Нет никакого единственного патрони. У каждого инстанса постгреса под боком свой инстанс патрони, который за этим инстансом постгреса следит. Инстансы патрони между собой постоянно состоянием обмениваются. Рафт, вроде бы, сейчас уже из патрони выпилили за непопулярностью; обычно все настраивают с синхронизацией состояний инстансовчерез кластер etcd/consul. Если текущий "мастер" перестаёт слать в условный etcd периодический апдейт о том, что он в порядке, то другие инстансы по определенному алгоритму пытаются схватить его тапки. У кого получилось, тот свой подшефный инстанс постгреса повышает до звания мастера; остальные инстансы патрони свои подшефные постгресы перенастраивают чтобы те были репликами с нового мастера. Вот и вся магия, если очень грубо на пальцах обьяснять.
Вообще документация и исходники патрони не безумно объёмные. Три-четыре неспешных часа хватает чтобы подробно понять как у него внутре неонка работает.
Но делать так, чтобы были заметные шансы того, что однажды один-единственный сдохший диск на ходу под живым сервисом поменять не получится, и сервис в итоге ляжет на то время, пока вы данные из бэкапа будете доставать, глупо. Особенно учитывая, что лишние диски, сильно уменьшающие вероятность такой ситуации, стоят, в общем-то копейки.
А у вас для всех пользователей и железок один и тот же TOTP seed используется? Он просто где-то, условно говоря, в конфиге всех инстансов Бастиона и всех инстансов TACACS раскатан? Или каждый Бастион пользуется своим личным TOTP seed (одним для всех пользователей и железок, тут я городить разные смысла не вижу), а каждый TACACS знает все seed от всех существующих бастионов и просто проверяют чтобы пришедший в запросе аутентификации OTP пароль совпал хотя бы с одним из них?
Ну в радиусе ничего кроме пароля, конечно, не шифруется вообще никак, но там уже ничего прям секретного-тайного нет. А подменить содержимое на лету просто так не выйдет т.к. в радиусе предусмотрена контрольная сумма пейлоада, которая считается с учетом значения PSK (короче говоря, простейшая, но подпись).
Ну и радиус, навскидку, при желании прикрутить не так сложно должно быть. По-сути можно взять прямо ванильный freeradius и к нему дописать только TOTP модуль (ну, возможно, ещё модуль для IAM если у вас сейчас TACACS сначала проверяет есть ли у данного юзернейма вообще права на железку ходить)
Вы, по-моему, теорию что такое патрони и зачем оно понаслышке знаете, а вот практики с ним не имели. Ещё раз: один инстанс патрони следит за одним инстансом постгреса. Сколько инстансов постгреса есть - столько инстансов патрони нужно для отслеживания их состояния. Инстансы патрони договариваются между собой о том, чей инстанс постгреса будет мастером, кто репликами и каждый из них соответственно пинает свой подконтрольный инстанс постгреса.
Конечно. Ведь, как ни читаешь хорошие новости, так они всегда про то, как здорово будет когда-нибудь потом. Только вот "потом" оно всегда будет потом, оно никогда не бывает сейчас
Я так понимаю, что вы взяли стандартные опенсорсные вещи, собрали стандартный HA сетап постгреса и продаёте это как уникальное российское решение? Никогда такого импортозамещения не было и вот опять.
Я так и не понял что мешает одновременно использовать в базе номер кузова как первичный ключ (ну он же реально должен быть уникальным, а если вы пытаетесь забить в базу такой же номер второй раз, то должно ругнуться и сказать: "такой номер уже есть, вот он, давайте разбирайтесь кто из них правильный, а кто с опечаткой/машину спёртую водит") и дать возможность пользователю его менять?
Соцсети никогда ничего не удаляют?!? Никогда такого не было и вот опять!
Запомните, детишки, если какой-то ресурс предоставляет вам бесплатный сервис, то товар - это вы, которым можно показывать рекламу и чьи данные можно продавать.
Требование type-с затормозит ввод новых коннекторов
Напомню, что изначально ЕС форсировал microUSB. И ничего, с устаревшего microUSB на type-c переехали без проблем в своё время. Вы вот, кажется, переезд настолько не ощутили, что даже забыли про него. И на следующий разъём переедут точно так же когда понадобится.
Нет никакого единственного патрони. У каждого инстанса постгреса под боком свой инстанс патрони, который за этим инстансом постгреса следит. Инстансы патрони между собой постоянно состоянием обмениваются. Рафт, вроде бы, сейчас уже из патрони выпилили за непопулярностью; обычно все настраивают с синхронизацией состояний инстансовчерез кластер etcd/consul. Если текущий "мастер" перестаёт слать в условный etcd периодический апдейт о том, что он в порядке, то другие инстансы по определенному алгоритму пытаются схватить его тапки. У кого получилось, тот свой подшефный инстанс постгреса повышает до звания мастера; остальные инстансы патрони свои подшефные постгресы перенастраивают чтобы те были репликами с нового мастера. Вот и вся магия, если очень грубо на пальцах обьяснять.
Вообще документация и исходники патрони не безумно объёмные. Три-четыре неспешных часа хватает чтобы подробно понять как у него внутре неонка работает.
Ни разу не замена, спору нет.
Но делать так, чтобы были заметные шансы того, что однажды один-единственный сдохший диск на ходу под живым сервисом поменять не получится, и сервис в итоге ляжет на то время, пока вы данные из бэкапа будете доставать, глупо. Особенно учитывая, что лишние диски, сильно уменьшающие вероятность такой ситуации, стоят, в общем-то копейки.
Бэкап ещё восстановить нужно, а это время жрёт.
А сколько у вас, простите, всего было пересборок больших RAID5 за двадцать лет стажа?
Хммм...
А у вас для всех пользователей и железок один и тот же TOTP seed используется? Он просто где-то, условно говоря, в конфиге всех инстансов Бастиона и всех инстансов TACACS раскатан? Или каждый Бастион пользуется своим личным TOTP seed (одним для всех пользователей и железок, тут я городить разные смысла не вижу), а каждый TACACS знает все seed от всех существующих бастионов и просто проверяют чтобы пришедший в запросе аутентификации OTP пароль совпал хотя бы с одним из них?
Ну в радиусе ничего кроме пароля, конечно, не шифруется вообще никак, но там уже ничего прям секретного-тайного нет. А подменить содержимое на лету просто так не выйдет т.к. в радиусе предусмотрена контрольная сумма пейлоада, которая считается с учетом значения PSK (короче говоря, простейшая, но подпись).
Ну и радиус, навскидку, при желании прикрутить не так сложно должно быть. По-сути можно взять прямо ванильный freeradius и к нему дописать только TOTP модуль (ну, возможно, ещё модуль для IAM если у вас сейчас TACACS сначала проверяет есть ли у данного юзернейма вообще права на железку ходить)
Вы, по-моему, теорию что такое патрони и зачем оно понаслышке знаете, а вот практики с ним не имели. Ещё раз: один инстанс патрони следит за одним инстансом постгреса. Сколько инстансов постгреса есть - столько инстансов патрони нужно для отслеживания их состояния. Инстансы патрони договариваются между собой о том, чей инстанс постгреса будет мастером, кто репликами и каждый из них соответственно пинает свой подконтрольный инстанс постгреса.
Судя по всему, у него только руки и голова в принципе двигаются. Остальное жестко сварено из стального уголка 2мм и прикрыто штанами сантехника)
О, даааа! Их последние серии просто шедевральны, я прям офигел.
Конечно. Ведь, как ни читаешь хорошие новости, так они всегда про то, как здорово будет когда-нибудь потом. Только вот "потом" оно всегда будет потом, оно никогда не бывает сейчас
Я так понимаю, что вы взяли стандартные опенсорсные вещи, собрали стандартный HA сетап постгреса и продаёте это как уникальное российское решение? Никогда такого импортозамещения не было и вот опять.
В смысле "зачем больше одного patroni?" Один инстанс патрони следит за одним инстансом постгреса. Три инстанса постгреса - три инстанса патрони.
Окей, уговорили. Мир неидеален, а VIN неуникален)
Классика. Государству ведь налоги гораздо нужнее, чем людям их честно заработанные деньги дабы семью кормить.
Я так и не понял что мешает одновременно использовать в базе номер кузова как первичный ключ (ну он же реально должен быть уникальным, а если вы пытаетесь забить в базу такой же номер второй раз, то должно ругнуться и сказать: "такой номер уже есть, вот он, давайте разбирайтесь кто из них правильный, а кто с опечаткой/машину спёртую водит") и дать возможность пользователю его менять?
Верной дорогой идем в светлое будущее цифрового рабства, товарищи!
Соцсети никогда ничего не удаляют?!? Никогда такого не было и вот опять!
Запомните, детишки, если какой-то ресурс предоставляет вам бесплатный сервис, то товар - это вы, которым можно показывать рекламу и чьи данные можно продавать.Вспоминаю эту картинку каждый раз, как вижу кнопку "Reject All"
Напомню, что изначально ЕС форсировал microUSB. И ничего, с устаревшего microUSB на type-c переехали без проблем в своё время. Вы вот, кажется, переезд настолько не ощутили, что даже забыли про него. И на следующий разъём переедут точно так же когда понадобится.
Не нравится - не покупайте, покупайте дорогие и надёжные. Уход пользующихся спросом производителей с рынка хорошей вещью не бывает по определению.