Sziasztok,
ritkan, de azert hasznalom az ansible automatizacios elonyeit.
Most leltem ra az ansible-galaxy-ra. Felinstallalhato windows 10 ala es letezik hozza k3s plugin?
Csak mert kubernetes plugint latok benne.
Kiprobalnam egy egyszeru tesztre k3s ala.
Vmi otlet?
Koszonet elore.
Ardi
Sziasztok!
Remmina-ról áttértem Parallels Client-re, mert merfoldekkel jobb a performance RDP felé. A kérdés az, hogy a clientet szabadon hasznalhatom? Arra nem vonatkozik semmi licensz?
Erre gondolok: https://www.parallels.com/products/ras/download/client/
Hogyan lehetne letsencript tanusítvánnyal ellátni ezeket a UI-kat, külső gépről , nem localhostról.
Saját podoknál megy a letsencript a cert-managgerrel, de ezt a kettőt a microk8s hozza létre saját tanusítvánnyal.
Neten se nagyon látni róla sokat, ami van róla, nekem nem ment. Jó lenne nem "self-signed" tanusítvánnyal használni.
Sziasztok,
probalok Deploy-t kesziteni egy adott namespace-be.
Ezeket sikerult eddig hozzaadnom bill role objektumaba.
root@server:~/test# kubectl describe role bill -n brown-fox
Name: bill
Labels: <none>
Annotations: <none>
PolicyRule:
Resources Non-Resource URLs Resource Names Verbs
--------- ----------------- -------------- -----
deployments [] [] [create get update list watch patch delete]
namespaces [] [] [create get update list watch patch delete]
nodes [] [] [create get update list watch patch delete]
pods [] [] [create get update list watch patch delete]
replicasets [] [] [create get update list watch patch delete]
services [] [] [create get update list watch patch delete]
deployments.apps [] [] [create get update list watch patch delete]
namespaces.apps [] [] [create get update list watch patch delete]
nodes.apps [] [] [create get update list watch patch delete]
pods.apps [] [] [create get update list watch patch delete]
replicasets.apps [] [] [create get update list watch patch delete]
services.apps [] [] [create get update list watch patch delete]
deployments.extensions [] [] [create get update list watch patch delete]
namespaces.extensions [] [] [create get update list watch patch delete]
nodes.extensions [] [] [create get update list watch patch delete]
pods.extensions [] [] [create get update list watch patch delete]
replicasets.extensions [] [] [create get update list watch patch delete]
services.extensions [] [] [create get update list watch patch delete]
root@server:~/test#
Kerdesek:
Futtathato egyetlen rendszeren a deploy tobb replikaja?
Milyen objektum hianyzik meg ahhoz, hogy az alabbi deploy lefusson hiba nelkul?
root@server:~/test# cat <<EOF | kubectl apply -f -
> apiVersion: v1
> kind: Deploy
> metadata:
> name: nginx2
> namespace: brown-fox
> spec:
> replicas: 3
> containers:
> - name: nginx3-cont
> image: nginx:1.14.2
> ports:
> - containerPort: 80
> EOF
error: resource mapping not found for name: "nginx2" namespace: "brown-fox" from "STDIN": no matches for kind "Deploy" in version "v1"
ensure CRDs are installed first
root@server:~/test#
UPDATE:
apiVersion: app/v1
kind: Deployment
sem segitett.
error: resource mapping not found for name: "nginx2" namespace: "brown-fox" from "STDIN": no matches for kind "Deployment" in version "app/v1"
ensure CRDs are installed first
Koszonom a segitseget.
Ardi
Linux Mint 20 Ulyana apt dist-upgrade után a követkző hibaüzenetet adja a grub-common csomagnál:
Job for grub-initrd-fallback.service failed because the control process exited with error code.
See "systemctl status grub-initrd-fallback.service" and "journalctl -xe" for details.
update-rc.d: warning: start and stop actions are no longer supported; falling back to defaults
Job for grub-common.service failed because the control process exited with error code.
See "systemctl status grub-common.service" and "journalctl -xe" for details.
invoke-rc.d: initscript grub-common, action "restart" failed.
● grub-common.service - Record successful boot for GRUB
Loaded: loaded (/lib/systemd/system/grub-common.service; enabled; vendor preset: enabled)
Active: failed (Result: exit-code) since Mon 2023-01-30 23:30:29 CET; 8ms ago
Process: 5914 ExecStartPre=/bin/sh -c [ -s /boot/grub/grubenv ] || rm -f /boot/grub/grubenv; mkdir -p /boot/grub (code=exited, status=0/SUCCESS)
Process: 5916 ExecStart=/usr/bin/grub-editenv /boot/grub/grubenv unset recordfail (code=exited, status=1/FAILURE)
Main PID: 5916 (code=exited, status=1/FAILURE)
jan 30 23:30:29 Mint systemd[1]: Starting Record successful boot for GRUB...
jan 30 23:30:29 Mint grub-editenv[5916]: /usr/bin/grub-editenv: hiba: érvénytelen környezetblokk.
jan 30 23:30:29 Mint systemd[1]: grub-common.service: Main process exited, code=exited, status=1/FAILURE
jan 30 23:30:29 Mint systemd[1]: grub-common.service: Failed with result 'exit-code'.
jan 30 23:30:29 Mint systemd[1]: Failed to start Record successful boot for GRUB.
dpkg: hiba a csomag feldolgozásakor: grub-common (--configure):
installed grub-common package post-installation script subprocess returned error exit status 1
dpkg: függőségi problémák miatt nem állítható be: os-prober:
os-prober függőségek: grub-common; ám:
grub-common csomag még beállítatlan.
/lib/systemd/system/grub-common.servic -ben be van állítva
ExecStart=/usr/bin/grub-editenv /boot/grub/grubenv unset recordfail
teljes path-ra. De ez nem oldotta meg a fenti hibát. Nincs több grub-editenv a rendszerben csak a /usr/bin/ helyen.
Sziasztok. Az alábbi nftables configot használom már egy ideje, és jól működik:
flush ruleset
table netdev drop-bad-packets {
include "/etc/nftables/geoip-def-all.nft"
include "/etc/nftables/geoip-ipv4.nft"
include "/etc/nftables/geoip-ipv6.nft"
chain ingress {
type filter hook ingress device ens19 priority -500;
meta mark set ip saddr map @geoip4
meta mark set ip6 saddr map @geoip6
ip frag-off & 0x1fff != 0 counter drop
tcp flags & (fin|syn|rst|psh|ack|urg) == fin|syn|rst|psh|ack|urg counter drop
tcp flags & (fin|syn|rst|psh|ack|urg) == 0x0 counter drop
tcp flags syn tcp option maxseg size 1-535 counter drop
meta mark { $CN, $BR, $IN, $RU } counter drop
}
}
table inet drop-bad-ct-states {
chain prerouting {
type filter hook prerouting priority -150;
ct state invalid counter drop
ct state new tcp flags & (fin|syn|rst|ack) != syn counter drop
}
}
table inet filter {
include "/etc/nftables/geoip-def-all.nft"
include "/etc/nftables/geoip-ipv4.nft"
include "/etc/nftables/geoip-ipv6.nft"
chain input {
type filter hook input priority 0; policy drop;
meta mark set ip saddr map @geoip4
meta mark set ip6 saddr map @geoip6
meta mark { $HU } tcp dport { 80 } counter drop
iif "lo" accept
ct state invalid counter drop
icmp type echo-request limit rate over 10/minute burst 4 packets counter drop comment "Prevent ping flood"
icmpv6 type echo-request limit rate over 10/minute burst 4 packets counter drop comment "Prevent ping flood"
ct state { established, related } counter accept
tcp dport {25,53,80,143,443,465,587,993,4190,5665,8080,8081,8571,40110-40210} ct state new counter accept
udp dport {53,123} ct state new counter accept
ip protocol tcp counter reject with tcp reset
}
...
A lényeg, hogy a table inet filterbe be van állítva, hogy mely portokat lehessen elérni, illetőleg a table netdev alatt, hogy mely országok vannak tiltva (többek között).
Szeretném azt megvalósítani, hogy a magyar ipcímek alapból engedve vannak, tehát nincs az országok között tiltva az elejáén, de mégis szeretném, hogy a magyar ipkről elérhetetlen legyen a 80-as port. Látható, hogy beraktam a chain input harmadik elemének a meta mark { $HU } tcp dport { 80 } counter dropot, de ennek ellenére elérhető a 80-as port, tehát nyitott, mintha a drop ellenére lefutna a későnn jövő tcp dport sor ahol a sok port között a 80-as is fel van sorolva. Megnéztem az nftables dokuját, de azt írják, hogy a drop-ot használva lefuttatja az adott szabályt, majd a többit már nem hajtja végre. Nem értem, hogy akkor miért nem tiltódik a 80-as port magyar ipől.
Van valakinek valami ötlete?
Adva van egy régi dell(optiplex790) amiben az Os (ek)nek van egy SSD. Dual boot, két linux. A régebbi egy Arch, jfs fájlrendszeren. Olvasva a híreket úgy döntöttem rég játszottam: megszabadulok a jfs -től is , meg rég néztem rá az RHEL vonalra, felrakok helyére egy Alma-t. Miután felkerült, a másik linuxom elfelejtette, hogy kell kikapcsolni a gépet. Az Alma kikapcsol, a másik (egy Artix) nem kapcsolja ki a gépet, se reboot, se poweroff, se a shutdown -p verzió nem működik. A folyamat elindul, lelövi a futó szervizeket, (modemmanager -ezt látom-) stb.) de fizikailag nem kapcsol ki.
Úgy kell a nyomógombbal hosszan. Legacy bios, nem uefi. Ötleteket kérnék.
Köszönöm.
Sziasztok!
Tudtok esetleg valami olyan (egyszerubben hasznalhato, GUI-s) reverse proxy-n alapulo (Nginx, HAproxy) progit, amivel tudok egy random, altalam hosztolt weboldal ele 2fa hitelesitest beallitani?
Eddig ezeket talaltam:
Mikor felcsatlakozom vpn-el, felhúzza a megfelelő route szabályokat, pl:
10.45.150.0/24 dev tun0 proto kernel scope link src 10.45.150.2 metric 50
10.45.160.0/24 via 10.45.150.1 dev tun0 proto static metric 50
Eddig még jó. Az első maga a server subnetje ( azaz mindkét oldalon a tun interface címe ebben), a második pedig egy direkt push route, ami a vpn szerveren át...
Működne is, de hozzád egy olyan szabályt is csatlakozáskor hogy:
192.168.2.98 via 192.168.1.1 dev wlp3s0 proto static metric 600
azaz hogy maga a vpn szerver címe ( 192.168.2.98 ), amire felcsatlakozom, a default gateway-emen ( 192.168.1.1 )keresztül érje el.
Csak hát nem arra van!
Ha ezt a szabályt manuálisan törlöm, akkor egyébként szépen megy.
Hogy lehetne rávenni, hogy ne húzzon fel ilyen szabályt?
A klienst grafikus felülettel configoltam, de semmi extra, a szerver saját.
Érdekesség hogy másik vpn is ezt csinálja. Az nem openvpn és netes cím a szerver, így jelenleg nem probléma mert arra van (jelenleg arra van a net)..., de szintén teljesen feleslegesnek tűnik a szabály és nem biztos hogy mindig a defgw felé van a net.
Sziasztok,
a Configure RBAC in your Kubernetes Cluster (bitnami.com)
oldal szerint k3s un. lightweight kubernetes rendszeren ki szeretnem probalni a limitalt namespace konfiguralasat.
Csak egyetlen master szerverem van docker+k3s rendszerrel debian bullseye op. rendszerrel, ahol root hozzaferesem is van.
Meg tudna nekem mondani, hol is talalhatok k3s rendszeren a tanusitvanyok/certificates?
Szerintetek mukodni fog az egesz?
Van valakinek tapasztalata k3s rendszerrel?
Koszonom elore a segitseget.
Ardi