А у вас под рукой нет адекватного современного сравнения RDP и spice под Windows и Linux соответственно на медленных каналах? Задумываемся начать перевод клиентов со старого RDP Windows на Терминальную систему под Linux. Но пять лет назад очень огорчило тестирование на каналах в 1-2Мбит. Терминальный сервер Windows работал вполне приемлемо. А вот Linux с RDP, в роли терминального сервера, был неприемлем для офисной работы. При этом клиенты Remmina вполне сносно работали с Windows терминальным сервером.
Для начала контейнер надо будет приготовить вручную под каждую задачу и под каждый Descktop/VDI. Т.к. у каждого потребителя графика нужна под свои задачи. Кому-то Blender. Кому-то Firefox, или Chrome нужной версии, с ворохом именно "вот таких вот" плагинов. С пробросом звука может быть отдельная эпопея. Потом еще на все натянуть автоматизацию пересборки всех контейнеров при выходе очередных патчей безопасности в тех же браузерах. А если попытаетесь запихнуть "все и сразу" в один контейнер, то сможете сильно удивится от его размеров. В бытность развертывания терминальных серверов Windows, индивидуальная "подстройка" рабочих столов, занимала 80% времени от внедрения самого терминального сервера. А если ее не делать, то только ресурсов каждый терминальный клиент выедал в 2-3 раза больше, чем с оптимизацией.
А что появилось интересного в OpenTofu, чего критически не хватает в Terraform? С таким количеством скандалов, вокруг OpenTofu за последний год, желание в его использовании само пропадет.
А что с кластером должно быть не так? Вот прямо сейчас работает живой из трех нод, с glusterfs, на proxmox 8. До этого жил на proxmox 7. Аварии отрабатывает. VM перезапускаются и переезжают по приоритету. Как не странно, у многих заказчиков кластера вообще без HA живут. Т.к. нет у них такой необходимости. Балансировку нагрузок делают ручным перетягиванием VM по нодам.
По моему скромному мнению (возможно не правильному), новые владельцы пытаются получить максимально возможную прибыль от приобретения, пока текущие потребители не разбежались на альтернативные решения. Майкл Делл отделил VMware от своей компании еще в 2021 году из-за плохих финансовых показателей и плохой динамики акций. Жаль будет если VMware уйдет в историю как SUN, со многими хорошими продуктами.
Возможно я что-то пропустил, но вы вроде бы на Debian 12 (bookworm) все запускаете? Тогда для fail2ban наверное надо прописывать nftables-multiport, вместо iptables-multiport. И уж простите за занудство, но править sshd_config очень сильно не рекомендуется. Все необходимые исправления надо сложить в свой конфиг, расположив его в отведенной директории sshd_config.d
Ретроспектива технологий былых времен хороша. Но для актуализации безопасности, на reddit и в других сообществах интересуются, когда docker научится работать с nftables? Ибо iptables повсеместно уходит в deprecated с 2021 года.
В последних релизах 1С 8.3.25 столкнулись с тем, что надо удалять libstdc++.so.6 из комплекта 1С на сервере. Иначе тонкие клиенты не могут нормально печатать многостраничные документы на Kyocera.
К сожалению DevOps быстро выродилось в "тыж программист". Бывший коллега весной менял работу и дважды попадал на собеседование в отделы кадров, где с требованиями DevOps практик, так же требовалось обслуживание/ремонт оргтехники и ККТ. Лет 15 назад в требованиях на вакансию "Одминистраторов" уже попадалось требование 3 группы допуска на электробезопасность до 1000 В. Т.к. иначе выключатели, розетки и лампочки некому менять. Надеюсь с вакансиями DevOps до этого не докатимся.
Так доказательством служит не наклейка, а бухгалтерский документ, в котором все должно быть прописано. Это как права от мотоцикла не подойдут для управления самосвалом, если вас остановит инспектор для проверки документов.
Нормальные продавцы всегда в чеке прописывают даже тип лицензии. Это такая же часть комплектации оборудования, как и все остальное. А если не прописано, то как в старой админской шутке, придется объяснять бухгалтеру закрывающие документы на товар "мозги", с единицей измерения "метры".
Интересно было бы практическое продолжение истории увидеть с последними релизами систем. P.S. Так как все же восстановить стёршийся СОА? Вариация на тему - Как восстановить полусгоревшие права, чтоб на дороге инспектор не докопался? ;-)
Возможно у меня плохой опыт. Но если на проекте, или в дальнейшей эксплуатации отсутствует персона безопасника, то SELINUX=disabled присутствует почти всегда.
Простите великодушно, а за что Kubernetes стал отдельным "термином системного дизайна"? Вы же, например Docker Swarm, или OpenShift не выделили отдельно.
Самое неприятное, что после исчезновения некоторые вещи годами не появляются. Особенно старая музыка. У меня живой пример Divinyls I Touch Myself. Исчезал уже раза два и отсутствовал годами в оригинальном виде. Еще много старых роликов VEVO не вижу последние годы.
В DevOps изначально подразумевался разговор с эксплуатацией и разработкой на одном языке. Но в последние годы DevOps стал вырождаться в "витание в облаках", с напором на программирование. Ну и вишенкой на торте, отвергание DevOps без микросервисной архитектуры.
Уж простите вспомнилось. Попросили тут как-то начинающего DevOps проверить фактическую нагрузку на электросеть от сервера, перед установкой в стойку. Он час провозился с вольтамперметром и без результата сдался. Ибо на нем - "или Вольты, или Амперы только показываются. А вот Ваттов нет." Это я к намеренно выпиливаемому из сознания DevOps пласту знаний, от закона Ома, до хотя бы поверхностного знакомства с аппаратной архитектурой. А то потом приходится объяснять, что Fiber Channel это не мужики с черным кабелем в колодце. В iscsi он "плейбуком" не превратит FC коммутаторы и FC диски в полке. И по FC трафик между k8s узлами бегать не будет.
Простите люди добрые, но за полгода так и не смог понять, почему нельзя использовать и тем более упоминать nftables и дистрибутивы его использующие? Такие как Ubuntu 24.04 или Debian 12. Ведь половина публикуемых в статьях скриптов, или не заработают на этих дистрибутивах, или как минимум сломают nftables правила. Что сакрально-запрещенного в nftables, или в ec криптографии на Хабре, что за них постоянно прилетает в карму? Публикация имеет пометку "Туториал". И прочитавшие могут попытаться ее использовать в лоб. А получат проблемы совсем не там, где надо.
Вы уж простите, но есть пара замечаний. 1. Туннелировать трафик надо начинать от клиента. Т.к. фильтрация трафика начинается сразу на стороне провайдера. Просто еще не все провайдеры это исполняют в полном объеме. И у вас возникла ошибка выжившего. 2. При довольно серьезном подходе к написанию статьи все же следовало бы отказаться от устаревших "комбайнов" по установке Openvpn. Ubuntu 24/Debian 12, с настроенным nftables будут сломаны. Ну и dh ключи при использовании ec криптографии ненужны. Так же easyrsa уже можно не использовать пару лет. Т.к. возможно обойтись fingerprint.
А у вас под рукой нет адекватного современного сравнения RDP и spice под Windows и Linux соответственно на медленных каналах?
Задумываемся начать перевод клиентов со старого RDP Windows на Терминальную систему под Linux. Но пять лет назад очень огорчило тестирование на каналах в 1-2Мбит. Терминальный сервер Windows работал вполне приемлемо. А вот Linux с RDP, в роли терминального сервера, был неприемлем для офисной работы. При этом клиенты Remmina вполне сносно работали с Windows терминальным сервером.
А его настройки и изменения пишутся в ~/rdesktop-data/config?
Проблем со скоростью чтения и записи нет?
Для начала контейнер надо будет приготовить вручную под каждую задачу и под каждый Descktop/VDI. Т.к. у каждого потребителя графика нужна под свои задачи. Кому-то Blender. Кому-то Firefox, или Chrome нужной версии, с ворохом именно "вот таких вот" плагинов. С пробросом звука может быть отдельная эпопея.
Потом еще на все натянуть автоматизацию пересборки всех контейнеров при выходе очередных патчей безопасности в тех же браузерах.
А если попытаетесь запихнуть "все и сразу" в один контейнер, то сможете сильно удивится от его размеров.
В бытность развертывания терминальных серверов Windows, индивидуальная "подстройка" рабочих столов, занимала 80% времени от внедрения самого терминального сервера. А если ее не делать, то только ресурсов каждый терминальный клиент выедал в 2-3 раза больше, чем с оптимизацией.
А что появилось интересного в OpenTofu, чего критически не хватает в Terraform?
С таким количеством скандалов, вокруг OpenTofu за последний год, желание в его использовании само пропадет.
А что с кластером должно быть не так?
Вот прямо сейчас работает живой из трех нод, с glusterfs, на proxmox 8. До этого жил на proxmox 7. Аварии отрабатывает. VM перезапускаются и переезжают по приоритету.
Как не странно, у многих заказчиков кластера вообще без HA живут. Т.к. нет у них такой необходимости. Балансировку нагрузок делают ручным перетягиванием VM по нодам.
По моему скромному мнению (возможно не правильному), новые владельцы пытаются получить максимально возможную прибыль от приобретения, пока текущие потребители не разбежались на альтернативные решения.
Майкл Делл отделил VMware от своей компании еще в 2021 году из-за плохих финансовых показателей и плохой динамики акций.
Жаль будет если VMware уйдет в историю как SUN, со многими хорошими продуктами.
Возможно я что-то пропустил, но вы вроде бы на Debian 12 (bookworm) все запускаете? Тогда для fail2ban наверное надо прописывать
nftables-multiport, вместоiptables-multiport.И уж простите за занудство, но править sshd_config очень сильно не рекомендуется. Все необходимые исправления надо сложить в свой конфиг, расположив его в отведенной директории sshd_config.d
Ретроспектива технологий былых времен хороша. Но для актуализации безопасности, на reddit и в других сообществах интересуются, когда docker научится работать с nftables? Ибо iptables повсеместно уходит в deprecated с 2021 года.
В последних релизах 1С 8.3.25 столкнулись с тем, что надо удалять
libstdc++.so.6из комплекта 1С на сервере. Иначе тонкие клиенты не могут нормально печатать многостраничные документы на Kyocera.К сожалению DevOps быстро выродилось в "тыж программист". Бывший коллега весной менял работу и дважды попадал на собеседование в отделы кадров, где с требованиями DevOps практик, так же требовалось обслуживание/ремонт оргтехники и ККТ.
Лет 15 назад в требованиях на вакансию "Одминистраторов" уже попадалось требование 3 группы допуска на электробезопасность до 1000 В. Т.к. иначе выключатели, розетки и лампочки некому менять. Надеюсь с вакансиями DevOps до этого не докатимся.
Так доказательством служит не наклейка, а бухгалтерский документ, в котором все должно быть прописано.
Это как права от мотоцикла не подойдут для управления самосвалом, если вас остановит инспектор для проверки документов.
Нормальные продавцы всегда в чеке прописывают даже тип лицензии. Это такая же часть комплектации оборудования, как и все остальное.
А если не прописано, то как в старой админской шутке, придется объяснять бухгалтеру закрывающие документы на товар "мозги", с единицей измерения "метры".
Интересно было бы практическое продолжение истории увидеть с последними релизами систем.
P.S. Так как все же восстановить стёршийся СОА?
Вариация на тему - Как восстановить полусгоревшие права, чтоб на дороге инспектор не докопался? ;-)
Возможно у меня плохой опыт. Но если на проекте, или в дальнейшей эксплуатации отсутствует персона безопасника, то
SELINUX=disabledприсутствует почти всегда.Простите великодушно, а за что Kubernetes стал отдельным "термином системного дизайна"?
Вы же, например Docker Swarm, или OpenShift не выделили отдельно.
Самое неприятное, что после исчезновения некоторые вещи годами не появляются. Особенно старая музыка.
У меня живой пример Divinyls I Touch Myself. Исчезал уже раза два и отсутствовал годами в оригинальном виде. Еще много старых роликов VEVO не вижу последние годы.
В DevOps изначально подразумевался разговор с эксплуатацией и разработкой на одном языке. Но в последние годы DevOps стал вырождаться в "витание в облаках", с напором на программирование. Ну и вишенкой на торте, отвергание DevOps без микросервисной архитектуры.
Уж простите вспомнилось.
Попросили тут как-то начинающего DevOps проверить фактическую нагрузку на электросеть от сервера, перед установкой в стойку. Он час провозился с вольтамперметром и без результата сдался. Ибо на нем - "или Вольты, или Амперы только показываются. А вот Ваттов нет."
Это я к намеренно выпиливаемому из сознания DevOps пласту знаний, от закона Ома, до хотя бы поверхностного знакомства с аппаратной архитектурой.
А то потом приходится объяснять, что Fiber Channel это не мужики с черным кабелем в колодце. В iscsi он "плейбуком" не превратит FC коммутаторы и FC диски в полке. И по FC трафик между k8s узлами бегать не будет.
Простите люди добрые, но за полгода так и не смог понять, почему нельзя использовать и тем более упоминать
nftablesи дистрибутивы его использующие? Такие какUbuntu 24.04илиDebian 12. Ведь половина публикуемых в статьях скриптов, или не заработают на этих дистрибутивах, или как минимум сломаютnftablesправила.Что сакрально-запрещенного в
nftables, или вecкриптографии на Хабре, что за них постоянно прилетает в карму?Публикация имеет пометку "Туториал". И прочитавшие могут попытаться ее использовать в лоб. А получат проблемы совсем не там, где надо.
Вы уж простите, но есть пара замечаний.
1. Туннелировать трафик надо начинать от клиента. Т.к. фильтрация трафика начинается сразу на стороне провайдера. Просто еще не все провайдеры это исполняют в полном объеме. И у вас возникла ошибка выжившего.
2. При довольно серьезном подходе к написанию статьи все же следовало бы отказаться от устаревших "комбайнов" по установке Openvpn. Ubuntu 24/Debian 12, с настроенным nftables будут сломаны. Ну и
dhключи при использованииecкриптографии ненужны. Так же easyrsa уже можно не использовать пару лет. Т.к. возможно обойтись fingerprint.