Комментарии 8
Денис, я старый универсальный 1Сник. Не по теме статьи вопрос. Хочу научиться делать георезервирование. Про bgp, anycast, haproxy теорию знаю. Правильно ли я понимаю, что нужно еще иметь свою автономную систему AS и блок PI-адресов?
Если да, то много ли возни стало с отчетами в РКН, а то ведь и требовать подключение к СОРМ грозились всем владельцам AS?
И второе. Как реплицируете базы данных между ЦОДами? Быстрой сетки там не будет.
Спасибо.
Да, Asa участвует в процессе, пиринги, фильтра и т.д. Насчет ркн не могу сказать, у меня другое рабочее поле и честно говоря даже не интересовался) реплика между цодами проходит в обычном режиме, etcd общаются между сегментами, any cast строился для возможности использовать vip между цодами, т.к vrrp не позволяет это выполнить в разных сетях.
Привет! спасибо за статью) Сам поел немного с кубером, апачом и пробросом доменки)
Чтобы не делать ручную инициализацию билета можно воспользоваться параметром GssapiCredStore client_keytab:/etc/httpd.keytab
Вижу используется ограниченное делегирование GssapiUseS4U2Proxy в апаче. Т.е. на домене для УЗ под которой служба 1С севера работает включено ограниченное делегирование?
Не было странного поведения при использовании GssapiBasicAuth ? Клиент, вводит свой пароль и попадает в 1С под УЗ другого пользователя, который последний раз авторизовался. При нажатии f5 может оказаться под собой, а может под другим "последним"
УЗ под которой создавался кейтаб имеет делегирование с SPN, который прописан в свойствах 1с админ-консоли, позже попробую убрать делегирование и посмотрю реакцию. GssapiBasicAuth это в работу пока не смотрел. У меня всегда моя учетка) на основании залогиненой УЗ прилетает krb билет под эту УЗ и без стороннего вмешательства, думаю, что схема будет отрабатывать нормально ) GssapiCredStore client_keytab:/etc/httpd.keytab - спасибо, попробуем)
Вопрос к ТС:
У вас в инфраструктуре ИБ запрещали использование протоколов на уровне домена rc4-hmac?
Наша доменная авторизация после этого перестала работать на клиентах 1С, различные махинации пока не дали никаких плодов в связке 1С и Ubuntu 20.04\22.04
Интересует именно вопрос проброса керберос тикета через веб, с какими типами шифрования Вы это выполняете, и использовались ли какие-то особые ключи на формирование keytab со стороны контроллера домена?
Заранее спасибо!
Возможно спрошу глупость, но все же.
Разве нельзя все связанное с проксированием и резервированием делать исключительно средствами nginx/haproxy? А apache оставить один, там же где 1С, лицензии, базы данных?
Как поведет себя конструкция, когда придет OOM Killer за 1С? Или вы рассматриваете свой случай для лицензии 1С Корп?
Хотя по конструкции у вас похоже ключи находятся на клиенте и файловая база.
Но возможно я не понял полноты замысла.
В нашем случае будет проще iis ставить на апликейшены) Вот с учетом разделенных компонентов 1с-инфраструктуры и придумывается такой вариант, а так я думаю это далеко не глупость и вариант вполне рабочий. Дело в том, что в случае контейнеров, можно сделать реплики и разгрузить нагрузку на единичный экземпляр и в целом масштабирование. Hasp ключ натравлен на app1c для серверной лицензии, клиентские обращаются за своими.
Пробный поход в веб-kubernetes-1С, вопреки привычкам