"Настоящее айти" - это то, за что платят деньги. Причем не программисту, а компании. И в большинстве случаев влияние программистов на этот процесс сводится к "не слишком облажаться".
На каждого, кто делает какие-то творчески-уникальные вещи приходится легион тех, кто просто хреначит в рамках спецификаций и заданий, зачастую вообще не видя общей картины продукта.
И кстати, у тех, кто делает творчески-уникальные вещи как правило главный скилл, позволяющий это делать - далеко не владение программированием как профессией или определенным языком как инструментом.
Нет, это говорит что человек успешно работает в конкретной нише с конкретным инструментарием. Вы, конечно, можете упрекнуть человека, который делает протокольный код уровня ядра что он не в курсе Typescript, но шо-то мне говорит что для него даже поверхностное знакомство с этим выводком молодняка было бы просто потерей времени.
И с каких это пор программистов вообще стали допускать к выбору технологий?
Ну и про "тенденции" - милота какая. Кто эти тенденции определяет-то? Есть подиум какой на котором показывают "коллекции этого сезона"? Может дело не в тенденциях вообще, а в эффективности инструментов в разрезе конкретной задачи? И это вообще про другое?
Тут один знакомый как-то жаловался что студенческая работа по снятию одного показания в сутки с одного прибора была ему предъявлена в виде десятка докер-контейнеров с кафкой, рабитом и еще целым зоопарком "модных наименования", да вся эта музыка еще и падала регулярно. В то время как задача решается шелл-скриптом за 10 минут.
Хороший вопрос! Потому что да, у меня там весьма нестандартное для проксмокса крутится.
В части создания tmpfs с размером в половину физической памяти - да. Более того, это будет относиться и к LXC вне Proxmox. Потому что тупо нет разумного способа это предотвратить. Тикет в багзилле проксмокса в итоге был подвешен с формулировкой "может че-то со временем изменится или кто-то предложит хорошее решение"
В части как через это systemd выжирает память - надо смотреть. Если конфигурация journald в дефолте (т.е. все опции закомментированы), и нет каталога /var/log/journal, то да. Если journald сконфигурирован не писать бесконечно в /run - то нет.
Проверять все, честно говоря, нет ни времени ни желания, извините. В любом случае зарубка на память не повредит. И мониторинг! ;)
Времена идут, отношения остаются. Мир нынче штука глобальная невзирая на нюансы географии и момента.
Про рубилово по частотам - ну, такое. Какое рубилово, а? Всем кому нужно дать - дали. Пропорционально весу (не спрашивайте!). А про 30 МГц "цифрового дивиденда", поделенного на четыре мне потом пришлось с легким стыдом объяснять зарубежным коллегам, интересующимся что это вообще за хрень была, - что иногда вот надо поделить 30 именно на четыре. Потому что надо. Надо и все тут. Что характерно - они поняли.
Мемуары про лютое веселье на т.н. консультациях с операторами, которые демократично проводило по этому Минсвязи я было начал писать - а потом забил. Ибо не только лишь все способны оценить юмор этой ситуации. Мне и Сорокиной (Теле2) было весело, остальные делали сложные лица )))))))
Полноценный оператор с вышками, базовыми станциями, антеннами, интерконнектом и к тому же член GSMA.
Это не в России, а на далеких тропических островах, Палау называется. Там вся местная администрация отрасли связи - это огромной ширины мужчина, которому эту функцию вручили помимо всяких других обязанностей ))))) Он и конкурсы проводит, и разрешения частотные выдает, и в ITU числится главным одним за все )))))
Если представите себе поселок городского типа на 20 тыс населения вокруг которого на примерно тысячу километров - Тихий океан, то сразу придет понимание о простоте тамошних нравов )))))
Ну а так-то полноценное государство, даже член ООН.
Именно это и произойдет если добавить remount в /etc/fstab как я описал выше. В этом случае systemd-mount перемонтирует указанную точку с указанным размером.
Это я так замылил тот факт, что буквально случайно проверяя свободные диски командой df я зацепился взглядом за размер /run и нехилый такой объем занятого пространства на нем. Ну а описывать всю размотку с копанием док, постами на форуме проксмокса и заведением бага в их багзиллу - такое себе удовольствие что писать что читать. А там уже Фабиан из Проксмокса мне немного мозги вставил и осталось докопать детали.
systemd рулит всеми монтированиями, да, но! Все что связано с ApiVFS - /proc, /dev, /sys, /run - оно не в systemd-mount, а на самой ранней стадии старта делается и захардкожено. Потому что без /run он вообще не может работать.
А дальше дело в том, что захардкожено примерно mount -t tmpfs none /run и там нет опции size (можно посмотреть в исходниках systemd), что логично. А кернел ничего не знает про cgroup вызывающего mount процесса и отдает дефолт на полпамяти.
Это не баг, это behaviour by desighn для каждой из частей, совершенно корректное по отдельности, просто именно в случае LXC с определенной комбинацией параметров это вызывает вот такие побочки.
Кароч, просто надо держать в голове что такая шляпа возможна. И можно дунуть в любой по дефолту созданный tmpfs больше, чем ограничение cgroup, что моментально вызовет смерть контейнера по OOM.
Самый свежий хром, дефолт в настройках, хотя и установлен весьма давно, зато постоянно обновлялся.
Да, у других броузеров все то же самое. Никто не истерит на как таковой http. Истерика начинается когда https с несовпадающим сертификатом, и тут уж как сконфигурировано в DNS и передавались ли строгие теги в успешных запросах раньше- от пары лишних кликов до полной невозможности соединения.
Судя по описанию, Вы на эти все "банальные скрипты" уже потратили человеко-годы и собираетесь тратить дальше )))
А у меня ну очень сильно дофига других задач, увы. Вот это было сделано года три или четыре назад и с тех пор не трогалось кроме добавления CNAME во внешний DNS.
Не, и в голову не приходило. Но теперь посмотрел и скажу, что он про другое, он про то, как организовывать обращения снаружи в внутренним ресурсам, терминируя SSL на nginx.
Наверное это очень небесполезная штука для своих задач, но вряд ли можно им таки вот изящные конфигурации создавать, тут все же некоторое понимание нужно как нжинкс работает с запросами и почему так.
Ну и вообще я человек старорежимный, мне вот эти все нахлобучки на конфиги кажутся вряд ли нужными в пределах моих задач. За исключением OpenVPN, пожалуй, больно лень ее руками )))
Вот я об этом и говорю: у вас решение "менее чем за неделю работы высококвалифицированного админа, хорошо умеющего в скрипты", у меня решение "менее чем за пару часов так себе админа".
Это просто разные истории.
Кстати, не имеет смысла шифровать сертификаты - они, вообще-то, в каждой ТЛС сессии отправляются. А закрытый ключ можно было бы раскатить по всем серверам один раз, если бы цертбот не генерировал его заново при каждом обновлении, что вовсе не является необходимым.
А заметили ли Вы парадокс, что уже много лет как броузеры взяли ОБРАТНЫЙ курс, перестав педалить тему "зеленый замочек - это безопасно" ;) ЕМНИП, сейчас уже многие и НЕ показывают "зеленую строку" когда сертификат выдан с полной авторизацией юрлица. Почему?
Да потому что пока ССЛ был уделом немногих - это было то, что позволяло дифференцировать "надежные ресурсы от ненадежных". С развитием раздачи халявных сертификатов - оказалось, что "зеленый замок" несет больше иллюзий, чем фактов - и его убрали.
Ну и не забывайте один момент: корпораты - это тоже существенная доля пользователей, а корпораты НИКОГДА не откажутся от закрытых внутренних инфраструктур. Поэтому броузеры всегда будут нормально их поддерживать, что бы там ни было.
Я, напомню, констатировал, что здесь все решение, которое работает (не без недостатков!) занимает примерно час-два на все про все, после чего про него забываем вообще - есть другие задачи ))) И что как раз "оверхед" для средней руки админа здесь совершенно минимальный.
Вы рассказываете о своем подходе, реализация которого явно потребовала сотни человеко-часов. Который делает, конечно, все лучше и правильное ;)
Но вот по поводу "зачем такой оверхед? Я сделал все проще..." я по-прежнему не согласен. Вы сделали намного сложнее и более трудоемко в реализации, с другими слабыми местами и под свое видение.
Спасибо, поржал!
"Настоящее айти" - это то, за что платят деньги. Причем не программисту, а компании. И в большинстве случаев влияние программистов на этот процесс сводится к "не слишком облажаться".
На каждого, кто делает какие-то творчески-уникальные вещи приходится легион тех, кто просто хреначит в рамках спецификаций и заданий, зачастую вообще не видя общей картины продукта.
И кстати, у тех, кто делает творчески-уникальные вещи как правило главный скилл, позволяющий это делать - далеко не владение программированием как профессией или определенным языком как инструментом.
Нет, это говорит что человек успешно работает в конкретной нише с конкретным инструментарием. Вы, конечно, можете упрекнуть человека, который делает протокольный код уровня ядра что он не в курсе Typescript, но шо-то мне говорит что для него даже поверхностное знакомство с этим выводком молодняка было бы просто потерей времени.
И с каких это пор программистов вообще стали допускать к выбору технологий?
Ну и про "тенденции" - милота какая. Кто эти тенденции определяет-то? Есть подиум какой на котором показывают "коллекции этого сезона"? Может дело не в тенденциях вообще, а в эффективности инструментов в разрезе конкретной задачи? И это вообще про другое?
Тут один знакомый как-то жаловался что студенческая работа по снятию одного показания в сутки с одного прибора была ему предъявлена в виде десятка докер-контейнеров с кафкой, рабитом и еще целым зоопарком "модных наименования", да вся эта музыка еще и падала регулярно. В то время как задача решается шелл-скриптом за 10 минут.
О них и сейчас простительно не знать если в твоей области это не надо.
Спасибо, коммент очень по делу.
Я в старорежимности своей все забываю что править конфиги уже давно не модно, что наделали каталогов да дроп-файлов ))))))))
Потому что это не Докер.
Спасибо! Хотя бывало и лучше ;)
Хороший вопрос! Потому что да, у меня там весьма нестандартное для проксмокса крутится.
В части создания tmpfs с размером в половину физической памяти - да. Более того, это будет относиться и к LXC вне Proxmox. Потому что тупо нет разумного способа это предотвратить. Тикет в багзилле проксмокса в итоге был подвешен с формулировкой "может че-то со временем изменится или кто-то предложит хорошее решение"
В части как через это systemd выжирает память - надо смотреть. Если конфигурация journald в дефолте (т.е. все опции закомментированы), и нет каталога
/var/log/journal, то да. Если journald сконфигурирован не писать бесконечно в /run - то нет.Проверять все, честно говоря, нет ни времени ни желания, извините. В любом случае зарубка на память не повредит. И мониторинг! ;)
Времена идут, отношения остаются. Мир нынче штука глобальная невзирая на нюансы географии и момента.
Про рубилово по частотам - ну, такое. Какое рубилово, а? Всем кому нужно дать - дали. Пропорционально весу (не спрашивайте!). А про 30 МГц "цифрового дивиденда", поделенного на четыре мне потом пришлось с легким стыдом объяснять зарубежным коллегам, интересующимся что это вообще за хрень была, - что иногда вот надо поделить 30 именно на четыре. Потому что надо. Надо и все тут. Что характерно - они поняли.
Мемуары про лютое веселье на т.н. консультациях с операторами, которые демократично проводило по этому Минсвязи я было начал писать - а потом забил. Ибо не только лишь все способны оценить юмор этой ситуации. Мне и Сорокиной (Теле2) было весело, остальные делали сложные лица )))))))
Полноценный оператор с вышками, базовыми станциями, антеннами, интерконнектом и к тому же член GSMA.
Это не в России, а на далеких тропических островах, Палау называется. Там вся местная администрация отрасли связи - это огромной ширины мужчина, которому эту функцию вручили помимо всяких других обязанностей ))))) Он и конкурсы проводит, и разрешения частотные выдает, и в ITU числится главным одним за все )))))
Если представите себе поселок городского типа на 20 тыс населения вокруг которого на примерно тысячу километров - Тихий океан, то сразу придет понимание о простоте тамошних нравов )))))
Ну а так-то полноценное государство, даже член ООН.
Именно это и произойдет если добавить remount в /etc/fstab как я описал выше. В этом случае systemd-mount перемонтирует указанную точку с указанным размером.
Это я так замылил тот факт, что буквально случайно проверяя свободные диски командой df я зацепился взглядом за размер /run и нехилый такой объем занятого пространства на нем. Ну а описывать всю размотку с копанием док, постами на форуме проксмокса и заведением бага в их багзиллу - такое себе удовольствие что писать что читать. А там уже Фабиан из Проксмокса мне немного мозги вставил и осталось докопать детали.
systemd рулит всеми монтированиями, да, но! Все что связано с ApiVFS - /proc, /dev, /sys, /run - оно не в systemd-mount, а на самой ранней стадии старта делается и захардкожено. Потому что без /run он вообще не может работать.
А дальше дело в том, что захардкожено примерно mount -t tmpfs none /run и там нет опции size (можно посмотреть в исходниках systemd), что логично. А кернел ничего не знает про cgroup вызывающего mount процесса и отдает дефолт на полпамяти.
Это не баг, это behaviour by desighn для каждой из частей, совершенно корректное по отдельности, просто именно в случае LXC с определенной комбинацией параметров это вызывает вот такие побочки.
Кароч, просто надо держать в голове что такая шляпа возможна. И можно дунуть в любой по дефолту созданный tmpfs больше, чем ограничение cgroup, что моментально вызовет смерть контейнера по OOM.
Самый свежий хром, дефолт в настройках, хотя и установлен весьма давно, зато постоянно обновлялся.
Да, у других броузеров все то же самое. Никто не истерит на как таковой http. Истерика начинается когда https с несовпадающим сертификатом, и тут уж как сконфигурировано в DNS и передавались ли строгие теги в успешных запросах раньше- от пары лишних кликов до полной невозможности соединения.
Внезапно, ноль ;)
Судя по описанию, Вы на эти все "банальные скрипты" уже потратили человеко-годы и собираетесь тратить дальше )))
А у меня ну очень сильно дофига других задач, увы. Вот это было сделано года три или четыре назад и с тех пор не трогалось кроме добавления CNAME во внешний DNS.
Открыл. Последним Хромом.
Никакой истерики кроме серенькой надписи "нот секуре" в адресной строке ;)
Если Вы не заметили, что здесь трюк как раз в том, что от Нгинкса не нужно вообще ничего - его один раз настроили и забыли ;)
Ну и еще раз, это НЕ про публикацию серверов из внутренней сети в Интернет.
Не, и в голову не приходило. Но теперь посмотрел и скажу, что он про другое, он про то, как организовывать обращения снаружи в внутренним ресурсам, терминируя SSL на nginx.
Наверное это очень небесполезная штука для своих задач, но вряд ли можно им таки вот изящные конфигурации создавать, тут все же некоторое понимание нужно как нжинкс работает с запросами и почему так.
Ну и вообще я человек старорежимный, мне вот эти все нахлобучки на конфиги кажутся вряд ли нужными в пределах моих задач. За исключением OpenVPN, пожалуй, больно лень ее руками )))
Ну и навороты ))))
Вот я об этом и говорю: у вас решение "менее чем за неделю работы высококвалифицированного админа, хорошо умеющего в скрипты", у меня решение "менее чем за пару часов так себе админа".
Это просто разные истории.
Кстати, не имеет смысла шифровать сертификаты - они, вообще-то, в каждой ТЛС сессии отправляются. А закрытый ключ можно было бы раскатить по всем серверам один раз, если бы цертбот не генерировал его заново при каждом обновлении, что вовсе не является необходимым.
В общем, я думаю мы поняли друг друга)))
А заметили ли Вы парадокс, что уже много лет как броузеры взяли ОБРАТНЫЙ курс, перестав педалить тему "зеленый замочек - это безопасно" ;) ЕМНИП, сейчас уже многие и НЕ показывают "зеленую строку" когда сертификат выдан с полной авторизацией юрлица. Почему?
Да потому что пока ССЛ был уделом немногих - это было то, что позволяло дифференцировать "надежные ресурсы от ненадежных". С развитием раздачи халявных сертификатов - оказалось, что "зеленый замок" несет больше иллюзий, чем фактов - и его убрали.
Ну и не забывайте один момент: корпораты - это тоже существенная доля пользователей, а корпораты НИКОГДА не откажутся от закрытых внутренних инфраструктур. Поэтому броузеры всегда будут нормально их поддерживать, что бы там ни было.
Ну, Вы начали про "слишком большой оверхед" )))
Я, напомню, констатировал, что здесь все решение, которое работает (не без недостатков!) занимает примерно час-два на все про все, после чего про него забываем вообще - есть другие задачи ))) И что как раз "оверхед" для средней руки админа здесь совершенно минимальный.
Вы рассказываете о своем подходе, реализация которого явно потребовала сотни человеко-часов. Который делает, конечно, все лучше и правильное ;)
Но вот по поводу "зачем такой оверхед? Я сделал все проще..." я по-прежнему не согласен. Вы сделали намного сложнее и более трудоемко в реализации, с другими слабыми местами и под свое видение.
Собственно весь предмет дискуссии только в этом.