Сформировалась типовая задачка на тему:

1. Нарисовали процедуру обработки данных, которая на обычном офисном железе будет отрабатывать неделю-две; причем правильно она отработала или нужно допиливать - будет понятно по завершению.

2. Значит, нужно арендовать на пару дней мегачислодробильню-9000 со 100500 iops, накатить туда centos, копии своих приложений, развернуть снапшот базы с продакшона, запустить процедуру, снять журналы и результат, уничтожить арендованную VM.

3. Пункт 2 повторить N+1 раз.

Checklist:

• автоматизированная установка Centos7 - есть (Vagrant либо провайдером VM)
• установка необходимого софта из RPM - есть (vagrant provision.sh либо ansible - на выбор)
• конфигурация софта с помощью ansible - есть
• установка своего софта, который находится в процессе разработки и не опакечен - нет.

Ищем решение: скачивать архивчик и распаковывать - не идемподентненько: архивчик меняется, код меняется, проверять соответствие установленных файлов средствами ansible - неправильно.

Вылезаю из-под камня и вспоминаю, что пора-бы научиться в Docker, благо проект-то наверное уже взрослый. И тут начинается: Docker больше не opensource, а opensource теперь Moby, а Docker теперь CE и EE (верный признак близкой смерти проекта), и пакеты в Centos7 - двухлетней давности (верный признак, что RedHat пилит свой велосипед, а он пилит).

В интернетах куча нытья про то, что Docker работает только на ноутбуке, а в продакшоне валится.

Читал Что думаете о Docker?
Сделал вывод, что в CV нужно указывать, а использовать не обязательно.

Смотрел Hitler uses Docker
Сделал вывод, что у кого-то конкретно пригорело.

Что, залезать обратно под камень, пока RedHat не допилит свои контейнеры для пролетариата?

Проблем с совместимостью версий библиотек у меня нет, т.е. по сути изоляция мне и не нужна. Хочется непакетированный софт разворачивать максимально быстро.

Не знаю, то ли Яровая внедряется семимильными шагами, то ли Selectel забесился, но точка за точкой перестает работать ipsec из-за фрагментации пакетов ISAKMP (т.е. установка соединения).

Стандартные методы уже применены, а именно: уменьшение размера ключа до 1024 бит, сокращение цепочки сертификатов до CA и непосредственно сертификата машины, минимизация имен хостов в сертификатах, убраны все лишние назначения ключа.

В результате пакет получается 1436, что проходит еще на некоторых точках. Но большинство фрагментирует, т.к. по дороге присутствуют всякие ppp, l2tp и прочие лишние вещи. Фрагментированные пакеты не доходят до машины у Selectel, объяснить они этот факт пока не могут.

Что можно в настройках strongswan подкрутить, чтобы он vendor id поменьше слал или еще чего-то убрать?

Есть asterisk, работающий во внутренней сети (ну и с ограниченным количеством внешних провайдеров с фиксированными адресами).

Для остальных порт 5060 закрыт, иначе частота сообщений в логах от брутфорсеров около 10 шт в секунду.

Есть желание поднять дополнительный порт, чтобы подключаться с мобильников из случайных мест. С помощью iptables это не решить, т.к. внутри пакетов указывается настоящий порт.

Нужен самый простой sip-proxy, который был принимал пакетики на порту X и отдавал локальной машине на порт 5060, но уже на внутреннем интерфейсе. Чтобы не морочил голову ни dialplan, ни авторизацией.

Открыл документацию opensips, подумал https://youtu.be/HcfHBgUTn7I , за день не осилю.

Что порекомендуете из попроще? Ну или готовый конфиг «принял-отдал» для opensips. Насчет безопасности можно не заморачиваться, т.к. отдельные аккаунты для мобильников не могут звонить наружу, только по внутренним номерам.

В отдаленный офис о двух сотрудниках надо подвести vpn, из связи там только мобильный интернет. На рабочих местах оффтопик, на котором тяжело издалека ipsec настраивать. Хочется дать железку, которая сама будет все уметь.

Есть у кого-то в работе устройства, которые хочется похвалить? Или наоборот не брать ни в коем случае?

Сервер ipsec на strongswan, если это принципиально. SIM неважно, втыкается прямо в роутер, или USB-свисток.

Кто-нибудь уже щупал сабж? Хочу поставить в пару отдаленных офисов роутер из железа со свалки. Будет стоять только strongswan, named и dhcpd. Если ресурсов хватит - то squid.

Конечно, есть Centos6 i686 с поддержкой до 2020, и fedora, но хочется единообразия. На новые машины ставлю только Centos7.

Последнее сообщение видел от Johnny Hughes 9 января, типа на следующей неделе сделаю, и с тех пор тихо, в официальной секции загрузки образа пока нет.

http://grokbase.com/p/centos/centos-devel/1519bbbx62/centos-7-i686

Ищется решение для хранения рабочих файлов небольшой группы (20 пользователей LDAP, не AD). Нужно хранить персональные рабочие файлы не на рабочей станции, т.е. «в облаке», как это сейчас модно. Пользователи не находятся в пределах одной локалки, у некоторых интернет очень небыстрый.

Уже перепробовал гору софта, прошу накидать еще мыслей.

Основное требование, под которое не могу найти решение - это нормальное администрирование прав. На 20 пользователей есть 10 групп (ролей), в соответствии с которыми должен устанавливаться запрет на чтение или разрешение на запись в каталогах других пользователей и общих. Настройка прав нужна «по дереву», как под оффтопиком.

Чем проще и низкоуровневее будет решение, тем лучше. Текстовые конфиги приветствуются.

Отлично подойдет webdav, несмотря на его тормознутость. В идеале ищется webdav сервер, который будет понимать Posix ACL на файловой системе, для этого готов подключить ldap пользователей в качестве локальных с помощью /etc/nsswitch.conf. Можно не привязываться к Posix ACL, но чтобы администрирование прав было без urlencode, т.к. названия каталогов все русские.

Крайне желательно без apache httpd. Я очень уважаю их вклад в историю, но для меня httpd сам история уже лет 10 как, уже и синтаксис конфигов забыл и не жалею. FTPS не подходит плохой проходимостью через NAT.

Остальные требования: - хранилище файлов на линуксе. Клиенты в основном оффтопик, два клиента линукс. Т.е., нужен либо свой клиент для синхронизации или монтирования под оффтопик, либо webdav. - возможность копирования всей файлопомойки с целью бэкапа cp -r, rsync и прочими, можно с монтированием через тот же webdav - относительно обновляемое решение, где если что примут патч или залатают дырку - стабильность api и конфигов. Тот же alfresco переписывается каждый релиз чуть ли не заново

Уже испробованы: - owncloud, естественно. В последнем релизе (8.0) под видом улучшения испортили функционал, убрали возможность создавать «ничейные» shared папки, оставив только возможность пользователям шарить часть своих данных. Чужие расшаренные папки отображаются вместе со своими, возникают конфликты имен. Пользователи могут отказываться от расшаренных папок, как это уследить или восстановить - непонятно. Управление правами очень так себе. Конфигурация через веб-интерфейс сильно хромает, может только с 25-го раза принять правильные настройки. Интеграция с LDAP представляет собой недокументированный лес из костылей. PHP затрудняет отладку. До сих пор есть свежие свидетельства того, что в процессе синхронизации могут бесследно исчезнуть файлы и на клиенте, и на сервере.

- pydio. Проект одного человека с амбициозным дизайном и ... неработающий. Старый клиент для синхронизации закопан, новый не, чтобы не запускается, не сильно понятно как его собирать даже (читай, отсутствует). Супермодный sleek ajax интерфейс значительно затрудняет администрирование, PHP затрудняет отладку. Документация практически отсутствует.

- alfresco, nuxeo, openkm достаточно тяжелые в запуске java tomcat webapp. Все страдают тягой к enterprise edition, т.е. документации маловато, покупайте сопровождение. Слишком заумные и представляют собой гарантированную точку сбоя (сломается - быстро не починишь, придется все кишки изучить).

- webdavcgi - на перле. Штатной возможности запуска через PSGI нет, документации нет. Честно, не смог даже запустить. Если сломается - не починю.

- seafile китайское изделие со всеми вытекающими, глаза вытекают как от дизайна вебморды, так и от дизайна приложения. Управление правами никакое.

- еще штук 20 проектов, которые уже не запомню, но в которых что-то значимое отсутствует.

Накидайте еще вариантов!

Много лет сидел на gentoo, недавно переехал на fedora. Причины и последствия обсуждать не будем, но одна вещь мне до сих пор не дает покоя.

У меня мышь logitech с кнопками горизонтальной прокрутки (tilt wheel). В генте наклоняешь колесо вбок - и картинка уехала на треть экрана. Если вкратце, в федоре это не заработало (железо то же самое).

Раза с десятого нашел эту страницу http://wiki.birth-online.de/know-how/software/linux/remapping-mousebuttons , дай ей бог здоровья, в которой хотя бы расписано назначение кнопок по номерам, а не просто даны рекомендации поменять номера в случайном порядке.

Мои кнопки были под номерами 8,9 - поменял на 6,7. Прокрутка появилась.

Но! картинка двигается пикселей на 10, три года можно листать.

Вопросы:

* как сказать гимпу быть посмелее и двигать картинку на треть экрана?

* как кошерно навсегда перемапить кнопки в федоре 20?