forum.opennet.ru

Составление сообщения

Исходное сообщение

"Выпуск OpenLDAP 2.6.0, открытой реализации протокола LDAP"
Отправлено Аноним, 03-Ноя-21 23:57

> В первом - файловые конфиги таскать если несколько OpenLDAP в мирроре стоят это то еще извращение.
В чем извращение? В том, чтобы накатить ansible-плейбук с 5-ю тасками?
> Да и для приведения к cn=config есть slapcat
Зачем мне идти и что-то тащить с другого сервера, если у меня есть система управления конфигурацией с референсным конфигом в git-е?
> Подозреваю что мюсье не умеет в LDIF?
Проблема не в том, что нужно "уметь в LDIF" (было бы что там уметь, чай не rocket science), а в том, что накатка конфига - идемпотентная операция, а применение LDIF-а с кучей записей - нет (если, конечно, у тебя LDIF не начинается с того, что удаляет все записи в каталоге).
> Во втором - A record назначен на N зеркальных серверов OpenLDAP при падении одного - запросы забирают другие.
А потом у тебя появляется клиент, который так не умеет. Либо умеет, но плохо. Балансировки через DNS round-robin - это либо для самого-самого верхнего уровня системы распределения трафика (например, сделать round robin из двух адресов, анонсируемых пулом балансировщиков нагрузки), либо для откровенно колхозных систем.
> А bgp дергать это из оперы, появляющейся на opennet в новостях об отвале частей глобальных сетей.
Волков бояться - в лес не ходить.
Во-первых, то того, что кто-то сломал у себя (и у соседа) BGP не значит, что самим протоколом пользоваться не нужно, просто нужно опасные глобальные изменения проводить с должной осторожностью, ну и не давать кому попало возможность эти изменения совершать.
Во-вторых, в вопросе приземления трафика на серверы, разумеется, не надо делать такую систему, что неправильным конфигом на серваке с openldap можно поломать связность AS. Это как раз легко достигается выносом работы с BGP на route controller-ы (типа exabgp) в руках квалифицированных инженеров, а информация об актуальности next-hop-ов уже управляется контроллером на основе healthcheck-а этого самого nexthop-а. В итоге сервер с сервисом, выступающий nexthop-ом сломать может максимум себя, а не весь сервис, не говоря уже про роутинг в сети целой компании или её соседей.

Исходное сообщение
"Выпуск OpenLDAP 2.6.0, открытой реализации протокола LDAP" Отправлено Аноним, 03-Ноя-21 23:57
> В первом - файловые конфиги таскать если несколько OpenLDAP в мирроре стоят это то еще извращение. В чем извращение? В том, чтобы накатить ansible-плейбук с 5-ю тасками? > Да и для приведения к cn=config есть slapcat Зачем мне идти и что-то тащить с другого сервера, если у меня есть система управления конфигурацией с референсным конфигом в git-е? > Подозреваю что мюсье не умеет в LDIF? Проблема не в том, что нужно "уметь в LDIF" (было бы что там уметь, чай не rocket science), а в том, что накатка конфига - идемпотентная операция, а применение LDIF-а с кучей записей - нет (если, конечно, у тебя LDIF не начинается с того, что удаляет все записи в каталоге). > Во втором - A record назначен на N зеркальных серверов OpenLDAP при падении одного - запросы забирают другие. А потом у тебя появляется клиент, который так не умеет. Либо умеет, но плохо. Балансировки через DNS round-robin - это либо для самого-самого верхнего уровня системы распределения трафика (например, сделать round robin из двух адресов, анонсируемых пулом балансировщиков нагрузки), либо для откровенно колхозных систем. > А bgp дергать это из оперы, появляющейся на opennet в новостях об отвале частей глобальных сетей. Волков бояться - в лес не ходить. Во-первых, то того, что кто-то сломал у себя (и у соседа) BGP не значит, что самим протоколом пользоваться не нужно, просто нужно опасные глобальные изменения проводить с должной осторожностью, ну и не давать кому попало возможность эти изменения совершать. Во-вторых, в вопросе приземления трафика на серверы, разумеется, не надо делать такую систему, что неправильным конфигом на серваке с openldap можно поломать связность AS. Это как раз легко достигается выносом работы с BGP на route controller-ы (типа exabgp) в руках квалифицированных инженеров, а информация об актуальности next-hop-ов уже управляется контроллером на основе healthcheck-а этого самого nexthop-а. В итоге сервер с сервисом, выступающий nexthop-ом сломать может максимум себя, а не весь сервис, не говоря уже про роутинг в сети целой компании или её соседей.

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

>> В первом - файловые конфиги таскать если несколько OpenLDAP в мирроре стоят это то еще извращение.

> В чем извращение? В том, чтобы накатить ansible-плейбук с 5-ю тасками?

>> Да и для приведения к cn=config есть slapcat

> Зачем мне идти и что-то тащить с другого сервера, если у меня 
> есть система управления конфигурацией с референсным конфигом в git-е?

>> Подозреваю что мюсье не умеет в LDIF?

> Проблема не в том, что нужно "уметь в LDIF" (было бы что 
> там уметь, чай не rocket science), а в том, что накатка 
> конфига - идемпотентная операция, а применение LDIF-а с кучей записей - 
> нет (если, конечно, у тебя LDIF не начинается с того, что 
> удаляет все записи в каталоге).

>> Во втором - A record назначен на N зеркальных серверов OpenLDAP при падении одного - запросы забирают другие.

> А потом у тебя появляется клиент, который так не умеет. Либо умеет, 
> но плохо. Балансировки через DNS round-robin - это либо для самого-самого 
> верхнего уровня системы распределения трафика (например, сделать round robin из двух 
> адресов, анонсируемых пулом балансировщиков нагрузки), либо для откровенно колхозных 
> систем.

>> А bgp дергать это из оперы, появляющейся на opennet в новостях об отвале частей глобальных сетей.

> Волков бояться - в лес не ходить.
> Во-первых, то того, что кто-то сломал у себя (и у соседа) BGP 
> не значит, что самим протоколом пользоваться не нужно, просто нужно опасные 
> глобальные изменения проводить с должной осторожностью, ну и не давать кому 
> попало возможность эти изменения совершать.
> Во-вторых, в вопросе приземления трафика на серверы, разумеется, не надо делать такую 
> систему, что неправильным конфигом на серваке с openldap можно поломать связность 
> AS. Это как раз легко достигается выносом работы с BGP на 
> route controller-ы (типа exabgp) в руках квалифицированных инженеров, а информация об 
> актуальности next-hop-ов уже управляется контроллером на основе healthcheck-а этого самого 
> nexthop-а. В итоге сервер с сервисом, выступающий nexthop-ом сломать может максимум 
> себя, а не весь сервис, не говоря уже про роутинг в 
> сети целой компании или её соседей.

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру