Если пользователь имеет права админа, то он может отключить задачу шедулера, который запускает скрипт отбора прав, а при сотне пользователей можно этого не увидеть поскольку логировние тут не поможет, логов от такого хоста не будет, они просто исчезнут. Можно возразить, что включение применяется через доменную политику и рано или поздно задача включится снова. На это просто пишется скрипт, который отключает задачу по расписанию и в случае, если задача отъема прав запускается редко, то, ее всегда можно успеть отключить. Есть ли защита от такого кейса?
Стоило ли так упрощать, сводить всё в одному плейбуку и к переменным только в инвентори?
Совершенно не кажется упрощением. И даже наоборот - это усложнение. Выглядит так, что мухи от котлет отделены таки были, но затем измельчены и перемешаны в однородную массу. В ходе рефакторинга были причесаны переменные и вынесены в инвентори. Кажется, было вполне достаточно только первого.
Переменные в инвентори - это антипаттерн, которого следует избегать. Инвентори должен содержать только настройки подключения и групп. По сути получается хордкод переменных и ролей в одном файле, что потенциально усложняет его поддержку и развитие. Относительно простая роль может содержать десятки переменных, которые должны быть заранее определены для каждого хоста/группы только в инвентори без возможности использования каких-то условий. Сами переменные не равнозначны между собой (для этого с самого начала и придумали их приоритет group_vars/host_vars/roles_defaults/roles_vars) и поэтому переопределение - самый лучший путь.
И инженеры, которые выстраивали инфраструктуру годами, и так как надо, и несли за все ошибки ответственность и годами дрессировали пользователей, руководство и шалупонь, просто так возьмут и допустят человека со стороны? Но не надо так общаться с людьми, с которыми вы, совместно, годами выстраиваете какую-либо систему.
Сильно много пафоса в этих словах. Они годами делали-делали, делали-делали. Годами этим можно заниматься только если человек мало знает и обучается по-ходу работы. Это нормально для старта когда человек еще зеленый. Поэтому и долго. Но говорить на такое, "выстраивали инфраструктуру годами" крайне странно. Человек, который именно работает в профессии годами - поднимет и настроит любой ваш сервис за неделю, если будет нормально техническое задание. Можно возразить, что всегда найдутся нюансы. Да - это называется обслуживание. Подкручивать или кастомизировть под потребности можно и годами, особенно если нет дедлайнов и четких критериев. Но именно, что подкручивание уже работающего решения, а не его постороение.
Этим надо заниматься годами, у вас процесс системного администрирования должен превратиться в институт.
Процесс должен таки процессом стать. Деление же на своих и чужих, хороших и плохих, чмошников и дартаньянов - говорит как об отсутствии самого процесса, так и понимания его построения. HRы не зря едят свой хлеб, они кое-что понимают. Что-то такое, что я сам не улавливаю.
Смысл и деньги есть только в специализации. Без неё ваш потолок, ваша участь – это главный системный администратор на предприятии, где не более 1000 АРМ.
Конечно, если спец знает как правильно положить системник при сборке, плюс MySQL, Asterisk и почтарь, которые изучал годами, то рассчитывать мало на что приходится. С другой стороны, можно работать где вообще нет АРМ и такая работа прокачает до невиданных ранее высот. Но попасть туда сложно только с этими знаниями. Обстоятельства меняются, а серебряной пули не существует.
В целом, тезисы избиты и мелочны, что автора немного жаль. Пришел на завод, поработал, были полезны друг другу. Супер, пора идти дальше, раз вырос, завод не загнется. Не работать же с такими людьми в самом деле.
Всю статью можно свести к:
Знай себе цену, но оценивай объективно
Софт скилы имеют сильно не последнее значение
Не работать с мудаками
Кто именно мудак в примерах из статьи - вопрос не вполне однозначный.
Тут автор запускает ARM сборку Windows на ARM железе, ничего удивительного, что она нормально работает. Далее уже в винде тестирует запуск какого-то софта, в том числе x86_64, который эмулируется самой виндой. Это принципиально другой вопрос и способ хоть как-то запустить виндовый софт под маком. И он правильно говорит, что если тебе нужен Windows, бери компьютер для Windows, а не используй Mac.
Это невозможно. В Parallels можно поставить только ARM виртуалку. x86_64 можно поставить только в UTM, под капотом у которого QEMU, который, в свою очередь, и отвечает за эмуляцию. Но Windows в эмуляторе - это боль.
Все так. Забыл упомянуть в статье, что пытался запускать бинари через box86 и box64, этакий аналог Rosetta под Linux, но из проверенных пары-тройки бинарей ни один не запустился, ссылаясь на отсутствие x64 зависимостей, которые, как мне кажется, мало кто в здравом уме будет удовлетворять. В интернете люди пишут, что работет меньше половины из того, что они пытались запускать
denis-19 добавьте пожалуста Terraform в список. Вчера обнаружил. Через VPN работает.
Partner and community providers are signed by their developers. If you'd like to know more about provider signing, you can read about it here: https://www.terraform.io/docs/cli/plugins/signing.html ╷ │ Error: Failed to install provider │ │ Error while installing hashicorp/dns v3.2.1: could not query provider registry for registry.terraform.io/hashicorp/dns: failed to retrieve authentication checksums for provider: 405 Not allowed ╵
╷ │ Error: Failed to install provider │ │ Error while installing hashicorp/template v2.2.0: could not query provider registry for registry.terraform.io/hashicorp/template: failed to retrieve authentication checksums for provider: 405 Not │ allowed ╵
╷ │ Error: Failed to install provider │ │ Error while installing hashicorp/aws v4.5.0: could not query provider registry for registry.terraform.io/hashicorp/aws: failed to retrieve authentication checksums for provider: 405 Not allowed ╵
если вы создали инстанс типа t2.medium и потом поменяли конфигурацию указав новый тип для инстанса, скажем m4.xlarge, то при запуске apply Terraform сначала уничтожит ранее созданный, а потом создаст новый
Раньше так и было. Начиная с 0.10.x версии Terraform научили не пересоздавать инстанс, а модифицировать существующий.
Если пользователь имеет права админа, то он может отключить задачу шедулера, который запускает скрипт отбора прав, а при сотне пользователей можно этого не увидеть поскольку логировние тут не поможет, логов от такого хоста не будет, они просто исчезнут.
Можно возразить, что включение применяется через доменную политику и рано или поздно задача включится снова. На это просто пишется скрипт, который отключает задачу по расписанию и в случае, если задача отъема прав запускается редко, то, ее всегда можно успеть отключить.
Есть ли защита от такого кейса?
Совершенно не кажется упрощением. И даже наоборот - это усложнение. Выглядит так, что мухи от котлет отделены таки были, но затем измельчены и перемешаны в однородную массу. В ходе рефакторинга были причесаны переменные и вынесены в инвентори. Кажется, было вполне достаточно только первого.
Переменные в инвентори - это антипаттерн, которого следует избегать. Инвентори должен содержать только настройки подключения и групп. По сути получается хордкод переменных и ролей в одном файле, что потенциально усложняет его поддержку и развитие. Относительно простая роль может содержать десятки переменных, которые должны быть заранее определены для каждого хоста/группы только в инвентори без возможности использования каких-то условий. Сами переменные не равнозначны между собой (для этого с самого начала и придумали их приоритет
group_vars/host_vars/roles_defaults/roles_vars) и поэтому переопределение - самый лучший путь.Сильно много пафоса в этих словах. Они годами делали-делали, делали-делали.
Годами этим можно заниматься только если человек мало знает и обучается по-ходу работы. Это нормально для старта когда человек еще зеленый. Поэтому и долго. Но говорить на такое, "выстраивали инфраструктуру годами" крайне странно.
Человек, который именно работает в профессии годами - поднимет и настроит любой ваш сервис за неделю, если будет нормально техническое задание. Можно возразить, что всегда найдутся нюансы. Да - это называется обслуживание. Подкручивать или кастомизировть под потребности можно и годами, особенно если нет дедлайнов и четких критериев. Но именно, что подкручивание уже работающего решения, а не его постороение.
Процесс должен таки процессом стать. Деление же на своих и чужих, хороших и плохих, чмошников и дартаньянов - говорит как об отсутствии самого процесса, так и понимания его построения. HRы не зря едят свой хлеб, они кое-что понимают. Что-то такое, что я сам не улавливаю.
Конечно, если спец знает как правильно положить системник при сборке, плюс MySQL, Asterisk и почтарь, которые изучал годами, то рассчитывать мало на что приходится. С другой стороны, можно работать где вообще нет АРМ и такая работа прокачает до невиданных ранее высот. Но попасть туда сложно только с этими знаниями. Обстоятельства меняются, а серебряной пули не существует.
В целом, тезисы избиты и мелочны, что автора немного жаль. Пришел на завод, поработал, были полезны друг другу. Супер, пора идти дальше, раз вырос, завод не загнется. Не работать же с такими людьми в самом деле.
Всю статью можно свести к:
Знай себе цену, но оценивай объективно
Софт скилы имеют сильно не последнее значение
Не работать с мудаками
Кто именно мудак в примерах из статьи - вопрос не вполне однозначный.
Разве у крупного интернет провайдера нет DDoS защиты?
У меня два небольших сайта отвалились (как раз в Сибири), пришлось напрямую направлять, без CDN
Не могли бы вы пояснить в чем проблема смешения "address bar и поле поиска"?
Пользуюсь подобным уже лет как 20 и не вижу проблем, мне удобно
Чуть выше в комменах писали про виндовую эмуляцию/ретрансляцию, можно начать оттуда, я сам ничего об этом не знаю.
Тут автор запускает ARM сборку Windows на ARM железе, ничего удивительного, что она нормально работает. Далее уже в винде тестирует запуск какого-то софта, в том числе x86_64, который эмулируется самой виндой. Это принципиально другой вопрос и способ хоть как-то запустить виндовый софт под маком. И он правильно говорит, что если тебе нужен Windows, бери компьютер для Windows, а не используй Mac.
На видео Windows ставится в UTM, а не в Parallels
Это невозможно. В Parallels можно поставить только ARM виртуалку. x86_64 можно поставить только в UTM, под капотом у которого QEMU, который, в свою очередь, и отвечает за эмуляцию. Но Windows в эмуляторе - это боль.
Под Линукс тоже есть, но работает так себе. О каком именно эмуляторе речь?
Мсье извращениями не страдает, он ими наслаждается
Все так. Забыл упомянуть в статье, что пытался запускать бинари через box86 и box64, этакий аналог Rosetta под Linux, но из проверенных пары-тройки бинарей ни один не запустился, ссылаясь на отсутствие x64 зависимостей, которые, как мне кажется, мало кто в здравом уме будет удовлетворять. В интернете люди пишут, что работет меньше половины из того, что они пытались запускать
denis-19 добавьте пожалуста Terraform в список. Вчера обнаружил. Через VPN работает.
Partner and community providers are signed by their developers.
If you'd like to know more about provider signing, you can read about it here:
https://www.terraform.io/docs/cli/plugins/signing.html
╷
│ Error: Failed to install provider
│
│ Error while installing hashicorp/dns v3.2.1: could not query provider registry for registry.terraform.io/hashicorp/dns: failed to retrieve authentication checksums for provider: 405 Not allowed
╵
╷
│ Error: Failed to install provider
│
│ Error while installing hashicorp/template v2.2.0: could not query provider registry for registry.terraform.io/hashicorp/template: failed to retrieve authentication checksums for provider: 405 Not
│ allowed
╵
╷
│ Error: Failed to install provider
│
│ Error while installing hashicorp/aws v4.5.0: could not query provider registry for registry.terraform.io/hashicorp/aws: failed to retrieve authentication checksums for provider: 405 Not allowed
╵
Раньше так и было. Начиная с 0.10.x версии Terraform научили не пересоздавать инстанс, а модифицировать существующий.
Посыл хоть и понятен, но не верен. Факт в том, что бывает и плохая, и хорошая почва.