DP
Ну хочет человек быть некомпетентным - пусть
быть некомпетентным - его право, а вот админ, допустивший его к подъему всяких контейнеров на проде - должен быть уволен 🤷
Size: a a a
2020 July 31
i
быть некомпетентным - его право, а вот админ, допустивший его к подъему всяких контейнеров на проде - должен быть уволен 🤷
Может админ его прода - это он и весь прод один сервер
DP
Может админ его прода - это он и весь прод один сервер
тогда печаль, да
AS
как в вагранте при создании вытянуть паблик ssh ключи с машин чтобы потом дать другим логинится на машины через ssh? или лучше для каждого пользователя свои сгенерить
R
А какие практики для доступа к бд на удаленном сервере?
Открывать по паролю - плохо,а что хорошо? Доступ по ip\настройка туннеля?
Открывать по паролю - плохо,а что хорошо? Доступ по ip\настройка туннеля?
С
Как обладание паблик ключём машины помогает на нее логиниться по ssh?
AS
Как обладание паблик ключём машины помогает на нее логиниться по ssh?
ну или как там это происходит? ))
С
Тебе надо наоборот на машинки провиженить паблик ключи людей которые будут туда ходить
AS
а точно :)
AS
короче это тупо шелл скриптом?
С
Я не силен в варианте. Можно ансиблом раскидывать их
AS
Я не силен в варианте. Можно ансиблом раскидывать их
в вагранте когда создаешь машины можно указывать баш скрипт коорый должен выполнится после старта
С
Ну вот в него забивай все паблик ключи людей которые будут туда ходить и пускай этот скрипт кладет их куда нужно
AS
А какие практики для доступа к бд на удаленном сервере?
Открывать по паролю - плохо,а что хорошо? Доступ по ip\настройка туннеля?
Открывать по паролю - плохо,а что хорошо? Доступ по ip\настройка туннеля?
может по shh ключу ?) внутри тоннеля .. ipsec.. ike2
AR
А какие практики для доступа к бд на удаленном сервере?
Открывать по паролю - плохо,а что хорошо? Доступ по ip\настройка туннеля?
Открывать по паролю - плохо,а что хорошо? Доступ по ip\настройка туннеля?
Зависит от целей. Если нужно чтобы 2,5 разраба туда ходили , то проще всего настроить SSH-тоннель с их ключами. Если нужно чтобы туда ходила толпа народу, то стоит развенуть OpenVPN+PKI и ввести RBAC на основе возможностей самой БД , т.е не давать лишних прав тем, кому они нужны + также максимально обложиться логами, чтобы если кто-то накосячит и удалит что-то не то, то сразу можно было вычислить юзера, который это сделал. Вообще, ситуация когда нужно ПОСТОЯННО руками лазать в прод-базу довольно странная
AS
а ваергуард тунель норм?
AS
Тебе надо наоборот на машинки провиженить паблик ключи людей которые будут туда ходить
а приват кей тогда где , на клиентах?аа, понял
I
need halp. есть куб, в нем есть кластер nifi из 3 подов, кластер заводится в связке с zookeeper (если это имеет значение). сперва поды тусили где попадет, включая споты, сейчас строго на выделеных зарезервированных серверах. иногда, хуй пойми когда именно один из подов отваливается от кластера и не может присоединится назад, в логах - `local flow is different from cluster flow`и под сваливается в CrashLoopBackOff. вернуть назад в кластер получается, если только руками удалить flow.xml.gz с падающего пода, но это что-то не решение вообще
EN
Нужен совет. Как лучше мониторить Django в продакшене, подключить ELK? Есть какое-то альтернативное хорошее решение стеку ELK, а то я пользовался только им. Мне нужно как-то мониторить контейнеры с django и postgresql)
U
ЕЛК не про мониторинг же