-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256
Cau vespolek,
priznavam, ze ted pres leto se vpsFree moc nevenuju, makame totiz
naplno na Relbitu, takze docasne mam omezenou moznost prepinat kontext.
To by se melo otocit v zari (prinejhorsim v rijnu, kdyz veci pujdou
pomaleji, nez cekam), pak se vpsFree budu venovat zas vic.
Mezi tim musim pochvalit Aithera, ktery mi schopne pomaha spravovat
servery a resit pozadavky na podpore.
K jadru veci, proc pisu:
Aktualne hodne clenu nevi, kam sdruzeni smeruje a jake mame plany do
budoucna. To si myslim je dost skoda, protoze informovanost je prvni
krok k vetsimu zapojeni se.
Nejlepsi, co jsem vymyslel a co taky zacneme pravidelne aktualizovat,
je wiki stranka s "roadmap" (plan cesty) [1], kde by melo byt
zachycene, na cem se aktualne dela a co je v planu do budoucna.
Poprosim vsechny, kteri maji rozdelanou nejakou dalsi aktivitu pro
vpsFree, kterou jsem tam nezminil nebo nerozvedl, aby popsali detaily
do sekce Projekty.
[1] https://prasiatko.vpsfree.cz/wiki/doku.php?id=roadmap
// snajpa
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.12 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/
iF4EAREIAAYFAlAVvBYACgkQdh+64ds5DabkEwD8DICzdvXKJUgE5D28skIGQSvE
wRURqQxIBRqlWQPK9CYBAIAlNsBRTIgPKyol7cMU7LaboDGFdDIxuhynvhvlxjIG
=++ur
-----END PGP SIGNATURE-----
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256
Ahojte vespolek,
lidi z Masteru si stezuji, ze provozujeme otevrene DNS servery, ktere
jsou pak pouzivany k DDoS utokum.
Popis, co je DNS amplification attack, najdete tady:
http://www.isotf.org/news/DNS-Amplification-Attacks.pdf
V cestine je o nem zminka napriklad tady:
http://www.lupa.cz/clanky/denial-of-service-utoky-reflektivni-a-zesilujici-…
(ke konci clanku)
** Co s tim **
V podstate neni jina moznost, nez otevrene DNS servery neprovozovat.
Je potreba rozlisovat mezi autoritativnim serverem, na kterem jsou
vedene domeny a mezi tzv. rekurzivnimi servery, ktere jsou urcene k
beznemu prekladani pro klienty.
Autoritativni servery nechame stranou, tam se nejde branit v podstate
jinak nez drastickym omezenim funkcionality; k masovym DDoS se stejne
pouzivaji rekurzivni DNS servery.
Long story short: zavedte si seznamy povolenych adres/subnetu, odkud
dovolite rekurzivni dotazovani.
Neberte to jako zakaz provozu otevrenych rekurzivnich DNS serveru, je
to jenom silne doporuceni.
Berme to jako slusnost vuci ostatnim adminum po Internetu, prispejeme
tak k mensi spotrebe antidepresiv :)
Priklad, jak jsem to vyresil na prasiatko.vpsfree.cz pro BIND9:
Obsah /etc/bind/named.conf.options :
acl "allowrecursion" {
::1/128; // Internal network
127.0.0.0/8; // Internal network
172.16.0.0/12; // Internal network
77.93.223.0/24; // vpsFree.cz Master Internet Praha
83.167.228.0/25; // vpsFree.cz Master Internet Praha
77.93.197.0/24; // vpsFree.cz Master Internet Praha -
legacy
2a01:430:17::/48; // vpsFree.cz Master Internet Praha
37.205.8.0/21; // Relbit RIPE allocation
2a00:cb40::/32; // Relbit RIPE allocation
};
options {
directory "/var/cache/bind";
auth-nxdomain no;
listen-on-v6 { any; };
allow-query { "allowrecursion"; };
};
- --
S pozdravem
Pavel Snajdr
+421 948 816 186 | +420 720 107 791 | 110-010-956
CTO of Relbit | Predseda vpsFree.cz, o.s. | RHCE
http://relbit.com | http://vpsfree.cz | https://www.redhat.com
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.12 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/
iF4EAREIAAYFAlAGvNkACgkQdh+64ds5DabXbwD8Cn0IubTZZqzOSCL/GM3XZK7S
NTDsEvSXrR5g6Ye4FRoA/0olLwvQANp4o6OrZCEwKCaAkN6Irs6jahgG5WJbBgjL
=6pWs
-----END PGP SIGNATURE-----
Ahoj, nakonec bohuzel odletam na dovolenou uz v sobotu, takze se
bohuzel taky nezucastnim.
Lubor
Sent from my Windows Phone
From: Tomas Srnka
Sent: 5.7.2012 21:43
To: vpsFree.cz Community list
Cc: news-list(a)lists.vpsfree.cz
Subject: Re: [vpsFree.cz: community-list] Pozvanka: Oslava 300
Ahojte,
pripominam, ze uz tuto sobotu sa kona vpsFree.cz oslava v Prahe.
Vsetci ste srdecne pozvani!
Vidime sa ;)
On Jun 16, 2012, at 11:07 AM, Pavel Snajdr wrote:
> -----BEGIN PGP SIGNED MESSAGE-----
> Hash: SHA256
>
> Ahojte,
>
> slibil jsem oslavu, mame ji mit!
>
> DULEZITE: odepiste na tenhle e-mail, pokud mate zajem dorazit, abychom
> stihli doladit pocet mist, finalni cislo potrebuju mit tyden pred konanim
>
> (omlouvam se a hluboce se stydim ze jsem to nedal vedet driv, jak jsem
> puvodne slibil)
>
> *** Takze tady to je ***
>
> Datum a cas: 7.7.2012 od 16:30 (tak brzo aby stihli dorazit a prijit
> se podivat i prespolni)
>
> Misto: Praha, restaurace Ferdinanda, kousek od hlavniho nadrazi, na
> rohu ulic Opletalova a Politickych veznu
>
> (Opletalova 24, Nové Město, Praha-Praha 1, Česká republika)
>
> Akce se bude konat na miste, kde v podstate bylo sdruzeni zalozene,
> mozna neni od veci zminit, ze Ferdinand je (aspon podle mne) velice
> dobre pivo, takze kdo nemel moznost ochutnat, urcite dojdete :)
>
> Program je vicemene volnejsi, mozna by nebylo uplne od veci si
> pripomenout celou historii vpsFree.cz a zkusit spolu podiskutovat o
> budoucnosti, jinak samozrejme hlavni pointou je dobre si to uzit a
> poznat ostatni cleny :)
>
> Jestli s sebou chcete vzit sve drahe polovicky, urcite to neni zly
> napad, jenom je varujte pred vysokou koncentraci lidi od pocitacu a
> moznych vysoce technickych diskuzi pod vlivem pozdeji v prubehu
> dne/vecera :)
>
> Budu se tesit!
>
> (P.S. - nezapomente dat vedet, jestli prijdete,
> P.P.S. - aktivni clenove, clenove rady a kontrolni komise maji akci
> povinnou, jedinou prijatelnou omluvenkou je parte)
>
> S pozdravem
>
> Pavel Snajdr
>
> +421 948 816 186 | +420 720 107 791 | 110-010-956
> CTO of Relbit | Predseda vpsFree.cz, o.s. | RHCE
> http://relbit.com | http://vpsfree.cz | https://www.redhat.com
> -----BEGIN PGP SIGNATURE-----
> Version: GnuPG v1.4.12 (GNU/Linux)
> Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/
>
> iF4EAREIAAYFAk/cTOMACgkQdh+64ds5DabOGwD/ZjFeXft0OXiDFul+wNeEB2qA
> VrN1qkfj7+JfHwK1+9kBAJPILRQtHoITguI4wwJUE5cRQkXeGSEjW5Dfj7CwZLvm
> =majo
> -----END PGP SIGNATURE-
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256
Ahojte,
slibil jsem oslavu, mame ji mit!
DULEZITE: odepiste na tenhle e-mail, pokud mate zajem dorazit, abychom
stihli doladit pocet mist, finalni cislo potrebuju mit tyden pred konanim
(omlouvam se a hluboce se stydim ze jsem to nedal vedet driv, jak jsem
puvodne slibil)
*** Takze tady to je ***
Datum a cas: 7.7.2012 od 16:30 (tak brzo aby stihli dorazit a prijit
se podivat i prespolni)
Misto: Praha, restaurace Ferdinanda, kousek od hlavniho nadrazi, na
rohu ulic Opletalova a Politickych veznu
(Opletalova 24, Nové Město, Praha-Praha 1, Česká republika)
Akce se bude konat na miste, kde v podstate bylo sdruzeni zalozene,
mozna neni od veci zminit, ze Ferdinand je (aspon podle mne) velice
dobre pivo, takze kdo nemel moznost ochutnat, urcite dojdete :)
Program je vicemene volnejsi, mozna by nebylo uplne od veci si
pripomenout celou historii vpsFree.cz a zkusit spolu podiskutovat o
budoucnosti, jinak samozrejme hlavni pointou je dobre si to uzit a
poznat ostatni cleny :)
Jestli s sebou chcete vzit sve drahe polovicky, urcite to neni zly
napad, jenom je varujte pred vysokou koncentraci lidi od pocitacu a
moznych vysoce technickych diskuzi pod vlivem pozdeji v prubehu
dne/vecera :)
Budu se tesit!
(P.S. - nezapomente dat vedet, jestli prijdete,
P.P.S. - aktivni clenove, clenove rady a kontrolni komise maji akci
povinnou, jedinou prijatelnou omluvenkou je parte)
S pozdravem
Pavel Snajdr
+421 948 816 186 | +420 720 107 791 | 110-010-956
CTO of Relbit | Predseda vpsFree.cz, o.s. | RHCE
http://relbit.com | http://vpsfree.cz | https://www.redhat.com
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.12 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/
iF4EAREIAAYFAk/cTOMACgkQdh+64ds5DabOGwD/ZjFeXft0OXiDFul+wNeEB2qA
VrN1qkfj7+JfHwK1+9kBAJPILRQtHoITguI4wwJUE5cRQkXeGSEjW5Dfj7CwZLvm
=majo
-----END PGP SIGNATURE-----
Ahoj,
este doplnim, vramci reinstallu / upgradeu sa taktiez pridali 4x Seagate Barracuda 7200.12 3000GB (+ dalsie 4ks pridu v priebehu tyzdna), takze zalohy nam finalne pobezia na:
8x Samsung SpinPoint EcoGreen F3 2000GB
8x Seagate Barracuda 7200.12 3000GB
ktore su vzdy zapojene v stvoriciach v RaidZ.
On Jul 1, 2012, at 11:36 PM, Pavel Snajdr wrote:
> Ahoj vespolek,
>
> uz zase zalohujeme - pustil jsem uvodni zalohu, jsem zvedavy jak to
> bude trvat dlouho.
>
> Nakonec reseni vypada trosku jinak, nez jsem predpokladal:
>
> - - zakladem je Scientific Linux 6
>
> - - backing filesystem neni BTRFS, ale ZFS (zfsonlinux.org)
> ZFS je narozdil od BTRFS stabilni filesystem, jeho port na Linux
> jsem zkousel poslednich 14 dni docela intenzivnim testovanim, nenasel
> jsem zadne problemy, tak radsi volim overene reseni pred nedokoncenym
>
> - - SSD je pouzite jako ZIL a L2ARC + swap
> (ZIL = ZFS intent log, neco jako journal, L2ARC = read cache)
>
> - - hardware radic je prepnuty do rezimu JBOD (just a bunch of disks,
> tzn. zadny hardwarovy RAID)
>
> - - pouzivame RAID-Z po ctvericich disku
>
> - - zalohovat se bude zase 1x denne inkrementalne (pomoci snapshotu a
> rsyncu)
>
> - - jako transportni protokol uz neslouzi SCP, ale NFSv3
> (skoda, ze nejde pouzit NFSv4, protoze nemame jak mapovat
> user/group, jelikoz pri v4 po dratu nebehaji cisla uid/gid, ale
> stringy a bez tesne integrace LDAPem nebo necim podobnym na obou
> stranech to nefunguje)
>
> - - zatim jeste zalohy nebudou par dni dostupne ve vpsAdminu, musim
> doprogramovat potrebnou podporu a zaroven vyzkoumat co muzu udelat pro
> zpristupneni nejenom posledni verze, ale i snapshotu (zatim se to jevi
> jako orisek, protoze bych musel asi prasit s 14ti NFS exporty pro
> kazdy den... jeste to musim proverit)
>
> - - uz ted to vypada jako brutalne rychlejsi reseni nez predchozi
> rdiff-backup + EXT4 + SCP - v podstate vetsinu casu to na storage vali
> plnou rychlosti site, aniz by se cekalo na disky, jak to bylo u EXT4 -
> ZFS umi docela dobre pouzivat cache :)
>
> Jestli mate dalsi dotazy, sem s nimi, akorat se ujistete, ze
> odepisujete cilem na community-list - na news-list odpovidat nejde.
>
> - --
> S pozdravem
>
> Pavel Snajdr
>
> +421 948 816 186 | +420 720 107 791 | 110-010-956
> CTO of Relbit | Predseda vpsFree.cz, o.s. | RHCE
> http://relbit.com | http://vpsfree.cz | https://www.redhat.com
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256
Ahoj vsichni,
zacnu dobrou zpravou - mame hodne virtualu, v absolutnich cislech jich
je ted presne 365.
Spatnou zpravou je, ze zalohovaci system, jak ho mame ted, to
absolutne nestiha.
TL;DR: Zmenime system zalohovani,
*** V patek 29. 6. vecer MAZEME VSECHNY ZALOHY a pres vikend
predelavame cely system zalohovani,
takze po tu dobu nebudou dostupne vubec zadne zalohy ***
Koho zajimaji detaily:
Aktualne zalohujeme pomoci rdiff-backup utility, ktera stavi nad
rsyncem. Data se prenasi pres SSHFS.
Cely tenhle system funguje pekne, kdyz neni prilis moc dat a prilis
moc malych souboru, pak rsync protokol pres SSHFS prestava stihat.
Dalsim duvodem je ze rdiff musi z principu prochazet zmenene soubory a
hledat v nich zmeny, aby inkrement te zalohy byl co nejmensi.
Jenze nam to prestava stihat storage, a i kdybychom nasli cestu jak ho
donutit stihat tolik cteni a do toho tolik zapisu, meli bychom problem
se zvysujicim se seekovani disku, protoze zalohovani jednotlivych
serveru se cim dal vic prekryva.
Resenim, ktere jsme vymysleli a ktere se zda byt nejlepsi je pouzit
BTRFS a jeho snapshoty (a pripadne deduplikaci, jakmile ji do RHEL6
backportuji) a PCIe SSD jako writeback cache.
Storage server ma redundantni zdroje, napajeni jeste nikdy nevypadlo a
cely system je (po reklamaci pameti) uz poradne stabilni, takze neni
ceho se v ohledu BTRFS bat - na produkcni masiny, kde bezi virtualy,
bychom si ho nedovolili nasadit, ale na zalohy proc ne.
Na BTRFS na storage serveru budeme data valit pres NFS misto SSHFS.
S tim budou taky souviset zmeny ve vpsAdminu, ktere musim jeste
dovymyslet a naprogramovat, ale pocitam, ze spousta te prace bude
realizovatelna az teprv, kdyz budeme uz mit zalohovani na BTRFS v provozu.
O prubehu budu informovat na community-listu.
S pozdravem
Pavel Snajdr
+421 948 816 186 | +420 720 107 791 | 110-010-956
CTO of Relbit | Predseda vpsFree.cz, o.s. | RHCE
http://relbit.com | http://vpsfree.cz | https://www.redhat.com
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.12 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/
iF4EAREIAAYFAk/fBeYACgkQdh+64ds5DaYaowEAqPYDdd3ASW+JBRqFJu4iBmIG
Kw+TY6LH9lwUBV8qUxgBAO/byfOPl/kLi2TgBXkjlM1icbLM2QuoD0s2MPav9N1J
=7zkG
-----END PGP SIGNATURE-----
> 4. 24 jader/vlaken v topu vypada fakt huste [6] :)
Jo, jeden z důvodů, proč vypínám HT ;-) Btw. zkus htop, taky nevypadá
špatně (teda když se na tom stroji něco děje)
