Infra

Приветствую, Ну как вы поняли из заголовка этой заметки, сегодня рассмотрим варианты создания бекапов виртульных машин с KVM хостов. В зависимости от критичности и загружености виртулки, мы можем применить способы: С полным выключением виртуальной машины. В этом случаи все достаточно просто, мы копируем файл конфигурации виртуальной машины, и бекапим ее диск. И когда виртуальная машина должна ранниться. Здесь же мы просто делаем снепшот виртуалки, и архивируем его. Итак, у меня заготовлен kvm-хост c запущенной на нем виртуалкой. ...

Привет всем, В этой заметке хотелось бы показать пример, как можно извлекать данные из командной оболочки (Bash) и отдавать их в Prometheus. Представим на нас упала таска, по заданию которой требуется извлекать значения из файлов с переменными и слать алерт в мессенджер при случаи изменения этих значений. Более опытные из нас, наверное пошли бы по пути написания небольшого скрипта, который бы полностью решал бы эту задачу. В моем же случаи, я преследую интерес реализации этой же задачи более нативным методом. А именно с использованием связки: ...

В прошлой заметке подготовили к работе сервер netbox для работы с ним. Сегодня реализуем костыль, который поможет держать в актуальном состоянии ipam. При динамических изменениях в инфре, трудоемкая задача каждый раз обновлять адреса в сетевом пространстве. Особенно когда в команде несколько админов и каждый добавляем по своему. Начинает появляться хаос, тратится больше времени на то что бы все причесать к порядку. Спустя 30 минут ручного труда, ты решаешься сесть за написание скрипта. ...

Как я упоминал ранее, для реализации высокой доступности MFA сервиса буду поднимать несколько экземпляров PrivacyIdea серверов. PrivacyIdea все свое состояние хранит в субд. И для решение всей задачи, мне достаточно обеспечить высокую доступность на уровне баз. В документации к сервису предлагается два решения: Использование централизированной менеджмент системы СУБД (Например: Mariadb Galera, Pgpool); Использование два инстанса MySQL в режиме master-master. Разумеется в моем случаи целесобразнее будет использование второго варианта. Вообщем я взялся за изучения вопроса эсплуатации master-to-master субд. И мнения у большинства - нигативные, из основных притензий к такому подходу, это нарватся на рассихронизацию данных в обоих бд. Также при вставке уникального значения столбца в обе базы, приведет к вылету инстансов или к прерыванию репликации. Выход из подобных ситуаций это создание active/passive кластера. Мы добавляем выше какой либо балансировщик (keepalived, например) и пишем данные в одну мастер ноду вторая же нода используется как горячий бекап. В случаи падения первого мастера, мы продолжаем писать уже во второй мастер. ...

Wireguard - отличное решение, если нужно быстро организовать доступ к закрытому скоупу. Вот и ко мне прилетела задача, организовать доступ к exsi через vpn. Сам хост стоит в дата центре и имеет прямой доступ. После реализации vpn-сети, вырубим доступ. (Схема vpn-сети) Я поднял небольшую виртуалку, на которой поднимем wireguard-сервер, далее на микроте (который используется как фаервол/роутер) прокинем порт к vpn серверу. Установка WireGuard Подключаемся к серверу и ставим репозитории epel и eprepo: ...

В этой заметке будет описан гайд по установке netbox сервер, который будет использоваться в качестве некой CMDB для учета адресного пространства или места в серверных стойках. У проекта очень хорошо прописана документация, и этот ман можно позиционировать просто как пошаговую инструкцию. (Схема стека) Как видно из схема, предварительно нам нужно заинсталить и подготовить дополнительные компоненты: Postgresql, 11 версия и выше Redis, 4 версия и выше Python - 3.8 WSGI обработчик и Nginx в качестве обратной прокси Установка Postgresql Как всегда начинаем с самого низкого слоя стека, установки и инициализации базы. В нашем кейсе, будем ставить postgresql версии 14. ...

В этом мануале будет продемонстрировано, как мы можем ставить агентов Kaspersky Network Agent на сервара, которые управляются под Active Directory. Итак, сначала нужно разместить .msi файл агента на какой нибудь шаре. С этой шары будет запускаться инстралятор, соотвественно у всех клиентов должен быть доступ к этой шаре. Логичнее будет разместить инсталятор на серваке с касперским, так и поступим. На установочный файл даем права для всех (или для доменных пользователей) на чтение/запуск файлов. ...

Rsyslog - это механизм/система обработки потоковых сообщений. Тогда, сообщения журнала (логи) можно представить как поток событий. Программы, которые известны syslog, заносят свои логи в специальный файл /dev/log (сокет домена). Далее журнальные сообщения (лог-события) обрабатываются фильтрами и пересылаются по адресу назначения. В Rsyslog каждый из этих этапов может быть сконфигурирован и дополнен модулям. Настройки службы rsyslog хранятся в файле - /etc/rsyslog.conf. Конфигурация rsyslog Строки конфигурации системы rsyslog обрабатываются по умолчанию сверху вниз, порядок расположения директив имеет значение. В верхней части описываются глобальные настройки, которые применяются на сам rsyslog демон. В глобальных настроках указываются - загружаемые модули (Modules), формат сообщений, права собствености и разрешения на файлы, рабочий каталог. Фильтры (селекторы) составляют основную часть конфигурации, ими rsyslogd определяет как сортировать и обрабатывать сообщения. Фильтры формируются из выражений, в которых описаны критерии и действия. Давайте разберем каждый из разделов, что бы понимать как готовить rsyslog. ...