Серверное администрирование *

Из Let's Encrypt сообщают, что выпустили первый TLS-сертификат сроком действия шесть дней. Сделать такие TLS-сертификаты доступными для всех планируют к концу 2025 года. Короткоживущие сертификаты не будут содержать ни ссылки на OCSP-респондер, ни ссылки на точку раздачи CRL. То есть, никаких механизмов проверки статуса (отзыва) в сертификате не предусмотрено. Такой вариант допускается для короткоживущих сертификатов требованиям CA/B-форума (организация, через которую определяются требования к УЦ, корневые ключи которых включаются в дистрибутивы браузеров).

Для подключения шестидневных сертификатов нужна поддержка соответствующих профилей в ACME-клиенте. Очевидно, заказ короткоживущих сертификатов для легитимных, - долгоживущих, - сайтов имеет смысл выполнять только полностью автоматически. Зато такие сертификаты обещают и для IP-адресов, что удобно в ряде сценариев использования. DNS для подтверждения управления IP-адресами не подходит. Поэтому проверяется только факт управления узлом под заданным IP-адресом, а не доменной зоной. И такая проверка будет происходить не только по HTTP, но и довольно экзотическим методом TLS-ALPN, который целиком работает на уровне TLS и вообще не виден для веб-сервера, работающего выше TLS.

Что касается перехода к короткоживущим сертификатам. В современном вебе отзыв сертификатов, фактически, не работает. Это хорошо известно. Считается, что коротоживущие сертификаты, в основном, решают эту проблему, так как, в случае компрометации ключа, всё равно быстро заканчивают действовать. Тут, впрочем, нужно учитывать, что это касается только отзыва, а атаки с подменой сертификата вполне могут быть достаточно "быстрыми", чтобы короткоживущий сертификат не оказался самой большой помехой. Но, конечно, подменный сертификат, действующий год, лучше подменного сертификата, валидного только до пятницы - тут не поспорить.

Поскольку проблема отзыва сертификатов и компрометации ключей - одна из центральных в этой области, можно предположить, что скоро короткоживущие сертификаты получат приоритет и в браузерах. Последует постепенный, - но достаточно быстрый, - отказ от доверия "долгим" сертификатам только на основании периода валидности, даже без проверки подписей и доверия к УЦ. Технически, ограничение срока действия может применяться и к оконечным сертификатам от УЦ, корневые ключи которых были добавлены в браузер вручную.

Эта строгая тенденция к снижению срока действия сертификатов, которым браузеры соглашаются верить, достаточно давняя - ей около десяти лет. А хорошим подтверждением курса на "сверхкороткие" сертификаты является то, что в рекомендациях CA/B-форума для таких сертификатов уже закреплено отсутствие требования ссылки на CRL (OCSP сейчас не является обязательным для любых оконечных сертификатов).

Часто в разных скриптах, обрабатывающих серверные TLS-сертификаты, - скажем, для мониторинга, - в качестве источника "целевого" имени при выборе сертификата используется содержание Subject/CN (commonName). Предполагается, что в Subject/CN должно быть доменное имя. Вот типичный пример:

$ openssl x509 -in disruptive.pem -subject -noout -nameopt multiline | awk -F' = ' '/commonName/ {print $2}'
disrupted.zone

Однако, если речь про сертификаты для TLS в современном вебе и про имена, то полагаться тут на Subject нельзя. Нужно использовать другой фрагмент сертификата, а именно - расширение SAN (Subject Alternative Name).

Для извлечения расширения SAN при помощи OpenSSL x509 нужно использовать опцию -ext subjectAltName. Выдача состоит из списка, где каждому значимому элементу соотвествует префикс, обозначающий тип. DNS-имена OpenSSL выводит с префиксом "DNS" (кто бы мог подумать!). Пример:

$ openssl x509 -in google-com.cert.pem -noout -ext subjectAltName
X509v3 Subject Alternative Name: 
    DNS:*.google.com, DNS:*.appengine.google.com
[...]

Кроме "DNS" могут встретиться другие префиксы, обозначающие IP-адреса и т.д. Однако для обработки имён - нужны имена, то есть "DNS". Скрипт, конечно, несколько усложнится. Пример:

$ openssl x509 -in google-com.cert.pem -noout -ext subjectAltName \
> | awk 'NR>1{split($0,A,",");for(k in A){split(A[k],B,":"); if(B[1]~/DNS/){print B[2]}}}' \
> | wc -l
135

Причина использования SAN в том, что имя из поля Subject/CN оконечного (серверного) сертификата браузеры давно не используют в качестве идентификатора при валидации. А чтобы валидация сертификата для веб-узла прошла успешно (в браузере), необходимо наличие подходящего имени в SAN. Более того, современные требования для УЦ по выпуску TLS-сертификатов ("документы CA/B-форума") прямо не рекомендуют использование поля commonName в Subject оконечных сертификатов для веб-узлов. Это значит, что доменного имени в Subject может просто не оказаться, но сертификат (при прочих равных) будет валидным для браузера.

Чего ждет бизнес от облачной IT-инфраструктуры? ☁️

Гибкости в управлении, легкой масштабируемости, оперативного решения вопросов через техподдержку, защищенности от внешних воздействий. А еще того, что обслуживание этой инфраструктуры ляжет на плечи провайдера. С такими ожиданиями московский девелопер Level Group мигрировал в Selectel.

В кейсе рассказываем, как компания:

• бесплатно мигрировала в частное облако и повысила доступность корпоративных сервисов,

• организовала сетевую связность, объединив все узлы инфраструктуры в единую сеть без доступа в интернет, 

• отказалась от капитальных затрат в пользу операционных и сократила расходы на инфраструктуру на 30%.

Подробности кейса — в Академии Selectel.

Запустили выделенные серверы с мгновенной установкой

Надеемся, что вы хорошо отдохнули за долгие выходные и готовы к новым релизам. И вот первый из них — в панели появились конфиги выделенных серверов, которые готовы к запуску сразу после заказа. Без участия менеджера и дополнительного времени на обработку.

Доступно для конфигураций в Санкт-Петербурге с каналом 1 Гбит/с и ОС Ubuntu 22.04. Найти их можно на отдельном табе «Мгновенная установка» с иконкой⚡️

Остается только убедиться, что на балансе есть нужная сумма, нажать «Заказать», и сервер сразу же будет готов к работе.

Получить конфиг в один клик →

Новогодняя задача: помогите Тирексу поставить и нарядить елочку

Условие

Сисадмин Тирекс засиделся допоздна и не успел не то что нарядить елку, но даже купить ее! У него нет главного символа праздника, но есть лапки, компьютер, IDE, технический склад ума и знание Python.

Задача

Помоги Тирексу вывести в консоли наряженную елку на любимом языке программирования. Педантичный Тирекс предъявляет следующие требования:

• на вход программа получает два числа: rows отвечает за высоту елки в строчках (не менее трех), freq — за частоту появления украшений.

• ветки елки — символ *.

• игрушки — символы о, О, @ и 0.

• елка имеет ствол из трех символов | и стоит на полу из символов _.

• ветви елки расположены «ступенями»: первая состоит из трех строк, каждая следующая ниже — на одну больше.

• первая строка следующей ниже «ступени» должна иметь на два символа меньше, чем последняя строка предыдущей.

• елка должна иметь границы в виде символов /  и  \.

• между двумя украшениями по горизонтали должна быть минимум одна ветка.

• украшения не должны висеть на границе елки (они же упадут!).

Бонусная задача

• вывести снег символом . (точка).

• раскрасить елку зеленым, фон — синим, игрушки — разными цветами (кроме зеленого и синего), снег — белым.

Попробуйте решить задачу самостоятельно и делитесь своими идеями в комментариях. А вариант ответа Тирекса ищите в Академии Selectel.

Новая линейка тарифов Dedicated CPU. Её суперсила — в фиксировании процессорных ядер.

Обычные тарифы используют динамическое распределение свободных ядер, что может приводить к задержкам при переключении.

В Dedicated CPU такого нет. Все ядра фиксируются только за вашим сервером, обеспечивая максимальную производительность вычислений.

Стоимость такого ядра — 1 250 рублей в месяц. Под один сервер можно зафиксировать до 32 шт.

Минимальный конфиг — 1 ядро, 4 ГБ оперативки и диск NVMe на 50 ГБ — 2 330 рублей в месяц.

Доступно для облачных серверов в Москве и Санкт-Петербурге.

Заказать сервер с выделенными ядрами → 

Теперь созданные образы сервера можно переносить между локациями — Москвой, Санкт-Петербургом, Польшей, Нидерландами и Казахстаном.

Буквально в пару кликов: тап на три точки рядом с нужным образом → пункт «изменить регион» → выбор локации → сохранить. Подробнее об образах и их переносе читайте в документации.

Между Москвой и Питером перенос проходит практически моментально, между другими регионами со скоростью от 1 до 10 гигабит в секунду.

Изменить регион образа → 

DDoS‑атака на ntp‑серверы, продолжавшаяся более месяца (Катастрофа в российской зоне проекта NTPPool.org, Об инциденте с NTP‑серверами, Collapse of Russia country zone), кончилась не без последствий. В ряде случаев для борьбы с ней выбирались не совсем адекватные методы, а где‑то и «железо» «встало колом». В результате чего, часть ntp‑клиентов не могут получить точное время.

Убедиться, что вас это не затронуло, и вы получаете точное время можно следующими способами:

В Windows:
w32tm /query /status
w32tm /query /peers

В Linux и UNIX‑подобных системах можно легко проверить, что протокол NTP не блокируется можно при помощи команды
ntpdate -uqd ru.pool.ntp.org

Аналогично Windows можно посмотреть состояние сервиса синхронизации времени. В случае chrony:
chronyc -n tracking
chronyc -n sources

В случае ntpd:
ntpq -c rv
ntpq -pn

В случае systemd‑timesyncd:
timedatectl timesync-status

Добавили возможность управлять облачными серверами через бота в Телеграме: проверять статусы, следить за нагрузкой, включать, выключать, перезагружать и подключаться к ним по SSH. Все это по вашим идеям: раз, два и три.
К боту можно привязывать личные и групповые чаты. Например, можно подключить бота к чату с командой инженеров, чтобы все участники были в курсе событий.

И для тех и для других можно задать индивидуальные настройки на получение уведомлений, кодов 2FA, управление ресурсами, тикетами и балансом.

Для этого в разделе «Настройки аккаунта → Уведомления» привяжите телеграм-аккаунт и нажмите кнопку «Настроить». Затем выберите тип чата, отсканируйте QR или сразу перейдите в бота по ссылке.

Подключить бота →

Как часто вы думаете о надежной IT-инфраструктуре?

Перенесем ваши проекты в Selectel бесплатно от другого провайдера или on-premise. Наши инженеры подготовят план и поддержат на всех этапах миграции.

• Начислим до 1 000 000 бонусов в панель управления.

• Перенесем проект «как есть» с использованием изначально заявленного технического стека.

• Подберем 50+ совместимых продуктов.

• Обеспечим безопасность на всех уровнях, включая защиту от DDoS, соответствие 152-ФЗ и международным стандартам.

• Предложим облачные и выделенные серверы под любые задачи.

• Настроим сетевую связность и резервирование данных.

• Выполним работы с минимальным даунтаймом по ночам и в выходные, чтобы ваши сервисы оставались доступными во время миграции.

• Разместим ваши проекты на развитой инфраструктуре в шести собственных дата-центрах уровня Tier III.

Переходите на сайт Selectel, чтобы узнать подробности и оставить заявку на бесплатный переезд.

Практический курс по работе с объектным хранилищем

В новом бесплатном курсе рассказываем, что такое S3 и как применить его в своих проектах. Вас ждет 10 материалов, изучение которых займет чуть менее трех часов.

В рамках курса вы научитесь:

• использовать хранилище в Kubernetes,

• подключаться к нему из платформы для дата-аналитики,

• интегрировать хранилище с Tilda,

• сохранять бэкапы, в том числе игровых серверов,

• монтировать контейнеры S3 в Windows и Linux.

Переходите в Академию Selectel и изучайте курс.

Записали видеоэкскурсию по DCImanager — платформе для управления физической ИТ-инфраструктурой!

С помощью DCImanager можно:

● управлять мультивендорным серверным и околосерверным оборудованием дата-
центра из одного окна;
● вести учет оборудования, комплектующих и лицензий в инфраструктуре и на складе;
● автоматизировать выдачу физических активов подразделениям компании;
● замещать решения для управления оборудованием от зарубежных вендоров;
● обновлять прошивки BMC и BIOS/UEFI серверов, в том числе с внутреннего
репозитория;
● контролировать идентичность настроек оборудования;
● вести учет IP-адресов, настройка сетевого оборудования и виртуальных сетей.

В видео показываем, что представляет собой DCImanager, и рассказываем об основных возможностях платформы.

Скачать бесплатный триал DCImanager, получить доступ к демостенду или заказать демонстрацию можно на нашем сайте.

Поддержали серверами некоммерческий проект NTP pool

Скорее всего, у каждого из вас есть роутер, умная колонка или другое устройство с электронными часами. Чтобы показывать точное время эти устройства постоянно синхронизируются со специальными серверами, которые делятся на два уровня.

По сути в каждой стране существуют общественные кластеры серверов 2 уровня, которые синхронизируются с серверами 1 уровня. А они, в свою очередь, синхронизируются с национальными службами через спутник, радио или модем.

У нас в России тоже есть кластер серверов 2 уровня и вчера один из участников кластера опубликовал на Хабре статью, в которой забил тревогу — из 140 серверов в зоне ru за 2 недели осталось только 20. Так как через серверы синхронизируются миллионы устройств, оставшиеся серверы тоже стали вылетать под высокой нагрузкой и по состоянию на вчера их было всего 4.

Мы решили помочь и вчера ночью бесплатно добавили 30 серверов в кластер на постоянной основе. Теперь их 61, и точное время на ваших устройствах точно не собьется благодаря нам и активному комьюнити 🤘

Начинаем презентацию SelectOS! 🕓

Расскажем о возможностях серверной ОС Selectel и поделимся планами ее развития.

Как SelectOS поможет сократить расходы? Как современным компаниям сохранить коммерческую независимость и технологическую актуальность? Это лишь часть тем, которые обсудим на вебинаре. Завершим презентацию ответами на ваши вопросы! 🙌

Смотреть трансляцию в VK →

Смотреть трансляцию на YouTube →

Добавили в каждый балансировщик раздел «Серверы». В нем можно отслеживать все, что подключено к балансировке, а также IP-адреса сервисов, статусы доступности и время даунтайма.

Статусы обновляются моментально, но иногда могут быть задержки до 1 минуты.

Также теперь к балансировке можно подключать не только облачные и выделенные серверы, но и базы данных и Backend Apps. А еще балансировщики получили отдельный раздел в левом меню — для большего удобства.

Настроить балансировку → 

Добавили возможность устанавливать SSL на балансировщики. На выбор: бесплатный Let’s Encrypt с автоустановкой и продлением, или собственный.

Теперь вместо загрузки сертификатов на каждый сервер по отдельности достаточно загрузить один сертификат на балансировщик.

Скоро добавим автоматическую настройку А-записи перед установкой Let's Encrypt, его установку на поддомены и интеграцию с платными SSL.

Поставить SSL на балансировщик → 

Как мы интегрировали Managed Kubernetes с сервисами публичного облака — поделимся на IT-конференции GoCloud Tech 🎤

Приходите на конференцию GoCloud Tech — послушать доклад и обсудить тему в неформальной обстановке. Расскажем, как сервисы наблюдаемости помогают автоматизировать мониторинг, логирование и аудит в Kubernetes. Разберем, как повысить гибкость и масштабируемость решения с помощью интеграции облачных инфраструктурных сервисов, а безопасности приложений — с помощью систем управления ключами и секретами. А еще обсудим подводные камни, которые встречаются на пути межсервисной интеграции, и что с ними делать.

🕚 Когда: 24 октября с 16:05 до 16:30

📍 Где: онлайн и офлайн в Москве в лофт-пространстве Goelro

👉 Зарегистрироваться на GoCloud Tech

А еще сейчас вы можете подключить Evolution Managed Kubernetes и пользоваться сервисом со скидкой 60% до конца 2025 года.

Полезное в блоге:

• Нобелевские премии 2024 и искусственный интеллект. Физика: Джон Хопфилд и нейросети имени его

• Зачем я использую контейнеры как виртуалки: опыт python-разработчика

• Что нового слышно о шине CXL: заметки с саммита по вычислениям, памяти и хранению данных

Бесплатно перенесем ваши проекты в Selectel 🔥

Перенесем ваши проекты в Selectel быстро, надежно и бесплатно.

• Возьмем на себя все задачи, включая планирование, логистику, подготовку стоек и прочее.

• Разместим ваши проекты на развитой инфраструктуре в шести собственных дата-центрах уровня Tier III.

• Проведем миграцию с минимальным даунтаймом — в согласованное время ночью и на выходных.

• Доверим проведение работы опытным DevOps-инженерам, архитекторам и менеджерам проектов.

Узнайте, как переезжали в Selectel компании YCLIENTS, «Гардиум» и «Экстремум».

Предпочитаете перейти сразу к делу? Просто оставьте заявку на сайте.

Как автомасштабировать K8S в ноль — узнайте на IT-конференции GoCloud Tech 🔍

На прошлой неделе мы анонсировали IT-конференцию GoCloud Tech, а сегодня расскажем про один из докладов программы.

Автомасштабирование кластера Kubernetes и масштабирование подов помогают быстро расширить ресурсы при пиковых нагрузках. Но иногда проблема нехватки ресурсов кроется в неочевидном. Разберем, что делать, если триггер масштабирования кластера не утилизация, а события от внешних систем (например, очередь сообщений Kafka или платформа CI/CD). В прямом эфире запустим такое приложение вместе с классическими подходами автомасштабирования, а также масштабируем кластер по событиям с помощью KEDA (Kubernetes-based Event Driven Autoscaler).

Приходите послушать доклад и обсудить тему в неформальной обстановке.

🕚 Когда: 24 октября с 14:00 до 23:00

📍 Где: онлайн и офлайн в Москве в лофт-пространстве Goelro

👉 Зарегистрироваться на GoCloud Tech

Полезное в блоге:

• Что нового слышно о шине CXL: заметки с саммита по вычислениям, памяти и хранению данных

• Зачем нужна R&D-команда: взгляд разработчика

• Как объединить кластеры Kubernetes без даунтайма: пошаговая инструкция

Качать напрямую на сервер с Яндекс.Диска

Бывает нужно скачать на сервер огромный файл. На серверах обычно интернет супер быстрый и очень выгодно качать на сервер напрямую с облачного диска. С гуглом уже писал в телеге как быть.

Теперь знаю как это делать с Яндексом. Обращаемся к апишке яндекса следующим образом. Есть GET метод у API: https://cloud-api.yandex.net/v1/disk/public/resources/download?public_key=ПУБЛИЧНАЯ_ССЫЛКА

Вместо ПУБЛИЧНАЯ_ССЫЛКА подставляем ссылку вида https://disk.yandex.ru/d/abcabc. Вставляем это в браузер. В ответ приходит json и в поле href лежит уже готовая ссылка, которую можно передавать в wget и качать все напрямую на сервер.

Дико удобно и быстро получается. Яндекс еще любезно запаковывает все в архив.