Inzerujte na AbcPráce.cz od 950 Kč

napište » Zprávičky

dnes 13:00 | Zajímavý projekt

Na GitHubu byl publikován reprodukovatelný návod, jak rozchodit Adobe Lightroom CC na Linuxu a Wine. Návod byl vytvořený pomocí AI Claude Code.

Ladislav Hagara | Komentářů: 0

Waylandcraft, Wayland kompozitor v Minecraftu

dnes 12:33 | Humor

Pokud by někdo potřeboval Wayland kompozitor uvnitř počítačové hry Minecraft, aby mohl zobrazovat okna desktopových aplikací přímo v herním prostředí, může sáhnout po Waylandcraftu. Ukázka na YouTube.

Ladislav Hagara | Komentářů: 0

Terminál, TTY a shell

včera 23:55 | Zajímavý článek

Uroš Popović v krátkém článku vysvětluje, co jsou emulátor terminálu, TTY a shell a jaké jsou mezi nimi rozdíly. Jde o první díl seriálu na jeho novém webu Linux Field Guide věnovaném nízkoúrovňové práci s linuxovými systémy.

|🇵🇸 | Komentářů: 0

Debian 13.5 a 12.14

16.5. 22:33 | Nová verze

Byl vydán Debian 13.5, tj. pátá opravná verze Debianu 13 s kódovým názvem Trixie a Debian 12.14, tj. čtrnáctá opravná verze Debianu 12 s kódovým názvem Bookworm. Řešeny jsou především bezpečnostní problémy, ale také několik vážných chyb. Instalační média Debianu 13 a Debianu 12 lze samozřejmě nadále k instalaci používat. Po instalaci stačí systém aktualizovat.

Ladislav Hagara | Komentářů: 0

CiviCRM 6.14.0

15.5. 12:55 | Nová verze

CiviCRM (Wikipedie) bylo vydáno v nové verzi 6.14.0. Podrobnosti o nových funkcích a opravách najdete na release stránce. CiviCRM je robustní open-source CRM systém navržený speciálně pro neziskové organizace, spolky a občanské iniciativy. Projekt je napsán v jazyce PHP a licencován pod GNU Affero General Public License (AGPLv3). Český překlad má nyní 45 % přeložených řetězců a přibližuje se milníku 50 %. Potřebujeme vaši pomoc, abychom se dostali dál. Pokud máte chuť přispět překladem nebo korekturou, přidejte se na platformu Transifex.

jardaIT | Komentářů: 3

Zranitelnost ssh-keysign-pwn

15.5. 12:22 | Bezpečnostní upozornění

Další lokální zranitelností Linuxu je ssh-keysign-pwn. Uživatel si může přečíst obsah souborů, ke kterým má právo ke čtení pouze root, například soubory s SSH klíči nebo /etc/shadow. V upstreamu již opraveno [oss-security mailing list].

Ladislav Hagara | Komentářů: 2

Singularity, nejnovější otevřený film od Blender Studia

14.5. 17:22 | Komunita

Singularity (YouTube) je nejnovější otevřený film od Blender Studia. Jedná se o jejich první 4K HDR film.

Ladislav Hagara | Komentářů: 14

Vyšla hra Život Není Krásný: Poslední Exekuce

14.5. 16:55 | Zajímavý software

Vyšla hra Život Není Krásný: Poslední Exekuce (Steam, ProtonDB). Kreslená point & click adventura ze staré školy plná černého humoru a nekorektního násilí. Vžijte se do role zpustlého exekutora Vladimíra Brehowského a projděte s ním jeho poslední pracovní den. Hra volně navazuje na sérii Život Není Krásný.

Ladislav Hagara | Komentářů: 28

Fedora Hummingbird Linux

14.5. 14:00 | Zajímavý projekt

Společnost Red Hat představila Fedora Hummingbird, tj. linuxovou distribuci s nativním kontejnerovým designem určenou pro vývojáře využívající AI agenty.

Pinhead | Komentářů: 6

Dusklight, hra The Legend of Zelda: Twilight Princess na počítačích a mobilních zařízeních

14.5. 02:22 | Zajímavý software

Hru The Legend of Zelda: Twilight Princess od společnosti Nintendo si lze nově díky projektu Dusklight (původně Dusk) a reverznímu inženýrství zahrát i na počítačích a mobilních zařízeních. Vyžadována je kopie původní hry (textury, modely, hudba, zvukové efekty, …). Ukázka na YouTube. Projekt byl zahájen v srpnu 2020.

Ladislav Hagara | Komentářů: 0

Centrum | Napsat | Starší

navrhněte » Anketa

Komentářů: 30, poslední 3.4. 20:20

Rozcestník

AbcLinuxu

HDmag.cz

AbcLinuxu:/ Poradna / Linuxová poradna / Redundance na urovni webserveru - synchronizace uzivatelu

Štítky: Ceph, CPU, Cron, FUSE, Internet, Kerberos, klient, Linux, loadbalancer, nastavení, NFS, problém, projekt, Samba, síť, souborové systémy, storage, synchronizace, uživatel, www

Dotaz: Redundance na urovni webserveru - synchronizace uzivatelu

17.3.2017 15:19 MP
Redundance na urovni webserveru - synchronizace uzivatelu

Přečteno: 405×

Odpovědět | Admin

Zdravim,

teoreticky odpoved na tema znam, ale prakticky je to trochu slozitejsi. Schema zapojeni je zhruba takto:

klient -> loadbalancer -> redundantni webservery -> shared storage

Vzhledem k tomu, ze na ceph nemame dost hw a specialne cephfs neni jeste ve vhodnem stavu, glusterfs je zase pres fuse zoufale pomaly a vyrazne zatezuje cpu na strane webserveru, vratili jsme se k nfs. A ted jde o to, ze ty redundantni webservery sdili vice projektu najednou. Z toho vyplyva samozrejme otazka, jak budou nastaveni uzivatele tech projektu. Varianty jsou klasicky:

1] 1 projekt = 1 projektovy uzivatel (napr. pres php-fpm)

2] vsechny projekty = 1 uzivatel (webserver)

Nejvice by se hodila varianta 1], aby v pripade hacknuti webu se zmensila sance napadeni dalsich webu. Problem je ale, jak pak synchronizovat uzivatele mezi jednotlivymi servery. NFS4 nam umoznuje jak kerberos, tak uid/gid variantu. Pokud bych mel zcela uzavrenou sit, tak ta uid/gid varianta by sla pres nejaky CM/orchestrace, ale jsme v roce 2017 a spolehnout se na uzavrenost nemuzu, takze nejdrive zkousim reseni s overovanim stroje pres kerberos. Mam tu samba4 domenu, takze muzu vyuzit tu, anebo muzu vyuzit freeipa. Otazka zni, co je lepsi? Jedno prostredi na spravu vcetne ekosystemu a jeho vyuziti, nebo dalsi domenove servery s odlisnou spravou a pak v pripade potreby propojovat na samba domenu, ale zase vice stavene na linux. Druha a dost neprijemna vec jsou samotne kerberos casove tikety. Procesy www serveru jsou samozrejme neinteraktivni, takze takovy kinit samy nezavolaji (+heslo). Takze to nejak resit pres cron, nebo asi lepe resit pres keytab, ktery by treba byl ulozen v projektovem adresari, aby byl shodny na vsech strojich. Kazdopadne, nevim jak se to chova pri zmenach apod.

Nema nekdo v provozu neco obdobneho, klidne i s jinymi sluzbami? Tedy, vice serveru poskytujici tu samou sluzbu pres stejneho uzivatele a musi tedy mit tohle vyresene? Rad bych se vyhnul zprovozneni neceho, co je zacne byt nepouzitelne po nasazeni nekolika projektu, i kdyz se to tak netvari.

Panove Heron, Max, Kapica?

Nástroje: Začni sledovat (0) ?

Odpovědi

17.3.2017 17:43 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Redundance na urovni webserveru - synchronizace uzivatelu

Problem je ale, jak pak synchronizovat uzivatele mezi jednotlivymi servery.

Asi mi něco uniká, ale co synchronizovat řádky z /etc/passwd a /etc/group?

17.3.2017 22:41 MP
Rozbalit Rozbalit vše Re: Redundance na urovni webserveru - synchronizace uzivatelu

K cemu mi to pomuze v pripade kerberosu?

17.3.2017 18:35 Peter Golis | skóre: 65 | blog: Bežné záležitosti | Bratislava
Rozbalit Rozbalit vše Re: Redundance na urovni webserveru - synchronizace uzivatelu

Niečo mi uniká, ale nepoužíva sa na toto centrálna správa užívateľov napríklad cez LDAP alebo AD?

17.3.2017 22:42 MP
Rozbalit Rozbalit vše Re: Redundance na urovni webserveru - synchronizace uzivatelu

Rekneme, ze pouziva. Ale porad to vyzaduje TGT v pripade AD/FreeIPA.

17.3.2017 21:26 Hates
Rozbalit Rozbalit vše Re: Redundance na urovni webserveru - synchronizace uzivatelu

A co docker a volumy s daty pripojovat pri startu containeru z nfs serveru. Treba netapp. Konfigurace apache ae natahne v containeru treba z gitu. Neresis uzivatele v containerech a kazdy apache bude oddelen. Veskere promenne resit pres env pri startu. Jednoduche a funkcni. Pokud budes mit vetsi cluster tak nasadit treba kubernetes a resit jednotlive instance pomoci replik.

17.3.2017 22:55 MP
Rozbalit Rozbalit vše Re: Redundance na urovni webserveru - synchronizace uzivatelu

Na kontejnery nejsou lidske zdroje ani znalosti a asi bych si je na tyhle veci netroufnul nasadit v nasem prostredi.

Založit nové vlákno • Nahoru

Tiskni Sdílej: