• Мониторинг процесса Windows с помощью Zabbix?

    @yellowmew
    Cloud infrastructure, monitoring engineer. SRE
    1.открываем perfmon.msc (не перепутайте с perfmon.exe - это немного другая программа.)
    2.в "системном мониторе" (сейчас под рукой руссифицированная ось, поэтому ищите аналогичное на английском, благо монитор по умолчанию там один) нажимаем "добавить счетчики"
    3. выбираем Process и ваш процесс, нужные метрики.
    Все это только для понимания "что" вы будете мониторить.
    теперь "как": идем и внимательно читаем:
    https://www.zabbix.com/documentation/4.2/ru/manual...
    https://www.zabbix.com/documentation/4.2/ru/manual...
    В последней статье ищем proc_info - это оно и есть
    Если есть какие то перфкаунтеры которых вы не нашли в заббикс - в 1й статье в конце есть как добавить нужные через user parameters

    Почему perfcounters а не WMI? Потому что обращение к WMI - довольно дорогая операция, часто не позапрашиваешь (а если залезть в глубины того что доступно через WMI - выяснится что там те же перфкаунтеры, облагороженные и обогащенные) - частое обращение довольно сильно жрет CPU
    Почему не сторонняя программа? Потому что Win уже собирает данные процессов и основная задача - добраться до них
    Ответ написан
  • VPN и маршрут по умолчанию?

    @yellowmew
    Cloud infrastructure, monitoring engineer. SRE
    Если ваша OS - windows8/10 то вы можете на впн соединение повесить поднятие маршрута https://docs.microsoft.com/en-us/powershell/module...

    Так же, VPN, в зависимости от используемого софта может сам добавлять маршруты только на нужные сети - но делать это надо на сервере
    Ответ написан
  • На что сменить Forefront TMG?

    @yellowmew
    Cloud infrastructure, monitoring engineer. SRE
    Не стал добавлять теги самостоятельно, из вашего вопроса непонятны некоторые моменты
    исполняющий роль фаервола между локальной сетью и внешним миром
    добавьте тег proxy, вам насоветуют
    шлюза
    - теги routing, NAT
    DNS сервера для различных внешних и внутренних сайтов (которые так же проброшены через Forefront наружу)
    А вот тут непонятно, это только сервер DNS (который отвечает на днс запросы внешнего мира), перекрытие DNS(когда во внутренней сети и внешней сети доменные имена одной и той же зоны отвечают разными адресами) или вообще не имеет особого отношения к DNS - просто проброс сайтов в локальной сети\dmz наружу, для доступа через интернет - тег reverse proxy
    В Forefront напрямую заходят два провайдера снаружи
    - роутингом и переключением сетевых подключений по недоступности TMG занимается сам, вам нужно решение которое умеет это делать автоматически, верно?

    И финальный вопрос: вы хотите all-in-one или готовы смотреть на набор решений?
    К примеру, если брать набор разных решений для каждой ситуации на linux
    proxy - squid
    reverse proxy - nginx, haproxy
    DNS server - bind
    роутинг можно делать встроенными средствами OS, определение недоступности канала и переключение - скриптами.
    Ответ написан
  • Как установить сайт на ubuntu сервер на amazon ec2?

    @yellowmew
    Cloud infrastructure, monitoring engineer. SRE
    ткну пальцем в небо:
    когда вы запускали (руками) инстанс - просто прокликали все next next next и по умолчанию добавилось правило launch-wizard-...... в которое есть правило для ssh(и оно работает, иначе как бы вы поставили nginx)
    sg которую вы демонстрируете - это default security group. То что она default - не означает что она ассоциирована с вашим инстансом. добавьте эту sg к вашему инстансу. Это раз
    Два: то что вы открыли порт в security group не означает что он открыт на самом сервере. проверьте правила внутреннего файрвола
    И вообще, сначала завалидируйте, что curl с localhost на самом инстансе отдает вам контент вашего сайта на том порту который вы ожидаете - может быть там приложение и не работает вовсе а вы чего то ждете
    Ответ написан
  • Есть ли сервис по проверке версии TLS?

    @yellowmew
    Cloud infrastructure, monitoring engineer. SRE
    если хочется именно из консоли - устанавливайте openssl (для windows есть бинари собранные разными конторами https://wiki.openssl.org/index.php/Binaries)
    далее
    openssl s_client -connect <сервер>:<порт - в стандартном случае 443> и смотрите на вывод.
    Ответ написан
  • Как обновить TLS до 1.2?

    @yellowmew
    Cloud infrastructure, monitoring engineer. SRE
    1. определить какое ПО у вас принимает ssl соединение.
    Это может быть балансировщик (haproxy, nginx, etc) или вебсервер(nginx, apache, etc..)
    2. отключить использование TLS ниже 1.2 или жестко задать использование tls 1.2(второе не рекомендуется, но возможно в некоторых случаях придется использовать)
    Для этого нужно исправить конфигурацию той секции, которая принимает внешние соединения по https.
    Я бы ориентировался на https://ssl-config.mozilla.org/ - конфигуратор от Мозиллы. Только не надо бездумно копировать то что там написано - нужно понимать куда и что прописывать. Этот конфиг генератор подойдет для дефолтных инстялляций или как справочный материал.
    Прежде чем делать что-то в следующих пунктах я бы сначала проверил какие версии tls поддерживает ваш вебсервер: натравите на него https://www.ssllabs.com/ssltest/ - он в репорте напишет какие версии TLS поддерживает ваше текущее ПО. Если там есть как минимум tls 1.2(и в идеале и 1.3) - значит можно обойтись настройкой, без обновления ПО

    3. В тяжелых случаях возможно потребуется обновить то ПО которое SSL соединение принимает.
    4. Или openssl либы на машине.
    5. Или обновить ПО с использованием либ последних версий openssl
    Ответ написан
  • Какие инструменты для мониторинга серверов новичку?

    @yellowmew
    Cloud infrastructure, monitoring engineer. SRE
    Если мониторинг - не ваша основная задача (например, сейчас стоит задача : замониторить, чтобы получать информацию от системы, а потом надо вернуться к другим задачам) - используйте saas
    Лично я бы рекомендовал NewRelic и Datadog хотя есть и другие saas решения.
    Первый лидер в saas мониторинге приложения, а второй - в saas мониторинге инфраструктуры, но при этом оба имеют и apm и infrastructure мониторинги и работу с логами.

    Если мониторинг проекта - ваша основная задача - начинайте копать в сторону систем
    мониторинга:
    zabbix, TICK stack, prometheus, graphite, etc...
    логирования:
    ELK stack, graylog, loki, etc..
    как показал мой собственный опыт - абсолютно бесполезно советовать какую то систему другим. Ну и APM уровня NewRelic вы своими силами будете делать лет 10(а они за это время сделают еще круче)

    Поэтому: изучайте как и чем мониторят другие люди ваш набор приложений\инфраструктуры и выбирайте что подойдет конкретно вам
    Ответ написан
  • Что спрашивать у работодателя на собеседовании DevOps?

    @yellowmew
    Cloud infrastructure, monitoring engineer. SRE
    Ваш вопрос к Devops не относятся ну совсем никак. И без девопса были и есть тренинги, процессы ревью, борьба с техдолгом, саморазвитие и хорошие отношения в коллективе
    Это обычные вопросы на любом собеседовании, к девопсу имеющие очень опосредованное отношение - но это хорошие вопросы

    я согласен с Пума Тайланд что это вы должны задать работодателю вопросы как обстоят дела в области в которой вы считаете себя компетентным(или пытаетесь быть компетентным)
    По области devops всегда можно спросить какие процессы уже автоматизированы (билд, тестирование, доставка, мониторинг, операции, etc.), какими инструментами, почему выбраны именно эти инструменты, насколько сильная будет поддержка(вы же джун судя по подписи) от команды в их изучении. Спрашивайте то что вам близко по уже имеющимся знаниям, чтобы не походить на "я спросил потому что мне на тостере так ответили" - чтобы сравнивать с уже имеющимся у вас опытом.

    А общие вопросы - их и надо задавать работодателю, независимо от области в которой происходит ваша рабочая активность
    Ответ написан
  • Docker Multi-stage билды не видят друг друга?

    @yellowmew
    Cloud infrastructure, monitoring engineer. SRE
    Если не изменяет память, промежуточные билды нужны для генерации артефактов, использующихся в следующих билдах. Например, когда вы не хотите весь builddep таскать за собой в финальный контейнер (вам там нужно уже собранное ПО) и плодить\чистить слои.
    Что в вашем случае лучше - даже и сказать не могу. Я бы изучил как собираются близкие по компонентам контейнеры на докерхаб
    Ответ написан
  • Как подружить strongswan с Windows 10?

    @yellowmew
    Cloud infrastructure, monitoring engineer. SRE
    читайте документацию https://wiki.strongswan.org/projects/strongswan/wi...
    Наиболее вероятно, что вам поможет раздел AES-256-CBC and MODP2048
    В общем и целом, вам нужно установить такие настройки ipsec указанным коммандлетом, которые прописаны в вашем конфиге стронгсван.
    Ответ написан
  • Существует ли интерактивный ярлык папки в Windows?

    @yellowmew
    Cloud infrastructure, monitoring engineer. SRE
    Добавлю еще один способ, если программа берет путь до "Мои Документы" из реестра а не пользуется жестко прошитым путем c:\users\user\documents\рабочая_папка_программы

    "Мои Документы" можно переместить на другой диск, полностью.
    Для этого открываем свойства папки "мои документы" и ищем вкладку "Расположение"
    Там можно указать новый путь, куда система переместит все текущие файлы из МД и будет использовать этот путь по умолчанию.

    Для решения задачи в том виде в котором вы ее описали способ dollar подходит больше. То что я написал - скорее альтернатива.
    Ответ написан
  • Сколько может стоить альтернатива обычному хостингу на AWS?

    @yellowmew
    Cloud infrastructure, monitoring engineer. SRE
    Присоединюсь к Иван Шумов
    Даже если у вас есть потребность в переезде на AWS - вы все равно не сможете предугадать ваши траты, только очень и очень примерно. Жизнь в AWS - это когда каждый месяц смотрим на биллинг и "вот до сентября у нас не было столько межрегионального трафика, что ж мы в продукте такое взвели то.. на 2к баксов лишних"
    Ответ написан
  • Как уменьшить риски потери инфраструктуры при использовании Terraform?

    @yellowmew
    Cloud infrastructure, monitoring engineer. SRE
    Потерять можно все при любом действии и любым продуктом.
    Терраформ просто позволяет сделать это .. красиво и очень удобно, если вы хреново его спланировали.
    Правило 1: используйте автоприменение только в тех местах где не жалко или где вы железобетонно уверены(и берете риски на себя)
    Правило 2: валидируйте план. Хотя бы глазами
    Вообще, есть у некоторых людей практика делать план в файл, валидировать его какой то внешней логикой, и при успешной валидации применять план из файла, не просчитывая его заново (он делается при каждом апплае) с автоподтверждением. Мне не нравится, да и терраформ честно предупреждает что на момент реального применения ситуация может отличаться и менять придется совсем другие элементы.
    Правило 3: разноси элементы по логическим слоям, чтобы уменьшить зону поражения при гибельном апплае. Например настройки сети а одной папке со своим стейтом, запуск приложения - в другой. И связывайте через ремоут стейт. Главное соблюдать меру, чтобы каждую, скажем , security group в aws не создавать в отдельных слоях.
    Правило 4: используйте модули, если применение логической группы ресурсов используется более одного раза. Тут тоже не стоит плодить модули на каждый ресурс и подходить разумно.
    Правило 5: тестируйте изменения! (Используя одни и те же модули для стейжа и прода). Логично предположить что если вы снесли стейж то и прод снесется.
    Правило 6: используйте vcs для работы с кодом терраформ (для того чтобы откатывать код для восстановления убитого стейжа например)
    Правило 7: используйте lifecycle политики Prevent destroy на ресурсах, чтобы запрещать из убиение
    Помидор 7.1: используйте ignore changes там где это нужно
    Правило 8: используйте правильный инструмент для того что вы хотите сделать. Терраформ умеет много чего, но конфигурейшн менеджер он не заменит, хотя по функциям они чуть да пересекаются.

    В принципе, если продолжать я могу до штук 20 дойти полезных советов, но на 90% мои правила, по сути - используйте для работы с кодом терраформ те же правила что и для работы с любым другим кодом - снимете 70% проблем. Остальные будут связаны с особенностью работы терраформ и радиусом кривизны рук автора терраформ кода.

    P.S. пишу на ходу в метро, орфографию и пунктуацию правит т9. Спрашивайте, вдруг заметите какой нибудь термин, который я писать не собирался :D
    Ответ написан
  • Почему WMI Provider Host нагружает процессор?

    @yellowmew
    Cloud infrastructure, monitoring engineer. SRE
    Причина высокого потребления CPU процессом WMI host является реализация WMI.
    Общеизвестно что работа с WMI ощутимо грузит CPU и пользоваться WMI лучше только в случаях мануальных задач или когда по другому не обойтись.
    Хорошо, что вы определили кто дергает WMI - теперь нужно понять, нужен ли вам этот wscript
    res2001 написал куда, в принципе, смотреть чтобы понять что это за процесс вообще.
    Ответ написан
  • Возможна ли обработка изображений на AWS S3?

    @yellowmew
    Cloud infrastructure, monitoring engineer. SRE
    Функционала такого в S3, конечно же, нет.
    S3 = Simple Storage Service. Основное предназначение - это хранение.
    Cloudinary предоставляет вам хранение+манипуляции+еще что-то как сервис.
    В S3 такое, как вам уже посоветовал Андрей, можно доделать самому, с помощью соответствующих сервисов.
    Насколько много нужно танцевать - зависит от количества и качества вашего(или вашей команды) опыта в программировании.
    Ответ написан
  • Как создать график в Графана?

    @yellowmew
    Cloud infrastructure, monitoring engineer. SRE
    вид "текстовый запрос" или "формочки которые формируют запрос" обычно переключается кнопкой которая на скриншоте выделена синим (возможно, зависит от версии графаны)
    5d67e016408af547808994.png
    Ответ написан
  • Как заставить выводить результат powershell linux?

    @yellowmew
    Cloud infrastructure, monitoring engineer. SRE
    для справки :
    >Get-Alias echo
    Alias           echo -> Write-Output

    Так что, думаю, вашу проблему решит что-то вроде
    echo (Get-VMHost).name
    Ответ написан
  • Стоит ли виртуализовать терминальный сервер Windows?

    @yellowmew
    Cloud infrastructure, monitoring engineer. SRE
    С точки зрения разнесения ролей - виртуализировать всё это единственный выход при нехватке железа
    Однако,вам и вашему руководству стоит задуматься о том, что падение (хардварное) единственного сервера без бэкапа серьезно повлияет на бизнес процессы, поскольку восстановление того же функционала на новом железе выльется в длительное ожидание процесса закупки и тд и тп.
    Если же у вас два маркера, то вы можете покрасить вообще всё сервера то
    1. виртуализация и
    2. кластеризация (например в случае падения сервера все переезжает на второй, более слабый, зато работает)
    сильно поможет бизнесу не простаивать из-за хардварной проблемы.
    Ответ написан
  • Почему долго выполняется bat файл из 2 строк?

    @yellowmew
    Cloud infrastructure, monitoring engineer. SRE
    https://habr.com/ru/post/212413/
    Внимательно изучите комментарии, может быть вы сможете с их помощью решить именно вашу задачу (хотя я не совсем понял как именно вы хотите ее решать, но уповаю на вашу самостоятельность)
    Ответ написан