[FRsaG] Présentation
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Bonjour à tous, Je suis vraiment content de découvrir cette liste et plus géré par Grégory. Je pense que tu as eu une excellente idée en créant cette liste ca évitera les débordement systèmes sur le nog. Pour me présenter, cela fait 8 ans que je travaille dans le milieu des opérateurs, hébergeurs, infogéreurs sur Paris. Je suis passé par des grosses structures à des plus petites, j'ai pu gérer de très grand compte, des institutionnels jusqu'au secteur qui bouge le plus et qui est le plus à la pointe des technos : les sites internet à fort traffic De part toutes ces expériences j'ai été amené à remplir plein de rôle différents du responsable d'un pôle système, à chef de projet opérationnel en système et réseau (lan et wan), organisation de déménagement de datacenter, création d'un datacenter, tirage de fibre optique, ... Niveau système puisque c'est ce qui nous concerne ici, je suis principalement sur Debian et Ubuntu et depuis 6 ans j'ai eu pas mal d'expérience sur Mac OS (desktop et serveur) qui comme tout le monde le sait a une base de freeBSD. Les domaines d'intérêts en sys admin : - - shell script, perl, php - - domaine forte charge (web, système de fichiers, base de donnée, ...) - - design d'architecture scalable - - PRA multisite - - tout ce qui concerne la crypto : vpn, ssl, certificat - - performance et comparaison du matériel (disques, cpu, consommation électrique, ...) Voilà à peu près, à bientôt sur la liste - -- Pierre-Henry Muller -BEGIN PGP SIGNATURE- Version: GnuPG/MacGPG2 v2.0.14 (Darwin) iEYEARECAAYFAkxFv30ACgkQFq2gi4VPTl2mTgCeK6Y17gDjKWYtuZDFe7g8aBZU gBUAoIDZWlsW3VrFrq4lCQmEgq3VuBM5 =5MHk -END PGP SIGNATURE- ___ FRsaG mailing list FRsaG@frsag.org http://www.frsag.org/mailman/listinfo/frsag
Re: [FRsaG] Yubikey / Authentification forte
Le 22 juil. 2010 à 11:49, Pascal PETIT a écrit : > > A titre personnel : > > - je suis intéressé par savoir ce que vous utilisez comme système >d'authentification forte en environnement hétérogène (ou au moins >linux) car je souhaite en mettre un en place > > - pour le problème en cours, un simple CR une fois le problème >trouvé devrait suffire. > > -- > Pascal > ___ > FRsaG mailing list > FRsaG@frsag.org > http://www.frsag.org/mailman/listinfo/frsag Perso j'aime bien OTP pour One Time Password c'est l'implémentation en logiciel libre des token RSA proprios. Tu vas me dire oui mais il nous faut des badges, ces derniers sont remplacés par des applications qui peuvent être sur ton poste, sur un site web ssl, sur ton téléphone (iphone, android et doit y avoir rim et symbian mais j'ai pas regardé). Le principe reste le même un pin à entrer pour générer l'otp pour ton appli. Après tu connectes tes applis par radius ou autre comme pour les rsa id. -- Pierre-Henry Muller ___ FRsaG mailing list FRsaG@frsag.org http://www.frsag.org/mailman/listinfo/frsag
Re: [FRsaG] Annuaire LDAP : Choix de l'implément ation.
Le 22 juil. 2010 à 12:22, Simon Morvan a écrit : > Bonjour à tous, > > Je réfléchit actuellement à la mise en place d'une solution d'annuaire LDAP > pour gérer plus proprement les identités et comptes utilisateurs. > > Je vois que plusieurs candidats sérieux existent (OpenLDAP, ApacheDS, OpenDS, > Fedora DS, ...). > > Quel est votre implémentation de prédilection et pourquoi ? > > -- > Simon Pour ma part OpenLdap répondait aux prérequis réplications master/master, ssl pour les clients et réplications, beaucoup de client vraiment compatible en web et en appli. Mais j'avoue ne pas avoir trop testé les autres solutions. -- Pierre-Henry Muller ___ FRsaG mailing list FRsaG@frsag.org http://www.frsag.org/mailman/listinfo/frsag
Re: [FRsaG] Structure pour un service de stockage de m édias
De mon côté après avoir testé GlusterFS en v2 et v3, il y a bien trop de problème notamment des non reconnection du point de montage aux serveurs ou des fichiers corrompu. En vraiment distribué tu as Hadoop mais c'est une grosse archi à mettre en place. Entre les deux et c'est ce que j'ai choisi, tu as MogileFS, ce n'est pas un filesysteme posix ce qui est un peu dommage mais le fait est qu'y accéder par une api sur un canal http facilite la vitesse. Du coup ca m'a allégé d'un souci à gérer à savoir l'arborescence de plusieurs millions de fichiers et leurs noms uniques. Là on appel un fichier par sa clef unique et on ne se souci pas de l'arborescence hash ou autre sur le fs. Niveau perf j'ai réussi à tirer 400MB de deux serveurs virtuels pour de la lecture, l'écriture se fait sur un seul noeud et le tracker se charge de répliquer tout seul. On peut changer à tout moment le nombre d'exemplaire d'un fichier, suffit juste de bien ranger ses fichiers dans des classes. Typiquement une classe médias avec les originaux avec 3 exemplaires répliqués et une classe thumbnail pour les miniatures avec seulement 2. L'autre avantage de cette solution c'est la facilité à ajouter ou enlever un serveur, donc il est plus intéressant de mettre ces machines en raid0 pour gagner encore en perf. Je vous conseil d'utiliser nginx en front des noeuds de stockage c'est bien plus performant que la lib perl qu'ils fournissent. -- Pierre-Henry Muller ___ FRsaG mailing list FRsaG@frsag.org http://www.frsag.org/mailman/listinfo/frsag
Re: [FRsaG] Analyse des logs PHP
mode admin sys qui parle : rien en production ne doit donner la structure de ton site (archi, code, path, ...) donc pas de xdebug ou xhprof mode développeur qui parle : La consommation mémoire de ces deux modules fait que le temps d'exécution et les ressources nécessaires vont s'allonger. Mince l'admin sys dit pareil :) Une solution peut être, prendre une machine identique à une des front prod, faire le nécessaire pour qu'elle accepte les connexions entrantes mais ne réponde pas, dupliquer le flux réseau d'une machine de la prod vers cette machine qui pour le coup peut avoir du xdebug ou xhprof sans gêner les visiteurs et les crawlers. Sinon de mon côté c'est aussi une surcharge du gestionnaire d'erreur, je choppe tout ce que je peux post, get, session, cookie, url, trace, serveur ou ca a tourne, etat de la machine a ce moment la (load, mem, nb process, ...) et ca logue tout seul dans un fichier de log definit dans le error_log du php.ini Ca donne effectivement des doublons mais ils sont filtrés si j'ai besoin de faire une synthèse tout en ayant le détail en cas de besoin. Après cycle habituel, ca ouvre un bug dans le tracker et efface les lignes identiques du log, résolution, test, recette, prod. On peut imaginer des stats et d'autres trucs sympa sur quel module a fait quoi mais ca sera pour une prochaine fois ou quand j'en aurais vraiment besoin. -- Pierre-Henry Muller ___ FRsaG mailing list FRsaG@frsag.org http://www.frsag.org/mailman/listinfo/frsag
Re: [FRsaG] Profilage au fil de l'eau avec xhprof (was Re: Analyse des logs PHP)
Le 28 juil. 2010 à 09:39, JF Bustarret a écrit : > > Le 28 juil. 2010 à 01:11, Pierre-Henry Muller a écrit : >> mode admin sys qui parle : >> rien en production ne doit donner la structure de ton site (archi, code, >> path, ...) >> donc pas de xdebug ou xhprof > > Je comprends ton inquiétude pour ce qui a une chance de s'afficher. > Maintenant, le danger pour moi est plus grand avec un PHP "bare" qui est > paramétré pour afficher les erreurs qu'avec un PHP + xdebug qui est paramétré > pour ne rien afficher, mais logguer. > > (Ceci étant dit, c'est une mauvaise idée d'avoir xdebug en prod : cela > n'apporte pas plus de visibilité sur les bugs que ce qu'on peut avoir avec un > gestionnaire d'erreur bien foutu; côté profilage, xhprof est mieux adapté, et > côté debug/code coverage, qui a envie de faire tourner ça sur un serveur de > prod ?). > > Pour ce qui est de xhprof, cela ne change rien au niveau des erreurs > générées, cela ne rend rien plus ou moins verbeux, ça rajoute juste quelques > fonctions php pour déclencher le profilage et récupérer les données. Pourquoi > donc refuser "par principe" ? Oui je suis sans doute allé un peu vite dans l'idée, effectivement on peut tout rediriger dans un log. Mais la consommation mémoire des deux modules est conséquente, pour un ordre d'idée avec un framework perso (les symfony et autres consomment bien trop) en prod je consomme 900Ko en moyenne par requête, pour un temps de calcul de 0.035 sec avec requêtes sql, memcache et mogilefs, dès que je charge xdebug je monte à 2,5Mo de mémoire et un temps moyen de 0,45 sec par requête. Certains diront que ca reste raisonnable comparé aux 4,5Mo de mémoire pour afficher un hello world avec Symfony et plus pour un zend mais de mon côté tout ce que je gagne en ressources ce sont des économies d'infra, d'électricité, ... et un surf plus sympa. Je ne vous parle même pas lorsque les pages sont en cache. Pour info ca tourne sur du Nginx avec php5 en fcgi donc les vm web n'ont que 1Go de ram et tiennent un ab -n 5 -c 200 sans erreur. Pour ta technique de logguer une fois toutes les 30 sec en fait ton but est plutôt de mesure toute régression du code. Dans ce cas là ta solution est effectivement pas mal du tout. Après si tu as un comportement en particulier que bien sur tu n'arrives pas à reproduire de ton côté, le profilage par machine de réplication reste pour moi l'assurance de faire du debug sur toutes les requêtes avec le tracage activé dans xdebug par exemple et trouver LA requête de folie qui fait des erreurs. -- Pierre-Henry Muller ___ FRsaG mailing list FRsaG@frsag.org http://www.frsag.org/mailman/listinfo/frsag
Re: [FRsaG] Profilage au fil de l'eau avec xhprof (was Re: Analyse des logs PHP)
Je n'ai pas fait de mesure exacte mais le ressentie était le même, à savoir saturation plus rapide des 1Go de ram de la vm de test. Le 28 juil. 2010 à 15:30, JF Bustarret a écrit : > > Le 28 juil. 2010 à 15:10, Pierre-Henry Muller a écrit : >> Oui je suis sans doute allé un peu vite dans l'idée, effectivement on peut >> tout rediriger dans un log. >> Mais la consommation mémoire des deux modules est conséquente, pour un ordre >> d'idée avec un framework perso (les symfony et autres consomment bien trop) >> en prod je consomme 900Ko en moyenne par requête, pour un temps de calcul de >> 0.035 sec avec requêtes sql, memcache et mogilefs, dès que je charge xdebug >> je monte à 2,5Mo de mémoire et un temps moyen de 0,45 sec par requête. > > Tu as comparé avec xhprof ? Sur ma plateforme, je n'ai vraiment pas les mêmes > impacts... > > JFB > ___ > FRsaG mailing list > FRsaG@frsag.org > http://www.frsag.org/mailman/listinfo/frsag -- Pierre-Henry Muller ___ FRsaG mailing list FRsaG@frsag.org http://www.frsag.org/mailman/listinfo/frsag
Re: [FRsaG] Propagation de kernels sur VM Xen
Salut, J'ai été confronté à ce soucis de mise à jour de kernel et synchro des libs y a quelques semaines. Pour simplifier Xen3 en stable me suffisait mais en changeant une dedibox pro par les nouvelles le kernel minimum pour le matériel est 2.6.32 alors que Xen en stable est de mémoire en 2.6.26. Du coup ce que je regardais sur l'évolution de xen et notamment la version 4, j'ai du l'appliquer rapidement sur le nouveau serveur. J'ai fait une installation de xen 4 à partir de testing et le kernel backport qui va bien avec. Je ne suis pas fan du mix de versions de paquets mais c'est maintenable facilement vu que le dom0 ne fait que du xen et firewall. Comme toi j'ai mis à jour les lib des vm en les montant en local et en copiant le répertoire /lib/modules qui va bien et mise à jour du fichier de conf de la vm et surtout un petit update et dist-upgrade après le boot. C'est clairement la méthode montré un peu partout quand on parle d'upgrade de xen. Par contre en réinstallant les autres serveurs et en passant de xen 3 vers xen 4 je n'ai pas rencontré ton problème de depmod. C'est sans doute du au fait que j'ai complètement réinstallé le dom0 plutôt que de faire une mise à jour. J'ai juste déplacé mes vm avant de faire la maintenance. Quel impact as tu constaté lors de ta mise à jour? Le 28 juil. 2010 à 22:08, Olivier Bonvalet a écrit : > Hello la liste, > > suite à quelques déboires avec depmod qui a évolué entre Lenny et Squeeze, je > me demande si ma méthode de propagation des kernels sur les VM est > judicieuse. Il arrivera fatalement un moment où le Dom0 et le DomU ne seront > pas "compatibles". > De plus, si au passage je peux automatiser un peu plus ou améliorer le > process, c'est pas plus mal. > > Le contexte : le kernel utilisé dans la VM est fourni par l'host, mais il > faut aussi propager les modules du kernel dans la VM. > Actuellement j'utilise un script sur le Dom0 qui coupe la VM, monte son > système en local, balance les dossiers de /lib/modules/, mets à jour la > version du kernel indiquée dans le fichier ".cfg" et enfin redémarre la VM. > Rudimentaire, mais fonctionnel. > > Problèmes : > - le Dom0 doit donc avoir une version de /lib/modules/ compatible avec ce > qu'attend le DomU (d'où mon soucis Lenny/Squeeze) > - la mise à jour du kernel est donc déclenchée à l'initiative du Dom0... donc > pas d'autonomie de ce coté pour le client > > Solution 1 : déplacer le kernel dans la VM. Cela implique l'utilisation de > pygrub (sécurité ?), et d'avoir un outil de propagation simple du kernel sur > chaque VM, si possible sans avoir à trop intervenir. On gagne en souplesse, > mais pour l'industrialisation c'est un peu rapé. > > Solution 2 : compiler les modules en statique, et toujours utiliser le même > nom de kernel (ou faire pointer un lien symbolique). Ainsi à chaque reboot la > VM prend automatiquement la dernière version du kernel qu'on lui propose. > J'utilise déjà cette technique dans le cadre d'un projet spécifique, mais > manque de bol ici j'ai besoin de l'aspect modulaire de mes kernels. > > Solution 3 : déployer le kernel et ses modules dans 2 packets Debian adéquat, > à fournir pour toutes les distribs utilisées (y compris dérivés Debian), > ajouter le repository en question sur chaque VM, et synchroniser comme il > faut les mises à jour de paquet Dom0 & DomU... C'est la solution utilisée par > défaut avec ce que propose Debian, mais ça ne me semble pas vraiment jouable > ici. > > Solution 4 : utiliser un lien symbolique pour pointer sur le dernier kernel > dans le fichier de conf Xen (cf solution 2), et utiliser un système de > fichier spécifique pour propager automatiquement mon dossier /lib/modules/ > dans la VM. NFS, ou une partition spécifique en read-only commune à toutes > les VM et à ajouter dans le fstab de chacune d'elles. Ca me semble tordu > comme montage, mais ormis l'aspect bricolage ça semble répondre à tous mes > problèmes. > > Solution 5 : faire comme certains hébergeurs et ne mettre à jour le kernel > que tous les 5 ans. Un petit coucou en passant à mon hébergeur préféré qui me > fourni un joli 2.6.16 sur ses Xen ;) > > Et vous, vous faites comment pour déployer vos kernels sur les VM ? > Ai-je loupé une solution plus simple / rapide / propre ? > > Olivier B. > ___ > FRsaG mailing list > FRsaG@frsag.org > http://www.frsag.org/mailman/listinfo/frsag -- Pierre-Henry Muller ___ FRsaG mailing list FRsaG@frsag.org http://www.frsag.org/mailman/listinfo/frsag
Re: [FRsaG] Propagation de kernels sur VM Xen
Le 29 juil. 2010 à 10:02, Olivier Bonvalet a écrit : > Bonjour, > > en fait j'ai justement commencé à passer mes Dom0 en Squeeze, car la version > backport de Xen de Lenny me posait pas mal de soucis (je ne saurais dire > lesquels, je ne me souviens plus). Toutefois les VM sont toujours en Lenny, > pour la plupart. > Mon problème vient plutôt de la maintenance régulière des kernels des VM, > j'utilise un 2.6.32 "vanilla", que je mets à jour au gré des nouvelles > sorties. Ces kernels pvops sont encore jeunes, et quasiment à chaque mise à > jour il y a des correctifs Xen. > > Pour ce qui est de mes problèmes de compatibilité, depuis Squeeze le fichier > modules.dep contient des chemins relatifs alors qu'en Lenny ce sont des > chemins absolus. Résultat, une Lenny avec un fichier modules.dep généré > depuis une Squeeze est incapable de charger un module. Il "suffit" de lancer > un "depmod -a" dans chaque VM concernée, mais ça n'est pas vraiment pratique > non plus. > > C'est donc pour ça que je réfléchis à faire évoluer tout ça. > > Olivier Je n'ai vraiment pas eu les mêmes soucis, pourtant mes vm sont en stable aussi. Si un depmod lancé sur chaque vm suffit, pourquoi ne pas l'automatiser au moment où tu traites ta vm pour lui mettre les nouveaux modules, un chroot dans son montage et la commande est lancée? -- Pierre-Henry Muller ___ FRsaG mailing list FRsaG@frsag.org http://www.frsag.org/mailman/listinfo/frsag
Re: [FRsaG] Système de backup journalière pour r éseau interne
Le 29 juil. 2010 à 11:47, Xavier Beaudouin a écrit : > > > Seul truc que Time Machine ne sauve pas : les images de vmware fusion... ou > équivalent... C'est a noter car... ca peux devenir casses pieds... Si le répertoire où sont les images n'est pas exclu alors les images vmware sont backupées sans soucis, en tout cas après une fresh install rien n'exclut les images. Par contre ca sauvegarde que l'image et pas le détail du contenu donc pas de différentiel et une sauvegarde qui peut dure un peu plus longtemps. -- Pierre-Henry Muller ___ FRsaG mailing list FRsaG@frsag.org http://www.frsag.org/mailman/listinfo/frsag
Re: [FRsaG] Technos utilisées pour les images disque s en environnement virtualisé KVM
Le 9 août 2010 à 20:52, Raphael Mazelier a écrit : > > Reste un conseil d'ordre général sur la virtualisation. La virtualisation > c'est bien, mais pas pour tout, et il faut bien réfléchir a ce que l'on veut > faire tourner dessus. (exemple débile : pas de bases de données :) Je module un peu ta phrase, on ne virtualise pas de machine qui occupent 50% ou plus des ressources d'un serveur physique. Pour les base de données ca dépend encore de la charge, même avec de grosses bases si les ressources mem, io nécessaires sont faibles alors la virtualisation est possible et permet souvent de redonder l'ancien serveur physique qui était finalement un spof. -- Pierre-Henry Muller ___ FRsaG mailing list FRsaG@frsag.org http://www.frsag.org/mailman/listinfo/frsag
Re: [FRsaG] Technos utilisées pour les images disque s en environnement virtualisé KVM
On n'a pas abordé la différence mais il y a virtualisation totale et virtualisation partielle. Totale c'est un vmware ou un hvm sous xen, partielle c'est de la para virtualisation Perso faire tourner du Debian sur du Debian en PV sous xen 4 ca fait perdre 3% de perfs en moyenne sur mes tests, autant dire que même sur une machine qui n'accueillerais qu'une seule vm car trop gournande, je ne me gênerais plus à installer une base xen pour pouvoir rapidement déplacer la machine en cas de soucis hardware. Combien de fois pour des clients dont l'archi n'était pas redondé ou faussement redondé (serveurs dans un pool avec des verrus en spof genre des crons super importantes), on a du réinstaller le serveur de nuit un dimanche soir par ex puis y restaurer un backup? En PV sur un san ou tout autre mécanisme type pouvant faire des snapshots genre lvm, il n'y a qu'à booter directement la vm sur une autres machines dans le cas d'un san ou restaurer la partition lvm d'un backup vers une autre machine xen. Bien plus rapide qu'une réinstall complète en croisant les doigts que la procédure soit à jour ... et le backup correctement fait... Dans le cas des grosses infra Google, FB, Twitter ... clairement ils ont tous des outils internes de déploiement de masse. Pour parler de facebook, si ca n'a pas changé depuis 2 ans, ils étaient 3 admins sys pour gérer plusieurs milliers de serveurs. Une autre équipe était chargé de l'installation et alimentait la base infra en indiquant les nouvelles machines prêtes. Les admins n'avaient cas dire à quel usage la machine était destiné et l'installation, la prise en compte des datas et la mise en prod s'effectue toute seule. C'est à peu près le même principe chez Google avec en plus leur super file systeme, les autres je ne connais pas (pas eu d'infos d'un ancien salarié). Pour ma part c'est donc oui à la paravirtualisation bien géré en production, la perte de perfs est négligeable et ca permet de sacrément réduire les couts. Pour la full virtualisation oui pour de la préprod, dev, test, tout ce que vous voulez mais pas de la prod. Après j'ai aussi vu de très grosses boites qui mettent des fermes de vmware avec des san dans tous les sens pour la redondance et qui migrent tous leurs anciens serveurs dessus. Oui là il y a une économie d'infra (passer de 25 baies à 8), ca assure la redondance à chaud de machines qui ne l'étaient pas ou qui ne pouvaient l'être (progiciel, logiciel imposé par un client, ...). Mais clairement c'est client ne sont pas des archis web, mais des archis informatiques au service de la production de l'entreprise (grande distribution, transport de fret, constructeur auto, ...). Ils ont les moyens de faire correctement du full virtualisé et en plus ils sont quand même gagnant et peuvent même garder les vieux serveurs NT qu'ils n'osent pas migrer et qu'ils ne savaient de toute façon pas réinstaller. A voir donc les usages tout n'est pas bon en virtualisation mais dans certains cas ca aide vraiment. -- Pierre-Henry Muller ___ FRsaG mailing list FRsaG@frsag.org http://www.frsag.org/mailman/listinfo/frsag
Re: [FRsAG] Switch Fanless
Le 13 sept. 2010 à 18:43, Raphael Mazelier a écrit : >> > Pour du lab on avait des cisco 3750 dont on avait volontairement bloqué le > ventilo. J'admets que c'est pas génial comme tactique mais vu le bruit... > Sinon pour chez moi j'ai mis des petits régulateurs de tensions qui rendent > les ventilos du switch quasi inaudible. Sur un 3750 le boitier est devenu intouchable au bout de quelques heures, perso je l'ai rebranché et remis en salle et j'ai opté pour un HP pour chez moi. -- Pierre-Henry Muller ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] Switch Fanless
Le 14 sept. 2010 à 09:36, Jean-Philippe Menil a écrit : > Bonjour, > > bloquer les ventilos sur des switchs en test, pourquoi pas, mais pas en > production quand même ? > > Allied fait des switch fanless sinon. > > A+ Pour ma part c'était pour chez moi donc allumé h24 dans un environnement plus chaud qu'une salle machine. Le test sur le cisco 3750 24 ports 100M (donc pas très récent) je l'ai arrêté au bout de 6h si mes souvenirs sont bons. Le HP en remplacement est fanless de base série 1800 24G et est giga. En salle j'ose imaginer que personne ne pense à satisfaire ses oreilles? :) Si j'ai bien compris Gaëtan cherche un switch de bureau en giga avec port fibre, le HP cité peut correspondre, il doit exister en 48p et peut être tout aussi fanless. -- Pierre-Henry Muller ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] Long vie au 2.6.35 !
Bonne nouvelle Vivement que le support pour Xen soit porté car des soucis d'IO j'en ai quelques un. -- Pierre-Henry Muller ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] Long vie au 2.6.35 !
D'après ses logs : http://git.kernel.org/?p=linux/kernel/git/jeremy/xen.git;a=log;h=refs/heads/upstream/xen Il en serait à la version 2.6.36 rc8 Sachant que la .36 est sorti y a un ou deux jours, il n'est pas en retard du tout. Perso je n'aurais pas le temps de tester avant le lancement de mon projet, mais je vais voir à le tester cet hiver. Pour le support officiel de Xen je n'ai pas trouvé l'info. Le 20 oct. 2010 à 15:46, Olivier Bonvalet a écrit : > Ca fait longtemps que je n'ai pas essayé de le compiler, mais la branche > "xen/next" du repository de Jeremy Fitzhardinge c'est quelle version ? > > http://git.kernel.org/?p=linux/kernel/git/jeremy/xen.git;a=shortlog;h=refs/heads/xen/next > > Olivier > > Le 20/10/2010 11:25, Pierre-Henry Muller a écrit : >> Bonne nouvelle >> >> Vivement que le support pour Xen soit porté car des soucis d'IO j'en ai >> quelques un. >> -- >> Pierre-Henry Muller >> >> >> >> ___ >> Liste de diffusion du FRsAG >> http://www.frsag.org/ > > ___ > Liste de diffusion du FRsAG > http://www.frsag.org/ -- Pierre-Henry Muller ___ Liste de diffusion du FRsAG http://www.frsag.org/
[FRsAG] diagnostiquer un crash kernel
Bonjour à tous, Cela faisait longtemps que ça ne m'était par arrivé du coup je n'ai pas de méthode pour diagnostiquer un crash kernel. La machine qui me sert de serveur de virtualisation à la maison plante régulièrement ces dernières nuits lorsqu'une vm (xen en paravirtualisation) execute backuppc. Je sais bien que backuppc peut être violent pour les IO disk, il est donc configuré pour faire sa tache de nettoyage en dehors des heures de backups et lors de la phase de backup chaque instance est sauvegardée une par une. Malgré ces précautions cela ne suffit pas et en plein milieu des backups le dom0 voit son kernel planter. J'aperçois la fin du crash log du kernel dans la console mais je ne peux remonter dans le buffer voir le début du message. Et bien sur rien dans les logs du domU et du dom0 que ca soit au niveau applicatif ou kernel. N'y a t il pas un moyen de stocker ce crash log quelque part? La réponse était non il y a quelques années mais peut être cela a t il changé. Comment procédez vous dans ces cas là? Merci pour vos conseils -- Pierre-Henry Muller ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] Reverse DNS
Vous avez quoi comme arguments contre Bind? Sans lancer de troll, c'est quand même juste une référence sur plusieurs gros prestataires dns en Europe qui gèrent plusieurs millions de zones. De mon côté que cela soit en configuration à la main pour des usages légers ou interfacé avec une base de donnée ou ldap (en fonction des besoins) je n'ai jamais eu de soucis ni d'impossibilité de faire une fonction particulière. Dernièrement j'ai validé l'implémentation dnssec sans soucis, que demander de plus? -- Pierre-Henry Muller ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] Reverse DNS
Le 12 déc. 2010 à 09:04, Raphael Mazelier a écrit : > Bind est l'implémentation de référence c'est certain. Il fonctionne et plutôt > très bien. > Il est exhaustif et implémente tout ce qui peut exister dans le monde du dns. > Les points que je n'aime pas en revanche : > - la configuration des zones (sur ce point le format de djbdns est juste > meilleur) là on va dire que c'est les goûts les couleurs, tout le monde connait la syntaxe bind celle de djbdns le nombre de personne qui ont mis des zones en l'air autour de moi lors d'une intervention client ... > - la configuration globale inutilement compliqué mouai, tout n'est pas simple mais à mon sens ce n'est pas pire qu'un apache ou nginx ... > - les failles de sécurité récurrentes tiens je m'y attendais :) quand on le sait on maintient à jour. Sur Debian ils sont assez rapide sur ce paquet donc ca n'est pas un souci pour moi. > - le design : un démon qui fait tout (pas trop unix comme philosophie, sur ce > point djbdns est meilleur aussi). là je suis complètement d'accord et merci Yohann de l'info sur bind10 je n'avais pas vu > > Malheureusement djbdns n'a pas évolué et par exemple ne gére pas ipv6 et > dnssec. ca donne aussi l'impression aux clients que c'est abandonné ... > > A ce stade l'alternative nsd + unbound est intéressante (mais ne corrige pas > le problème de la syntaxe des zones files). Pour le moment je reste sur Bind niveau infra éventuellement avec probind par dessus si le client a besoin. Sinon PowerDNS qui est pas mal mais où je n'ai pas vu de grosses conf (+5000 ndd) tourné en production, par contre pour faire du geoip sur des infras mondiale ca marche bien. -- Pierre-Henry Muller ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] Nagios performance tuning
Le 13 déc. 2010 à 14:58, Hugo Deprez a écrit : > > > Pour ma part la VM est sur un ESXI, néanmoins je ne vois pas le rapport entre > mon load qui fait du yoyo et les performances du host. > De mon côté j'ai souvent constaté des load assez important quand les check mettent du temps à s'executer et surtout quand beaucoup de services ou machines sont down. Autre point à surveiller la latence réseau entre le nagios et les machines visées quand tu supervises des machines dans d'autres pays ou d'autre continents (c'est une aberration mais le client est roi) ou quand tu passes par de vieilles lignes rnis par ex, ca n'aide pas les checks à s'executer rapidement. Sinon pour parler virtualisation (même si c'est hors sujet), en paravirtualisation je veux bien voir où est la perte de performance. De ce que j'ai mesuré en Xen 4 paravirtualisation Debian sur Debian, 3% maxi quand le serveur était saturé. Par contre en full virtualisation n'ayant pas testé les vmware ou d'autre depuis longtemps je ne saurais me prononcer, la dernière fois oui on perdait bien beaucoup en IO. -- Pierre-Henry Muller ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] Bogon-list non mises à jour et filtrage 109/8 vs. Pb résolution DNS chez SFR
Merci pour l'information. De mon côté pas de filtrage. Le 13 déc. 2010 à 13:46, GAVARRET, David a écrit : > Bonjour, > > ce message s'adresse à ceux d'entre vous qui utilisent des bogon-lists pour > réaliser du filtrage, notamment en amont ou sur des DNS autoritaires. > > En effet, le pool 109/8 est affecté depuis janvier 2009 au RIPE NCC, et une > partie à SFR depuis la même époque. Et depuis quelques mois, nous avons > déployé des DNS caches destinés à nos clients Grand Public dans ce range. > > Or nous avons rencontré plusieurs cas de problèmes de résolution DNS car les > bogon-lists utilisées au niveau des DNS autoritaires n'étaient pas à jour. > > En parallèle aux tests que nous réalisons de manière pro-active sur plus d'1 > million de domaines issus de nos anciens caches pour contacter unitairement > les personnes concernées, pourriez-vous, si vous êtes concernés, mettre à > jour vos filtrages ? > > > Pour information, pour tout problème relatif à du DNS chez SFR, vous pouvez > contacter l'adresse suivante : supp...@dns.sfr.net > (figurera bientôt dans les SOA de nos zones techniques ;) ) > > Cordialement, > > -- > David Gavarret > SFR / Réseau - Direction Technique / Plates-formes de Services > ___ > Liste de diffusion du FRsAG > http://www.frsag.org/ -- Pierre-Henry Muller ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] Debian testing en prod ?
Salut, J'ai tenté une fois de monter des archis en testing en production ca marche très bien mais il faut être rigoureux. Rigoureux dans le sens où des petites mises à jour chaque semaine ou toutes les deux semaines permettent de faire évoluer la machine tranquillement. Si par contre tu ne mets plus à jour la machine pendant un lapse de temps, le jour où ton client te demande un nouveau package, tu vas avec le jeu des dépendances devoir tout mettre à jour et là ca sera le drame. Donc comme j'ai pu vérifier que les clients et les boites ne te laissent par le temps de bien faire les choses dans ce cas je te conseil plutôt de faire du stable et soit faire un backport soit de faire l'installation de tel ou tel soft en testing. Voir mieux de les compiler (php, apache, mysql, ...) comme cela tu choisis la version que tu veux laisser en production. Sinon à titre personnel toutes mes machines sont en testing et ca ne pose pas de soucis car mise à jour dès qu'un paquet est dispo pour. -- Pierre-Henry Muller ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] Debian testing en prod ?
Le 15 déc. 2010 à 18:22, Dominique Rousseau a écrit : > Le Wed, Dec 15, 2010 at 06:07:02PM +0100, Pierre-Henry Muller > [wall...@morkitu.org] a écrit: >> Voir mieux de les compiler (php, apache, mysql, ...) comme cela tu >> choisis la version que tu veux laisser en production. > > Et tu sédimentes. Quand une webagency, un éditeur de logiciel dit clairement à son client, si vous n'avez pas exactement telle et telle version des logiciels suivants on n'assure pas le support. Donc le client reporte la demande des versions exactes et tu es obligé de répondre à cette demande. Comme à un instant T aucun des logiciels demandés n'est à la bonne version et que tu ne peux le garantir après une mise à jour, la compilation reste le seul moyen de répondre correctement aux prérequis. Par contre après faut mettre en place la veille sur les failles pour faire pression pour une mise à jour ou tenter un backport du patch si il est disponible. -- Pierre-Henry Muller ___ Liste de diffusion du FRsAG http://www.frsag.org/
[FRsAG] passerelle SSH proxy / gateway
Bonjour, Je cherche à faire une passerelle ssh comme point d'entrée unique à un réseau. Le but est que tous les accès extérieurs passent par cette machine. Une fois connectée la personne peut se connecter sur les machines dont elle dispose des droits sans connaître les mots de passe des autres serveurs. J'avais croisé des projets y a quelques années, à présent tous les résultats pointent vers la solution de Wallix AdminBastion. Il y avait pourtant des alternatives, j'espère qu'elles ne sont pas mortes. Et vous comment centralisez-vous vos accès distants? ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] passerelle SSH proxy / gateway
Le but c'est de permettre à une entreprise qui gère plusieurs dizaine de serveurs de centraliser l'accès ssh aux serveurs et infra réseau. Le script en shell j'ai connu une solution comme celle là dans une précédente entreprise, c'est bien mais je n'aurais pas le temps d'en redévelopper un. C'est fou que je n'arrive pas à remettre la main sur le projet que j'avais vu y a quelques années. C'était justement un remplacement du shell avec authentification ldap et gestion des acl en fichier à plat. La solution iptable n'est pas très pratique sur mon cas car il n'y aura pas de plage d'ip à gérer donc cela voudrait dire gérer ip par ip les autorisations, lorsqu'il y aura plus de 50 srv ca ne sera pas pratique à gérer. ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] passerelle SSH proxy / gateway
Je vous redonne des news concernant cette recherche. Le projet que j'avais en tête se nomme sshproxy avec un espace entre les deux termes je ne le retrouvais pas. Le soucis c'est que Walix a repris la main dessus, bizarrement les sources ne sont plus disponibles, quelques copies des repos ont été fait y a 2 ans. Depuis ca n'a plus trop l'air de bouger. Walix de son côté s'est basé dessus pour faire WAB en modèle payant en intégrant à priori un des initiateurs du projet. Du coup je vais regarder ce que vaut le projet qui s'est arrêté en version 0.6 beta ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] Stockage de fichiers en masse
Le 04/01/11 12:35, Yann Verry a écrit : > - mogileFS Très bonne solution, éprouvée de mon côté à petite échelle ~800K items entre 15Ko et 200Mo. A grande échelle je connais de tête Skyblog qui l'utilise je ne connais pas le nb d'items. L'avantage c'est que tu ne t'occupe pas de savoir comment nommer ton fichier, tes dossiers, le découpage de ces derniers. ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] Mini portail de sysadmin
Bonsoir, Dans toutes les entreprises d'infogérance où j'ai travaillé, à chaque fois c'était un logiciel développé en interne. Du simple extranet, à des applis en lourd ou lourd plus webapps. Dans chaque cas les besoins sont spécifiques. Redmine ou tout autre système de tracking projet c'est très bien mais au delà de 10 clients ... Effectivement des intégrations de la supervision, des outils de reporting pour les clients c'est pratique. En fonction de comment s'organise l'astreinte la vision n'est pas la même non plus. Bref je ne connais pas de logiciel déjà en place qui réponde exactement à tout ce que j'ai pu voir. En projet libre pour la gestion du support y a http://osticket.com/ qui est pas mal, simple pour les clients, assez bien fait pour le staff. Ca doit être assez simple de l'étendre à de nouvelles fonctionnalités (graphs, nagios, ...) A bientôt -- Pierre-Henry Muller ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] Exemple de flux RSS malveillant ?
Salut, Lorsque tu dis malveillant tu parles d'exploit sur le poste du visiteur type XSS ou tu penses plutôt à une chaine capable de faire un buffer overflow ou autre visant explicitement le logiciel qui récupère le rss? Dans le premier cas, ca doit pas être dur à trouver mais bien sur cela dépend des logiciels en présence pour consulter le flux. Pour le second il faut regarder et surveiller le logiciel en question, si c'est du dev interne, le faire auditer par d'autres personnes que l'équipe de dev. -- Pierre-Henry Muller ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] Exemple de flux RSS malveillant ?
Il faudrait sans doute rappeler à ton RSSI que la compromission d'un élément du réseau peu suffire à tout casser. Qu'une ip avec un soft qui se fait casser les pattes soit sur un serveur ou un poste ca ne change pas souvent grand chose modulo quelques règles firewall et encore. Si ton processus tourne sur un serveur un minimum travaillé pour la sécurité et sur un utilisateur dédié c'est bien plus secure que sur un poste client où y aura des chances que l'utilisateur soit en plus admin sur son poste. Je pense pouvoir me risquer de dire que ton RSSI vient soit de l'informatique avec un bagage faible soit a été parachuté à ce poste sans connaissances particulière. Un poste de travail qui pête c'est toujours moins grâve aux yeux de la direction qu'un serveur ... ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] Quel serveur choisir ?
Le 17/02/11 20:29, Greg a écrit : > Par contre, certaines applications comme MySQL gèrent très mal plus de > 4 coeurs, les performances se dégradent même ! Les choses s'améliorent > considérablement avec MySQL à partir de la version 5.5 voir 5.1 patchée. > Ouarf quel moteur utilises tu? J'ai vu y a pas longtemps une archi avec 24 cores et mysql marchait super bien, bon faut dire qu'il y avait un gros raid10 de SSD en dessous. Mais la répartition des cores étaient bien faites, sous Innodb ils avaient bien tuné pour le nombre de cores. signature.asc Description: OpenPGP digital signature ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] Contrat d'embauche & astreintes
Le 24/02/11 12:02, Olivier Bonvalet a écrit : > Hello les gens, > > dites on va embaucher une personne d'ici peu, et on aimerait prévoir > dans le contrat des astreintes occasionnelles. > N'étant pas particulièrement doué pour rédiger tout ça, auriez-vous > des exemples de clauses "astreintes" à me communiquer svp ? > > merci d'avance, > Olivier > ___ > Liste de diffusion du FRsAG > http://www.frsag.org/ Salut, De ce que j'ai vu, connu et fait, tu as juste à indiquer que le poste amènera à faire des astreintes. Il faut par contre définir le cycle, la rémunération de la mise à disposition et les conditions. A savoir pour le cycle si c'est du vendredi soir au vendredi soir, que le we ou autre schéma. Pour la rémunération de la mise à disposition, beaucoup font des forfaits pour le cycle, légalement une personne administrative m'avait dit que c'était moyen et qu'il vaut mieux définir le prix pour une nuit, un we, un jour férié, ... Mais ca demande à la comptable plus de boulot, l'avantage c'est qu'une personne d'astreinte un 25 décembre ou 1er janvier ne se sentira pas lésé que si il avait eu l'astreinte une semaine après. Les conditions tu fixes quelles restrictions tu imposes, être dans un rayon de tant de km du bureau, avoir le téléphone et s'assurer une fois par heure de capter le réseau, disposer d'une voiture, ordinateur, matériel adéquat, ... Après c'est surtout la gestion d'un point de vue légal des astreintes que c'est tendu. Officiellement tu dois prévenir de l'astreinte au minimum 15 jours avant la date de début, la personne qui prend l'astreinte signe alors un registre et doit consigner dedans ses activités avec heure de début, heure de fin et le motif le tout de façon manuscrite ca va plaire à tous les informaticiens. Ca ce sont les textes, de mon côté j'ai toujours vu des rapports fait dans un intranet, mais si l'inspection du travail passe, il parait que c'est limite. Pour la rémunération du travail en astreinte, le mieux c'est de payer en heures supplémentaires avec les nouveaux allégement de charges depuis 2-3 ans c'est intéressant pour les deux parties. Dernier point très important et que beaucoup d'entreprises oublient, quand une personne a été dérangée pendant sa mise à disposition, elle doit bénéficier d'une période de 11h de repos avant de se représenter à son travail. D'où l'intérêt de bien fixer les horaires de début et fin d'astreinte notamment le matin. J'ai connu beaucoup de boites qui n'en avait rien à faire mais j'ai surtout l'exemple d'une entreprise qui le respecte scrupuleusement suite à l'accident sur le trajet domicile travail d'une personne en astreinte quelques heures après sa dernière intervention, elle s'est plantée en voiture, a été pas mal blessée. Je ne sais plus ce qui a déclenché le contrôle de l'entreprise mais cette dernière a eu un très lourde amende et l'employé indemnisé. Dans les petites structures on a tendance à l'oublier mais il est vrai qu'un vrai sommeil calme sans interruption c'est mieux que de faire une journée sans avoir dormit ... Le mieux reste quand même de te rapprocher d'un avocat ou de ton cabinet comptable pour avoir des conseils car ca a du encore changé depuis 2 ans où j'ai arrêté de gérer cela. A bientôt signature.asc Description: OpenPGP digital signature ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] Contrat d'embauche & astreintes
Le 24/02/11 16:53, Arnaud Launay a écrit : > Le Thu, Feb 24, 2011 at 01:54:42PM +0100, Pierre-Henry Muller a écrit: >> avoir le téléphone et s'assurer une fois >> par heure de capter le réseau, > Tu fais comment quand tu dors ? :-) > > Arnaud. > Lorsque j'ai eu une fois ce genre de condition, c'était pour être sur que quand tu te déplaces dans un resto ou autre tu captes bien. Si tu regardes avant de dormir que ca marche bien alors c'est bon pour la suite. L'autre alternative eu aussi, c'est un centre de supervision délocalisé qui regardait notre supervision et appelait l'astreinte ou escalade quand un incident arrivait. Ca règle le problème des sms qui n'arrivent pas, du mec qui capte pas, ... mais ca ajoute les appels faussement qualifiés.Typiquement si tu ne programmes pas une plage de maintenance toutes les nuits sur un service ou un host qui fait une lourde tache cron par ex. J'ai même eu une condition qui disait que le téléphone doit être le plus souvent possible proche de la pleine recharge. Car des personnes avant ne le rechargeait jamais et manquaient de batterie lors d'une intervention en salle ou autre... Bref rien n'est parfait :D signature.asc Description: OpenPGP digital signature ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] Contrat d'embauche & astreintes
Le 24/02/11 17:04, Vincent Carpentier a écrit : > Si vous avez des textes d'accords d'entreprise concernant les > astreintes, je suis intéressé pour en avoir une copie (par mail direct > peut être), nous devons rediscuter les nôtres. > Merci d'avance > > Vincent Accords d'entreprise, tu parles de négociation entre les patrons et les représentants des employés? Si c'est cela il n'y en a jamais eu dans les entreprises que j'ai fréquentée, tout était fixé sur le contrat, ou alors c'était freestyle. signature.asc Description: OpenPGP digital signature ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] Contrat d'embauche & astreintes
Le 24/02/11 17:31, Radu-Adrian Feurdean a écrit : > On Thu, 24 Feb 2011 13:54 +0100, "Pierre-Henry Muller" > wrote: > >> Pour la rémunération du travail en astreinte, le mieux c'est de payer en >> heures supplémentaires avec les nouveaux allégement de charges depuis >> 2-3 ans c'est intéressant pour les deux parties. > Je suis prenneur pour des references concernant l'implementation de ca > pour des gens ayant le statut "cadre". Le seul fait de le proposer a > l'employeur ca n'a pas marche. De toute façon c'est du travail au delà de ton travail normal, donc au minimum des heures supplémentaire ou alors c'est un taux horaire plus intéressant que l'heure supplémentaire. Donc si il ne vous rémunère pas c'est du travail dissimulé... J'ai toujours été cadre, le fait d'être au forfait n'a rien à voir avec le fait de travailler en plus de son temps de travail habituel. >> faire mais j'ai surtout l'exemple d'une entreprise qui le respecte >> scrupuleusement suite à l'accident sur le trajet domicile travail d'une >> personne en astreinte quelques heures après sa dernière intervention, >> elle s'est plantée en voiture, a été pas mal blessée. Je ne sais plus ce >> qui a déclenché le contrôle de l'entreprise mais cette dernière a eu un >> très lourde amende et l'employé indemnisé. > Pareil, je suis prenneur pour des references. > Je serais bien incapable de te trouver le texte exact et surtout il faut regarder les conventions collectives qui peuvent aller au delà de la loi et proposer mieux (rêvez pas trop avec la Syntec) signature.asc Description: OpenPGP digital signature ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] Contrat d'embauche & astreintes
Le 24/02/11 18:48, Yann Verry a écrit : > > Messieurs bonjour, > > Mon accord d'astreinte prévois une rémunération sur la base d'une > tranche horaire de 12h. Chaque intervention est rémunéré en heure supp > suivant plusieurs critères : > > - 125% : > de [20h -> 22h] et de ]5h -> 8h] en semaine sinon jusque samedi soir 22h > > - 200% : > de [22h -> 5h] en semaine. Dimanche & jours fériés. > > En semaine vous l'aurez devinez l'astreinte comporte une tranche de 12h. > Le week-end comporte 5 tranche de 12h. Sympa ce tarif en 200% c'est un plus par rapport à la loi, qui ne considère le travail de nuit que lorsque cela est régulier (!= astreinte). Et quel est ton prix de mise à disposition? > > Venons en à la récup et les failles de mon accord d'astreinte. > En semaine, en application de l'A. L3131-1 il faut un minimum de 11h de > repos consécutif SAUF dérogation (A. L3131-2) pas de dérogation en vue > super ;) > Pour le week-end l'accord prévois 35h de répos consécutif. C'est tes accords ou c'est quelque chose que j'ignore? Auquel cas je me suis bien fait avoir quand on monopolisait l'astreinte tout un we pour une migration ... > > Donc en gros si je galère le w-e sans avoir mes 35h de repos, dernière > inter le lundi à 6h du mat' je suis en droit de revenir le mercredi > matin. Bon ça c'est la théorie, la pratique veux que non et qu'il faut > surtout effectuer la durée de travail hebdo tout en ne dépassant pas les > 10h de travail / jour, on va pas y arriver ... C'est un peu le gros problème, car dans le cas de la personne qui a eu l'accident avec sa voiture, il a du prouver qu'on lui avait demandé de revenir au travail. Ce jour là par chance on lui avait fixé un rdv sans lui demander son avis ... et les collègues avaient témoigné que la direction n'admettait pas que les gens qui avaient fait des inters à 6h du matin arrivent à midi ... signature.asc Description: OpenPGP digital signature ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] Légalité du filtrage SMTP
J'utilise la même méthode de filtrage X-mailer pour mes besoins propres. Quand je gérais des serveurs mails mutualisés ou pire qui font que du relai anti virus anti spam on a souvent été confronté au fait que les entreprises clientes étaient outré quand un mail n'arrivait pas et qu'on l'avait filtré. Dans le cas des virus ils sont bien content de ne pas les recevoir dans le cas des spams ils voulaient juste que ca soit tagué mais pas supprimé. Même tagué combien de fois on nous a demandé de pas taguer tel vendeur de médicament ou tel site d'accessoires érotique voir sm parce que le monsieur était client ... Pour ma part je ne m'aventurerais donc pas sur cette voie pour des clients ou alors avec des CGV en béton validé par plusieurs cabinet d'avocats. Quand tu commences à avoir des clients grand compte si par malheur tu vires un mail super important je te laisse imaginer la batterie d'avocats qu'ils auront pour t'embêter ... Il faut imaginer que dans ces entreprises l'email est un canal vital, j'ai déjà vu des appels d'offre où l'on devait garantir le délai d'acheminement à moins de 2 sec ... Après pour aller dans ton sens, je pense aux systèmes de deny all et allow les correspondants connus type mailinblack. Si un de ces services est en France ca peut être intéressant de regarder ses CGV pour comprendre sur quoi il s'appuie. Pour finir je dirais que si tes clients sont au courant et ont signés en connaissance de cause et que ce n'est pas une clause abusive de tes contrats alors ca passe. Maintenant faut valider tout cela. Je relance le débat en poussant le concept plus loin, l'analyse anti virale et anti spam est elle légale aussi, si on part du principe que les communications ne doivent pas être regardées / analysées. Quelle garantie qu'on ne fait pas de stats ou autre pour les admins derrières? On se rapproche de l'Allemagne là? signature.asc Description: OpenPGP digital signature ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] Contrat d'embauche & astreintes
Le 25/02/11 12:54, Radu-Adrian Feurdean a écrit : > On Thu, 24 Feb 2011 21:18 +0100, "Pierre-Henry Muller" > wrote: > >> De toute façon c'est du travail au delà de ton travail normal, donc au >> minimum des heures supplémentaire ou alors c'est un taux horaire plus >> intéressant que l'heure supplémentaire. >> Donc si il ne vous rémunère pas c'est du travail dissimulé... >> J'ai toujours été cadre, le fait d'être au forfait n'a rien à voir avec >> le fait de travailler en plus de son temps de travail habituel. > Ce que j'entends beaucoup trop souvent, y compris dans la boite ou je > travaille actuellement c'est "cadre = pas possible d'avoir des heures > sup" ou "cadre = forfait". > Actuellement, les heures sup (surtout en astreinte) sont "compenses" par > une prime "autre" d'un montant equivalent. Avec le grand desavantage que > c'est taxe, comme une prime standard, du cote salarie et du cote de > l'employeur. Officiellement les heures sup n'existent pas. > Sur quel élément ils se basent pour dire cela? C'est un travail supplémentaire à ton travail qu'il soit forfait ou 35h. L'entreprise qui me propose une prime pour les astreintes n'est pas prête de me voir arriver. Par définition une prime doit être exceptionnelle, c'est à dire que le motif ne peut se répéter régulièrement. Le régulièrement est laissé à l'appréciation de tous, patrons, inspection du travail, prudhommes, ... Le but étant de lutter contre le fait de transformer une partie du salaire en prime récurrente. signature.asc Description: OpenPGP digital signature ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] Légalité du filtrage SMTP
Le 25/02/11 14:06, Radu-Adrian Feurdean a écrit : > On Fri, 25 Feb 2011 09:47 +0100, "Benjamin AVET" > wrote: > >> légalement pas en droit le filtrer/intercepter/consulter le courrier (y >> compris les en-têtes) > Suis-je le seul a penser le contraire : les entetes ne font pas partie > du mail, ce sont surtout des informations techniques necessaires pour > l'acheminement ? > Le mail en tant que fichier est un conteneur, si des pays comme l'Allemagne interdisent l'ajout ou la modification de headers c'est qu'ils considèrent l'enveloppe dans son intégralité. Je suis bien d'accord avec le fait que c'est pratique pour nous de pouvoir y accéder à ces headers mais connaissant les habitudes des lois françaises qui laissent des termes flous je ne serais pas étonné qu'ils parlent de "communication", de "message" sans préciser donc dans le doute légalement ca veut dire tout ... signature.asc Description: OpenPGP digital signature ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] Légalité du filtrage SMTP
Pour reprendre la partie plainte possible de l'émetteur. Tu commences à gérer pas mal de bal, certes pas autant qu'un gros mais suffisamment pour gêner l'envoie de campagne payée chère par le client de l'envoyeur. Je ne serais pas étonné que si le jour où un gros client de VPC se fait filtrer une grosse partie de son envoie (15, 30, .. %) de ses mails envoyés il va forcément faire une pression énorme à son prestataire, ne pas lui payer la facture ou qu'une partie. Le prestataire pourrait sans doute aller devant un tribunal pour un motif de perte d'exploitation suite à une action négative de la part de l'opérateur des boites aux lettres. Le verdict je n'en sais trop rien, je ne suis pas juriste. Mais ca m'amène à penser qu'il vaudrait mieux que les expéditeurs ne sachent pas pourquoi le mail n'arrive pas ... Soit tu acceptes et tu lui met une note tellement salé dans l'antispam qui partira à la poubelle (risqué au niveau des utilisateurs mais ca peut être une politique). Soit tu dropes un 500 pour erreur interne et c'est tout. Soit tu fais un report de spam sur une RBL quelconque, voir pourquoi pas créer la tienne. Ca me fait penser aussi au filtrage ip, chose que j'utilise à titre personnel et que certaines entreprises nous ont demandé de mettre en place. En gros ils choppent le top 50 des ip qui envoient le plus de spam chaque semaine et hop dans un groupe sur le firewall. Légalement est ce une obstruction à une activité économique d'une autre entreprise ou considéré comme une juste défense ? Là ca me dépasse légalement. signature.asc Description: OpenPGP digital signature ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] Contrat d'embauche & astreintes
Le 25 févr. 2011 à 15:46, Radu-Adrian Feurdean a écrit : > > On Fri, 25 Feb 2011 14:24 +0100, "Pierre-Henry Muller" > wrote: > >> Sur quel élément ils se basent pour dire cela? >> C'est un travail supplémentaire à ton travail qu'il soit forfait ou 35h. > > Il y en a qui disent que ca fait partie du forfait. Ces entreprises là ne me verrons jamais :) Quand je pense qu'un client payait ses gars 1K€ par journée lors d'une migration pour nous regarder faire car niveau assurance ils devaient toucher à rien et que nous nous avions juste eu une prime de 100€ pour un we complet ... Ha jeunesse quand tu nous tiens. > >> Par définition une prime doit être exceptionnelle, c'est à dire >> que le motif ne peut se répéter régulièrement. >> Le régulièrement est laissé à l'appréciation de tous, >> patrons, inspection du travail, prudhommes, ... > > Pour mois et mes collegues, ca n'a rien de regulier PAR PERSONNE. > Pour l'employeur, c'est du regulier il faut juste qu'il y en a > quelqu'un, peu importe qui. A nous de se partager le "pactole" avec tous > les avantages et desavantages qui vont avec. Comme j'ai arrete pour des > raisons perso il y a plusieurs mois, mes collegues ont ete tres contents > d'etre moins nombreux a partager la meme envelope. > C'est un peu du "service ++" que l'employeur demande(et paye), et que > mes collegues font la queue pour l'offrir(et facturer). > > On ajoute a ca le temps effectif d'intervention, qui lui est encore plus > variable (il est arrive dans le passe d'avoir une semaine entiere sans > appel, tout comme le fait de totaliser plus de 10 heures dans la > semaine). > >> Le but étant de lutter contre le fait de transformer une partie du >> salaire en prime récurrente. > > Chez nous c'est un "extra". Mais comme c'est pas si mal paye que ca, > presque tout le monde se jette dessus. On est uniquement deux a ne > pas/plus en faire. Le prix doit être intéressant pour que tout le monde fasse l'impasse sur la légalité. Une astreinte ne peut être payée en prime, il y a bien une notion de régularité, plusieurs prudhommes l'ont déjà jugé ainsi. Mais tu parles de collègues qui se pressent pour le facturer? Vous êtes en freelance? Dans ce cas oui l'astreinte est une prestation, ... c'est moyen vis à vis du temps de récupération. En gros le jour où tu as passé la nuit sur une inter et que tu la finis à 8h du mat, si à 9h t'es pas au bureau on peut aussi rompre ton contrat. J'exagère un peu mais tu vois le principe. ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] Légalité du filtrage SMTP
Le 25 févr. 2011 à 15:44, Clément Guivy a écrit : > Le 25/02/2011 15:21, Benjamin AVET a écrit : >> Que diriez-vous si le facteur en question filtrer votre courrier en fonction >> de l'expéditeur. >> La société DUPONT vous envoie un courrier, le facteur n'aime pas cette >> société (pour X raisons) et décide de ne pas vous le distribuer. Alors ? > > La métaphore avec le courrier a ses limites : dans le cas du courrier > physique l'expéditeur a payé le transporteur pour acheminer son courrier (ce > qui limite les abus, puisque plus l'expéditeur veut envoyer, plus ça lui > coûte), ce qui est différent du cas du courrier électronique où l'expéditeur > utilise des ressources qui ne sont pas les siennes (=qui coûtent aux autres) > pour envoyer son courrier. > Et pourtant ils se permettent de faire des NPAI chez moi pendant les vacances quand ca manque de personnel... ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] Graphique des dépendances sur RHEL
Le 1 mars 2011 à 10:30, Dominique Rousseau a écrit : > j'utilise plus RH que sous la contrainte :D de mon côté j'ai passé l'étape d'après, je double le temps nécessaire à toute intervention sur RH par rapport à du Deb, vu le temps perdu pour des trucs hallucinants. Souvent le client préfère tout réinstaller ça coûte moins cher :) et hop une Debian de plus. -- Pierre-Henry Muller ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] Hébergeur Suisse
Le 2 mars 2011 à 08:58, Julien Escario a écrit : > Juste par curiosité : le choix de la Suisse, c'est pour une question légale > (genre décret LCEN) Il y a quelques clients que ça arrange d'un point de vue légal sur les fichiers clients notamment. Et ce bien avant la LCEN, à présent il y a des chances qu'il y ait de nouveaux candidats... Dans l'ordre c'est souvent Suisse, Malte, pays de l'Est pour être à peu près tranquille sans aller trop loin. ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] Serveurs ARM
Bonjour, J'ai sans doute l'esprit pas encore ouvert aux différentes possibilités d'un serveur ARM. Là à froid je vois une possibilité, faire des petits serveurs basses conso pour des éléments tiers à une plateforme entièrement virtualisé par exemple ou tout simplement basse conso dans un environnement avec que des dédiés. Je pense aux dns autoritaires ou récursifs, des passerelles ssh, des nodes de supervision, ... Il faut dire qu'en dehors d'un usage personnel on ne sait pas trop quoi penser des performances d'une archi autour d'un arm. Le 4 mars 2011 à 15:36, Guillaume FORTAINE a écrit : > > Bonjour, > > Avant toute chose, je tiens a vous presenter mes voeux les meilleurs et les > plus sinceres pour cette nouvelle annee 2011. Sante, bonheur et prosperite. > > Laissez-moi me presenter : Guillaume FORTAINE, Cloudpreneur[0]. > > De mon cote, je suis en train de collaborer avec un fournisseur de SoC ARM > qui s'apprete a rentrer dans le marche du serveur[1]. > > En tant qu'administrateurs systemes, envisageriez-vous une utilisation > concrete > de ce genre de produit en production (si les performances etaient au > rendez-vous) ? > Si tel etait le cas, ce serait un plaisir pour moi de poursuivre cette > discussion > avec vous et de mettre en place une evaluation pour ce produit que je > considere tout > simplement comme revolutionnaire. > > J'attends de vos nouvelles, > > Cordialement, > > [0] http://www.linkedin.com/in/gfortaine > [1] http://www.linkedin.com/pub/ian-ferguson/0/153/477 > > Guillaume FORTAINE > Tel : +33(0)631092519 > Mail : gforta...@gfortaine.biz > > ___ > Liste de diffusion du FRsAG > http://www.frsag.org/ -- Pierre-Henry Muller ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] [FRsaG] présentation & RHCA
Le 6 mars 2011 à 23:25, Youssef Ghorbal a écrit : > > Bonjour, > > Ce que je suis vraiement curieux de savoir, c'est est ce que vous > avez deja "utilise" des "techniques" que vous avez appris dans les > certifications RH dans la vie reelle. Est ce que vous avez pu resoudre > un probleme que vous n'auriez jamais pu resoudre sans les > connaissances aquises pendant ces formations ? > Derniere question, est ce que vous avez appris comme techniques sont > vraiement RHEL centric, ou sont raisonnablement applicables a d'autres > souches Linux ? > > Youssef Il faut espérer que cette certification ne va pas dériver comme les CCIE Cisco qui au final ne servent qu'à avoir de très grosses réductions aux entreprises qui possèdent plusieurs CCIE en interne... Pour ma part le constat est très simple parmi mon entourage, les clients n'aiment pas RedHat par la trop grande dérive qu'ils prennent et surtout par le fait qu'à présent les entreprises font le choix d'une distribution et n'en changent pas pour tel ou tel applicatif. J'ai l'exemple de deux personnes dont leur entreprise a fait forcing pour obtenir du support Oracle sur Debian et c'est passé. Il était hors de question de maintenir plusieurs systèmes pour eux. RedHat c'est sans doute très bien mais ca s'éloigne vraiment de Linux, y a qu'à voir le fait de prendre un kernel officiel, compilation, install et impossibilité de booter... car il faut les patchs interne à Redhat ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] [FRsaG] présentation & RHCA
Le 7 mars 2011 à 12:42, Sylvain Rochet a écrit : > Hop, > > On Mon, Mar 07, 2011 at 12:01:09PM +0100, Pierre-Henry Muller wrote: >> >> RedHat c'est sans doute très bien mais ca s'éloigne vraiment de Linux, >> y a qu'à voir le fait de prendre un kernel officiel, compilation, >> install et impossibilité de booter... car il faut les patchs interne à >> Redhat > > Pas tout à fait juste, faut juste dégager le lvm root, SELinux (pas sûr > pour celui là), les labels, et ne pas avoir d'initrd. J'ajouterais > éviter les modules et faire en sorte que udev ne fasse plus rien et ça > boot et fonctionne très bien. Oui en gros il ne reste plus rien d'intéressant :) pas d'udev pas de initrd et de lvm ... -- Pierre-Henry Muller ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] Tungsten Replicator
Salut, C'est intéressant mais je connaissais pas donc pas de retour. Par contre ca promet ce genre de montage. A suivre Le 16 mars 2011 à 14:56, Greg a écrit : > Bonjour, > > J'aimerai avoir des retours sur Tungsten Replicator si vous en avez : > http://www.continuent.com/solutions/tungsten-replicator > > Ce système se substitue au système de réplication natif du SGBDR, et permet > de faire des choses sympas : > - répliquer from MySQL to PostgreSQL > - faire de la réplication en parallèle : > http://scale-out-blog.blogspot.com/2010/10/parallel-replication-on-mysql-report.html > > Mon problème, si en plus vous avez une solution : le serveur MySQL A réplique > depuis 4 masters MySQL via un script Perl maison (sources dispo), le serveur > B réplique depuis A via la réplique MySQL standard (Statement based), et > contient des tas de triggers pour transformer / consolider les données. > Mais on a atteint le max de triggers, et le serveur B se maintient entre 0 et > 15000 secondes de délais de réplication sur la journée, il n'a pas de délais > que pendant moins de 2h dans une journée... Changer de serveur n'apporterait > pas beaucoup d'améliorations: il faut paralléliser. > > Merci :) > > -- > Greg > > ___________ > Liste de diffusion du FRsAG > http://www.frsag.org/ -- Pierre-Henry Muller ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] carte des différents réseaux fibre dans paris
Quel est ton besoin précisément? Si tu veux une "fibre" juste pour du débit type NC ou Orange ... ou si tu veux une fibre allumée vers un vrai opérateur réseau ou si tu veux une fibre noire pour te relier à ton infra DC? En fibre noire sur Paris Sipartech a un très beau réseau. Le 18 mars 2011 à 15:06, Fouad Talaouit a écrit : > Bonjour, > > J'ai besoin d'un petit coup de pouce. > > La société pour laquelle je travaille déménage dans paris. > > Et comme toujours nous en serons informés au dernier moment. > > J'a besoin de savoir qu'elles sont les réseaux fibre à proximité de mon futur > bâtiment afin de gagner du temps. > J'ai bien fait une recherche sur google mais je ne trouve rien. > Si vous avez des liens je suis preneur. > > Cdt, > > Fouad > > ___________ > Liste de diffusion du FRsAG > http://www.frsag.org/ -- Pierre-Henry Muller ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] carte des différents réseaux fibre dans paris
Les cartes ne sont pas publiques et malheureusement il va te falloir contacter différents opérateurs d'infrastructure pour savoir. En fonction des réponses tu sauras si : - ta rue a déjà des fibres qui y passent - il faut aller te connecter quelques rues plus loin Dans ton cas une fibre redondée ou non vers ton DC et une sortie au travers de ton infra hébergée me semble le plus logique et économique. Après fibre ou lien managé ou LS ca dépend du débit désiré / nécessaire à étudier et à comparer. Si ca peut t'aider à choisir tes prochains bureaux les principaux quartiers d'affaires sont bien couverts dans Paris, petite ceinture et certains pôle avant la grande ceinture. Le 21 mars 2011 à 08:50, Fouad Talaouit a écrit : > 2 types de besoins. > > 1 - Liaison vers mes DC > 2 - Juste du débit sortant > > A la base j'ai déjà ma petite idée. > Ce qu'il me manque c'est de savoir qu'elles sont les opérateurs proches de > mon bâtiment. > La visite des sous sols de l'immeuble n'est pas suffisante car au mieux j'ai > un ou deux opérateurs ce qui me limite dans le choix. > au pire j'en ai aucun. > > Le mieux est de connaitre les opérateurs proche de mon bâtiment. > faire une sélection suivant mon besoin et non une sélection par défaut. > Puis de prévoir dans mes délais le raccordement (travaux public) > > > Le 21 mars 2011 01:33, Pierre-Henry Muller a écrit : > Quel est ton besoin précisément? > > Si tu veux une "fibre" juste pour du débit type NC ou Orange ... ou si > tu veux une fibre allumée vers un vrai opérateur réseau > ou si tu veux une fibre noire pour te relier à ton infra DC? > > En fibre noire sur Paris Sipartech a un très beau réseau. > > Le 18 mars 2011 à 15:06, Fouad Talaouit a écrit : > > > Bonjour, > > > > J'ai besoin d'un petit coup de pouce. > > > > La société pour laquelle je travaille déménage dans paris. > > > > Et comme toujours nous en serons informés au dernier moment. > > > > J'a besoin de savoir qu'elles sont les réseaux fibre à proximité de mon > > futur bâtiment afin de gagner du temps. > > J'ai bien fait une recherche sur google mais je ne trouve rien. > > Si vous avez des liens je suis preneur. > > > > Cdt, > > > > Fouad > > > > ___ > > Liste de diffusion du FRsAG > > http://www.frsag.org/ > > -- > Pierre-Henry Muller > > > > ___ > Liste de diffusion du FRsAG > http://www.frsag.org/ > > ___ > Liste de diffusion du FRsAG > http://www.frsag.org/ -- Pierre-Henry Muller ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] carte des différents réseaux fibre dans paris
Le 21 mars 2011 à 15:19, Fouad Talaouit a écrit : > > Juste pour info, je ne répondrai pas aux différents commerciaux qui m'ont > contacté via cette mailing list. > Je ne suis pas là pour être démarché mais pour échanger. Greg je crois que tu as ton explication sur le fait qu'il y ait pas mal d'inscrit et finalement que peu d'intervenants Faut faire quoi comme système pour être tranquille entre nous, du parrainage, des tests, se connaître IRL ... -- Pierre-Henry Muller ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] carte des différents réseaux fibre dans paris
Le 22 mars 2011 à 16:05, Greg a écrit : > > SVP transférez moi ces mails que je les bannisse définitivement de la liste. Pas obligé d'être radical non plus :) Et une petite charte d'utilisation de la mailing list où l'on préciserait ce qu'on ne doit pas faire? -- Pierre-Henry Muller ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] HeV
Projet intéressant sur le papier quoiqu'un peu jeune à mon avis. Je vais tester cela pour voir, j'ai beau être à fond sur Xen, quand il s'agit de faire un cluster manageable par des non initiés cela devient une catastrophe. Je cherche donc justement une solution en gros pour faire du VMWare ESXI avec licence permettant le vmotion mais en logiciel libre, les clients ont de ces idées des fois :) A tester donc je reviendrais sans doute ici écrire quelques lignes. -- Pierre-Henry Muller ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] Frontal SSL
Bonjour, Nginx en front avec la gestion de la partie SSL en reverse proxy load balancé sur tes serveurs en http. Ca marche très bien. A+ Le 4 avr. 2011 à 09:50, Valentin Surrel a écrit : > Bonjour, > > Je veux mettre un HAProxy devant des serveurs d'applications HTTP. Il > est paramétré pour rediriger un même client vers le même serveur > d'application (via cookie). > > Comme on est en full HTTPS, et pour que HAProxy puisse faire son boulot > (donc inspecter les headers HTTP pour rediriger vers le bon serveur), il > faut que l'encryptage se fasse en amont. > > Avez vous une préco à ce sujet ? stunnel vs nginx ? autre ? > > A+ > Valentin > ___ > Liste de diffusion du FRsAG > http://www.frsag.org/ -- Pierre-Henry Muller ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] Performances IO différentes pour serveurs identiques
Salut, Clairement y a un souci en raid10 sur le serveur B tu ne devrais pas être aussi lent. Voilà les différences matériel qui peuvent jouer à mon avis hors problème technique : - le Xeon E5410 a 12MB de cache L2 alors que le E5345 n'en a que 8. - les modèles des disques durs ont il les mêmes caches tampon Après niveau panne possible, l'état d'usure des disques? Si dans la grappe du B des secteurs sont ignorés par la carte raid pour cause de dysfonctionnement ça n'aide pas niveau perf. La batterie de la carte peut être aussi une piste de recherche mais si tu n'as pas d'alarme ... Pour écarter la carte raid et les disques, essaye d'installer un os sans raid hard et test les disques un par un. Ca permettra de voir si ils sont cohérent entre eux ou si un ou plusieurs posent problèmes. ++ -- Pierre-Henry Muller ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] Frontal SSL
Nginx peut remplacer HA proxy puisqu'on peut lui déclarer un pool avec plusieurs machines et différents paramètres pour la répartition. Dans mon idée, une ligne de nginx en frontaux, une ligne de serveur http. Si les serveurs http se partagent les sessions (memcache, sharedance, FS distribué, BDD, ...) il n'y a même plus besoin de se préoccuper de savoir si le visiteur ira toujours sur le même serveur. Le 4 avr. 2011 à 11:35, Hervé COMMOWICK a écrit : > Et ca implique du bon vieux HTTP/1.0 vers HAProxy. Pas très optimal amha > > Hervé. > > > On Mon, 4 Apr 2011 11:28:00 +0200 > Pierre-Henry Muller wrote: > >> Bonjour, >> >> Nginx en front avec la gestion de la partie SSL en reverse proxy load >> balancé sur tes serveurs en http. Ca marche très bien. >> >> A+ >> >> Le 4 avr. 2011 à 09:50, Valentin Surrel a écrit : >> >>> Bonjour, >>> >>> Je veux mettre un HAProxy devant des serveurs d'applications HTTP. >>> Il est paramétré pour rediriger un même client vers le même serveur >>> d'application (via cookie). >>> >>> Comme on est en full HTTPS, et pour que HAProxy puisse faire son >>> boulot (donc inspecter les headers HTTP pour rediriger vers le bon >>> serveur), il faut que l'encryptage se fasse en amont. >>> >>> Avez vous une préco à ce sujet ? stunnel vs nginx ? autre ? >>> >>> A+ >>> Valentin >>> ___ >>> Liste de diffusion du FRsAG >>> http://www.frsag.org/ >> >> -- >> Pierre-Henry Muller >> >> >> >> ___ >> Liste de diffusion du FRsAG >> http://www.frsag.org/ > > > > -- > Hervé COMMOWICK, EXOSEC (http://www.exosec.fr/) > ZAC des Metz - 3 Rue du petit robinson - 78350 JOUY EN JOSAS > Tel: +33 1 30 67 60 65 - Fax: +33 1 75 43 40 70 > mailto:hcommow...@exosec.fr > ___ > Liste de diffusion du FRsAG > http://www.frsag.org/ -- Pierre-Henry Muller ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] Performances IO différentes pour serveurs identiques
Le 4 avr. 2011 à 11:50, Gregory Duchatelet a écrit : > Salut, > >> - le Xeon E5410 a 12MB de cache L2 alors que le E5345 n'en a que 8. > > Je ne pense pas que ça joue sur les IO. > >> - les modèles des disques durs ont il les mêmes caches tampon > > Ils ont tous les 12 16MB de cache. > >> Après niveau panne possible, l'état d'usure des disques? Si dans la grappe >> du B des secteurs sont ignorés >> par la carte raid pour cause de dysfonctionnement ça n'aide pas niveau perf. > > Je devrais le voir dans les status/infos de la carte RAID non ? Hum je ne me rappel plus des infos que l'on peut avoir sur les cartes Dell, à chercher. > >> La batterie de la carte peut être aussi une piste de recherche mais si tu >> n'as pas d'alarme ... >> >> Pour écarter la carte raid et les disques, essaye d'installer un os sans >> raid hard et test les disques un par un. >> Ca permettra de voir si ils sont cohérent entre eux ou si un ou plusieurs >> posent problèmes. >> > > Bien vu, je vais tester ça ;) -- Pierre-Henry Muller ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] Performances IO différentes pour serveurs identiques
Tu penses que ça impacterait les performances sur un test local? Le 4 avr. 2011 à 23:41, Jean Baptiste FAVRE a écrit : > Bonsoir, > Au risque de dire une connerie, quelle est la conf de la carte réseau ? > > J'explique: j'ai pu constater une différence importante du débit disque > entre 2 machines identiques *juste* parce que l'une des deux n'avait pas > le TSO d'activé. > Résultat: elle pédalait dans la semoule joyeusement :-/ > > Au cas où, > JB > > > On 04/04/2011 08:45, Gregory Duchatelet wrote: >> Bonjour, >> >> je sais bien qu'un lundi matin je ne risque pas d'avoir beaucoup de >> réponses mais je tente ma chance :) >> J'ai 2 serveurs quasi identique, des Dell PE2950 avec un RAID10 6x SAS >> @10krpm via une carte PERC 5/i, ces 2 serveurs ont été acheté en 2008 à >> 3 mois d'intervalle. Les seules différences identifiées sont un >> processeur légèrement différent: un E5410 @2,33GHz sur le serveur A et >> un E5345 @2,33GHz sur le serveur B; ainsi qu'une marque de DD différente >> malgré la capa et la vitesse identique : des SEAGATE sur le serveur A et >> des FUJITSU sur le serveur B. >> >> J'ai vérifié aussi que le BIOS était à jour, le firmware de la carte >> PERC ainsi que des disques durs, la configuration RAID (write back, no >> read ahead), reconstruction totale du RAID, la config système (j'ai même >> fais un clone), tenté le kernel 2.6.38, fais un diff de lshw... >> >> Je n'explique pas cette différence de perfs, qui se vérifie sur un >> VACUUM PostgreSQL 10x plus long sur le serveur B pour une DB identique : >> >> root@serveur_A# hdparm -tT /dev/sda8 >> >> /dev/sda8: >> Timing cached reads: 11346 MB in 2.00 seconds = 5679.55 MB/sec >> Timing buffered disk reads: 716 MB in 3.01 seconds = 238.05 MB/sec >> >> >> root@serveur_B# hdparm -tT /dev/sda8 >> >> /dev/sda8: >> Timing cached reads: 610 MB in 2.00 seconds = 304.60 MB/sec >> Timing buffered disk reads: 192 MB in 3.02 seconds = 63.50 MB/sec >> >> >> Je sollicite donc votre aide ! >> Merci, et bonne semaine ;) >> > > ___ > Liste de diffusion du FRsAG > http://www.frsag.org/ -- Pierre-Henry Muller ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] Avec Openvpn peut on faire un habillage à la sauce hamachi ?
Bonjour, Très intéressant Hamachi, Logmein a déjà donné beaucoup de fil à retordre aux entreprises car des employés ouvraient des entrées vers leurs postes depuis l'extérieur. La version web access se fait par http et ne nécessite aucun droit d'administrateur sur le poste, imaginez les dégâts. Pire il a été très dur de les filtrer normalement, un peu comme filtrer Skype sans DPI. Pour répondre à ta question : 1: créer un groupe d'utilisateur vpn, c'est finalement créer une configuration openvpn road warrior sur un port donné. Si ce port est un 80 ou 443 pour être accessible de partout, y a sans doute un reverse proxy http qui redirige vers la bonne machine et le bon port derrière. 2: Je n'ai pas testé mais clairement c'est un soft à eux qui peut sans doute utiliser openvpn comme une solution maison. Il devient donc facile au sein du logiciel de faire le nécessaire de récupérer les données de connexion à partir du login / pass ou autre. Tu l'as testé de ton côté? Quid de la performance en débit et latence? Quid surtout de personnes dans le cadre de leur usage gratuit car personnel qui transfèreraient plein d'iso de distribution linux :) Le 8 avr. 2011 à 10:50, cam.la...@azerttyu.net a écrit : > Bonjour à tous > > Comme vous pouvez le voir j'ai essayé de faire un objet de mail assez > explicite malgré tout :) > > Je me demande comment faire 2 choses que je retrouve dans le service hamachi : > 1/ pouvoir créer des grappes de clients vpn indépendantes > 2/ fournir au client simplement l'ensemble des certificats/paramétres > et cacher l'ensemble des étapes intermédiaires. > > Pour le 1/ mon besoin est de pouvoir affecter un client vpn à une > groupe et de restreindre sa visibilité à son groupe. Après recherches > j'ai bien l'impression qu'il y a des possibilités mais je ne trouve > pas de documentation pertinente (WITFM?). > > Pour le 2/ l'idée serait : j'installe mon client vpn et via une > méthode quelconque je récupère l'ensemble des clefs et certificats à > installer de façon transparente. > > > En espérant avoir été clair > (pas gagné je ne suis qu'au second café :) > > > Km > ___ > Liste de diffusion du FRsAG > http://www.frsag.org/ -- Pierre-Henry Muller ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] Performances IO différentes pour serveurs identiques
Le 7 avr. 2011 à 16:47, Gregory Duchatelet a écrit : > Bonjour, > > J'ai procédé au changement de la carte PERC, bon point je n'ai pas perdu le > RAID10 et n'ait pas eu besoin de réinstaller. Par contre les perfs sont > toujours moisies > > Il faut que je fasse une mise à jour du firmware des disques durs Fujitsu > (ils sont en D406, il existe une mise à jour facultative D407), et si c'est > toujours pas bon je tenterais une inversion de disques avec l'autre serveur. Tente de faire sans raid aussi tu seras fixé pour les disques. -- Pierre-Henry Muller ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] Avec Openvpn peut on faire un habillage à la sauce hamachi ?
Le 8 avr. 2011 à 22:34, Radu-Adrian Feurdean a écrit : > On Fri, 8 Apr 2011 19:13:08 +0200, "Pierre-Henry Muller" > said: >> Logmein a déjà donné beaucoup de fil à retordre > . >> les dégâts. Pire il a été très dur de les filtrer normalement, un peu >> comme filtrer Skype sans DPI. > > J'ai trouve ca assez facile : bloquer tout access vers les ranges d'IP > LogMeIn. Sauvage, mais ca marche. Je ne l'ai pas rebloqué récemment mais pour le web access d'il y a 3-4 ans c'était plutôt en mode P2P comme skype, on se retrouvait à bloquer des ip de FAI à travers le monde ce n'était pas la bonne solution. Ils ont peut être changé de méthode. -- Pierre-Henry Muller ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] Le meilleur tunnel IPsec de l'univers
Le 14 avr. 2011 à 03:34, Benjamin Billon a écrit : > Salutations cordiales et distinguées, > > Quelles sont, d'après vos expériences, les meilleures solutions de tunnel > IPsec, ou de tunnels en général si il y a mieux ? > > Quelques paramètres qui peuvent faire varier les réponses : > - la distance entre les sites (de 100m à 10 000 km) > - le nombre de chemins possibles (de 1 à une infinité) > - la latence, la bande passante, que sais-je > - OS vs appliances (lesquelles)? > > Et tant que j'y suis, quid des serveurs VPN facilement utilisable pour le > commun des mortels, mais aussi pour les barbus (c'est à dire Win XP, 7, Linux > et OSX, parfaitement)? > > Brotz, > > -- Benjamin Pas évident, déjà le premier conseil c'est d'être homogène sur les équipements, rien de pire que de mixer et de devoir changer tous les algos des différentes phase parce que tel constructeur gère mal tel ou tel algo avec tes équipements en place. Si tu as beaucoup de site, je pense qu'il vaut mieux éviter de gérer tout à la main et des outils comme le fortimanager pour les boitiers fortigate est un réel plus. Au delà d'une cinquantaine de boitier c'est à privilégier ou si la configuration est amenée à changer souvent. L'avantage tu définies tel site doit parler avec tel site et après il se débrouille tout seul. Si moins de budget et moins de site, des OS qui font firewall comme Monowall ou Pfsense permettent d'avoir une interface plutôt qu'une CLI. Pour les vpn bizarrement je préfère une interface sinon on s'y perd quand on dépasse plusieurs dizaine de tunnels. Ou alors strongswan ou autre serveur ipsec sur une distro qui ferra office de hub and spoke mais bonjour la configuration et le debug en cas de soucis avec plusieurs dizaine de sites. Comme le dit Johan openvpn c'est très bien, mais ce n'est plus de l'ipsec mais du ssl, c'est à mon sens bien plus convivial à voir si ca répond à tes besoins. -- Pierre-Henry Muller ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] EC2, un Cloud taillé pour la haute disponibilité
Le 21 avr. 2011 à 16:26, Pierre Chapuis a écrit : > ... sauf parfois : > http://thenextweb.com/industry/2011/04/21/amazon-ec2-troubles-bring-down-reddit-foursquare-quora-hootsuite-and-more/ > > Quelqu'un de la liste a été impacté ? Personnellement j'ai eu de la chance > que mes instances ne soient pas dans cette zone de disponibilité... > > -- > Pierre Chapuis Encore un argument contre les clouds publiques. J'aimerais bien connaitre les moyens dont disposent les clients pour contacter un support de qualité dans ces moments là... Ils n'ont plus qu'à attendre le retour à la normale. C'est donc globalement acceptable pour des sites web sociaux (et encore ils vont perdre combien de personne qui seront venus tester à ce moment précis et qui diront que ca ne marche pas) mais pas pour des pros qui ont besoin de SLA et de contacts qualifiés. Si vous avez des retours je suis preneur aussi. -- Pierre-Henry Muller ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] Question juridique concernant l'accès aux données mobiles
Le 27 avr. 2011 à 17:45, Benjamin AVET a écrit : > Bonjour à tous, > Je me tourne vers vous tout en sachant que cela ne relève pas > forcément de cette liste! > Je cherche des informations légales concernant l'accès possible à un > terminal mobile personnel utilisé dans le cadre professionnel. > > Je m'explique : > Une entreprise souhaite déployer des accès mobiles pour certains de > ses employés, cependant elle ne souhaite pas investir dans une flotte > mobile... Elle voudrait profiter des smart phones personnels des > employés ! Elle va devoir procéder à la sécurisation des terminaux, et > prévoir une procédure d'effacement des données et/ou du terminal en > cas de perte ou de vol! > > Ma question est la suivante : Y a-t-il des limites juridiques à ça ? > Des textes de loi empêchent-ils ce genre de procédés ? > > D'avance merci. > > Benjamin Bonjour, Je n'ai pas d'appui légal sur ce point précis, néanmoins il est admis (texte ou jurisprudence à chercher) que la séparation privé / entreprise est forte. L'entreprise n'a aucun pouvoir sur les équipements possédé par des tiers ... le tiers est ici une employé. Que cela soit téléphone ou ordinateur personnel, si l'entreprise décide d'imposer ses règles de sécurité et pire supprimer le contenu, que se passera t il pour les données personnelles qui dans 80% des cas ne seront pas sauvegardées correctement? C'est d'ailleurs pour éviter ce genre de conflit d'intérêt que les accès VPN SSL se sont démocratisés, il n'y a ainsi aucun logiciel spécifique à installer sur l'ordinateur personnel d'un employé. Je trouve cette pratique vraiment limite, l'entreprise pourrait le payer fort cher en cas de souci, quid après des accès data, de la perte du téléphone dans le cadre d'une activité pro, ... qui est responsable de quoi? Bon courage -- Pierre-Henry Muller ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] Question juridique concernant l'accès aux données mobiles
Le 28 avr. 2011 à 17:34, Benjamin AVET a écrit : > > A Pierre-Henry, le fait d'installer un VPN SSL n'empêche pas forcément > l'accès aux données sensibles de l'entreprise. Au mieux, il orientera le > voleur sur l'existence d'un service VPN dans l'entreprise ; au pire, il > fournira l'accès aux données ... C'est pour cela que, même sur les terminaux > professionnels, on cherche à effacer le contenu du téléphone en cas de perte > ou de vol ! Pour le vpn ssl je précisais que ca évite d'installer un logiciel sur l'ordinateur personnel ou si l'employé se trouve chez des amis, en déplacement dans un cyber café ou autre. Cela lui permet d'accéder aux ressources et données de l'entreprise, après ce qu'ils en font c'est une autre histoire. Le jour où une entreprise fait effacer du contenu personnel d'un terminal personnel je pense qu'on aura le droit à un beau procès et une belle jurisprudence. Comme l'a souligné Julien et Elvis l'employeur est tenu de fournir le matériel nécessaire même dans le cas du télétravail où ça devient encore plus coûteux : tel, accès internet, imprimante, ... La seule façon de contourner (et encore) c'est que les personnes soient des indépendants auxquels on demande des règles de sécurité pour accéder à certains réseaux à partir du matériel de leur propre entreprise. Mais même là si l'ordinateur doit être effacé par la première entreprise je n'ose imaginer les conséquences ... qui peuvent aller jusqu'à perte d'exploitation. -- Pierre-Henry Muller ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] Réplication temps réel de données entre sites
Bonjour, Avec inotify tu regardes les changements d'inodes et tu pousses les modifications. Par contre je n'ai pas testé en bi directionnel. Sinon DRBD en protocol A ou B tu as pu tester? Le 28 avr. 2011 à 17:21, Julien Escario a écrit : > Bonjour, > Ca fait quelques semaines maintenant que je cherche la solution pour faire une > réplication de données entre deux pops en datacenter. > > Ma problématique : j'ai besoin que les données soient trés proches dans le > temps > (quelques secondes seraient bien) mais l'écriture synchrone n'est guère > possible > : la latence entre deux sites est mal maîtrisable et si on attends que la > données soit écrite sur le second site pour la considérer comme valide, la > latence va tuer les performances. > C'est, par exemple, ce que j'ai constaté avec DRBD protocole C. Il y a > d'autres > possibilités : > http://www.drbd.org/users-guide-emb/s-replication-protocols.html > > Quelles autres possibilités existent pour ce type de besoin ? Quelqu'un a déjà > fait ça d'une autre manière ? > > L'autre idée serait de demander au noeud client d'écrire sur deux NAS. Aucune > idée de la façon dont c'est faisable. > > Mon utilisation est le stockage de VMs. > > Bonne soirée, > Julien Escario > ___ > Liste de diffusion du FRsAG > http://www.frsag.org/ -- Pierre-Henry Muller ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] Qu'en pensez-vous : Mac OS X comme workstation
De mon côté, je suis tombé sur mac en cherchant un portable où tous les composants auraient un driver sous Linux c'était en 2003 à l'époque des winmodem et autre joyeuseté avec des drivers sous windows uniquement. Là j'ai remarqué que beaucoup de linuxiens autour de moi avaient des powerbook car le côté BSD de MacOS oblige à avoir du matériel avec des drivers comptatible unix. J'ai donc acheté un powerbook G4 que j'ai reçu la veille d'un départ en vacance, n'ayant eu le temps d'installer une distro linux je pars avec MacOS préinstallé. A cette époque rappelez vous qu'il fallait même des drivers sous windows pour connecter son appareil photo numérique et récupérer ses clichés. Sous Mac rien de tout cela, par défaut sans rien installer hop ca marche. Par la suite je fouine la couche BSD et trouve un terminal, ssh, emacs, X11, zsh, openssl, ... installés par défaut. Autant dire tout ce que j'utilise au quotidien sous un linux. Avec du recul, ce n'est pas tant l'interface ni l'os qui m'attire, j'avoue même avoir peur de certaines évolution de MacOS. Par contre depuis 2003 j'ai eu que d'excellent rapport avec le service après vente, quelques petits exemples : - MacPro de 2006 sous garantie jusqu'en 2009. Fin 2010 rappel des cartes graphiques d'une série défectueuse, cela faisait 2 mois que je constatais des soucis et sans rien demander, échange contre une carte plus récente (donc plus puissante) et sans frais alors que je suis hors garantie. Là je n'ai jamais vu cela chez d'autres constructeurs. - Powerbook cd rom gravé plus épais que la moyenne qui coince le système d'ejection, machine hors garantie, j'appel pour me faire diriger vers le sav le plus compétent sur ce point. Finalement livreur qui passe dans la journée, machine de retour le sur lendemain, intervention gratuite ... Je pourrais en citer d'autres de proches, clairement de mon expérience chez les grands constructeurs pc même quand vous êtes un pro le sav n'est pas aussi souple. Ils ont même tendance à essayer de se dédouaner de la prise en charge des soucis. Dernier point, depuis 2005 j'ai eu 3 pc soit tout assemblé genre barebone, soit acheté en composants (de marque et qualité normalement) et ces ordis n'ont pas tenu plus de 2 ans chacun. Du coup au lieu de remettre un peu moins de 1000€ dans une machine tous les 1 ou 2 ans je préfère prendre du Mac qui me coûte plus cher à l'achat mais qui s'amortie très bien sur 5 ans voir plus pour les grosses configs. Après comme qui dirait c'est les goûts et les couleurs :) -- Pierre-Henry Muller ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] Qu'en pensez-vous : Mac OS X comme workstation
Le 5 mai 2011 à 08:51, Yanik Cawidrone a écrit : > bonjour, > j'ai lu tous vos commentaires sur Mac en tant que workstation, > et il apparait tout du moins chez ceux qui ont repondu que tout le > monde utilise ou a utilisé du MAC. > J'avoue quand même que leur design et le côté j'ai pas une famille de > pieuvre autour de la toursont de vrais plus :) > J'ai une quand même une question : personne n'est géné par le mapping > clavier different (pas de pipe, le @ pas au meme endroit...) > ou par le Alt+Tab qui fonctionne pas si les fenetres sont minimisées > (je ne sais plus sous quelle version d'OSX j'ai vu ça, > d'ailleurs est-ce configurable quelque part ??) ? > > bonne journée à vous Si tout à fait c'est un souci leur mappage français est nul, étant habitué au qwerty je commande tous mes macs en qwerty et un petit raccourcis clavier pour changer rapidement le mappage me permet de faire des accents :) Le mappage qwerty international est respecté chez eux, le français j'ai jamais compris pourquoi il est changé. -- Pierre-Henry Muller ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] admin travailleur independant WAS Re: Présentations
Le 5 mai 2011 à 11:06, Benjamin MALYNOVYTCH a écrit : > > > Et puis il faut avoir le caractère pour ça : je me connais, si je > reste chez moi, je glande. :-) > > Tout est question d'environnement et de motivation. > En ce qui me concerne, j'ai toujours travaillé dans un bureau calme, dans une > espèce de bulle où je n'étais pas dérangé toutes les deux minutes par le > bruit des collègues qui discutent ou les téléphones des autres. De plus, mon > travail me passionne ... Il n'est pas dur de se motiver dans ces conditions > ;-) Je valide ce point, être dans un environnement calme est bien plus productif que dans un open space avec des téléphones qui sonnent de partout ou des gens qui parlent trop. J'espère pouvoir m'offrir le luxe de ne plus jamais travailler en open space. Je suis bien plus productif chez moi que dans un open space, rien que l'économie du temps de trajet (2h par jour en moyenne) sur plusieurs années c'est un sacré gain de productivité, une fatigue et sans doute un stress (grève, retard, panne, ...) en moins. Par contre ce qui manque le plus quand on est en télétravail c'est les relations humaines, personnellement ça me manque. Je n'aime pas les pauses café ou mais je me rend compte que la pause du midi à discuter de tout et de rien avec des collègues ça fait du bien. > > > A partir du moment où on doit mettre une quinzaine > de personnes en équipe, les faire se rencontrer et parler entre eux > est crucial, et ça ne peut pas se faire à distance. > > "Une quinzaine", ça commence à faire beaucoup, mais jusqu'à 5/10 personnes, > c'est gérable, à condition q clope ue tout le monde bosse correctement et > qu'il ne soit pas nécessaire de repasser derrière X ou Y. Dans mon cas, > j'étais en relation téléphonique avec les collègues avec qui je travaillais, > parfois toute la journée, selon les besoins, comme si nous étions dans un > open-space. Tout est question de matos aussi : le casque sans fil et la ToIP > étaient indispensables. Toip ou vision conférence c'est super pratique et je trouve que ça a l'avantage que les gens ne te dérange pas pour une broutille qui vient anéantir ta concentration sur un autre sujet. C'est le fléaux des open spaces, la personne qui passe te demande un truc et repart, à ce moment tu arrêtes ce que tu fais (car c'est toujours urgent) et pour les 15 minutes passées sur le souci il t'en faut 15 à 30 pour te reconcentrer sur le sujet précédent. Etre à distance ne veut pas dire refuser tout déplacement, j'avoue apprécié les quelques déplacement que j'effectue pour les réunions ou pour des actions sur place. -- Pierre-Henry Muller ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] MySQL Proxy
Intéressantes ces remarques, est ce que tu te souviens de la version de
mysql proxy testée?
Je repose une autre question, quand un client veut faire un site forte
charge à partir
d'un CMS ou moteur de blog du marché et que ces derniers n'ont pas
d'intelligence dans la répartition de charge
quel type de solution autre que mysql proxy vous utiliseriez?
On devrait pouvoir développer une surcharge de la classe sql pour faire
le split mais les clients
n'ont bizarrement jamais de budget pour cela.
Le 26/08/11 16:54, Sébastien FOUTREL a écrit :
> Un R/W splitting doit prendre en compte enormement de parametres.
> Comment traiter un last insert id ?
> Comment traiter une transaction ?
> De plus, MySQL-proxy a un defaut dans la gestion des sessions. Je ne
> sais pas s'il a été corrigé mais cela avait provoqué un gros NOGO sur
> un gros projet pour nous.
>
> En gros :
> un user U1 qui n'a le droit que d'acceder au schema A se connecte au
> proxy, le proxy ouvre une sessions avec l'instance et transmet l'auth
> du user U1
> un user U2 qui n'a le droit que d'acceder au schema B se connecte au
> proxy, le proxy peut reutiliser la session ouverte precedemment pour
> U1 sauf que la requete va etre rejetée car l'auth a deja été faite par
> U1 et que celui-ci n'a pas acces au schema B.
>
> Deuxieme probleme.
> Un java hibernate se connecte et créé un pool de connexions vers
> mysql-proxy, mysql-proxy créé des connections vers l'instance. pour
> une raison ou une autre les connexions entre mysql-proxy et l'instance
> sont coupées. Hibernate n'est pas informée et donc ses requetes sont
> mortes.
>
> Ce sont deux cas rencontrés il y a plus d'un an et depuis nous avons
> abandonné l'idée d'utiliser Mysql-proxy. Nos clients qui font de
> l'usage intensif (plus de 5000hits/s) utilisent un LB au niveau du
> code pour determiner s'ils attaquent le master ou le slave et les
> slaves sont derriere un LB software genre lvs.
>
> My 2 cents.
>
> Le 26 août 2011 15:15, Gregory Duchatelet a écrit
> :
>> Le 25/08/2011 17:56, Wallace a écrit :
>>
>> Le 25/08/11 16:58, Gregory Duchatelet a écrit :
>>
>> Va falloir que je me mette au LUA ! :)
>> Si tu as un script qui marche, ou une version modifié de celui fournit avec
>> MySQL Proxy, je suis preneur !
>>
>> Je n'ai utilisé que le script livré dans les docs de mysql proxy, pas eu
>> besoin d'aller plus loin pour le moment mais tes recherches m'intéressent
>> pour comprendre ce qui cloche dans son script.
>>
>> Je reste quand même persuadé que tu auras de meilleurs résultats avec la
>> première idée. Seul l'appli sait si elle a besoin de faire un read juste
>> après un update et c'est clairement le problème du split des requêtes.
>>
>> Notre appli utilise cette regexp pour savoir s'il faut taper sur un slave ou
>> pas :
>>
>> preg_match("/^([\r\n\t ]+)?(SELECT|USE|SET|CALL
>> (stats)?|DESCRIBE|(CREATE|DROP) TEMPORARY TABLE|\()/i", trim($query), $r);
>>
>> Avec ça l'appli n'a pas besoin de "savoir".
>>
>> Dans mon code de mon projet quand j'execute une requête sql la fonction
>> d'appel a une variable pour forcer
>> à être sur le master. Si elle est présente alors peut importe si la requête
>> ne comporte qu'un select elle sera quand même passer sur le master et pas
>> sur les slaves. Ca le mysql proxy ne le saura jamais.
>> Quand les devs jouent à ce genre de mise à jour puis get tu peux pas trop te
>> permettre d'attendre 1 ou plusieurs secondes que ca se synchronise.
>>
>> Si, dans le script LUA on peut faire ce qu'on veut ! Imagines, tu peux faire
>> un simple
>> SET forcemaster=1
>> Et dans le script LUA, catcher ce SET, stocker dans une variable un peu
>> comme la variable is_in_transaction de ce même script, et voilà :)
>>
>> Pour info, le script LUA en question est visible ici :
>> http://paste.frsag.net/TAWVp
>>
>> --
>> Greg
>>
>> ___
>> Liste de diffusion du FRsAG
>> http://www.frsag.org/
>>
>>
> ___
> Liste de diffusion du FRsAG
> http://www.frsag.org/
signature.asc
Description: OpenPGP digital signature
___
Liste de diffusion du FRsAG
http://www.frsag.org/
Re: [FRsAG] MySQL Proxy
Le 27/08/11 12:53, Benjamin Billon a écrit : > >> Je repose une autre question, quand un client veut faire un site forte >> charge à partir >> d'un CMS ou moteur de blog du marché et que ces derniers n'ont pas >> d'intelligence dans la répartition de charge >> quel type de solution autre que mysql proxy vous utiliseriez? > T'as un exemple concret ? > Assez rapidement, les caches (mysql et http) font le plus gros du > boulot pour soulager les requêtes de lecture, surtout pour du CMS/blog > "bateau". > S'il devient nécessaire d'optimiser le cache et qu'il est envisageable > de taper dans le code, memcached est une solution qui a fait ses preuves. Des exemples concrets j'en ai mais je ne pourrais pas les citer. Il faut imaginer un site fait sous Drupal ou Wordpress par ex, 50 contributeurs pratiquement en simultanés tous les jours donc les caches seront souvent vidés, des stats élevées on est dans une fourchette entre 1 et 2 millions de pages vues / jour. Le serveur sql actuel est une super grosse machine bien gavée mais pas du tout redondée et elle souffre vraiment malgrès un raid 10 de ssd, des cpus, de la ram à foison. Pour savoir si les caches suffiraient sans contributions, j'ai demandé une période de plusieurs heures un we sans aucune contribution, le nombre de requête diminue, le serveur respire mais sans plus. En consultation pure on est à ~75% read 25% write. La nouvelle architecture doit répondre à l'ouverture du site dans plusieurs nouvelles langues, public visé prévu x 3 d'ici à 1 an et demi, il faut donc augmenter la capacité de lecture. la nouvelle archi faite : - plusieurs front web, apc opcode - plusieurs proxy pour les statics - des srv memcache avec 2 instances memcached pour séparer les sessions et le cache de l'appli - 2 mysql en réplication master/master avec une vip sur l'un pour les requêtes write, l'autre n'est qu'un hot standby - des mysql en slave pour la lecture et un pour les backups L'application que le client fait développer ne comporte pas de mécanisme pour faire du split des requêtes, les développeurs ont dit que c'était compliqué et que ça couterait cher à développer, du coup c'est au niveau système qu'il faut trouver une solution. Sachant que le serveur le plus costaud ne suffira pas à tenir la charge sql et qu'après une consultation mysql cluster n'est pas adapté à ce type de base et de vue, la réplication est donc la seule possibilité pour augmenter les capacités. J'ai donc ajouté 2 mysql-proxy HA en rw split en étant conscient du problème potentiel du last insert id par ex, chose que j'ai remonté aux dev et au client mais ça ne les empêche pas de dormir. Bref dans des cas comme celui là où la logique voudrait que cela soit fait au niveau du code et non au niveau du système il n'y a pas de solutions autre que celle là à mon sens, je suis néanmoins preneur d'autres solutions si ça existe. signature.asc Description: OpenPGP digital signature ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] MySQL Proxy
Le 27/08/11 14:55, Olivier Bonvalet a écrit : > Bonjour, > > pour un cas plus ou moins similaire (SPIP et trafic similaire), on a > mis en place deux choses : > - varnish en front pour réduire très fortement le boulot de SPIP > - ajout/modification de nombreux indexes dans la BDD, ceux par défaut > n'étant pas adaptés (à l'époque en tous cas) > - ajout de quelques vues réduisant le volume de données à analyser > > Si ça peut aider... > > Quant à Drupal & Wordpress, je ne saurais dire, jamais administré à ce > régime. > > Olivier Bonjour, Le cache html est géré par l'application sur les memcaches mais le nombre de contribution et les commentaires va forcément faire descendre le ratio hit de ces éléments. C'est un élément que je n'ai plus mettre en application ici. Pour les index, Drupal était en myisam par défaut on l'a passé en innodb, les index semblent bon pas de requêtes lentes ou autre simplement un nombre conséquent. Pour les vues on en a parlé au dev de trouver le top100 des requêtes les plus courantes qu'on pourrait passer avec une vue mais ca ne s'est pas fait. Sur ton exemple de spip tu avais des parties html en cache sur le varnish, sans ca donnait quoi à cette charge là. C'est pour me faire une idée de ce cms que je connais mal. signature.asc Description: OpenPGP digital signature ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] MySQL Proxy
Salut, Entièrement d'accord avec toutes ces techniques, heureusement j'ai des clients qui comprennent les enjeux du côté applicatif et font souvent tout ce qu'il faut pour que l'architecture reste simple pour mieux marcher. Mais voilà quand on est fasse à des mamouths (nom que je donne aux grosses entreprises / administrations où il faut 5 réunions espacées de 1 à 2 semaines, autant de rapports plein de blabla et de schéma pour faire la moindre action) et qu'ils prennent la décision de ne pas toucher au code parce que l'entreprise qui fait le développement a dit que c'était compliqué, il faut bien trouver une solution sinon on dit que c'est toi qui n'est pas bon ... Bref éternel débat mais on est bien tous d'accord sur le fait que la bonne solution à l'heure actuelle est côté code sauf que Grégory va nous sortir un nouveau script lua qui va super bien faire son boulot. Allé Greg un peu de pression au passage :P Le 30/08/11 00:35, Damien Claisse a écrit : > Hello, > > La solution côté système parait souvent plus simple et moins coûteuse > mais d'expérience elle finira toujours par te coûter bonbon à plus ou > moins long terme (tu vas monter du serveur de plus en plus gros, > empiler les rustines puis maintenir des rustines de rustines et perdre > du temps en maintenance), jusqu'au jour ou patatras, plus rien ne > tiendra la route, tu vas devoir tout refaire de zéro: l'application > doit aussi être scalable à son niveau. > > Bien entendu, les applis ne sont pas souvent pensées scalabilité > (cache, sharding ou au moins ventilation lecture/écriture SQL sur deux > connexions différentes), mais il est souvent possible de rajouter tout > ça de façon itérative, quitte à patcher au fur et à mesure l'appli: tu > fournis une seconde ip virtuelle portée par un keepalived/haproxy/etc > pour se connecter à des slaves répliqués, et tu demandes au(x) dev de > basculer les requêtes les plus consommatrices (et pas dépendantes de > l'éventuel lag de répli) dessus, puis ça tient un peu plus longtemps, > et tu réidentifies des requêtes à passer sur la répli, et ainsi de suite. > > Ca marche aussi avec la mise en place du cache applicatif (memcached > par exemple), et comme suggéré auparavant tu peux également monter un > reverse proxy cache (nginx, varnish ou autre) en amont sur des > requêtes qui n'ont pas besoin de trop de fraicheur, le but étant de ne > pas envoyer des requêtes inutiles sur ton serveur d'appli et ta DB. Tu > peux même commencer par le reverse proxy de façon totalitaire (genre > si pas de cookie qui dit que le type est logué alors page sortie du > cache) si l'appli est vraiment impossible à patcher et qu'il te faut > une amélioration de perfs pour hier. > > Bon courage, > signature.asc Description: OpenPGP digital signature ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] Geotracking d'IP online
Le 30/08/11 14:01, Christophe K a écrit : > Salut, > > as tu vérifié les reverse DNS des IP pour voir si elles sont cohérentes ? > Si tes abonnés terminent sur un LNS en région parisienne, ceci > pourrait expliquer cela > > Christophe. Je confirme que cela arrive souvent les ré-attributions de range chez Orange. Pas mal de mes clients en offre en ip dynamique ont changé de terminaisons, notamment en Picardie qui termine sur Paris à présent. Vu que l'Orne est à peu près aussi loin que l'aisne ca pourrait être logique. Clairement les bases d'ip se basent sur la terminaisons et pas sur la situation géographique, je doute que ca existe à part dans les bases des opérateurs et Facebook qui est en train de faire des sondages sur le positionnement de ses visiteurs. signature.asc Description: OpenPGP digital signature ___ Liste de diffusion du FRsAG http://www.frsag.org/
[FRsAG] Re: Industrialisation d'un parc informatique sous Linux
Bonjour, De mon côté on a développé une suite de principe et outils pour pouvoir déployer assez rapidement des ordinateurs Linux pour l'entreprise. On a été Debian mais on est passé sous Fedora pour être à jour lors d'arrivée de nouveau matériel non reconnu par les kernels plus anciens. Le principe du déploiement est kickstart pour Fedora et preseed pour Debian, suivi d'un déploiement géré par Ansible. Ce même Ansible tourne régulièrement pour s'assurer que tout est en ordre et va jusqu'à piloter les politiques des navigateurs, déposer les pki internes. C'est très spécifique mais on a préféré cette méthode plutôt que de prendre des logiciels très majoritairement propriétaires et non maitrisés. Email Signature Le 06/02/2024 à 11:52, lena--- via FRsAG a écrit : Bonjour, Je ne suis pas administrateur système, mais je travaille au service informatique d'une collectivité territoriale et j'ai de quelques notions d'ensemble sur la question. Je me permets donc d'écrire ici, j'espère que c'est ok pour vous. Je me demande s'il existe des alternatives à SCCM pour la gestion d'un parc informatique (plusieurs milliers d'ordinateurs), afin que l'intégralité du parc fonctionne et puisse être gérée sous Linux (installation en PXE, mises à jour, prise en main, etc.) Et si la solution existe, auriez-vous des contacts d'entreprises ou consultants qui accompagnent les entreprises ou collectivités qui souhaitent les utiliser ? Merci de vos retours ! ___ Liste de diffusion du %(real_name)s http://www.frsag.org/___ Liste de diffusion du %(real_name)s http://www.frsag.org/
[FRsAG] Re: Industrialisation d'un parc informatique sous Linux
On ajoute notre CA dans les CA trust du système puis pour les Chrome / Chromium on va créer ou mettre à jour le ~/.pki/nssdb/cert9.db et pour Firefox c'est dans ~/.mozilla/firefox/[UUID]/cert9.db c'est à faire dans les home des users. Les deux insertions se font avec pk12util. Email Signature Le 04/03/2024 à 07:13, Pierre-Philipp Braun a écrit : Ce même Ansible tourne régulièrement pour s'assurer que tout est en ordre et va jusqu'à piloter les politiques des navigateurs, déposer les pki internes. Vous avez comment pour déployer vos PKI dans les navigateurs ? Car ils semblent avoir leur trust-store incorporé. Le seul moyen que j’ai trouvé est Firefox + p11-kit et ainsi faire l’usage de fichier pem. OpenPGP_0xB4A85D3966AC0CF0.asc Description: OpenPGP public key OpenPGP_signature Description: OpenPGP digital signature ___ Liste de diffusion du %(real_name)s http://www.frsag.org/
[FRsAG] Re: Longevite des OS
La mieux va dépendre du contexte. De mon côté perso, la famille est en Fedora, upgrade à chaque majeur, top à jour, ça juste marche. Côté pro, je suis tombé dans Debian en 2001, la stabilité de la distro est appréciable en entreprise et on peut ajouter des repos d'éditeurs pour avoir des versions précises ou à jour de logiciels (DB, web, drivers, ...). Néanmoins la prolifération des systemd-* dans Debian me pose problème, car il faut gérer le changement de beaucoup d'industrialisation avec l'IaC. Et quand on fait rencontrer deux mondes qui campent sur leurs positions, ça donne Debian 12 ou Fedora 40 nftables avec Docker Engine (de leur repo) qui n'en veut pas et qui ne sait pas se contenter de iptables-legacy qui wrappe vers nftables. Alors que toutes les docs de Docker disent qu'ils sont compatibles nftables ... Oui y a d'autres moteurs de conteneurs, mais ils ne sont pas tous compatibles avec les images clients. Tout cela me fait dire qu'avoir une distribution stable dans le temps devient plus difficile ces temps-ci. Je pense me tourner vers des distros minimalistes comme Alpine qu'on utilise en CICD ou conteneur ou du Arch, pour gérer du bare metal ou de la VM. Néanmoins il faudra faire une croix sur les repos d'éditeurs tiers beaucoup ne gèrent pas ces distributions. Email Signature Le 03/09/2024 à 18:08, Paul Rolland (ポール・ロラン) a écrit : Bonjour, plop, plop, La question posee par David a propos de Debian8/12/whatelse me fait m'en poser une autre... On a tous une type de distrib qu'on prefere, parce qu'on est tombe dedans en meme temps que dans la potion magique, on connait ses secrets, bref c'est "la mieux" (tm). Mais si on regarde en terme de duree de vie en production, tout en conservant des (vraies) mises a jour de securite, ou un vrai chemin d'upgrade qui ne casse pas tout, ca devient quoi "la mieux" ? C'est la rentree des classes, vous avez 2H, et les reponses doivent etre argumentees, bien evidemment ;) Salutations, Paul ___ Liste de diffusion du %(real_name)s http://www.frsag.org/___ Liste de diffusion du %(real_name)s http://www.frsag.org/
