Системное администрирование *

Привет, Хабр! Меня зовут Станислав Егоркин, я инженер юнита IaaS департамента разработки Infrastructure в AvitoTech.

Недавно я рассказывал о новых подходах, которые мы использовали при создании дашбордов для диагностики. С тех пор дашборды такого типа обрели еще большую популярность, и мы решили выложить пример их реализации в галерею дашбордов Grafana.

За основу я взял наш дашборд Node Status, который показывал в предыдущей статье. Напомню, он служит для того, чтобы быстро понять, все ли в порядке с нодой в Kubernetes-кластере. В своей основе она содержит множество небольших панелек, которые единообразно подсвечиваются при возникновении аномалий: оранжевый значит «обрати внимание», красный - явно что-то не так. При необходимости по клику можно получить расширенную информацию по каждой метрике.

Я очистил наш внутренний вариант от специфики. Это позволяет использовать дашборд в любых окружениях, в которых развернуты нужные экспортеры:

• node-exporter (лейбл «node» должен содержать имя Kubernetes-ноды);

• kube-state-metrics;

• node-problem-detector (опционально).

Несмотря на то, что все панельки должны в этом случае работать «из коробки», сам дашборд все же следует воспринимать как конструктор. У каждой инфраструктуры есть специфика, и вы можете легко отразить ее, опираясь на то, как реализованы уже имеющиеся панели.

Я полагаю, что ценность Node Status для комьюнити состоит не в том, какие именно метрики на ней собраны, а в том, на каких принципах она основана. Эти принципы зарекомендовали себя у нас, и вероятно будут также полезны и вам.

Если вы у вас возникнут сложности при использовании дашборда или предложения по его улучшению, пожалуйста, оставляйте свои комментарии! 

Вспомнились давние обсуждения в выборе размера кластера в файловой системе. Где всё плохо, маленький размер больше фрагментация, большой слишком много места пропадёт. Так вот стало интересно сколько же места будет пропадать в зависимости от размера кластера, компьютере среднестатичтического(ну на моём допустим) пользователя.

Сейчас у меня диск 2TB на котором в общей сложности живут 1998738 файлов от исходников линукса и его компонентов, до фото/видео архива, игр, софта и всяких там ISO(хотя под них в основном NAS используется). Сейчас всё это добро занимает порядка 1.6TB

Я проиндексировал весь диск. и решил посчитать сколько будет оверхед по месту для размера кластера от 512 до 64К.

512 - 529MB
1K - 1076MB
2K - 2232MB
4K - 4769MB
8K - 10162MB
16K - 22102MB
32K - 47990MB
64K - 103391MB

Вот такая математика.

PS. Я не учитывал что файлы могут хранится в MFT. так как какой максимальный размер файла там может хранится для меня вопрос окутанный тайной.

Orion soft обновляет виртуализацию zVirt: Storage DRS, репликация на уровне СХД YADRO и Huawei, ядро ИСП РАН и другие новые функции

31 марта мы выпустим крупное обновление нашей защищенной платформы виртуализации zVirt.

Версия 4.3 включает инструмент для объединения нескольких доменов хранения в логический кластер (Storage DRS), управление репликацией на уровне СХД YADRO и Huawei, управление сертификатами через интерфейс, отечественное ядро ИСП РАН, Terraform-провайдер и еще 30 улучшений.

Приглашаем 1 апреля в 11:00 по Мск на вебинар о новом релизе, на котором расскажем подробнее о главных нововведениях и поделимся планами на развитие продукта.

Регистрация открыта по ссылке.

Вышла новая версия XRay-core v25.3.6, одно из самых интересных нововведений которой - возможность обхода блокировок с помощью domain fronting и локального MitM без использования прокси-сервера. Идея domain fronting основана на том, что некоторые сервисы и CDN (например, Google/Youtube, Meta/Facebook/Instagram, а также Fastly, которую используют Reddit и Twitter) позволяют обращаться к своим сайтам и сервисам, передавая разные домены в поле SNI (при установке зашифрованного соединения - это поле видно оборудование анализу трафика и на основании его содержимого принимается решение о блокировке или замедлении) и в поле "Host" HTTP-запроса. Таким образом можно, например, обратиться к серверу "youtube.com" указав в SNI адрес "google.com", в результате чего клиент получит доступ к Youtube, но для стороннего наблюдателя это будет выглядеть как обращение к поисковику.

XRay в новой версии позволяет автоматически производить такие подмены для заданного списка доменов, и таким образом получать доступ к сервисам, страдающим от устаревания оборудования (по мнению РКН) напрямую без замедления и без использования прокси-серверов.

Поскольку при использовании domain fronting сервер будет отвечать сертификатом "подменного" домена, а не того домена, который запросил браузер, XRay так же на лету подменяет сертификаты из ответа сервера на свои самоподписанные с нужным доменом - для этого нужно добавить в список доверенных сертификатов в браузере свой самоподписанный корневой сертификат.

Краткое описание настройки можно найти здесь, а подробный пример конфигурации клиента - здесь.

Хабр, привет!

Приглашаем на митап о карьере в Linux🐧.

19 марта эксперты компании и приглашенный гость — блогер Константин Дипеж (DeusOps) — обсудят профессиональный путь Linux-специалиста.

— как безболезненно «вкатиться» в Linux

— с чем откликаться на вакансию

— какие вопросы задают на техническом интервью

— как расти профессионально после оффера

— как развиваться в DevOps и не только

Приглашаем Linux-специалистов, которые видят зоны роста и хотят выйти на новый уровень профессиональной экспертизы

Во время дискуссии можно будет задать вопросы спикерам. За лучшие – обещаем мерч;)

Встреча пройдет онлайн, 19 марта в 18:00 (мск). Подробности и регистрация на сайте.

IMPulse - менеджмент инцидентов. Интеграция с Telegram.

После первой публикации об IMPulse, стало понятно, что основная интеграция, которую от нас ждут, это Telegram. И мы рады её представить!

Для работы с Telegram мы использовали группы с топиками - они лучше всего ложатся на наш функционал. В процессе разработки мы столкнулись с багом при упоминании (mention) пользователей в Telegram, о чём составили соответствующий issue. Если вы тоже заинтересованы в закрытии этого бага, пожалуйста поставьте "👍".

Помимо интеграции с Telegram стоит упомянуть реализованный шедулер для работы команд реагирования по расписанию. Синтаксис конфигурации составлен таким образом, чтобы в будущем была возможность интегрироваться с внешними календарями типа Google.

Также мы запустили нашу группу в Telegram для вопросов и обсуждений.

Скоро мы снова придём с очередными хорошими новостями! Подписывайтесь здесь, в Telegram'е или на GitHub'е, чтобы быть в курсе.

Представим, что у нас некоторая система, состоящая из микросервисов, которые работают на разных машинах, но внутри общей IP-сети на немаршрутизируемых IP-адресах (10.0.0.0/8, 192.168.0.0/16 и т.д.). Микросервисы разговаривают друг с другом по TCP, подключаясь по IP-адресам, указанным в соответствующих конфигурационных файлах каждого. Но можно указать и не IP-адрес, а некий хостнейм, прописав его же в /etc/hosts. Почему-то часто считают, что "хостнейм эквивалентен IP-адресу". Оно, конечно, удобно так считать, с точки зрения "человекопонятности", но не всегда хорошо с точки зрения безопасной настройки.

Дело в том, что опечатка (или намеренная замена символа) в имени хоста может привести к тому, что адрес окажется в чужой DNS-зоне. Простейший случай: users-db.example.com -> users-db.example.co. Да, должно быть закрыто, да, есть .local, а хостнеймы можно записывать одним "лейблом", но это не решает проблему: использование символьного хостнейма гарантирует дополнительные запросы для разрешения имён, будь то локальные запросы на той же машине или запросы внешние, возникшие из-за опечатки. А всякий, даже локальный, библиотечный/системный вызов, выполняющий трансляцию имён и адресов, готов принести с собой неожиданные эффекты (см. ниже пример уже про IP-адреса). Не обязательно это эффекты от подмены библиотеки или подмены конкретного вызова. А если кто-то умеет записывать в /etc/hosts, то он и конфиг любой поправит. Что, впрочем, не всегда так, поскольку раскладывание hosts по машинам могут автоматизировать - тогда перехватить нужно только точку управления скриптом, формирующим файл. А ведь ещё обычно используется два протокола: v6 и v4, адреса и "резолвинг" там разные.

Если в конфигах микросервисов прописывать непосредственно IP-адреса (пусть и автоматом), то ситуация несколько лучше. Есть неплохие шансы, что трансляция имён/адресов не будет использована. Минимальная опечатка в записи немаршрутизируемого адреса реже приводит к тому, что трафик убегает наружу. Это так потому, что, во-первых, на то они и немаршрутизируемые; во-вторых, в таких системах обычно настраивают различные ACL, а они настраиваются для IP, в других местах, не на конкретной машине с микросервисом, да и пальцы у настраивающих ACL дрожат по-иному.

Тут, впрочем, необходимо отметить некоторые тонкости: ping 010.010.010.010 -- на многих и многих системах отправит пакеты в сторону серверов Google (проверьте). Я раньше рекомендовал использовать этот довольно хитрый "оборот" в рамках собеседований на должность сетевого инженера/разработчика (теперь уже смысла, понятно, нет), поскольку понимание того, почему здесь пакеты уходят в сторону сети Google, раскрывает основную часть опасений, связанных с использованием имён хостов в конфигах. Но всё же, в 010.010.010.010 - более одной "опечатки".

Образы FreeDOS, HDAT2, MHDD, memtest86+, UEFI memtest86, UEFI Shell для загрузки в Ventoy (требуется версия 1.0.80 или новее)

Скачать: tools-ventoy (GoogleDrive)

Файлы .7z необходимо распаковать. Файлы .img уже сжаты gzip поэтому не запакованы в архивы.

Legacy/CSM: FreeDOS_vtmemdisk.img, HDAT2v7.5_vtmemdisk.img, MHDDv4.6_vtmemdisk.img

memtest86+v7.20_vtgrub2.iso - комбинированный ia32 + x64, Legacy/CSM + UEFI

UEFI: UEFI_memtest86v11.2_vtgrub2.iso, UEFI_shellx64.efi

Let's Encrypt больше не будет отправлять уведомления по электронной почте об истечении срока действия сертификатов

Ну что ж, вот и кончилась эпоха... С момента своего создания Let’s Encrypt отправлял уведомления об истечении срока действия сертификатов по электронной почте подписчикам, которые предоставили им свой адрес. Однако, начиная с 4 июня 2025 года, данная рассылка будет прекращена.

Let’s Encrypt приводит следующие аргументы в поддержку этого решения:

1. За последние 10 лет подавляющее большинство подписчиков внедрили автоматизированные системы обновления сертификатов, которые являются более надёжными, чем получение уведомлений по электронной почте.

2. Для рассылки уведомлений Let’s Encrypt вынужден хранить миллионы адресов электронной почты, что негативно сказывается на конфиденциальности. Сокращение объёма хранимых данных рассматривается как приоритетная задача.

3. Отправка уведомлений обходится в десятки тысяч долларов в год — средства, которые можно использовать гораздо эффективнее для улучшения других компонентов инфраструктуры.

4. Поддержка системы рассылки увеличивает общую сложность инфраструктуры, требуя дополнительных ресурсов и повышая вероятность ошибок. С учётом планов по внедрению новых функций становится необходимым сокращение избыточной сложности инфраструктуры.

Для тех, кто хочет продолжать получать уведомления об истечении срока действия сертификатов есть возможность воспользоваться сторонним сервисом Red Sift Certificates Lite (https://redsift.com/pulse-platform/certificates-lite). Мониторинговый сервис Red Sift предоставляет уведомления бесплатно для 250 сертификатов.

Несмотря на заявленное стремление сокращать количество хранимых адресов для рассылки уведомлений об истечении срока действия сертификатов, рассылки о новостях Let’s Encrypt и ее материнской компании ISRG (https://www.abetterinternet.org/) не прекратятся... А те кто не успел на них подписаться даже могут это сделать. Правда, как это сочетается с желанием сократить общую сложность инфраструктуры, я уже не могу и предположить.

Для тех, кто еще не добавил автоматическое обновление сертификатов на свой сервер – вот подходящая команда для cron (пытается обновить сертификаты через каждые трое суток):

0 2 */3 * * /usr/bin/certbot renew --quiet >/dev/null 2>&1

Добавить ее можно путем вызова команды crontab -e

Обратите внимание что после ввода строки надо обязательно нажать Enter!

Из Let's Encrypt сообщают, что выпустили первый TLS-сертификат сроком действия шесть дней. Сделать такие TLS-сертификаты доступными для всех планируют к концу 2025 года. Короткоживущие сертификаты не будут содержать ни ссылки на OCSP-респондер, ни ссылки на точку раздачи CRL. То есть, никаких механизмов проверки статуса (отзыва) в сертификате не предусмотрено. Такой вариант допускается для короткоживущих сертификатов требованиям CA/B-форума (организация, через которую определяются требования к УЦ, корневые ключи которых включаются в дистрибутивы браузеров).

Для подключения шестидневных сертификатов нужна поддержка соответствующих профилей в ACME-клиенте. Очевидно, заказ короткоживущих сертификатов для легитимных, - долгоживущих, - сайтов имеет смысл выполнять только полностью автоматически. Зато такие сертификаты обещают и для IP-адресов, что удобно в ряде сценариев использования. DNS для подтверждения управления IP-адресами не подходит. Поэтому проверяется только факт управления узлом под заданным IP-адресом, а не доменной зоной. И такая проверка будет происходить не только по HTTP, но и довольно экзотическим методом TLS-ALPN, который целиком работает на уровне TLS и вообще не виден для веб-сервера, работающего выше TLS.

Что касается перехода к короткоживущим сертификатам. В современном вебе отзыв сертификатов, фактически, не работает. Это хорошо известно. Считается, что коротоживущие сертификаты, в основном, решают эту проблему, так как, в случае компрометации ключа, всё равно быстро заканчивают действовать. Тут, впрочем, нужно учитывать, что это касается только отзыва, а атаки с подменой сертификата вполне могут быть достаточно "быстрыми", чтобы короткоживущий сертификат не оказался самой большой помехой. Но, конечно, подменный сертификат, действующий год, лучше подменного сертификата, валидного только до пятницы - тут не поспорить.

Поскольку проблема отзыва сертификатов и компрометации ключей - одна из центральных в этой области, можно предположить, что скоро короткоживущие сертификаты получат приоритет и в браузерах. Последует постепенный, - но достаточно быстрый, - отказ от доверия "долгим" сертификатам только на основании периода валидности, даже без проверки подписей и доверия к УЦ. Технически, ограничение срока действия может применяться и к оконечным сертификатам от УЦ, корневые ключи которых были добавлены в браузер вручную.

Эта строгая тенденция к снижению срока действия сертификатов, которым браузеры соглашаются верить, достаточно давняя - ей около десяти лет. А хорошим подтверждением курса на "сверхкороткие" сертификаты является то, что в рекомендациях CA/B-форума для таких сертификатов уже закреплено отсутствие требования ссылки на CRL (OCSP сейчас не является обязательным для любых оконечных сертификатов).

Привет, когда смотришь логи подов через kubectl и вдруг у пода оказывается несколько контейнеров, kubectl logs ... завершается ошибкой:

error: a container name must be specified for pod pod-name-0, choose one of: [...]

Хватит это терпеть! Мой kui идет на помощь! Добавил команду logs all она показывает логи сразу всех контейнеров без необходимости выбора!

Творите, выдумывайте, пробуйте!)

Я разверну этот мониторинг «с трех нот»: система для инсталляций с десятками СХД

Инженеры YADRO включили в состав продукта TATLIN.SATELLITES интегрированное решение для мониторинга — система получила название Monitoring Appliance. Она включает в себя компоненты для сбора и хранения метрик со множества массивов, а также их визуализацию и алертинг.

Возможности Monitoring Appliance

Система мониторинга, разворачиваемая из Docker Compose, может: 

• Собрать метрики производительности компонентов СХД по протоколу SNMP.

• Принять и обработать SNMP traps от СХД.

• Принять и обработать Syslog-сообщения от СХД.

• Мониторить состояние сервера, на котором установлен Monitoring Appliance.

• Отображать данные мониторинга в виде дашбордов.

• Оповещать о внештатных ситуациях и пороговых состояниях.

Главная страница визуализации мониторинг. На ней отображаются основные метрики «здоровья» систем хранения данных, на которых хочет сфокусироваться пользователь. Можно выбрать нужную СХД и получить данные конкретно по ней. Также этот дашборд легко пересобрать, исходя из своих целей. 

Из чего состоит мониторинг и как его повторить, читайте по ссылке →

Это задачка для DevOps-инженера: почему ArgoCD не расшифровывал секреты из Vault

Нашему DevOps-специалисту Антону нужно было развернуть helm-чарт для Airflow с использованием ArgoCD. Как известно, ArgoCD реализует концепцию GitOps и подразумевает хранение манифестов в репозитории. Но часть данных в values чувствительна, например пароль от базы данных PostgreSQL. Поэтому неплохо было бы вынести эти данные в хранилище секретов (в этом случае — HashiCorp Vault), чтобы скрыть информацию от лишних глаз.

Есть несколько способов подтянуть секреты из Vault в поды. Наиболее предпочтительный по ряду причин — vault-injector. В обычной ситуации Антон бы воспользовался им, но в случае с helm-чартом Airflow задача показалась непростой. Поэтому он решил воспользоваться менее предпочтительным, но точно рабочим (как думал Антон) вариантом с ArgoCD Vault Plugin.

Какая вылезла проблема

Когда секреты были добавлены в хранилище, а ArgoCD Application написан, Антон попытался развернуть его для теста. Вот примерный Application, с которым это делалось (весомая часть пропущена для компактности):

apiVersion: argoproj.io/v1alpha1
kind: Application
metadata:
 name: airflow
 labels:
   app.kubernetes.io/name: airflow
   app.kubernetes.io/component: airflow
 namespace: argocd
 finalizers:
   - resources-finalizer.argocd.argoproj.io
spec:
 project: default
 destination:
   namespace: some-namespace
   name: cluster
 source:
   repoURL: "airflow_repo_url"
   targetRevision: "revision"
   chart: airflow
   plugin:
     name: argocd-vault-plugin-helm
     env:
       - name: HELM_VALUES
         value: |
             ...
             metadataConnection:
               user: user
               pass: <path:path/to/airflow/secrets#postgres_password>
               protocol: postgresql
               host: postgres.db.url
               port: 5432
               db: airflow_db
               sslmode: prefer
             ...
   
 syncPolicy:
   automated:
     prune: true
     selfHeal: true
   syncOptions:
     - Validate=true
     - CreateNamespace=true

Ничего необычного, за исключением прокидывания values прямо из Application и того самого секрета. А еще — компонент webserver отказался запускаться, ссылаясь на невозможность подключиться к базе данных. Хотя данные были абсолютно точно правильными.

В чем итоге была проблем и как Антон с ней справился, читайте в статье →

Практический курс «Системный администратор Linux с нуля»

Привет, Хабр! Selectel запускает курс по работе с серверной операционной системой. Он будет полезен начинающим администраторам, а также разработчикам и DevOps-инженерам, которые хотят погрузиться в Linux и сетевую инфраструктуру.

На курсе вы научитесь:

▫️ работать с командной строкой и основными утилитами;

▫️ управлять пользователями, файлами и правами доступа;

▫️ настраивать сети, SSH-соединения и мониторинг системы;

▫️ управлять инфраструктурой на базе Linux;

▫️ управлять пакетами и обновлениями программного обеспечения;

▫️ анализировать логи и устранять инциденты.

Занятия построены на базе SelectOS. Дополнительных знаний не требуется — достаточно базового владения компьютером и интереса к Linux.

Смотреть программу →

Вместе с авторизованным учебным центром КУДИЦ объявляем о запуске новых обучающих курсов: «Администрирование Basis Dynamix Standard» и «Администрирование Basis Workplace». Курсы предназначены для системных администраторов и архитекторов, занятия будут проходить в онлайн-формате в течение трех дней (24 академических часа).

Слушатели курса «Администрирование Basis Dynamix Standard» познакомятся с архитектурой платформы и научатся решать связанные с ней типовые задачи администрирования. Участники освоят установку и настройку компонентов Basis vCore и Basis vControl, управление виртуальной сетевой инфраструктурой, данными и вычислительными ресурсами, настройку системы для работы в режиме высокой доступности и выполнение мониторинга.

В рамках курса «Администрирование Basis Workplace» слушатели изучат установку и настройку платформы, включая добавление систем хранения данных и создание кластеров, управление пользователями, рабочими столами и терминальными приложениями, настройку шаблонов рабочих столов и устранение неисправностей.

Кроме того, на сайте центра доступен обучающий курс «Администрирование платформы Basis Dynamix Enterprise», который мы запустили летом 2024 года. Его слушатели изучат архитектуру платформы, научатся управлять аккаунтами и ресурсными группами, работать с виртуальными машинами, включая диски, образы дисков, PCI устройства и графические карты. Особое внимание будет уделено сетевой инфраструктуре: внешним и виртуальным сетям, балансировщикам нагрузки и маршрутизаторам.

Слушателям курсов выдаются сертификаты о прохождении обучения от компании «Базис». Получить дополнительную информацию и записать на курсы можно на сайте учебного центра или у нашего менеджера по работе с партнерами Ирины Кулешовой (ivkuleshova[at]basistech.ru).

Загрузочное меню UEFI 101

При загрузке UEFI могут использоваться два boot-menu:

• меню firmware, хранящееся в NVRAM. Можно вызвать при включении компьютера по hotkey (F8/Esc/etc). Отображается в настройках Gen 2 VM Hyper-V (при этом можно менять порядок загрузки, но не сами записи).

• меню загрузчика (опционально). В Linux это меню GRUB, в Windows - bootmgr (отображается, если содержит больше одной записи). Современное ядро Linux может загружаться напрямую без GRUB.

В firmware загрузка настраивается через текстовые переменные:

Boot#### - загрузочная запись
BootOrder - упорядоченный список записей Boot####
BootCurrent - запись, с которой загружена система
BootNext - запись, с которой однократно будет загружена система после перезагрузки

Первоначально firmware добавляет записи Boot#### для подключенных поддерживающих загрузку устройств (DVD, HDD, USB, Network).

При загрузке с диска происходит поиск на нем GPT раздела типа EFI system partition (ESP), с которого запускается загрузчик EFI\Boot\bootx64.efi (имя файла зависит от аппаратной платформы). Обычно этот раздел отформатирован в FAT32, так как большинство прошивок UEFI не поддерживают чтение других файловых систем (хотя и могли бы).

Созданные Rufus загрузочные UEFI-флешки с Windows содержат основной NTFS раздел с дистрибутивом (FAT32 не поддерживает файлы размером больше 4Gb) и скрытый FAT32 ESP раздел с фирменным EFI загрузчиком, поддерживающим чтение NTFS.

Загрузчик ОС может добавить (и обычно добавляет) в firmware новую запись Boot####:
Windows: HD(1,GPT,E935CDDD-9506-45D3-A96B-9354674BA581,0x800,0x32000)/\EFI\Microsoft\Boot\bootmgfw.efi
Linux: HD(1,GPT,F3275A6A-A4B2-4AD4-A8C1-D74B9C4E9691,0x800,0x12C000)/\EFI\redos\shimx64.efi

Загрузчик shimx64.efi может быть подписан цифровой подписью для работы с Secure boot, его единственная функция - запустить grubx64.efi из текущей директории. grubx64.efi не подписан, так как его содержимое может изменяться.

В некоторых случаях при переносе диска между ПК или VM в новой системе ОС не загружается. Например, если в NVRAM старой системы была настроенная запись Boot####, а стандартный раздел EFI boot поврежден или не содержит загрузчик в стандартном расположении. В этом случае необходимо или восстановить запись утилитами bcdedit/efibootmgr, или, в случае VM, переносить ее через export/import вместе с nvram.

Посмотреть загрузочные записи firmware
Windows

bcdedit /enum firmware
bcdedit /enum "{fwbootmgr}"
###(displayorder = BootOrder)###

Linux
efibootmgr -v

Однократно загрузиться с конкретной записи
Windows

bcdedit /set {fwbootmgr} bootsequence {GUID}
bcdedit /set {fwbootmgr} bootsequence {bootmgr}
###(bootsequence = BootNext)###

Linux
efibootmgr --bootnext 0003

Изменить порядок загрузки
Windows

bcdedit /set {fwbootmgr} displayorder {98b6343e-bc5c-11ef-8148-00155d518900}
bcdedit /set {fwbootmgr} displayorder {bootmgr} /addfirst

Linux
efibootmgr --bootorder 0003,0000,0001

Почитать:
https://uefi.org/specs/UEFI/2.10/03_Boot_Manager.html
https://www.rodsbooks.com/refind/

Если в чем-то ошибаюсь, буду признателен вашим комментариям.

Вышел новый релиз 1.0.2 проекта CFXHTTP, представляющего собой реализацию VLESS-прокси-сервера с Websocket- и XHTTP-транспортами на платформе Cloudflare Pages и Cloudflare Workers.

Pages - бесплатный хостинг веб-сайтов от компании Cloudflare, который кроме раздачи статического контента также позволяет запускать на сервере Javascript-код. Для сайтов на бесплатном тарифе не нужно даже иметь домен, так как CF разрешает создавать поддомены на своем домене pages.dev для пользовательских сайтов.

Таким образом, CFXHTTP позволяет поднять свой прокси-сервер с VLESS используя бесплатный тариф Cloudflare, не потратив на это ни копейки и даже не имея домена.

Инструкция по развертыванию на английском языке здесь, а на китайском здесь (она более полная, можно перевести google translate). Необходимо прописать переменные окружения WS_PATH (или XHTTP_PATH) и UUID и загрузить файлы на сервер Cloudflare. После чего можно подключаться к вашему личному прокси с помощью почти любого клиента на базе XRay. CFXHTTP так же может сгенерировать config.json для подключения к серверу при обращении к определенному URL.

Имеющиеся ограничения:

1. Проксируется только TCP, проксировать UDP невозможно. Соотвественно, не будут работать игры, звонки в месседжерах, и т.д. Если вы используете клиент в режиме local proxy то проблем с конфигурацией быть не должно, если вы используете TUN-режим, то нужно настроить локальный DNS в клиенте для использования TCP (например tcp://8.8.8.8:53) или DoT. Примечание: не используйте 1.1.1.1, у CF есть какой-то баг, связанный с этим.

2. Не поддерживается мультиплексирование (mux.cool) и early data для вебсокет-транспорта

3. Транспорт XHTTP работает только через Workers, для которых нужен домен и для которых на бесплатном тарифе есть ограничение на количество запросов. WS-транспорт работает и с Pages, не требуя отдельного домена.

4. Workers и Pages имеют ограничения на потребляемые ресурсы и время выполнения, поэтому долго живущие подключения (например, при скачивании больших файлов) могут быть принудительно разорваны через какое-то время активности.

5. Как сказал автор, "The more people knows of this script, the sooner this script got banned." Поэтому перед загрузкой файлов на сервер не лишним будет еще раз прогнать js-код через обфускатор и поменять строковые константы на свои.

В остальном же, оно вполне работает. Через Hiddify у меня почему-то не завелось (возможно потому что он основан на Sing-box), через v2rayNG (после конфигурации DNS через TCP и отключения мультиплексирования) заработало без проблем, сайты открываются стабильно и без видимых задержек, сервисы проверки IP-адреса клиента показывают IP из сетей Cloudflare.

См. также: https://github.com/6Kmfi6HP/EDtunnel/ - похожий проект прокси-сервера с использованием Pages/Workers. Поддерживает VLESS и SOCKS5 через Websocket-транспорт, из интересного - умеет перехватывать DNS-запросы по UDP и перенаправлять их на DNS-сервер по TCP.

Нужен ли вам Ansible AWX: обзор особенностей и функционала

Когда парк виртуальных машин разрастается, а ежедневно приходится запускать сотни плейбуков, то работа с командной строкой для DevOps-инженеров становится мучением. Упростить работу с Ansible поможет AWX. Удобный графический интерфейс, интеграция с системами контроля версий, обновление проектов и динамического inventory — только часть возможностей системы. 

В подробной статье на базе опыта использования системы в YADRO:

• рассказываем о сложностях запуска плейбука в Ansible,

• разбираем, как именно AWX упрощает работу с Ansible,

• изучаем почти 20 приятных плюшек и парочку подводных камней,

• запускаем плейбук с AWX и без,

• настраиваем уведомления в Telegram,

• делимся отзывами 6 команд о работе с AWX. 

Читайте обзор Ansible AWX от Ксении Кузьменко, DevOps-инженера DPS-команды, которая предоставляет платформенные сервисы для 40+ команд и 1000+ пользователей внутри компании. Если будут вопросы — пишите в комментариях к статье, Ксения с удовольствием ответит. 

Декабрьский дайджест обновлений: треды, новые виджеты и интеграции в «Первой Форме»

Рассказываем, что нового появилось в «Первой Форме» — low-code BPM-системе для автоматизации документооборота, управления проектами, CRM, В2В2С-решений и корпоративных коммуникаций.

Треды в ленте и чатах

Теперь в системе можно создавать обсуждения в задачах и групповых чатах. Новый тред откроется в отдельном окне — так можно быстро уточнить детали и при этом иметь доступ к основному контексту задачи или беседы.

Режим лобби для комнаты в ВКС 

В системе есть собственный сервис видеоконференцсвязи (ВКС). В нём можно организовывать видео и аудио-звонки, проводить совещания с авторасшифровкой и ИИ-саммаризацией, демонстрировать экран и многое другое. Также к ВКС можно подключать внешних пользователей без дополнительной регистрации.

В ВКС появился новый режим — лобби. Если вы приглашаете на видеовстречу гостей, которые не зарегистрированы в системе, они сначала попадут на экран ожидания и смогут войти только после вашего подтверждения.

Обновлённый канбан

Теперь задачи в канбане можно искать по тексту. Поиск учитывает контекст и вашу роль. Так вы можете быстрее находить нужные карточки в проектах с любым количеством задач, даже если в запросе есть опечатки. 

Новые виджеты для главного портала

1. Виджет контактов даёт возможность быстро позвонить или написать в личный чат коллегам и партнёрам. Это можно сделать с главной страницы, без перехода в личные карточки.

2. На обновлённый виджет «Календарь» можно вывести встречи, дедлайны по задачам и подписям, напоминания.

3. Виджет «Счётчики» отображает критичные показатели. Например, количество новых заказов, сумму продаж за день, число обращений клиентов.

4. Виджет «Задачи» отображает актуальные дела, приоритетность и дедлайны.

Интеграция с KeyCloak

KeyCloak — это провайдер для аутентификации пользователей по модели управления доступом. Все настройки прав пользователей из сторонних сервисов распределяются по группам. Эта интеграция позволяет переключаться между «Первой Формой» и другим ПО, например, 1С, Контур и другими, без повторной аутентификации.

Новый раздел корпоративного файлового хранилища

В корпоративном файловом хранилище «Первой Формы» есть два основных раздела: «Мои файлы» для контента пользователей и «Общие файлы», к которым есть доступ у всех пользователей.

Мы добавили новый системный раздел Диска «Обмен файлами». В отличие от раздела «Общие файлы», где права доступа предоставляются автоматически всем сотрудникам, в этом разделе владельцем файла по умолчанию является тот пользователь, который его загрузил. 

Изначально доступ к файлам и папкам есть только у него и у администраторов. Раздел доступен для просмотра всем зарегистрированным пользователям, и вы можете настроить права на просмотр, редактирование и другие действия с файлами.

Узнать больше об этих и других новых функциях можно из чейнджлогов сборок на сайте:

Сборка Весы

Сборка Скорпион 

Город с двумя столицами: роль ASIC и CPU в L3-коммутаторе

Внутри коммутатора два физических устройства: CPU и ASIC. CPU принято называть Control Plane, там крутится сетевая операционная система, как правило, Linux. ASIC также называют Data Plane. 

CPU (Control Plane) отвечает за:

• сложную логику,

• обработку служебного трафика,

• управление ASIC.

ASIC (Data Plane) ответственен за:

• простую логику на основе таблиц,

• быструю обработку большого числа пакетов,

• разбор заголовков, выбор выходного порта и выходного набора заголовков,

• буферизацию, очереди, политики. 

Администратор, который сидит в CLI, находится на CPU, а интерфейс, который он конфигурирует, — на соседнем устройстве ASIC.  

Для простоты понимания можно думать о физическом устройстве коммутатора как о двух соседних городах. Первый город CPU — административный центр, он управляет своим соседом. Второй город ASIC — промышленный центр с крупными транспортными развязками и светофорами. 

Физические порты находятся в ASIC, но управлять ими надо на CPU. На CPU крутятся сетевые демоны и разные алгоритмы, которые обрабатывают сетевой трафик. Его можно разделить на два вида:

• Пользовательский. Например, фотографии котиков, которые при наличии всех маршрутов проходят через ASIC транзитом. 

• Служебный. ARP или протоколы маршрутизации, которые как раз должны обрабатываться демонами или алгоритмами на CPU.  

Еще больше про устройство коммутатора читайте в статьях Антона Гузарева, тимлида команды, которая разрабатывает ПО для управления сетевыми устройствами в YADRO. Через кейс с ошибкой в коммутаторе он последовательно рассмотрела каждый его уровень в двух статьях:

→ Разбираемся с железом и настройками конфигурации

→ Ищем проблему с доставкой картинок с котиками на разных уровнях L3-коммутатора: от CLI до SDK