Задать вопрос

Евгений Хлебников

Cloud infrastructure, monitoring engineer. SRE
Комментарии

  • Как вставить схему DrawIO в Word файл?

  • Как сменить FQDN Exchange сервера?

    @yellowmew
    Exchange так-то комбайн состоящий из набора вебслужб, MTA и много чего еще
    о проблеме c каким сервисом говорит ваш "мейл тестер" - неизвестно, поскольку логи вы не привели
    Exchange лучше тестировать микрософтовским средством https://testconnectivity.microsoft.com/tests/exchange - исходя из моего опыта его ответы более понятны
    Если ткнуть пальцем в небо, вот вам статья как проверить и поменять FQDN на урлах для веб сервисов https://www.alitajran.com/configure-internal-exter...
    так же может оказаться, что "ошибка FQDN" имеет отношение к внешним DNS записям почтового домена (а может и не имеет).
    Хочется предостеречь, что после смены FQDN вы можете сломать все для внутренних клиентов: здесь необходимо или настраивать перекрытие зоны DNS для внутренней сети или открывать порты файрвола, чтобы внутренние клиенты могли попадать на внешний IP вашего Exchange сервера (мы ведь не знаем как настроена ваша сеть)
    Проблема так же может быть просто в некорректной настройке записей относящихся к почте в вашей DNS зоне, или, несоответствии\отсутствии PTR записи
    Так же, "письма в интернет попадают в спам" - без настройки доверенных серверов на целевой стороне, письма с "непрогретого" IP адреса будут иметь пониженную репутацию и при любом подозрении на другую проблему - попадать в спам.

    Я все это намеренно написал в комментарии, а не в ответе, поскольку прямой ответ на ваш вопрос дать, не имея знаний о вашей конфигурации Exchange\сети\DNS и не видя логов тестирования сложно
    Написано

  • Как сделать повторный запрос на HAPROXY?

    @yellowmew
    Misha_Polutrup, главное тут понимать получил ли клиент ответ на свой запрос (пусть даже и 500 Internal Error) или его обработку перехватил балансировщик. Как только клиент получил ответ - ретрай уже не будет работать и его надо будет инициировать на стороне клиента. Помните про http transaction (цитата кстати из документации haproxy)
    Написано

  • Как сделать повторный запрос на HAPROXY?

    @yellowmew
    Misha_Polutrup, в случае, когда ретраи прописаны в конфиге хапрокси, запрос ретраится в рамках той же транзакции - клиенту ничего делать не надо
    Написано

  • Как сделать повторный запрос на HAPROXY?

    @yellowmew
    Misha_Polutrup, 500 или 503?
    500 internal error - может быть единичной ошибкой и просто повтор через retry (c настроенной retry-on на определенный статус) скорее всего проблему (для клиента) решит
    503 - это отсутствие серверов в балансировке, тогда конфиг как в моем примере выше должен переключить на бэкапный бэкенд пока они не появятся.
    Если же, например, 500й статус от приложения постоянно - необходим правильный хелсчек, который выведет основной сервер из балансировки. чтобы отрабатывала бэкап нода
    Написано

  • Как сделать список destination в iptables?

    @yellowmew
    кроме ответа shurshur я бы еще прояснил про
    но там приведен пример -m set --match-set IP_LISTS src , а

    логично, что должно быть -m set --match-set IP_LISTS dst
    вот например про ipset почитать https://www.linuxjournal.com/content/advanced-fire...
    Написано

  • Как сделать повторный запрос на HAPROXY?

    @yellowmew
    Еще сначала не обратил внимания на ваш конфиг: backup сервер должен быть доступен, чтобы обслуживать реквесты, в случае недоступности основного сервера
    если клиент уже получает 503 - значит в бэкенде нет серверов вообще, а значит никто не может обслужить реквест. Транзакция закрыта. Ретрай вы можете сделать на стороне клиента, как я описал в предыдущем комментарии, но смысл тогда ждать пока поднимется бэкап? К тому моменту (целых 3 секунды!) основной вполне может быть уже разгружен
    Не лучше ли сделать оба сервера равноправными (в случае если бэкап слабый - поиграться maxconn) или вообще разделить эти потоки на разные бэкенд прокси, разруливая на стороне фронтенд прокси, например, считая количество доступных серверов в основном бэкенд прокси?
    acl main_is_not_available nb_srv(be_main) le 0
use_backend be_back if main_is_not_available 
default_backend be_main

be_main
... здесь только основной сервер

be_back
... здесь только бэкап сервер

    в такой конфигурации вы сможете установить отдельные долгие таймауты на be_back. и be_back будет работать только если в be_main 0 серверов
    Написано

  • Как сделать повторный запрос на HAPROXY?

    @yellowmew
    Misha_Polutrup, я скорее всего все еще неверно понимаю стоящую перед вами задачу
    Повторные запросы хапрокси делает сама, с помощью опций retry (количество) и retry-on (причина). При истечении количества ретраев, работает redispatch перекидывающий на другой сервер в бэкенде
    Если же вы хотите чтобы хапрокси заставила клиента сделать запрос - напрямую никак, это дело клиента. Однако можно модифицировать 503 ответ, добавив javascript который сделает повторный запрос к тому же host, path, query (по понятным причинам работает только для веб, для какого нибудь api работать не будет)
    Если URL-ов которые могут зафейлиться несколько - придется применить lua для формирования страницы 503-го ответа (правда в более новых версиях HAProxy вроде бы можно делать эт и без lua - но мне не приходилось, изучайте документацию)
    Написано

  • Как сделать чтобы BAT файл печатал на принтере?

    @yellowmew
    возможно по умолчанию у вас стоит принтер в PDF
    приведите команду полностью как вы печатаете
    с ключом /d:"название принтера" раньше нормально отправляло в очередь печати указанного принтера
    Написано

  • Какую спаморезку использовать перед Exchange 2019? Postfix + calmav какойнить либо proxmox mail gateway или?

    @yellowmew
    bassoon48, ну тут "на вкус или цвет все фломастеры разные" в смысле удобства
    пробуйте
    Написано

  • Какую спаморезку использовать перед Exchange 2019? Postfix + calmav какойнить либо proxmox mail gateway или?

    @yellowmew
    bassoon48,

    Proxmox Mail Gateway вариант?

    А под что развораивать rspamd и clamav? Под postfix или чё та вменяемое есть более менее? И на чём? centos debian, freebsd, gentoo, redhat? ubuntu?)

    с каким MTA и OS умеете работать - там и разворачивайте. Один фиг скорее всего в докере запускаться будете.
    Написано

  • Какую спаморезку использовать перед Exchange 2019? Postfix + calmav какойнить либо proxmox mail gateway или?

    @yellowmew
    bassoon48,
    Мне нужна полная власть

    мне нравится ваш подход )
    Написано

  • Отказоустойчивость web-сервиса - DNS Failover, SQL, PHP. Правильно ли мыслю?

    @yellowmew
    хорошо, что еще есть люди которые умеют читать вопрос, а то я увидел про DNS балансировку и возбудился
    Ипатьев в общем то прав: быстрый деплой из последнего бэкапа ближе подведет вас к решению проблемы "поднять за 10 минут"
    Как допвариант возможно избыточной схемы для koltykov:
    приложение работает на хостингА
    1. научите приложение определять сбой и перезапускаться самостоятельно внутри виртуалки
    1а. если приложение фейлится постоянно или проблема с виртуалкой - полный редеплой подготовленными скриптами на новую VM
    2. разделите БД (включая файлы) и приложение на разные сервера (если не используете сервис для БД)
    2а. частые бэкапы данных на внешний сервис.
    2аа. регулярная проверка восстановления (скриптом) данных с внешнего сервиса на хостингБ и А
    2б. Если умер сервер\недоступен сервис с данными: скриптами полный редеплой и восстановление данных из бэкапа
    3. если умер хостингА - теми же скриптами деплой на хостингБ
    4. публичный эндпойнт-балансировщик, внешний для хостераА и хостераБ, с возможностью переключения серверов. Скриптом конечно ) В случае фейла хостингА вы просто деплоитесь в хостингБ используя последние бэкапы и переключаетесь. Сервис работает, вы ждете пока вам ответит хостерА и затем, по возможности, восстанавливаете потерянную разницу в БД
    Повторюсь, эта схема слегка избыточна. Возможно вы сможете найти хостера в ру который будет как "hetzner. 1200+ дней без перезагрузки" и хостингБ вам в принципе не понадобится.
    Однако написать и оттестировать скрипты деплоя приложения и БД, регулярно тестировать восстановление данных - это шаги к быстрому восстановлению сервиса
    Написано

  • Существуют ли файловые менеджеры с поддержкой тэгов и встроенным поиском под Windows?

    @yellowmew
    вот эта фича с тегами мне никогда не была понятна: за много лет не видел нигде нормальной реализации их использования. Даже каталогизаторы и те ведут свою базу(заполняя ее своими тегами), не используя этот функционал
    Для быстрого (я бы даже сказал мгновенного) поиска я использую everything: https://www.voidtools.com/ru-ru/
    но документы приходится вручную рассортировывать по папкам и (важные) как раз именуются почти по вашему шаблону :D
    Написано

  • Как восстановить диски с vm в Proxmox?

    @yellowmew
    Денис _______________, proxmox работает с сконфигурированным в нем хранилищем для дисков ВМ. "Прописать пути к старым дискам" - какое хранилище будете использовать? Все диски сначала необходимо будет импортировать в какое-то хранилище и оттуда прописывать.
    Написано

  • Free open-source система менеджемнта инцидентов?

    @yellowmew
    Роман, ну смотрите, у вас есть графана и в общем то она вполне себе умеет быть генератором алертов. По моему даже писать в какую то внутреннюю базу срабатывания будет.
    В своем проекте у нас был TICK стек (версия инфлакса 1.х), где kapacitor (генератор алертов) писал в базу все срабатывания и можно было вполне себе строить графики что когда сработало. В более поздних версиях эта фича тоже присутствует, хотя генерацией алертов там занимается не только капаситор. Но тут внедрять новое мониторинговое решение... В общем то именно графики в принципе реализуемы в любой системе, алерты же необязательно брать со стороны алерт менеджера, генератор алертов на стороне мониторинговой системы как правило тоже умеет писать срабатывания в базу
    Написано

  • Как восстановить диски с vm в Proxmox?

    @yellowmew
    Дмитрий, я потому и отметил что у меня хоум лаба, 5 машин постоянных, остальное если сдохнет и не жалко )) мне не требовалось ускорять процесс
    Написано

  • Как сделать массовую рассылку пользователям на удаленные компьютеры?

    @yellowmew
    Вообще, можно даже было включить FileSystemWatcher, https://superuser.com/questions/226828/how-to-moni... чтобы тригериться на изменение файла, не проверяя его каждые 5 минут, но о нем я узнал несколько позже )
    Написано

  • Чем отличается include от redirect в spf?

    @yellowmew
    LAG_LAGbI4,
    DMARC policies (p=quarantine or p=reject)
    играют более внятную и понятную роль в случае нарушений, в том числе при проверке SPF
    А так как гугл просто неимоверно форсирует DMARC https://dmarcian.com/yahoo-and-google-dmarc-required/ то его приходится делать везде, где есть шанс что письмо уйдет в гугл. А значит - везде. и softfail (~) в SPF получается чем-то вроде легаси или бэкап опции для серваков которые еще не проверяют dmarc по какой то причине
    Написано

  • Certbot не обновляет SSL-сертификаты Let's Encrypt, почему?

    @yellowmew
    AUser0, нет, эти два предложения не связаны )
    у меня сертификаты клиентов начинали пытаться обновляться за ~1.5 месяца до истечения, для обработки таких вот случаев и в 99% случаев все решалось через "подождать". Были конечно случаи таких же проблем при начальном добавлении домена, и тут "подождать" слегка разочаровывало клиентов (без добавления LE сертификата нельзя было переключиться на свой кастомный домен). Но побороть так и не удалось, я думаю это проблема инфраструктуры DNS

    и замена на днс валидацию - это скорее тест "вдруг прокатит" и проблема не в DNS
    Написано