Валентин: ансибл начинает нервно курить в сторонке в случае нескольких дистрибутивов, или не дай бог, вообще разных ОС :-) Например, с фрёй оно работает очень посредственно, так скажем...
SyavaSyava: тут дело такое -- ОДНО такое устройство, может, и будет работать. Но учитывая источники поступления такого оборудования и драйверов их (Китай), не факт, что более одного устройсва на одном хосте удастся завести.
Владимир: Если на хост-системе (на которой у вас гипервизор крутится) у вас плата эта видна как таковая (есть драйвера, и они работают), и, соответственно, видны её COM-порты, то да, можно разбросать. А вот если нет -- тогда можно только PCI-устройство пробросить, да. Но PCI-устройство можно прокинуть только в одну виртуалку.
Vi: а вы свой вопрос читали? У вас там и ответ уже дан, чем PXE хуже этих схем. PXE+DHCP+TFTP, плюс создание файла ответов, плюс после развёртывания поменять сеть, в которой окажется итоговая виртуалка, чтобы она по DHCP себе правильные настройки получила. При развёртывании же из образа никакие внешние обвязки не нужны -- ни DHCP, ни PXE, ничего. Скопировал эталонную виртуалку, прописал ей статический IP внутрь, она при первом запуске себе заресайзила диск, и всё, готово к использованию.
Александр: Это не так. Логин и пароль не будут являться защитой, если в вашей админке есть дыры, которые позволяют туда пролезть и без ввода логина и пароля.
Есть ещё вариант -- помимо перевешивания на нестандартный порт админки можно использовать системы типа port knocking.
Анатолий: "в группах" никаких прав нет вообще. Группа -- это просто группа, сборище неких пользователей, служебных или обычных. Права выставляются на ОБЪЕКТЫ. Например, на объекты файловой системы -- каталоги и файлы. Базовая (POSIX) система прав в Unix-системах довольно примитивная. Права есть трёх видов: чтение/запись/исполнение, для трёх различных категорий: "пользователь", "группа" и "все остальные, кто не первые две категории". Хотите, чтобы ваша учётка имела доступ в каталог -- поставьте свою группу владельцем этого каталога и всех его подкаталогов. Либо сделайте доступ для "всех остальных".
Hint: право на "исполнение" для каталогов не имеет смысл, поэтому в unix трактуется как право на вход внутрь каталога. Т.е. возможность сделать cd туда.
И учите английский. Нормально админить без знаний английского невозможно. Русская версия хэндбука по FreeBSD -- это много лучше, чем ничего. Но перевод отстаёт по части актуальности от английской версии. Кое-какие вещи либо делаются уже не совсем так, как описано в русской версии, либо вообще устарели как класс, и в современных системах не используются вообще. Хотя, конечно, системы прав доступа и управления пользователями это не касается, там мало что изменилось с 70-х годов :-)
Grims: Дело, безусловно, ваше. Вопрос только в том, какую практическую ценность такой эксперимент имеет, стоит ли он потраченного времени. Возможно, правильнее будет это время употребить на разбирательство с чем-нибудь другим, что стопудово пригодится в эксплуатации VMware?
Дмитрий Шицков: BGP вполне подходит для такой задачи.
Если удалённый админ ничего делать не хочет, и заставить его нельзя -- ну, тогда только костыли на скриптах, да.
littleguga: IPSec -- это вообще тема сложная :-) Наш отдел сети передачи данных начинает томно заказывать глаза, когда я поднимаю вопрос про IPSec :-) Так что вики/гайды тут только на уровне "вбейте вот этот набор команд, и у вас заработает". По факту -- вряд ли оно заработает так быстро :-)
L2TP можете строить чем угодно, да. Какой софт вам покажется проще и удобнее -- тем и стройте.
IPSec определяет, какой трафик шифровать, на основе policy. Полиси включает в себя набор IP-адресов и/или подсетей и список портов. То есть, в полиси можно указать: "трафик между такой-то и такой-то подсетью необходимо шифровать". И тогда туннель будет строиться на L2TP, а внутри него трафик уже будет шифроваться IPSec'ом.
alxsmrn: не очень понятно, как вы собираетесь что-то внедрять, да ещё "не изобретая велосипед", если у вас по заданию требуется РАЗРАБОТКА. Т.е. нужно написать некий софт.
littleguga: Связка L2TP/IPSec в общем случае (в винде, например), работает по-другому. Там L2TP трафик шифруется с помощью IPSeс. У вас же, в свете проблем с хождением IPSec по сети провайдера, нужно делать наоборот -- СНАЧАЛА поднимать L2TP-туннель, а уже трафик ВНУТРИ туннеля шифровать IPSec'ом. Так что L2TP можете поднимать на чём угодно, это никакого значения не имеет. Потом просто распишете policy в настройках Strongswan таким образом, чтобы трафик внутри L2TP-туннеля шифровался.
HeroFromEarth: ну во-первых, для подсчёта числа процессов в памяти есть встроенный параметр: proc.num, и для снятия этого показателя нет никакой необходимости городить UserParameter.
А во-вторых триггер -- это нечто, что следит за значениями ПАРАМЕТРА ("item" в англ. версии документации по заббиксу) Но чтобы было за чем следить, сначала нужно добавить параметр. Вы его добавили на хост?
