Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Раздел полезных советов: Обновление сертификатов oVirt, auto_tips (?), 28-Фев-23, (0) [смотреть все] libvirtd 2101 The server certificate etc pki vdsm certs vdsmcert pem has ex, пох. (?), 21:17 , 28-Фев-23, (1) // CA находится на oVirt Engine Если oVirt развёрнут по схеме HostedEngine, то ВМ , casm (ok), 05:34 , 01-Мрт-23, (2) // а она штатно не запущена что-ли Т е это не сама engine а какая-то отдельная то, пох. (?), 16:12 , 05-Мрт-23, (8) // CA сделан на базе openssl, находится на виртуалке с engine работает постоянно, о, casm (ok), 17:03 , 05-Мрт-23, (9) а, ясно, то есть при штатной работе не требуется, только если сам зачем-то и сло, пох. (?), 17:22 , 05-Мрт-23, (10) Доступ к документации Red Hat открывается за час 1 регистрируемся в Red Hat Dev, Noname (??), 14:14 , 01-Мрт-23, (3) Там еще такой сертификат есть etc pki vdsm libvirt-vnc server-cert pem и он тож, RHEL Fan (?), 21:33 , 03-Мрт-23, (4) Про VDSM забыли, pofigist (?), 12:48 , 04-Мрт-23, (5) несколько вопросов автору 0 можно ли обойтись без сертификатов вообще наприме, ivan_erohin (?), 08:51 , 05-Мрт-23, (6)   // 0 сложно сказать - я сисадмин, а не разработчик oVirt Исходный код доступен ht, casm (ok), 10:37 , 05-Мрт-23, (7)   // а перезагружать сервис ради обновления сертификатов идея не сомнительная есть un, 54r (?), 06:38 , 06-Мрт-23, (11) –1   // 1 Сертификаты Let s Encrypt можно использовать только для web-консоли, для хост, casm (ok), 08:58 , 06-Мрт-23, (12)   Честно говоря не вижу большой разницы, на мой вгляд это тоже самое, что менять п, 5к (?), 02:35 , 07-Мрт-23, (15)   а зачем его менять раз в год Вот и с сертификатом такая же херня Чем реже ты ус, пох. (?), 11:01 , 07-Мрт-23, (16)   Это факт, 3 5 калечные насройки, а самое прикольное что оно кэширует результат и, 5к (?), 01:05 , 10-Мрт-23, (17) +1   daemon-reload должен это сбрасывать гуглить ceph war story в окрестностях редд, пох. (?), 17:02 , 11-Мрт-23, (18)   Да, это работает, вот только пока разобрались, У ceph, разве что в заголвке сай, qq (??), 01:20 , 20-Мрт-23, (19)   нет если софтверный архитектор этого продукта был чудак или недотыкомка,то некот, ivan_erohin (?), 15:57 , 06-Мрт-23, (13)   Не согласен Любой удачный инструмент со временем может начать использоваться не, 5к (?), 01:14 , 07-Мрт-23, (14)   во чего нашел зацените https admx help Category Windows_11_2022 Policy Micro, ivan_erohin (?), 07:45 , 31-Мрт-23, (20) +1   да, пока оно еще не ушло совсем в историю - на днях выяснял, что в аналогичном с, пох. (?), 13:57 , 08-Авг-23, (21) Добрый день Спасибо большое за инструкцию А подскажи, пожалуйста, каким путем л, Alexey (??), 13:26 , 02-Мрт-24, (22) 1,3,4,5,6,21,22

Сообщения

[Сортировка по времени | RSS]

6. "Обновление сертификатов oVirt"	+/–
Сообщение от ivan_erohin (?), 05-Мрт-23, 08:51
несколько вопросов автору: 0) можно ли обойтись без сертификатов вообще ? например чисто ssh и его "pki". 1) можно ли выпустить сертификаты сроком действия на 100-500 лет ? 2) можно ли перезавести всю систему на сертификатах летс энкрипт ? (inb4 "кто они ваще такие чтобы сертифицировать мои ключи"). 3) знает ли автор что потеря производительности при виртуализации составляет от 5% до 20% (зависит от настроек ВМ, гипервизора и фазы луны) ? измерял ли автор потери при данном решении ?
Ответить | Правка | Наверх | Cообщить модератору

	7. "Обновление сертификатов oVirt"	+/–
	Сообщение от casm (ok), 05-Мрт-23, 10:37
	0) сложно сказать - я сисадмин, а не разработчик oVirt. Исходный код доступен https://github.com/oVirt думаю если его изучить, то найдёте решение 1) теоретически можно отредактировать файлы openssl https://github.com/oVirt/ovirt-engine/blob/master/packaging/... на практике не проверял 2) сертификаты web-интерфейса oVirt Engine можно перевести на Let's Encrypt https://habr.com/ru/post/424127/, https://www.ovirt.org/documentation/administration_guide/#Re... для обмена между engine и хостами виртуализации используются самоподписные сертификаты, созданные на engine. По-умолчанию CA находится на ваших серверах, под вашим управлением. Переводить их в зависимость от внешних служб, для меня - сомнительная идея. 3) потеря производительности при виртуализации будет заметна при интенсивном использовании CPU и памяти (СУБД, задачи САПР) - для таких задач лучше использовать физические сервера. Виртуализацию лучше использовать для мало или средне нагруженных задач - появится возможность миграции между хостами, динамически менять объём ОЗУ и кол-во процессоров ВМ если не будет хватать ресурсов для задачи. На моей практике производительность больше упирается в ограничения ввода/вывода дисковой системы - когда несколько ВМ совместно используют хранилище.
	Ответить | Правка | Наверх | Cообщить модератору

	11. "Обновление сертификатов oVirt"	–1 +/–
	Сообщение от 54r (?), 06-Мрт-23, 06:38
	> Переводить их в зависимость от внешних служб, для меня - сомнительная идея. а перезагружать сервис ради обновления сертификатов идея не сомнительная? есть unit который умеет менять сертификаты без перезагрузки, не скажу, что сервис на 100% доступен при этом, просто не проверял. > потеря производительности при виртуализации будет заметна при интенсивном использовании CPU и памяти (СУБД, задачи САПР) - для таких задач лучше использовать физические сервера. Очень сомнительное утверждение, физический сервер в любой момент может сломаться, и начнется пляска с бубном для его поднимания, для виртуалок даже без HA это решается в пару кликов
	Ответить | Правка | Наверх | Cообщить модератору

	12. "Обновление сертификатов oVirt"	+/–
	Сообщение от casm (ok), 06-Мрт-23, 08:58
	1. Сертификаты Let's Encrypt можно использовать только для web-консоли, для хостов (гипервизоров) используется внутренний CA. Перезапускать службы при обновлении сертификатов хоть let's encrypt, хоть собственных в любом случае придётся. Только вот с let's encrypt это придётся делать раз в 90 дней, а с собственными - раз с год. 2. Физические сервера, естественно, нужно дублировать. Для защиты служб есть кластерные решения: Pacemaker/Corosync, Oracle Clusterware, MS Cluster Services.
	Ответить | Правка | Наверх | Cообщить модератору

	15. "Обновление сертификатов oVirt"	+/–
	Сообщение от 5к (?), 07-Мрт-23, 02:35
	> раз в 90 дней, а с собственными - раз с год. Честно говоря не вижу большой разницы, на мой вгляд это тоже самое, что менять пароль root на каждом сервере раз в год. > 2. Физические сервера, естественно, нужно дублировать. Для защиты служб есть кластерные > решения: Pacemaker/Corosync, Oracle Clusterware, MS Cluster Services. есть, но это довольно высокоуровневые решения особенности взаимодействия которых могут быть неожиданными, например у нас недавно сервер лег - сдох диск, из состава ceph, служба отвалилась, systemd решил признать сервер аварийным и перевел его в режим восстановление погасив при этом остальные osd. Какбы не первый диск и даже не из первого десятка, и отрабатывало адекватно, а тут вдруг так.. думаю тут применимо главное правило - работает - не трогай))
	Ответить | Правка | Наверх | Cообщить модератору

	16. "Обновление сертификатов oVirt"	+/–
	Сообщение от пох. (?), 07-Мрт-23, 11:01
	> Честно говоря не вижу большой разницы, на мой вгляд это тоже самое, > что менять пароль root на каждом сервере раз в год. а зачем его менять раз в год? Вот и с сертификатом такая же херня. Чем реже ты устраиваешь сам себе катастрофу - тем меньше шансов что что-то пойдет не так. С сертификатом используемым через браузер есть ровно одна проблема - что современные браузеры под контролем то ли вредителей из спецслужб то ли полезных идиотов перестают вообще поддерживать сертификаты более чем с годовым сроком действия. Но внутри системы где нет никакого браузера, полагаю, действительно можно хоть раз в сто лет их менять. > есть, но это довольно высокоуровневые решения особенности взаимодействия которых могут > быть неожиданными, например у нас недавно сервер лег - сдох диск, ну в целом ничего неожиданного - мы и так знаем что и системдрянь дерьмо и ceph оно же ж, и несколько osd на одном сервере плохая идея и так делают от бедности, не всегда понимая даже что это не redundancy а наоборот spof. Но в копилочку идеям bare-metal-фобов добавлю еще один аргумент - у нас с некоторых пор даже плохо ложащиеся в концепцию хосты с черезмерным требованием к ресурсам (то есть для них нет никакой live migration, к примеру, некуда) - решено ставить в вм... если это линукс. Причина - ... ага, правильно - современные энтерпрайзные железки с ним плохо совместимы (браво dell с сертификацией 16й убунты... ну да, 16я на него ставится. Вот с 22 уже не все так красиво). А так он ничего напрямую не видит - вот и не страдает. Ни тебе spirious interrupts полный лог, ни внезапных крэшей xfs... (Правда, у нас все же sphere. Например, с vNUMA и многими другими неожиданными фичами. Не уверен что с kvm получилось бы хорошо.)
	Ответить | Правка | Наверх | Cообщить модератору

	17. "Обновление сертификатов oVirt"	+1 +/–
	Сообщение от 5к (?), 10-Мрт-23, 01:05
	> системдрянь дерьмо Это факт, 3.5 калечные насройки, а самое прикольное что оно кэширует результат и при явной команде запуска службы ничего не делает вообще, просто сообщает что запуск был неудачным, а то что это было 20 мин назад и все починили дозвезды. > и ceph оно же ж ну тут хз, работает уже сколько лет, скорость конечно так себе, но блин, работает и сервера вылетали и упски дохли и кондишены умирали, а данные живы. > современные энтерпрайзные железки с ним плохо совместимы Сравнительно недавно выкинули железный сервер на убунте 10 или 12, где был контроллер потока е1, с проприетарным разумеется драйвером только для того конкретного ядра, так что "современность" несовместимости это такое, всегда была.. надо просто избегать подобных решений, и открытые проекты отлично этому способствуют, поэтому как-то так вышло что у нас тут секта свидетелей столмана образовалась. > несколько osd на одном сервере плохая идея осд это которые диск обслуживают, pg может быть?  по одному диску на сервер - вообще глупость получается, сервер как преобразователь с сата на эзернет работает, причем чертовски неэффективный
	Ответить | Правка | Наверх | Cообщить модератору

	18. "Обновление сертификатов oVirt"	+/–
	Сообщение от пох. (?), 11-Мрт-23, 17:02
	> Это факт, 3.5 калечные насройки, а самое прикольное что оно кэширует результат daemon-reload должен это сбрасывать. > ну тут хз, работает уже сколько лет гуглить "ceph war story" в окрестностях реддита. Я, увы, не имею доступа к той системе где осталась закладочка. Там все прекрасно - и причина, и эффект, и как разбирались, и как починили - но наиболее прекрасное из именно относящегося к самому ceph - это поиски тех физических носителей из-за которых все навернулось. Шерклокхламс отдыхает. > Сравнительно недавно выкинули железный сервер на убунте 10 или 12, где был контроллер потока е1 с ними в линуксах исторически было неочень - производители категорически не давали спеки, а желающих воевать тоже не слишком много находилось. Но тут все проще - энтерпрайзные железяки (то есть такое что производится сотнями тыщ и стоит по всем цодам всего мира), дрова к которым вроде бы даже и нормальные (ну, вот не считая spirious interrupts и отвалов fc потому что линух не умеет нормально в fc) но ты попробуй-ка установись. Вот к примеру убунта при установке - норовит без предупреждения пощупать всю usb-периферию. Ой, и сресетить заодно виртуальную шинку на которой висит образ установочного диска. Потому что она видимо по факту usb, в sata превращается где-то по дороге виртуально. 16 так не делала, вот для нее и сертифицировано. Что там было с редхатоидами - уже не упомню, но тоже что-то не слава Б-гу, и еще и отвалы xfs по неведомым причинам. (Тоже известная фича, и.. тоже прекрасно лечится виртуализацией вот ровно на той же самой железке) > осд это которые диск обслуживают угу. Последствия при отвале сервера с таким цирком - иногда немного превышают ожидания (по сути всегда когда кластер достаточно большой - не уследишь просто). Угадаешь, что предлагает редхат в качестве основного и рекомендуемого решения? Ну чтоб вот не один диск на сервер (на самом деле - хорошо. но дорого. sas2ethernet коннектор это _хорошо_ пока мы можем их параллельно задействовать МНОГО) Ой: "а вы ставьте их поверх hardware raid6". Спасибо, ребята, как бы мы без вас... (Если что, для gluster, который куда меньше чреват сюпризами при такой работе - тем не менее, у них действует та же самая рекомендация. Там, правда, подоплека другая.)
	Ответить | Правка | Наверх | Cообщить модератору

	19. "Обновление сертификатов oVirt"	+/–
	Сообщение от qq (??), 20-Мрт-23, 01:20
	> daemon-reload Да, это работает, вот только пока разобрались,.. > Ой: "а вы ставьте их поверх hardware raid6" У ceph, разве что в заголвке сайта нет варнинга не использовать его поверх других прослоек. > gluster, который куда меньше чреват сюпризами при такой работе Возможно, но старый баг лучше новых двух, вот на 8 марта очередной диск улетел в края вечной охоты, и никто и не заметил, хотя перебалансировка обычно заметно просаживает производительность, но на выходных как-то так прошло само. > еще и отвалы xfs по неведомым причинам не сталкивался, хотя допускаю, всякое бывало, например, - утечки памяти mysql базы которой размещены на btrfs которая лежит виртуалкой на zfs, вот это просто ох...ня история, mysql выполняет запрос, и толи нить бтрфс виснит, толи самой бд, но со временем именно бд быхватывает terminate от oom.
	Ответить | Правка | Наверх | Cообщить модератору

	13. "Обновление сертификатов oVirt"	+/–
	Сообщение от ivan_erohin (?), 06-Мрт-23, 15:57
	> а перезагружать сервис ради обновления сертификатов идея не сомнительная? нет. если софтверный архитектор этого продукта был чудак или недотыкомка, то некоторые параметры можно сменить только через рестарт сервиса (или вообще через полную перезагрузку. так тоже бывает).
	Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

	14. "Обновление сертификатов oVirt"	+/–
	Сообщение от 5к (?), 07-Мрт-23, 01:14
	Не согласен. Любой удачный инструмент со временем может начать использоваться "не совсем" так как задумывалось автором, начиная с ethernet и ip, эти костыли буквально составляют мир it. И тот факт, что какойто параметр надо менять онлайн и есть часть "не совсем" составляющей.
	Ответить | Правка | Наверх | Cообщить модератору

	20. "Обновление сертификатов oVirt"	+1 +/–
	Сообщение от ivan_erohin (?), 31-Мрт-23, 07:45
	во чего нашел. зацените: https://admx.help/?Category=Windows_11_2022&Policy=Microsoft... "Note: If no reboot is forced, the access right does not take effect until the operating system is restarted." > Любой удачный инструмент со временем может начать использоваться "не совсем" так как задумывалось автором групповые политики проектировались так, чтобы применяться и действовать сразу без всяких перезагрузок. но кто-то где-то не осилил ...
	Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема