими силами делать или сразу подключали услугу?
#ddos
netstat -ntu | awk '{print $5}' | grep -vE "(Address|servers|127.0.0.1)" | cut -d: -f1 | sort | uniq -c | sort -n| sed 's/^[ \t]*//' | awk '{if ($1 > 10 ) print$2}';
Дальше не стал его отправлять в iptables, так как фаервол начнет тормозить, когда список будет из десятков тысяч адресов и более. Уже проходил это. Так что сразу настроил ipset и поставил правило с блокировкой адресов из этого списка в самый верх:
iptables -A INPUT -m set --match-set blacklist src -j DROP
Важно сделать список ipset не с дефолтными параметрами, а поставить побольше hashsize и maxelem, на случай, если списки будут очень большими. Потом начал его заполнять простым bash скриптом, в цикле перебирая все адреса, полученные из команды выше.
Далее пошел в nginx и настроил там лимит подключений для одного ip. Все, кто его превышают, отмечаются в error логе. Настроил его парсинг и добавление адресов в ipset.
Потом стал смотреть, по каким урлам идут запросы. Это были запросы к поиску и сортировке каталога. Добавил отдельные location и deny правила для этих урлов и так же начал банить ip адреса, которые обращаются к этим урлам, забирая их из error лога nginx.
Скрипты по парсингу и бану запускал каждые 5 секунд. Важно парсить не весь error.log, а только его хвост из нескольких сот строк. Иначе можно повесить сервер, так как лог быстро разрастается до гигабайтов и просто так грепнуть его не получится. Поэтому в таких случаях не поможет fail2ban. Он очень тормозной, начнет вешать сервер своим анализом логов.
В целом, этого хватало, чтобы оперативно банить все фейковые запросы от ботов. На сайт и сервера можно было нормально заходить и настраивать что-то. Но когда все это заработало эффективно, атакующие просто увеличили масштаб атаки и нас заблокировал хостер за превышение какого-то его внутреннего лимита по запросам на ip адрес.
С теми, у кого нет масштабного ботнета, так вполне успешно можно справляться. Так же можно легко закрыться, если весь трафик ботов идет не из вашего региона и вы его можете забанить по спискам стран. Например, отсечь все, что не из РФ. Я так делал и это нормально работает. Но тут ботнет из России был.
А у вас какой опыт отражения ddos атак? Пытались что-то своими силами делать или сразу подключали услугу?
#ddos
Все уже слышали, что у OVH сгорел весь датацентр и пострадали несколько соседних?
https://www.opennet.ru/opennews/art.shtml?num=54736
Ситуация кошмарная для тех, у кого там прод был, а бэкапы в соседнем датацентре. Кто ж знал, что они так близко стоят. Сам я тоже неоднократно использовал OVH. Это крупнейший лоукостер и в целом хостер в мире. Если не ошибаюсь, четвертый, после Amazon, Azure и Google Cloud.
Вообще, странная ситуация. Европа, цивилизация, современный датацентр, в котором все многократно резервируется, даже резервное оборудование. Обязательно должны быть автоматические системы пожаротушения. Сгорает полностью датацентр и частично поджигает соседние. Представляю, что бы начали злые языки судачить, если бы подобное в России произошло.
Сам я лично один раз столкнулся с пожаром в организации, когда сгорело оборудование. Так что обязательно нужно иметь резервные копии в разных, географически распределенных местах. Также мне приходилось сталкиваться с падениями хостеров на несколько дней и срочно переезжать всей инфраструктурой в другое место.
На этот счет у меня есть статья с теоретическими выкладками на тему бэкапов. Сейчас самое время о ней напомнить и почитать самому, чтобы не терять тонус в этом деле - https://serveradmin.ru/kak-pravilno-delat-bekapy-i-sledit-za-nimi/
Есть кто пострадал в ovh? Бэкапы не там же лежали?
https://www.opennet.ru/opennews/art.shtml?num=54736
Ситуация кошмарная для тех, у кого там прод был, а бэкапы в соседнем датацентре. Кто ж знал, что они так близко стоят. Сам я тоже неоднократно использовал OVH. Это крупнейший лоукостер и в целом хостер в мире. Если не ошибаюсь, четвертый, после Amazon, Azure и Google Cloud.
Вообще, странная ситуация. Европа, цивилизация, современный датацентр, в котором все многократно резервируется, даже резервное оборудование. Обязательно должны быть автоматические системы пожаротушения. Сгорает полностью датацентр и частично поджигает соседние. Представляю, что бы начали злые языки судачить, если бы подобное в России произошло.
Сам я лично один раз столкнулся с пожаром в организации, когда сгорело оборудование. Так что обязательно нужно иметь резервные копии в разных, географически распределенных местах. Также мне приходилось сталкиваться с падениями хостеров на несколько дней и срочно переезжать всей инфраструктурой в другое место.
На этот счет у меня есть статья с теоретическими выкладками на тему бэкапов. Сейчас самое время о ней напомнить и почитать самому, чтобы не терять тонус в этом деле - https://serveradmin.ru/kak-pravilno-delat-bekapy-i-sledit-za-nimi/
Есть кто пострадал в ovh? Бэкапы не там же лежали?
www.opennet.ru
Сгорел датацентр европейского хостера OVHCloud в Страсбурге
Сегодня ночью (около часа ночи по европейскому времени) в страсбургском датацентре компании OVH возник пожар, который уничтожил бо́льшую часть оборудования (из четырёх датацентров OVH в Страсбурге полностью сгорел ДЦ SBG2, сгорело 4 из 12 помещений в ДЦ SBG1…
Я только вчера узнал, что существует сериал про техподдержку. Сижу вчера вечером в наушниках, смотрю фрагмент из этого сериала, где сотрудник техподдержки долго не берет трубку, а потом отвечает.
Мне жена говорит "Он сейчас скажет, выключить и включить пробовали?" Удивленно спрашиваю, откуда она это знает. Говорит, что этот сериал на русском языке смотрела. И находит мне этот же фрагмент в переводе.
Удивительно, но я про этот сериал не слышал ничего и тем более не смотрел. Нашел случайно ролик, когда искал что-то из айтишного юмора. Сам ролик очень крутой по качеству юмора. Кто понимает инглиш, рекомендую посмотреть в оригинале - https://www.youtube.com/watch?v=rksCTVFtjM4 А для тех, кто не понимает, русская озвучка - https://www.youtube.com/watch?v=8tUhvt3opLE
Скажите, кто смотрел, сам сериал в целом интересный? Есть смысл смотреть сисадмину?
#юмор
Мне жена говорит "Он сейчас скажет, выключить и включить пробовали?" Удивленно спрашиваю, откуда она это знает. Говорит, что этот сериал на русском языке смотрела. И находит мне этот же фрагмент в переводе.
Удивительно, но я про этот сериал не слышал ничего и тем более не смотрел. Нашел случайно ролик, когда искал что-то из айтишного юмора. Сам ролик очень крутой по качеству юмора. Кто понимает инглиш, рекомендую посмотреть в оригинале - https://www.youtube.com/watch?v=rksCTVFtjM4 А для тех, кто не понимает, русская озвучка - https://www.youtube.com/watch?v=8tUhvt3opLE
Скажите, кто смотрел, сам сериал в целом интересный? Есть смысл смотреть сисадмину?
#юмор
YouTube
The IT crowd - Truest moment about tech support
Moss and Roy show what Tech support sometimes acts like. Or more precisely: what end-users seem like to qualified personnel.
Я давно уже познакомился с любопытной программой CrowdSec, аналогом Fail2Ban. Сейчас дошли руки подробно все исследовать, опробовать и написать статью. Предлагаю вам с ней ознакомиться. Мне лично очень понравился этот продукт и я 100% буду им пользоваться вместо Fail2Ban.
Вот список основных отличий:
◽ Crowdsec более производительный, так как написан на Go, в отличие от Fail2ban, который на Python.
◽ У crowdsec современный yaml формат конфигов.
◽ В качестве парсера лог файлов crowdsec использует фильтры grok, хорошо известные тем, кто активно использует elk stack. Мне лично этот фильтр нравится. Я научился на нем писать правила парсинга.
◽ У crowdsec есть готовая web панель, с помощью которой можно управлять защитой и просматривать статистику.
◽ Есть готовые контейнеры docker, которые призваны упростить установку и запуск. На практике особого упрощения нет, так как надо прокидывать в контейнеры все лог файлы для анализа. Тем не менее, кому актуален докер, не надо будет самому делать контейнеры.
◽ CrowdSec собирает глобальную статистику по заблокированным ip адресам и предоставляет возможность настроить у себя списки блокировки на основе этой статистики. Как по мне, инициатива сомнительная, так как получится то же самое, что и с подобными списками в почте. Потом употеешь себя из этих списков убирать или разбираться, почему кто-то из клиентов не может получить доступ к твоему сервису. Более того, через ботнет доверенных хостов crowdsec можно умышленно банить какие-то ip адреса.
◽ С локальной службой защиты можно взаимодействовать через встроенное API, что открывает безграничные возможности для интеграции.
◽ Из коробки работает экспорт всех основных метрик в формате Prometheus. То есть мониторинг вообще настраивать не надо, он сразу готов.
По сравнению видно, что авторы CrowdSec взяли тот же принцип анализа лог файлов, что и Fail2ban, но развили его и адаптировали под современные реалии. Я читал, что они работают над интеграцией своего продукта с Kubernetes и его Ingress Controller.
Так что рекомендую вам тоже к нему присмотреться, если для вас актуален подобный функционал. Подробное описание работы программы и мои тесты в статье.
https://serveradmin.ru/ustanovka-i-nastrojka-crowdsec/
Вот список основных отличий:
◽ Crowdsec более производительный, так как написан на Go, в отличие от Fail2ban, который на Python.
◽ У crowdsec современный yaml формат конфигов.
◽ В качестве парсера лог файлов crowdsec использует фильтры grok, хорошо известные тем, кто активно использует elk stack. Мне лично этот фильтр нравится. Я научился на нем писать правила парсинга.
◽ У crowdsec есть готовая web панель, с помощью которой можно управлять защитой и просматривать статистику.
◽ Есть готовые контейнеры docker, которые призваны упростить установку и запуск. На практике особого упрощения нет, так как надо прокидывать в контейнеры все лог файлы для анализа. Тем не менее, кому актуален докер, не надо будет самому делать контейнеры.
◽ CrowdSec собирает глобальную статистику по заблокированным ip адресам и предоставляет возможность настроить у себя списки блокировки на основе этой статистики. Как по мне, инициатива сомнительная, так как получится то же самое, что и с подобными списками в почте. Потом употеешь себя из этих списков убирать или разбираться, почему кто-то из клиентов не может получить доступ к твоему сервису. Более того, через ботнет доверенных хостов crowdsec можно умышленно банить какие-то ip адреса.
◽ С локальной службой защиты можно взаимодействовать через встроенное API, что открывает безграничные возможности для интеграции.
◽ Из коробки работает экспорт всех основных метрик в формате Prometheus. То есть мониторинг вообще настраивать не надо, он сразу готов.
По сравнению видно, что авторы CrowdSec взяли тот же принцип анализа лог файлов, что и Fail2ban, но развили его и адаптировали под современные реалии. Я читал, что они работают над интеграцией своего продукта с Kubernetes и его Ingress Controller.
Так что рекомендую вам тоже к нему присмотреться, если для вас актуален подобный функционал. Подробное описание работы программы и мои тесты в статье.
https://serveradmin.ru/ustanovka-i-nastrojka-crowdsec/
Server Admin
Установка и настройка CrowdSec | serveradmin.ru
Подробная установка и настройка CrowdSec с примерами. Используется для защиты сервера, современный аналог Fail2Ban.
Неоднократно в комментариях к Zabbix видел вопросы на тему более простого мониторинга для одного или нескольких серверов. Когда надо быстро и без лишних заморочек поднять локальный мониторинг. Для этого отлично подходит Munin - http://munin-monitoring.org Он, кстати, идет в комплекте в BitrixEnv и разворачивается автоматически, при желании.
Munin как раз отличает простота установки и настройки. Не нужны будут никакие sql базы для хранения состояния и метрик. Все, что нужно, хранится в конфигах и rrdtool. Используя rrdtool, я очень давно, еще на freebsd, лет 15 назад настраивал свой собственный мониторинг. Скриптами парсил данные и складывал в rrdtool. Потом появился zabbix и я все стал мониторить в нем.
Для работы munin нужен perl. Собственно, он на нем и работает. Может мониторить как одиночный сервер, так и группу серверов. Один будет являться сервером, где будут храниться собранные данные, на остальные сервера нужно будет установить локальную службу, которая будет отправлять все метрики на сервер.
Ставится и настраивается он реально очень просто. Нужно установить сам munin и веб сервер, к примеру, apache. Мунин сам положит необходимые конфиги для работы с веб сервером. Запускаете обоих и настраиваете. В сети много инструкций по munin, так что разобраться будет не сложно.
При всей простоте, munin неплохо кастомизируется. То есть это не только мониторинг cpu / ram / hdd и прочих базовых метрик. Туда без проблем можно добавить мониторинг nginx, mysql и других сервисов. Функционал расширяется за счет плагинов. Так как проект старый и достаточно известный, плагинов для него накопилось огромное количество - https://gallery.munin-monitoring.org/
#мониторинг
Munin как раз отличает простота установки и настройки. Не нужны будут никакие sql базы для хранения состояния и метрик. Все, что нужно, хранится в конфигах и rrdtool. Используя rrdtool, я очень давно, еще на freebsd, лет 15 назад настраивал свой собственный мониторинг. Скриптами парсил данные и складывал в rrdtool. Потом появился zabbix и я все стал мониторить в нем.
Для работы munin нужен perl. Собственно, он на нем и работает. Может мониторить как одиночный сервер, так и группу серверов. Один будет являться сервером, где будут храниться собранные данные, на остальные сервера нужно будет установить локальную службу, которая будет отправлять все метрики на сервер.
Ставится и настраивается он реально очень просто. Нужно установить сам munin и веб сервер, к примеру, apache. Мунин сам положит необходимые конфиги для работы с веб сервером. Запускаете обоих и настраиваете. В сети много инструкций по munin, так что разобраться будет не сложно.
При всей простоте, munin неплохо кастомизируется. То есть это не только мониторинг cpu / ram / hdd и прочих базовых метрик. Туда без проблем можно добавить мониторинг nginx, mysql и других сервисов. Функционал расширяется за счет плагинов. Так как проект старый и достаточно известный, плагинов для него накопилось огромное количество - https://gallery.munin-monitoring.org/
#мониторинг
⚡️ Хочу в очередной раз предостеречь всех администраторов почтовых серверов. Вчера утром мониторинг предупредил, что очень много писем в статусе deffered и очередь писем больше обычного. Сразу же пошел на почтовый сервер и по содержимому очереди понял, что кто-то рассылает спам.
Заглянул в лог и сразу понял, что утек пароль одного из ящиков. По логу увидел отправителя писем и сменил ему пароль. Спам стали рассылать аккуратно, а не так что сразу тысячами. Очередь была буквально в 20-30 писем. Если бы не мониторинг, можно было бы долго не замечать, что сервер используют посторонние люди не по назначению.
У меня мониторинг настроен очень старым способом. Я все время, что обслуживаю почтовые сервера, настраиваю его таким образом. Есть утилита для парсинга логов postfix - pflogsumm. С помощью скрипта и этой утилиты я регулярно обрабатываю почтовый лог и отправляю метрики в zabbix. Способ устарел, но все руки не доходят его переработать.
Я параллельно собираю логи в ELK, чтобы удобно смотреть и анализировать было. Можно обойтись без pflogsumm и делать аналитику в elk. Но все время откладываешь рассмотрение задачи, потому что старое и так нормально работает и решает поставленные задачи.
Сам мониторинг postfix с помощью zabbix описываю в статье - https://serveradmin.ru/monitoring-postfix-v-zabbix/
#mailserver #zabbix #мониторинг
Заглянул в лог и сразу понял, что утек пароль одного из ящиков. По логу увидел отправителя писем и сменил ему пароль. Спам стали рассылать аккуратно, а не так что сразу тысячами. Очередь была буквально в 20-30 писем. Если бы не мониторинг, можно было бы долго не замечать, что сервер используют посторонние люди не по назначению.
У меня мониторинг настроен очень старым способом. Я все время, что обслуживаю почтовые сервера, настраиваю его таким образом. Есть утилита для парсинга логов postfix - pflogsumm. С помощью скрипта и этой утилиты я регулярно обрабатываю почтовый лог и отправляю метрики в zabbix. Способ устарел, но все руки не доходят его переработать.
Я параллельно собираю логи в ELK, чтобы удобно смотреть и анализировать было. Можно обойтись без pflogsumm и делать аналитику в elk. Но все время откладываешь рассмотрение задачи, потому что старое и так нормально работает и решает поставленные задачи.
Сам мониторинг postfix с помощью zabbix описываю в статье - https://serveradmin.ru/monitoring-postfix-v-zabbix/
#mailserver #zabbix #мониторинг
Server Admin
Мониторинг postfix в zabbix
Подробное описание настройки мониторинга почтового сервера postfix с помощью системы мониторинга zabbix. Готовые скрипты и шаблон.
Попался на днях в руки интересный роутер Mikrotik. Как вы уже поняли, дальше будет тема для настоящих админов 😊 Надо было автопереключение на резервный канал настроить при отвале основного. Ну и по мелочи некоторые вещи, в том числе подключение к vpn.
Устройство было взломано. Я там все изучил. Перечисляю, что было настроено злоумышленниками на роутере.
▪ Добавлен новый пользователь с правами администратора.
▪ Настроен на выполнение скрипт каждые 3 минуты, который обращается в интернете к какому-то серверу, скачивает скрипт и запускает его.
▪ Отключен winbox, включен ssh на нестандартном порту.
▪ Настроено l2tp и pptp подключение к серверу в Германии.
▪ Настроен socks proxy с белым списком ip адресов, которым можно подключаться.
▪ Удалены все правила в firewall.
Взломано устройство, судя по всему, уже давно. Адрес для загрузки скрипта из интернета отдает 404, последний логин пользователя был осенью. Тогда же и обновление было поставлено. Судя по всему, после взлома, злоумышленник все настроил и обновил устройство, чтобы другие не закрепились в нем.
Сам микротик напрямую в интернет не смотрел. Были серые ip в разное время от мгтс и yota. Наверно через них в роутер и залезли. А может из локалки. Прошлое этого роутера мне не известно.
Подобные изменения удобно искать через export всех настроек микротика. Удобный функционал. Не надо лазить по настройками и смотреть, где что изменили. Достаточно выгрузить весь конфиг в текстовый файл и проанализировать.
Чтобы с вами такого не случилось, закрывайте доступ к mikrotik максимально строгими списками. Либо через vpn, либо по статическим ip. Микротики из-за их популярности постоянно на прицеле хакеров или тех, кто пользуется их плодами.
#mikrotik
Устройство было взломано. Я там все изучил. Перечисляю, что было настроено злоумышленниками на роутере.
▪ Добавлен новый пользователь с правами администратора.
▪ Настроен на выполнение скрипт каждые 3 минуты, который обращается в интернете к какому-то серверу, скачивает скрипт и запускает его.
▪ Отключен winbox, включен ssh на нестандартном порту.
▪ Настроено l2tp и pptp подключение к серверу в Германии.
▪ Настроен socks proxy с белым списком ip адресов, которым можно подключаться.
▪ Удалены все правила в firewall.
Взломано устройство, судя по всему, уже давно. Адрес для загрузки скрипта из интернета отдает 404, последний логин пользователя был осенью. Тогда же и обновление было поставлено. Судя по всему, после взлома, злоумышленник все настроил и обновил устройство, чтобы другие не закрепились в нем.
Сам микротик напрямую в интернет не смотрел. Были серые ip в разное время от мгтс и yota. Наверно через них в роутер и залезли. А может из локалки. Прошлое этого роутера мне не известно.
Подобные изменения удобно искать через export всех настроек микротика. Удобный функционал. Не надо лазить по настройками и смотреть, где что изменили. Достаточно выгрузить весь конфиг в текстовый файл и проанализировать.
Чтобы с вами такого не случилось, закрывайте доступ к mikrotik максимально строгими списками. Либо через vpn, либо по статическим ip. Микротики из-за их популярности постоянно на прицеле хакеров или тех, кто пользуется их плодами.
#mikrotik
На днях в ленте рекомендаций google (очень люблю эту ленту, работает качественно после обучения) увидел анонс любопытного проекта для организации vpn подключений - Amnezia - https://amnezia.org/
Суть его работы следующая:
1️⃣ Ставите себе на Windows или Mac приложение.
2️⃣ Запускаете его и указываете параметры доступа по ssh к любому VPS.
3️⃣ Приложение подключается, настраивает на VPS софт в Docker для запуска OpenVPN, а потом подключается к серверу.
4️⃣ Вы получаете доступ со своего компьютера в интернет через этот VPN.
5️⃣ У вас есть возможность выбрать в клиенте, заворачивать ли весь трафик в VPN или только выбранные сайты.
Тут сразу встают вопросы безопасности. Проект с открытым исходным кодом - https://github.com/amnezia-vpn/desktop-client Там же рядом репозиторий с openvpn сервером и всеми остальными компонентами. Можно посмотреть, как все это работает.
Я попробовал, завелось все с первого раза. Для корректной работы приложения необходимо открыть tcp порты 1194 и 6789 на внешнем фаерволе, если такой присутствует. На самом сервере приложение все сделает само. У меня отлично встало на бесплатную виртуалку в облаке oracle.
Amnezia все запускает в докере, к хосту ничего не монтирует, логи не пишет. При каждом подключении клиент сам генерирует новый ключ и сертификат для openvpn и с помощью них подключается. Если вы один раз настроили на сервере все необходимое, можете расшарить доступ к этому серверу другим клиентам Amnezia. Себе же или знакомым.
Проект интересный. Не видел и не слышал о подобных реализациях. Основная фишка, как я понял, в максимальной простоте. Но при этом вы имеет свой self-hosted vpn, а не чей-то сервис, который все ваши данные запишет, а потом сольет. Все что вам надо - арендовать vps и в личном кабинете посмотреть ip адрес сервера и root пароль. Больше вам ни с чем разбираться не придется. Приложение все делает само.
#vpn #openvpn
Суть его работы следующая:
1️⃣ Ставите себе на Windows или Mac приложение.
2️⃣ Запускаете его и указываете параметры доступа по ssh к любому VPS.
3️⃣ Приложение подключается, настраивает на VPS софт в Docker для запуска OpenVPN, а потом подключается к серверу.
4️⃣ Вы получаете доступ со своего компьютера в интернет через этот VPN.
5️⃣ У вас есть возможность выбрать в клиенте, заворачивать ли весь трафик в VPN или только выбранные сайты.
Тут сразу встают вопросы безопасности. Проект с открытым исходным кодом - https://github.com/amnezia-vpn/desktop-client Там же рядом репозиторий с openvpn сервером и всеми остальными компонентами. Можно посмотреть, как все это работает.
Я попробовал, завелось все с первого раза. Для корректной работы приложения необходимо открыть tcp порты 1194 и 6789 на внешнем фаерволе, если такой присутствует. На самом сервере приложение все сделает само. У меня отлично встало на бесплатную виртуалку в облаке oracle.
Amnezia все запускает в докере, к хосту ничего не монтирует, логи не пишет. При каждом подключении клиент сам генерирует новый ключ и сертификат для openvpn и с помощью них подключается. Если вы один раз настроили на сервере все необходимое, можете расшарить доступ к этому серверу другим клиентам Amnezia. Себе же или знакомым.
Проект интересный. Не видел и не слышал о подобных реализациях. Основная фишка, как я понял, в максимальной простоте. Но при этом вы имеет свой self-hosted vpn, а не чей-то сервис, который все ваши данные запишет, а потом сольет. Все что вам надо - арендовать vps и в личном кабинете посмотреть ip адрес сервера и root пароль. Больше вам ни с чем разбираться не придется. Приложение все делает само.
#vpn #openvpn
Меня товарищ попросил помочь посчитать, сколько будет стоить купить все необходимые лицензии для работы с файловыми базами 1С на терминальном Windows Server десяти пользователям. Речь идет про бухгалтерию и ЗУП. А потом, если производительности не хватит, сколько понадобится денег, чтобы перейти на вариант с MSSQL сервером. Я посчитал и немного ужаснулся от сумм. Напоминаю, что речь идет про 10 человек.
1-й вариант с файловыми базами:
◽ 1С:Предприятие 8. Клиентская лицензия на 10 рабочих мест - 41 400 р.
◽ Microsoft Windows Server Standart 2019 - 70 000 р.
◽ Microsoft Windows Remote Desktop Services CAL 2019 - 9500 * 10 = 95 000 р.
Посадить 10 человек на терминал с файловыми базами 1С по лицензиям стоит 206 400 р. Добавляем сюда минимум 100 000 р. на железо. Какой-нибудь десктоп с NVMe дисками и хорошим процом. Получается решение примерно на 300 000 р. Я все правильно посчитал?
Исходя из подобных расчетов, дешевле купить 1С где-то в облаке и пользоваться лет 5-7 за эти же деньги и вообще не заниматься администрированием. Но это не подходит тем, кто не хочет показывать кому-то свою бухгалтерию.
Теперь посмотрим, сколько надо добавить, чтобы переехать на клиент-серверную архитектуру 1С:
◽ 1С:Предприятие 8. Лицензия на сервер (x86-64) - 86 400 р.
◽ MS SQL Server Standard 2019 Runtime для пользователей 1С:Предприятие 8 - 22 392 р.
◽ Клиентский доступ на 10 р.м к MS SQL Server 2019 Runtime для 1С:Предприятие 8 - 113 400 р.
То есть к текущим 300 000 р. добавляем еще 222 000 р. и в сумме получаем 522 000 р.
Как-то перебор, если идти по самому простому пути. И это еще железо бюджетное покупаем. Если закладывать нормальный сервер, то еще + 200 000 р. сверху. Но конкретно с 1С это не обязательно имеет смысл. На современных десктопных процессорах 1С зачастую выдает лучшую производительность за счет высокой частоты отдельного ядра. А по этому параметру большинство серверных процессоров уступают топовым десктопным.
Как вам такие расчеты? На чем экономить предлагаете? Может ошибся где-то? Я сам на практике очень давно не покупал подобные лицензии. Просто прикинул, что нужно и посмотрел цены в интернет магазинах.
#1С
1-й вариант с файловыми базами:
◽ 1С:Предприятие 8. Клиентская лицензия на 10 рабочих мест - 41 400 р.
◽ Microsoft Windows Server Standart 2019 - 70 000 р.
◽ Microsoft Windows Remote Desktop Services CAL 2019 - 9500 * 10 = 95 000 р.
Посадить 10 человек на терминал с файловыми базами 1С по лицензиям стоит 206 400 р. Добавляем сюда минимум 100 000 р. на железо. Какой-нибудь десктоп с NVMe дисками и хорошим процом. Получается решение примерно на 300 000 р. Я все правильно посчитал?
Исходя из подобных расчетов, дешевле купить 1С где-то в облаке и пользоваться лет 5-7 за эти же деньги и вообще не заниматься администрированием. Но это не подходит тем, кто не хочет показывать кому-то свою бухгалтерию.
Теперь посмотрим, сколько надо добавить, чтобы переехать на клиент-серверную архитектуру 1С:
◽ 1С:Предприятие 8. Лицензия на сервер (x86-64) - 86 400 р.
◽ MS SQL Server Standard 2019 Runtime для пользователей 1С:Предприятие 8 - 22 392 р.
◽ Клиентский доступ на 10 р.м к MS SQL Server 2019 Runtime для 1С:Предприятие 8 - 113 400 р.
То есть к текущим 300 000 р. добавляем еще 222 000 р. и в сумме получаем 522 000 р.
Как-то перебор, если идти по самому простому пути. И это еще железо бюджетное покупаем. Если закладывать нормальный сервер, то еще + 200 000 р. сверху. Но конкретно с 1С это не обязательно имеет смысл. На современных десктопных процессорах 1С зачастую выдает лучшую производительность за счет высокой частоты отдельного ядра. А по этому параметру большинство серверных процессоров уступают топовым десктопным.
Как вам такие расчеты? На чем экономить предлагаете? Может ошибся где-то? Я сам на практике очень давно не покупал подобные лицензии. Просто прикинул, что нужно и посмотрел цены в интернет магазинах.
#1С
В комментариях к одной из записей подписчик поделился любопытной историей про вирус в Винде и то, как он его побеждал. Мне показалось это полезным, поэтому делюсь с вами. Пересказываю своими словами суть.
Windows заболел типичной проблемой - не запускаются .exe файлы. Браузер и сама система работают, а все остальные программы вместо запуска открывают окно "Открыть с помощью..." При этом тело самого вируса ранее было удалено. Но пакостить он не прекратил.
В реестре все ключи в CLASSES/exefile/AppPaths/FileExt/ImageFileExecution были в порядке. Так что не было понятно, как реализован перехват запуска .exe файлов. Оказалось, что вирус сидел в памяти. Отобразить реальный список процессов не получалось. Вирус искажал отображение. Не давал запускать ни regedit.exe, ни taskmgr.exe, ни cmd.exe и т.д.
Скачать и запустить антивирус тоже не получалось. Было опробовано следующее решение. Для того, чтобы запустить экзешник, его переименовывали в .exe.scr. Это расширение экранной заставки, которая является исполняемым файлом. Это позволяло запускать некоторые приложения, с помощью которых от вируса избавились.
Понятно, что решить эту проблему можно было разными способами - восстановиться из бэкапа, загрузиться с LiveCD и т.д. Мне сама идея со сменой расширения понравилась. До этого еще догадаться надо. Обычно вирусы мимикрируют, используя это расширение, а тут такой же хак был использован для борьбы с ними :)
🙏 Благодарен всем, кто делится полезной информацией в комментариях. Я читаю практически все и всегда записываю интересное, чтобы потом посмотреть и поделиться с остальными, если нахожу это полезным не только мне.
#virus
Windows заболел типичной проблемой - не запускаются .exe файлы. Браузер и сама система работают, а все остальные программы вместо запуска открывают окно "Открыть с помощью..." При этом тело самого вируса ранее было удалено. Но пакостить он не прекратил.
В реестре все ключи в CLASSES/exefile/AppPaths/FileExt/ImageFileExecution были в порядке. Так что не было понятно, как реализован перехват запуска .exe файлов. Оказалось, что вирус сидел в памяти. Отобразить реальный список процессов не получалось. Вирус искажал отображение. Не давал запускать ни regedit.exe, ни taskmgr.exe, ни cmd.exe и т.д.
Скачать и запустить антивирус тоже не получалось. Было опробовано следующее решение. Для того, чтобы запустить экзешник, его переименовывали в .exe.scr. Это расширение экранной заставки, которая является исполняемым файлом. Это позволяло запускать некоторые приложения, с помощью которых от вируса избавились.
Понятно, что решить эту проблему можно было разными способами - восстановиться из бэкапа, загрузиться с LiveCD и т.д. Мне сама идея со сменой расширения понравилась. До этого еще догадаться надо. Обычно вирусы мимикрируют, используя это расширение, а тут такой же хак был использован для борьбы с ними :)
🙏 Благодарен всем, кто делится полезной информацией в комментариях. Я читаю практически все и всегда записываю интересное, чтобы потом посмотреть и поделиться с остальными, если нахожу это полезным не только мне.
#virus
Недавно было несколько публикаций в канале на тему веб интерфейсов управления для reverse proxy. Рассказывал про nginx и haproxy. Из этой же серии есть готовое решение - Traefik. Оно идеально подходит для проксирования запросов в различные docker контейнеры на одном хосте.
Принцип работы там следующий. Запускаете на хосте контейнер с traefik и подключаете ему хостовый сокет докера, чтобы он мог следить за запущенными контейнерами. Traefik из коробки имеет web интерфейс, через который можно всем управлять. Далее вы запускаете новые контейнеры с веб сайтами, передавая им некоторые метки через конфиг docker-compose. Сайты автоматически регистрируются в панели traefik, вы ими управляете. Ничего со стороны брать не надо, traefik все умеет сам.
Чтобы быстро запустить и понять, как traefik работает, подойдет Quick Start из его руководства - https://doc.traefik.io/traefik/getting-started/quick-start/ У него в целом хорошая инструкция с крутыми картинками.
Для более приближенной к реальной эксплуатации схеме можно воспользоваться инструкцией с DO, где показано, как проксировать запросы на несколько разных сайтов - https://www.digitalocean.com/community/tutorials/how-to-use-traefik-as-a-reverse-proxy-for-docker-containers-on-ubuntu-18-04-ru
Самый что ни на есть современный и молодежный инструмент с декларативной конфигурацией. Контейнеры есть, конфиги в TOML есть, копируй, вставляй, запускай, наслаждайся. Подобное решение отлично подойдет разработчикам небольших сайтов.
#webserver
Принцип работы там следующий. Запускаете на хосте контейнер с traefik и подключаете ему хостовый сокет докера, чтобы он мог следить за запущенными контейнерами. Traefik из коробки имеет web интерфейс, через который можно всем управлять. Далее вы запускаете новые контейнеры с веб сайтами, передавая им некоторые метки через конфиг docker-compose. Сайты автоматически регистрируются в панели traefik, вы ими управляете. Ничего со стороны брать не надо, traefik все умеет сам.
Чтобы быстро запустить и понять, как traefik работает, подойдет Quick Start из его руководства - https://doc.traefik.io/traefik/getting-started/quick-start/ У него в целом хорошая инструкция с крутыми картинками.
Для более приближенной к реальной эксплуатации схеме можно воспользоваться инструкцией с DO, где показано, как проксировать запросы на несколько разных сайтов - https://www.digitalocean.com/community/tutorials/how-to-use-traefik-as-a-reverse-proxy-for-docker-containers-on-ubuntu-18-04-ru
Самый что ни на есть современный и молодежный инструмент с декларативной конфигурацией. Контейнеры есть, конфиги в TOML есть, копируй, вставляй, запускай, наслаждайся. Подобное решение отлично подойдет разработчикам небольших сайтов.
#webserver
Хочу рассказать любопытную проблему, с которой столкнулся недавно. Сразу забыл рассказать, а сейчас вот вспомнил. Это кажется сейчас невероятно, но есть еще компании, у которых свои, а не облачные сервера и даже целая серверная. Там некоторые сервера работают лет по 10 и до сих пор успешно выполняют возложенные на них задачи.
Было плановое отключение электричества. Упсы нормально отработали, софт погасил сервера, когда заряд батарей закончился. После запуска один сервер не стартанул, что меня не удивило. После отключения оборудования, которое работает годами без остановки, часто бывает так, что что-то ломается и не хочет запускаться.
Хорошо, что сервер был с ipmi. Подключился и расстроился. Сервер ругается на то, что сбросил настройки биоса в дефолт и просит нажать F1 для продолжения загрузки. Я обычно выключаю в bios такие предупреждения. Зашел в bios и выключил, хотя вроде бы делал это уже ранее.
Начинается загрузка системы. Сервер ругается на диск, загружается в single mode. Логинюсь в систему и запускаю fsck. Вижу любопытное сообщение: Superblock last write time is in future. И текущее время указано как 2014 год. Исправляю ошибки, перезагружаюсь. Опять просит F1 нажать.
Тут я все понял. Настройки bios не сохраняются, время слетает. Что это значит? Умерла батарейка на материнской плате. Из-за сбитого времени система при загрузке ругается на ошибки диска, так как видит там время записи суперблока из будущего. Лечится с помощью fsck и успешно работает до следующего выключения (не перезагрузки) питания.
Я сначала думал оставить все как есть. Выключения происходят крайне редко, а лишний раз дергать сервер не хочется. Но в итоге дождались возможности и заменили в нем батарейку. Проблема исчезла. Сколько лет администрирую сервера, а первый раз столкнулся с подобной ошибкой.
#hardware
Было плановое отключение электричества. Упсы нормально отработали, софт погасил сервера, когда заряд батарей закончился. После запуска один сервер не стартанул, что меня не удивило. После отключения оборудования, которое работает годами без остановки, часто бывает так, что что-то ломается и не хочет запускаться.
Хорошо, что сервер был с ipmi. Подключился и расстроился. Сервер ругается на то, что сбросил настройки биоса в дефолт и просит нажать F1 для продолжения загрузки. Я обычно выключаю в bios такие предупреждения. Зашел в bios и выключил, хотя вроде бы делал это уже ранее.
Начинается загрузка системы. Сервер ругается на диск, загружается в single mode. Логинюсь в систему и запускаю fsck. Вижу любопытное сообщение: Superblock last write time is in future. И текущее время указано как 2014 год. Исправляю ошибки, перезагружаюсь. Опять просит F1 нажать.
Тут я все понял. Настройки bios не сохраняются, время слетает. Что это значит? Умерла батарейка на материнской плате. Из-за сбитого времени система при загрузке ругается на ошибки диска, так как видит там время записи суперблока из будущего. Лечится с помощью fsck и успешно работает до следующего выключения (не перезагрузки) питания.
Я сначала думал оставить все как есть. Выключения происходят крайне редко, а лишний раз дергать сервер не хочется. Но в итоге дождались возможности и заменили в нем батарейку. Проблема исчезла. Сколько лет администрирую сервера, а первый раз столкнулся с подобной ошибкой.
#hardware
Веселенький денек у сисадмина
Для тех, кто еще не видел (такие есть??? 😱), хочу поделиться очень крутым видео на тему сисадминского юмора - https://www.youtube.com/watch?v=W4uGoFBL-GM Это лучшее юмористическое видео про сисадмина, что я видел. К сожалению, оно очень старое, 2009 год, но ничего лучше с тех пор никто не смонтировал. Смотрится весело и задорно.
Я его постоянно пересматриваю. Это из разряда тех вещей, на которые можно смотреть вечно. Раньше все так просто и душевно было. Мог кто-то позвонить и попросить перезапустить веб сервер! Никаких облаков и кубернетисов. Сейчас никто не звонит, не просит поды перезапускать. Все делают бездушные машины сами.
#юмор
Для тех, кто еще не видел (такие есть??? 😱), хочу поделиться очень крутым видео на тему сисадминского юмора - https://www.youtube.com/watch?v=W4uGoFBL-GM Это лучшее юмористическое видео про сисадмина, что я видел. К сожалению, оно очень старое, 2009 год, но ничего лучше с тех пор никто не смонтировал. Смотрится весело и задорно.
Я его постоянно пересматриваю. Это из разряда тех вещей, на которые можно смотреть вечно. Раньше все так просто и душевно было. Мог кто-то позвонить и попросить перезапустить веб сервер! Никаких облаков и кубернетисов. Сейчас никто не звонит, не просит поды перезапускать. Все делают бездушные машины сами.
#юмор
YouTube
веселенький денек у сисадмина...
Системный администратор перезагружает веб-сервер по просьбе одного из пользователей сайта,
и начинается "веселуха"... не дадут же поиграть...
и начинается "веселуха"... не дадут же поиграть...