サーバー管理者

とりわけ、関連するAnsibleロールがインストールされnginx、いくつかの重要な構成を実行/etc/nginxし、ファイアウォールでポート80および443を開くWebサーバーであるホストがあるとします。 ある時点で、その特定のホストがWebサーバーにならないようにします。何らかの理由でそのサービスを他の場所に移動したからです。[webservers]インベントリからサーバーを削除するだけで、サーバーにゴミが残ります。理想的には、アンインストールnginxして、/etc/nginxディレクトリ（およびその他のディレクトリ）を削除し、ファイアウォールのポート80と443を閉じます。 Puppetではこれを行うことができます。Webサーバーであるホストの構成には、次のようなものがあります。 class { 'nginx': ensure => present, } そして、私がしなければならないことは、「現在」を「不在」に置き換えることです。nginxクラスが適切に記述されている場合、変更は元に戻されます。（通常、管理者は「現在」を「不在」に置き換えます。その後、影響を受けるすべてのホストが構成を元に戻したことを確認したら、マニフェストからアイテムを削除します。） さらに、Puppetファイアウォールモジュールは、マニフェストに見つからないファイアウォールルールを自動的に削除すると思います。ファイアウォールの場合、上記の「不在の」ことをする必要さえないと思います。とにかくファイアウォールは自動的に閉じます。 Ansibleでこれらのことを達成するにはどうすればよいですか？

15 ansible 

アプリケーションをAmazon Web Servicesに移行することを検討しています。計画では、すべてのEC2インスタンスを2つのアベイラビリティーゾーンにミラーリングします。データ転送コストのため、単一のAWSリージョン（オレゴン）に滞在します。 複数のAZは、アプリケーションサーバーとデータベースサーバーの単一障害点を取り除きますが、ELBはどうですか？1つのELBで2つのAZにトラフィックを分散している場合、ELBはこれら2つのAZでもホストされますか？ ELBがSPoFになるのを防ぐためにAmazonは何をしますか？

15 amazon-web-services  amazon-elb 

私のマシンでは、tun0インターフェイスを使用するOpenVPNを使用しています。sshdがこのインターフェースでのみリッスンするようにします。 IPアドレスを指定して、リッスンすることができます。 /etc/ssh/sshd_config とともに ListenAddress 0.0.0.0 指令。しかし、私のIPアドレスは変更されるため、ここで常に有効なIPを選択することはできません。私は、VPNが起動しているときにのみデーモンを起動できることを知っています-それは問題ではありません。 特定のインターフェイス（tun0）でのみsshdをリッスンさせるにはどうすればよいですか？

15 linux  ssh  ip  interface 

私は次の変数をロードしましたinclude_vars： access: username-foo: - path: / permissions: rwX recursive: true username-bar: - path: / permissions: rX - path: /css permissions: rwX recursive: true - path: /data permissions: rX - path: /data/reviews.yml permissions: rw - path: /js permissions: rX - path: /js/*.js permissions: rw shell適切な許可を設定するために、この情報をコマンドにフィードします。 私はここからいくつかのテクニックを試しました：http : //docs.ansible.com/playbooks_loops.html しかし、実用的なソリューションを思い付くことができませんでした。 この構造を反復することは可能ですか？そうでない場合、機能させるためにどのように再構築するのですか？DRYルールに違反せずにこれを行うことは可能ですか（たとえば、すべてのレコードにユーザー名を含める）。

15 ansible 

Windows Server 2008 R2またはWindows 2012などでタスクスケジューラを使用する... この設定の違いは何ですか： 同じタスクのこの設定： 一方が他方より優先されますか？彼らは対立しますか？

15 windows-server-2008-r2  scheduled-task  task-scheduler 

私が使用しているIntel開発キットには、オペレーティングシステムがハングした場合にリモートで再起動できるリモート管理機能 （こちらのUbuntuのマニュアルページも参照）が含まれています。 オペレーティングシステムと共有するIPアドレスで、少数のポート（具体的には16992および16993）をリッスンする機能があります。（DHCP要求をスヌーピングするか、独自に発行することにより、どちらかはわかりませんが、どちらの方法でもこのモードで共有MACアドレスを使用します） 別のIPアドレスで実行しているのは、潜在的なユースケースの1つが心配だからです。AMTは、ホストネットワークスタックとの競合をどのように防止するのでしょうか。 言い換えれば、Intel管理ソフトウェアは現在、少なくとも2つのTCPポートを帯域外で、オペレーティングシステムの知識なしでリッスンしています。リモートホストへのTCP接続を開始し、ホストスタックがローカルボックスとして16992または16993を選択して[ボックスに戻ってくるパケットを]リッスンするとします。 リモートホストから返されたパケットは「ブラックホール」になり、OSに到達しませんか？または、LinuxカーネルのIntelドライバーがTCPがポート16992を回避する必要があることを認識しているなど、予防策はありますか？（これはOSに依存しない機能なので、ありそうにないようです。）または、管理インターフェイスは、既知の管理セッションに属さないポート16992に送信されたトラフィックをホストスタックに転送できますか？ いずれにせよ、これがどのように機能するかを理解するまでは、ネットワーク集中型の負荷にこれを使用することに消極的です。Intelのドキュメントを検索しましたが、何も見つかりませんでした。 約30,000個のTCP接続を開始し、ポートが重複しても接続が機能するかどうかを確認することで、これをテストできると思います。しかし、私はまだそうする機会がありませんでした。 （脚注：私はこの質問がに似て実現する？どのようにインテル®vPro™ベースのコンピュータは、IP接続を維持しないが、ホストスタックとの重複という一般的な質問のアドレスは、接続ではなく、特定のTCPポートに接続することを。）

15 networking  tcp  amt 

キャンパスネットワークを設計していますが、設計は次のようになります。 LINXはロンドンインターネットエクスチェンジであり、JANETは共同学術ネットワークです。 私の目標は、アカデミックスタッフ、管理スタッフ、学生を含む約1万5千人をサポートする必要があるため、高可用性を備えたほぼ完全な冗長化です。私はその過程でいくつかの 文書を読みましたが、いくつかの側面についてはまだわかりません。 これをファイアウォール専用にしたいのですが、境界ルーターに埋め込まれたファイアウォールの代わりに、専用のファイアウォールを採用することを決定する原動力は何ですか？私が見ることができることから、組み込みファイアウォールには次の利点があります。 メンテナンスが簡単 より良い統合 ホップが1つ少ない 必要なスペースが少ない 安い 専用ファイアウォールには、モジュール式であるという利点があります。 他に何かありますか？私は何が欠けていますか？

15 networking  load-balancing  network-design 

シナリオ： DCの実行中に、任意のマシンにログインします。 DCを停止します 任意のマシンからログオフします。それをうまく測るためにバウンスしましょう。 マシンが復旧しても、DCがダウンしていてもドメイン資格情報でログインできます なぜ、どのように？ 「任意の」マシンで何らかのローカル資格情報キャッシュが使用されていますか？パスワードが何らかの方法でハッシュ化され、将来のために保存されました。 DCがダウンしている間に以前にログインしたことのないボックスにログインしようとした場合、同じプロセスが機能しますか？

15 windows  active-directory  domain-controller 

iSCSIネットワークで大きな問題が発生しており、可能な限り高速に動作しないようです。 そのため、VMwareとEMCの専門家を巻き込んで、SANのパフォーマンスを最大限に引き出すために、ほぼすべてを試しました。 私のギアの簡単な説明：3x HP DL360 G7 / vSphere 5.5 / 4オンボードNIC / iSCSI用4 PCIe Intel NIC 2x HP 2510-24G 1x EMC VNXe 3100/2 xストレージ専用プロセッサー、2 x iSCSI専用NIC / 24x 15k SAS RAID10 / 6x 7.2k SAS RAID6 ベストプラクティスを実施し、ストレージプールを両方のiSCSIサーバーに均等に配置しました。各ストレージプロセッサに1つずつ、2つのiSCSIサーバーを作成しました。iSCSI構成の画像をご覧ください。 iSCSIトラフィックはVLANを介して分離されます（他のVLANには設定できません）。29xxシリーズの別のHPスイッチでも試してみました。フロー制御が有効になっている（無効にしようとした）が、ジャンボが無効になっています。関連するルーティングはありません。 ESXホストでは、すべてのデータストアにラウンドロビン設定を使用したため、すべてのiSCSI NICが使用されています。他の多くの人がそのようにパフォーマンスを上げているように見えるので、私はまた1 IOのパス変更ポリシーでそれを試しました。内蔵NIC（Broadcom）も試しましたが、違いはありません。スイッチでは、ESX側とVNXe側のポートが非常に均等に使用されていることがわかります。しかし、完璧な負荷分散を行っていますが、合計で1ギガビットを超えることはできません。VNXeは複数の接続用に最適化されており、ラウンドロビンにもそれが必要であることを理解していますが、2つのホストと2つのデータストア間でストレージvMotionを実行しても（異なるiSCSIサーバーを使用）、約84 MBit / s Unisphere Webインターフェイス経由。私は自分のディスクが信じられないほど正確に同じ値でその行を頻繁に見ることができます より多くを提供するか、タスクが十分に要求されていません。さらに良くなっています。各ホストと各ストレージプロセッサにケーブルが1本しかないため、同じパフォーマンスを実現できます。だから、私は多くの冗長性を手に入れましたが、余分な速度はまったくありませんでした。 iSCSIのパフォーマンスについて多くの人が話しているのを見てきたので、（VMwareおよびEMCの訓練を受けた人によってテストおよび検証された）私の構成の何が問題なのかを見つけることを切望しています。私はすべての意見に感謝しています！ 編集： はい、複数のNICを使用するようにvMotionを構成しました。そのストレージに加えて、vMotionは常にvMotionアダプターではなくiSCSIアダプターを通過します。構成のスクリーンショットを添付しました。 …

15 vmware-esxi  vmware-vsphere  iscsi  emc-vnxe 

バケットのS3バージョン管理を有効にしたとします：http : //docs.aws.amazon.com/AmazonS3/latest/dev/Versioning.html 次に、誰か（たとえば、下級従業員）がS3バケットを台無しにします（いくつかのファイルを誤って削除するなど） 次に、バージョン管理されたバケット全体を特定の時点に復元するにはどうすればよいですか？S3のAPIを考えればこれは可能だと思いますが、何かを失うことを恐れて（AWSの専門家ではないので）自分でそのようなスクリプトを書く必要はありません。 この問題の良い解決策はありますか？RailsアプリのイメージストアとしてS3バケットを使用しているため、rakeタスクとして使用できるRubyベースのものが理想的です。

15 amazon-web-services  ruby-on-rails  amazon-s3 

を使用してインターフェイスにIPv6（/ 64）ブロック全体を追加しようとしました ip route add local 2001:41d0:2:ad64::/64 dev lo 私のDebianサーバーでここで説明したようなものですが、何かが欠けているようです。 たとえば、2001:41d0:2:ad64::feローカルでpingを実行するとすべてが正常に機能しますが、リモートマシンから試行すると機能しません。次に、eth0にルートを追加してみました。 ip route add local 2001::41d0:2:ad64::/64 dev eth0 今では、ローカルにサンプルアドレスをpingすることさえできませんでした！ 何かを見逃しているように見えますが、ここで答えが見つかりません。 簡単に言うと2001:41d0:2:ad64::/64、このブロックに含まれるすべてのIPがマシン上のインターネットから到達できるように、eth0にバインドされます。 誰かが私に正しい方法を教えてくれることを願っています。前もって感謝します。 ガイド ISPが提供するには、明示的インターフェイスに各IPv6を追加するために私を必要としません。暗黙的になりたいです。 Explict IPアドレスバインディングを使用した作業構成 / etc / network / interfaces： auto eth0 iface eth0 inet static address my.ip.v4 netmask 255.255.255.0 network my.network.address.ip broadcast my.broadcast.address.ip gateway my.gateway.ip iface eth0 …

15 ipv6  linux-networking  debian-wheezy 

Windows 8および別のPCのWindows XPでCitrix Receiverを使用しています。私はよく自宅から仕事にログインしますが、「mstsc / span」を使用して「mstsc」（リモートデスクトップ）を使用する場合に簡単にできるように、セッションをデュアルモニターに広げることはできません。これは、サーバー（Citrixサーバー）またはクライアント（Citrix Receiver）がインストールされているマシンでオプションを設定することで実現できますか？私はサーバーにアクセスできませんが、方法があれば、これを従業員にリクエストすることができます。 http://receiver.citrix.com

15 windows  citrix  monitors  dual-monitor 

組織のプライマリドメイン（ADを使用）example.comがあります。過去に、以前の管理者はdmn.com、lab.example.com、dmn-geo.comなどの他のいくつかのゾーンと、すべて異なるエンジニアリンググループ用のサブドメインとデリゲートを作成していました。私たちのDNSは今少し混乱しています。そしてもちろん、これはexample.comのワークステーションの誰かがこれらの他のゾーン/サブドメインのいずれか、またはその逆にシステムに接続する必要がある場合に問題を引き起こします（ゾーン転送と委任がそれらのほとんどのために適切に構成されていないため） 。 運用DNSはActive Directoryと統合されていますが、エンジニアリングシステムはADから分離する必要があります。 DNSを再編成し、これらのさまざまなエントリをすべて統合する方法について説明しています。私たちが取ることができる3つの異なる道を見る： 新しいゾーン、つまり「dmn.eng」を作成します。これは、DNSサーバーを使用してITによって管理されるか、ネームサーバーを使用してエンジニアリングされます。 新しいデリゲートeng.example.comを作成し、エンジニアリングDNSをそのサブドメインに統合し、エンジニアがデリゲートのネームサーバーを管理できるようにします。 委任なしで新しいサブドメインeng.example.comを作成し、サブドメインのDNSを自分で管理します。 デリゲートサブドメインを作成し、エンジニアがそのサブドメイン内の独自のDNS構造を完全に制御できるようにします。利点は、それらのDNSが機能しない場合、おそらく私のせいではないことです;）。ただし、何かが機能しない場合の責任についてはまだあいまいな部分があり、セットアップ、構成、および管理するためにエンジニアリングとの調整が必要になります。 サブドメインを委任しない場合、非実稼働DNSを処理する実稼働ITの作業が大幅に増えることを意味します（これは基本的に既に多くのことを行ってきました）。利点は、すべてのDNSを完全に制御できることであり、何かが機能しない場合は、それを修正することが誰の責任であるかについて疑いの余地はありません。また、geo.eng.example.comなどのデリゲートを追加して、エンジニアリングの柔軟性を高め、必要なときに制御できるようにすることもできます。 新しいゾーンdmn.engを作成することの必要性または利点について、私は本当に不確かです。 このような状況に対する業界のベストプラクティスと推奨事項は何ですか？エンジニアリングと生産の間でシームレスな名前解決を実装し、提供するのに最も簡単なソリューションは何でしょうか？欠けている可能性のある各ソリューションの潜在的な利点または落とし穴は何ですか？ もう少し情報を追加するために、私たちはかなり大きな製造会社です。これらのエンジニアは、R＆D、開発、およびQAで働いています。ラボには、しばしば独自のサブネットまたはネットワーク全体、DHCPなどがあります。組織とテクノロジーに関しては、ラボは独自の小さな世界のようなものです。 実稼働環境を保護するために、エンジニアリングラボとネットワークのネットワーク分離をある程度維持したいと考えています（エンジニアリングDHCPサーバーを信頼できるAD DHCPサーバーとして追加したエンジニアに関する以前の質問を参照してください）。ただし、ラボのワークステーションのユーザーは、本番ネットワークのリソースにアクセスする必要があります。または、本番ネットワークのワークステーションのユーザーは、ラボシステムに接続する必要があり、これはソートを正当化するのに十分な頻度で発生します-統合DNS 既存のデリゲートには、エンジニアリングによって管理されたDNSサーバーが既にありますが、これらのサーバーがセットアップされている異なるラボのエンジニア間の通信はないため、最も一般的な問題はサブドメイン間の名前解決の失敗です。エンジニアがこれらのデリゲートサーバーを所有しているため、NSエントリを修正して相互に通信させることはできません。したがって、ITが完全に所有する非委任DNSの利点です。しかし、生産とエンジニアリングのためにDNSを管理することは頭痛の種です。特に、エンジニアリングは毎日DNSを変更できるためです。しかし、BigHomieが答えで述べたように、これはおそらく、エンジニアリングが実際のDNS管理者を雇う（または指定する）必要があることを意味します。そしてその人と私はかなりよく知り合う必要があります。 任意のトップレベルドメイン名またはサフィックスを持つ新しいゾーンを作成するという考えは必ずしも好きではありませんが、すでに任意の名前を持つ5つのゾーンがありますので、単一のゾーンに統合することは依然として改善です。組織内のさまざまなグループに個別のトップレベルゾーンを持つ他の企業が存在することを知っているので、それが適切なタイミングとそのアプローチの長所/短所について興味があります。 参考までに、私はこの会社に数か月しか滞在していなかったため、前のAD / DNS管理者が会社を辞めたため、既存のDNS構造が存在する理由について言及することはできません。

15 domain-name-system  internal-dns  dns-zone  subdomain 

サイトページとホームページで何度か切り替えるときに表示される502不正なゲートウェイエラーが、ホームページでの最初のリクエストではなく、別のページがリダイレクトするときにのみ表示されます。そして、それはいくつかのjavascriptファイルで起こります 2つのアップストリームで設定された負荷分散php1 php2は両方ともApacheサーバーです。 私が好きなエラーログをチェックしたとき： no live upstreams while connecting to upstream [error] 27212#0: *314 no live upstreams while connecting to upstream, client: ip_address , server: example.com, request: "GET / HTTP/1.1", upstream: "http://example.com", host: "example.com", referrer: "http://example.com/mypages/" これは負荷分散サーバーの構成です upstream example.com { # ip_hash; server php01 max_fails=3 fail_timeout=15s; server php02 max_fails=3 fail_timeout=15s; …

15 nginx  gateway  502 

「発行先」と「ドメイン名」は一致しませんが、警告なしですべての主要なブラウザで有効で受け入れられています。 Bloggerでブログの投稿をプレビューしているときに、SSL経由でブログがプレビューされていることに気付きました。証明書情報を確認すると、「発行先」と「ドメイン名」が一致していません。これがスクリーンショットです。 ドメイン名はtechronak.blogspot.comでしたが、SSL証明書は* .googleusercontent.comに発行され、最良のことは私のブラウザー（Chromium）がSSL警告を発行しなかったことです。 この種のSSL証明書はどのように機能しますか？

15 https  ssl-certificate