[Перевод] sudo rm -rf, или Хроника инцидента с базой данных GitLab.com от 2017/01/31

1 год 7 месяцев ago

Он пьянел медленно, но все-таки опьянел, как-то сразу, скачком; и когда в минуту просветления увидел перед собой разрубленный дубовый стол в совершенно незнакомой комнате, обнаженный меч в своей руке и рукоплещущих безденежных донов вокруг, то подумал было, что пора идти домой. Но было поздно.

Аркадий и Борис Стругацкие

31 января 2017 года произошло важное для мира OpenSource событие: один из админов GitLab.com, пытаясь починить репликацию, перепутал консоли и удалил основную базу PostgreSQL, в результате чего было потеряно большое количество пользовательских данных и сам сервис ушел в офлайн. При этом все 5 различных способов бэкапа/репликации оказались нерабочими. Восстановились же с LVM-снимка, случайно сделанного за 6 часов до удаления базы. It, как говорится, happens. Но надо отдать должное команде проекта: они нашли в себе силы отнестись ко всему с юмором, не потеряли голову и проявили удивительную открытость, написав обо всем в твиттере и выложив в общий доступ, по сути, внутренний документ, в котором команда в реальном времени вела описание разворачивающихся событий.


Во время его чтения буквально ощущаешь себя на месте бедного YP, который в 11 часов вечера после тяжелого трудового дня и безрезультатной борьбы с Постгресом, устало щурясь, вбивает в консоль боевого сервера роковое sudo rm -rf и жмет Enter. Через секунду он понимает, что натворил, отменяет удаление, но уже поздно — базы больше нет...


По причине важности и во многих смыслах поучительности этого случая мы решили целиком перевести на русский язык его журнал-отчет, сделанный сотрудниками GitLab.com в процессе работы над инцидентом. Результат вы можете найти под катом.

Читать дальше →
olemskoi

Скрипт, который пишет другой скрипт и настраивает роутеры

1 год 7 месяцев ago

image alt text


Производители сетевого оборудования потихоньку двигаются в сторону универсального API для настройки и сбора показателей: есть NETCONF, OpenConfig, существует ПО для импорта MIB, та же настройка с помощью SNMP существует давно. Но я не буду касаться этих высоких материй, а просто поделюсь способом автоматизировать настройку сетевого оборудования – на случай массового открытия филиалов, например,


Для иллюстрации использую D-Link DFL-800 в воображаемом центральном офисе и MikroTik RB951UI-2HnD на периферии. В частности, настроим между ними туннель IPsec, раз уж речь про сценарий с новым филиалом.

Читать дальше →
ArthurLeighAllen

Гиперконвергентные платформы: от экзотики к мейнстриму

1 год 7 месяцев ago
Всем привет! Так случилось, что моя статья – первая в блоге группы компаний ЛАНИТ на Хабре. Очень рад этой возможности, осознаю ответственность и надеюсь, что материалы нашего блога будут для вас интересны.

Итак, к делу. Гиперконвергентные системы становятся сегодня одним из основных решений в области построения ИТ-инфраструктуры корпоративного уровня. В этой статье я кратко расскажу о том, что из себя представляют такие системы и в каких случаях при развертывании ИТ-инфраструктуры они могут быть полезны. Также я поделюсь результатами сравнения технических возможностей ряда гиперконвергентных платформ, которые мы изучили при планировании развития ИТ-инфраструктуры облака OnCloud.ru компании «Онланта».


Читать дальше →
KorP

Обзор архитектуры и подсистем деплоя и мониторинга. Как инженеры делают систему прозрачной для разработки

1 год 7 месяцев ago


Константин Никифоров ( melazyk )
Доклад будет про всякие секретные и не очень штуки, которые такая большая компания, как Mail.Ru, использует в мониторинге и для деплоя, и для управления конфигурацией.

Меня зовут Константин Никифоров, я являюсь руководителем группы системных администраторов в компании Mail.Ru. Наша группа занимается обслуживанием проектов target.my.com, рекламными системами Mail.Ru и проектом top.mail.ru. Все три наших проекта достаточно специфичные, потому что мы не обладаем никаким юзер контентом, мы в основном паразитируем на вас, как пользователях, и особенность наша заключается в том, что у нас очень большие PPS на фронтах, что не у многих проектов есть. Т.е. у таких проектов, как Одноклассники, как ВКонтакте, это понятно, потому что они просто огромные, у более мелких проектов такого нет. А мы размещаемся на всех вышеперечисленных и на всех страницах Mail.Ru, поэтому наш PPS еще больше, чем у этих проектов.
Читать дальше →
olegbunin

[Из песочницы] Как мы Redis Cluster готовили

1 год 7 месяцев ago


В мире опен сорс есть огромное количество технологий, подходов, паттернов, тулзов и аппов, которые юзает очень много компаний. Как превратить используемое ПО или технологию в конкурентное преимущество? Предлагаю рассмотреть на примере Redis Cluster — как мы прокладывали наш путь.
Читать дальше →
mukolaich

Внедрение Docker для небольшого проекта в Production, часть 3

1 год 7 месяцев ago
image

В предыдущих частях мы свами подготовили сервер к использованию контейнеров:

Часть 1. Установка CoreOS
Часть 2. Базовая настройка и настройка безопасности SSH

В этой части мы научимся работать с контейнерами и разворачивать стек приложений за считанные секунды. Но вначале я бы хотел сделать небольшое отступление на поступившие комментарии и замечания. Читать дальше →
hamnsk

[Перевод] Повышаем безопасность контейнеров Docker

1 год 7 месяцев ago


— Сударь, каким образом вас взломали?
— Не образом, а контейнером.
Старинный анекдот

Все лишние компоненты компьютерной системы могут оказаться источником совершенно необязательных уязвимостей. Поэтому образы контейнеров должны по возможности содержать только то, что нужно приложению. И их размер имеет значение не только с точки зрения удобства дистрибуции, но также стоимости владения и безопасности. В этой статье мы поговорим о методах минимизации размера и поверхности атаки образов Docker, а также об инструментах их сканирования на предмет наличия уязвимостей.

Читать дальше →
olemskoi

[Перевод] «Худшие практики» работы с продуктами резервного копирования на примере Veeam Backup & Replication

1 год 7 месяцев ago
Про “лучшие практики” слышали многие – это рекомендации, которым стоит следовать при развертывании системы для ее оптимальной работы. Однако сегодня я хочу рассказать о “худших практиках” или о распространенных ошибках администраторов в области задач резервного копирования. Поскольку пользователям продуктов не всегда хватает времени, чтобы прочитать множество статей с “лучшими практиками”, а также ресурсов, чтобы внедрить их все, я решил обобщить информацию о том, чего точно следует избегать при работе с продуктами резервного копирования. За “вредными советами” добро пожаловать под кат.

image
Читать дальше →
ahadhari

Видеоконференцсвязь для одной государственной организации: почему нужны аппаратные решения

1 год 7 месяцев ago

Студия телеприсутствия

Итак, однажды мы выиграли тендер на создание ВКС (видеоконференцсвязи) для одного госзаказчика, эксперты которого должны постоянно взаимодействовать с различными министерствами и ведомствами стран СНГ и не только. Серверное ядро системы должно было находиться в Москве у заказчика. Ещё из важного — два больших зала, переговорки, студия телеприсутствия, персональные терминалы для руководства. В общем, много железа.

Нас часто спрашивают, почему нельзя для видеосвязи обойтись какими-нибудь мессенджерами вроде Скайпа для бизнеса. На примере этого проекта будет очень удобно показать, почему нужны именно собственные туннели и собственное серверное ядро.

Итак, давайте сначала посмотрим на инфраструктуру всего проекта оснащения комплекса зданий по этажам.
Читать дальше →
EDmitriev

BGP Fake-AS

1 год 7 месяцев ago
Сегодня я про BGP. Заметки с работы — чтобы не пропадали. Есть такой функционал, как фиктивная AS.
Здесь и далее говорю в нотации Huawei.
Традиционный сценарий использования — это переезд с одного номера АС на другой, например, при покупке сети одного оператора другим. При этом есть стопицот соседей, которые почему-то не могут взять и все разом переехать вместе с нами.

Тогда для них, мы можем настроить пиринг так, будто бы мы остались в старой АС. Если для пира указать команду fake-as, то и в Open и в AS-Path появится именно она, а не новая (настоящая). У циски тот же функционал называется Local-as.

Удобный инструмент, когда используется по назначению.
Читать дальше →
eucariot

Обновления 3CX Client for Android и iOS, и выпуск 3CX SBC для Debian Linux

1 год 7 месяцев ago
Обновление клиента 3CX Client for Android
На этой неделе мы представляем очередное обновление клиента 3CX Client for Android. Примерно месяц назад была выпущена новая версия клиента 3CX Client for Android с возможностью ответа на звонок с экрана блокировки устройства. Данное обновление повышает скорость ответа на звонок, а также включает другие небольшие исправления:

  • Увеличена скорость ответа на входящий вызов
  • При звонках на IVR других систем, где требуется ввод DTMF цифр, эти цифры теперь будут отображаться на экране клиента
  • Исправлены ошибки, о которых сообщали пользователи на Google Play Store
  • Исправлена ошибка, при которой датчик приближения переставал работать при удержании и возобновлении вызова
  • Входящие вызовы иногда не удавалось вывести из удержания
  • Вкладка Сообщения переименована в Чат

Загрузите последнюю версию клиента 3CX Client for Android отсюда.

Полный журнал изменений.

Обновление клиента 3CX Client for iOS
Представляем также обновление нашего клиента 3CX Сlient for iOS. После предыдущего значительного обновления с callkit интеграцией, это обновление содержит только небольшие улучшения, которые еще более повышают удобство работы пользователей:

  • Исправлены случайные обрывы во время разговора
  • Исправлена ошибка, вызывающая сбой приложения при ответе на вызов с экрана блокировки
  • При звонках на IVR других систем, где требуется ввод DTMF цифр, эти цифры теперь будут отображаться на экране клиента
  • Устранены проблемы со звуками уведомлений чата
  • Корректная работа Callkit интеграции при удержании и восстановлении вызова
  • Устранено дублирование записей при вызове из истории вызовов в интерфейсе клиента 3CX Сlient

Загрузите последнюю версию клиента 3CX Client for iOS отсюда.
Читать дальше →
snezhko

Правильное обнаружение проблем с помощью Zabbix

1 год 7 месяцев ago
Алексей Владышев

Алексей Владышев ( alexvl )
Меня зовут Алексей Владышев, я являюсь создателем Zabbix, и в данный момент я отвечаю за его архитектуру и roadmap.

Это вводная лекция, сначала я расскажу, что такое Zabbix, потом – как работает Zabbix с точки зрения высокоуровневой архитектуры и с точки зрения обнаружения проблем. Мы будем говорить о том, как обнаруживать проблемы применительно к Zabbix, как можно использовать Zabbix, чтобы обнаруживать проблемы.
Читать дальше →
olegbunin

Чем СХД отличается от курицы?

1 год 7 месяцев ago
Это история из серии «Записки сервисного инженера». На вопрос ответим чуть позже, а сначала небольшой сказ об одном МАССИВном падении. Недавно в наш Сервисный центр обратился клиент, который решил самостоятельно проапгрейдить массив HDS AMS2000: заменить часть старых дисков на новые большего размера. Со слов заказчика, он вставил новый диск – и один контроллер сломался; вытащил новый диск – и второй контроллер тоже включил аварийную индикацию, а со всех систем пропал доступ к массиву.
А ларчик просто открывался
jetinfosystems

Осторожно: HSTS

1 год 7 месяцев ago
Про HSTS на Хабре уже писали, этот механизм включен в генераторе конфигов для веб-серверов от Mozilla. Написать этот пост я решил за один день столкнувшись с недоступность сразу двух крупных сайтов из-за HSTS.

TL;DRТщательно проверяйте работу сайта по TLS перед включением HSTS, особенно если это большой портал с кучей субдоменов и управляемый разными людьми.
Что такое HSTS?
HSTS (HTTP Strict Transport Security) — это механизм защиты от даунгрейд-атак на TLS, указывающий браузеру всегда использовать TLS для сайтов с соответствующими политиками. Стандарт описан в RFC6797, а политики бывают двух видов:

Динамические
Политика применяется из HTTP-заголовка Strict-Transport-Security при первом заходе на сайт по HTTPS, в нём указан срок действия и применимость к субдоменам:

Strict-Transport-Security: max-age=15768000; includeSubDomains;
Статические
Статические политики захардкожены в браузер и для некоторых сайтов включает привязку к вышестоящему CA, выпустевшему сертификат (например: google.com, paypal.com или torproject.org). Причем она может действовать только когда сайт открыт через TLS, разрешая незащищённое соединение, но блокируя MitM с подменой сертификата.

Список из Chromium используют все популярные браузеры (Firefox, Safari и IE 11+Edge) и добавить в него сайт может любой желающий, если веб-сервер отдаёт заголовок Strict-Transport-Security со сроком действия от двух лет и ключевым словом preload в конце:

Strict-Transport-Security: max-age=63072000; includeSubDomains; preload Читать дальше →
navion

Забавные нюансы Win10 и что с этим делать

1 год 7 месяцев ago
Случайно обнаружил несколько забавных нюансов работы Win10, которые сильно могут потрепать нервы пользователям. Но кто предупрежден — тот вооружен.

1. Safe-mode & Win10
2. Циклическая перезагрузка при установке обновлений.
Читать дальше →
ded_Pihto

[Перевод] Десятка лучших SMB-серверов 2017 года – о некоторых вы наверняка не знали

1 год 7 месяцев ago

image alt text


Портал TechRadar составил собственный ТОП интересных моделей серверов для малого и среднего бизнеса, некоторые из которых малоизвестны. Предлагаю отвлечься от модных облаков и окунуться в разношерстный список старой доброй классики.

Читать дальше →
dimskiy

Лабораторная работа «Обучаемся настраивать сети в GNU/Linux»

1 год 7 месяцев ago
Никто не любит длинные вступления, поэтому сразу к сути.
В данной импровизированной лаборатории я хотел бы осветить работу с сетями в GNU/Linux
и рассмотреть следующие темы:

  1. Изучаем vlan. Строим сеть между vm1, vm2 в одном vlan. Пингуем, ловим пакеты, изучаем заголовки.
  2. Разбиваем vm1 vm2 на разные vlan. Настраиваем intervlan routing с помощью R1.
  3. Iptables. Настраиваем маскарад. Имитируем выход во внешние сети.
  4. Iptables. Настраиваем port forwarding для сервисов на vm1 и v2, которые находятся за NAT.
  5. Iptables. Настраиваем security zones. Изучаем tcp сессии.


З.Ы. все люди ошибаются, я открыт для ваших комментариев, если я написал какую-то глупость, готов ее исправить!
Читать дальше →
bykvaadm

Использование HAproxy iptables+еtcd+confd для автоматического service discovery в переменчивых сетях

1 год 7 месяцев ago


Сергей Пузырёв (Mail.Ru Group)
Меня зовут Сергей Пузырев, я системный администратор в Mail.ru, я занимаюсь проектом «Поиск». Да, на удивление, у Mail.ru есть поиск. Я люблю сервисы, которые не требуют внимания. Я системный администратор, и я не люблю работать системным администратором очень много, я люблю делать так, чтобы работы было меньше, поэтому одно из решений, которое мы пытаемся использовать в своей работе, я вам опишу.


Читать дальше →
olegbunin

Тяжелое расставание с Net-Tools

1 год 7 месяцев ago

Не секрет, что Net-Tools пора на почетную отставку. Да, многим админам и мне в том числе, до условного рефлекса Павлова знакомы команды ifconfig, route, netstat. На первый взгляд нет причин что-то менять, а лучшее как всегда враг хорошего.




Давайте узнаем почему Net-Tools уже не тот и как безболезненно с него перейти на iproute2 .

Читать дальше →
temujin
Выбранный
4 часа 19 минут ago
habrahabr.ru/hub/sys_admin/
Подписаться на лента habrahabr.ru/hub/sys_admin/