Bash Days | Linux | DevOps

Как оказалось многие испытывают неистовые жопные боли при настройке angie со встроенной поддержкой SSL сертификатов от Lets Encrypt. ㅤ Сегодня покажу как избавиться от боли и на лету получать SSL для angie. Без всяких там certbot и acme.sh. Довольно удобно реализовано.

Для чистоты эксперимента я взял чистый, прерываемый сервер, без nginx’ов и т.п. на базе Ubuntu 24.04.

angie это аналог nginx, но на стероидах, у меня он крутится на уроках для LinuxFactory и в блоге. Подкупил он меня нативной поддержкой LUA и кучей модулей включая авто-получение SSL сертов. Устанавливаем angie:

sudo curl -o /etc/apt/trusted.gpg.d/angie-signing.gpg https://angie.software/keys/angie-signing.gpg

echo "deb https://download.angie.software/angie/$(. /etc/os-release && echo "$ID/$VERSION_ID $VERSION_CODENAME") main" | sudo tee /etc/apt/sources.list.d/angie.list > /dev/null

sudo apt-get update
sudo apt-get install -y angie

Начиная с Angie 1.3.0, модуль ACME (http_acme_module) включён по умолчанию в основной пакет angie. Открываем айпишник сервера в браузере и убеждаемся что все работает. Если всё заебись, получишь стартовую страницу angie. Дефолтная страница практически один в один повторяет дефолтную страницу от nginx.

Дальше у меня есть домен two.su который живет в Cloudfalre. В настройках DNS я прописываю A запись и указываю айпишник нового сервера. Весь трафик идет напрямую, без фильтрации самого Cloudfalre.

Конфигуряем angie на домен two.su. Создаем файл two.su.conf в /etc/angie/httpd.d/ с таким содержимым.

    server {
        listen 443 ssl;
        server_name two.su www.two.su;

        acme letsencrypt;
        ssl_certificate $cert_letsencrypt;
        ssl_certificate_key $cert_key_letsencrypt;

        location / {
            root /var/www/html;
        }
    }

А в файле /etc/angie/angie.conf в секцию http добавляем:

    acme_client letsencrypt https://acme-v02.api.letsencrypt.org/directory;
    resolver 127.0.0.53;

    map $acme_cert_letsencrypt $cert_letsencrypt {
        ''       /etc/angie/ssl-self-signed/cert.pem;
        default  $acme_cert_letsencrypt;                                                            
    map $acme_cert_letsencrypt $cert_key_letsencrypt {
        ''       /etc/angie/ssl-self-signed/key.pem;
        default  $acme_cert_key_letsencrypt;
    }

Если angie у тебя работает в докере, то в resolver пропиши: 127.0.0.11. Проверяем: angie -t и в ответ получаем:

angie: the configuration file /etc/angie/angie.conf syntax is ok
angie: configuration file /etc/angie/angie.conf test is successful

Полученный сертификат и соответствующий ключ будут доступны в конфигурации через переменные $acme_cert_<имя> и $acme_cert_key_<имя>. Перезапускаем: systemctl reload angie Если получил ошибку, закинь сертификаты заглушки в /etc/angie

openssl req -x509 -newkey rsa:4096 -keyout key.pem -out cert.pem -sha256 -days 3650 -nodes -subj "/C=RU/O=Bashdays/CN=LinuxFactory"

У меня никаких ошибок не возникло. В папке: /var/lib/angie/acme/letsencrypt появились ключи и серты. Захожу в браузере на two.su и вижу зеленый замочек. Что и требовалось доказать. SSL сертификат был автоматически получен и в дальнейшем будет автоматически продляться. Без всяких кронов, клиентов, API ключей и хуйни.

Единый сертификат будет получен для всех доменных имён, которые были перечислены в директиве server_name. А директива acme указывает, какой ACME-клиент должен использоваться.

Меня вся эта кухня полностью устраивает. Понятно дело есть Nginx Proxy Manager, но я привык работать без гуёвых штук и мордочек. Когда что-то настраиваешь руками, а не мышкой, то имеешь представление как работает технология изнутри. А если ты это знаешь, то легко сможешь отдебажить баги и найти первопричину. По крайней мере меня так учили и я с этим полностью согласен. 🛠 #linux #devops #angie #ssl — ✅ @bashdays / @linuxfactory / @blog

1️⃣2️⃣3️⃣4️⃣5️⃣6️⃣7️⃣8️⃣9️⃣🔟 Как меняется ИТ-индустрия с внедрением AI? Узнай 6 июня на ИТ-конференции МТС True Tech Day True Tech Day 2025 — третья масштабная технологическая конференция МТС для профессионалов ИТ‑индустрии. В программе: — Больше 40 докладов от известных ученых и ИТ-компаний. — Выступления зарубежных спикеров с индексом Хирша более 50. — Концентрация практических кейсов: как создаются большие проекты с применением AI. — Доклады по архитектуре, бэкенд-разработке и построению ИТ-платформ. — AI-интерактивы и технологические квесты. — Пространство для нетворкинга, …а еще after-party со звездным лайн-апом. Когда: 6 июня Где: Москва, МТС Live Холл и онлайн Участие бесплатно. Регистрация по ссылке.

Если что-то делать, что-то будет! После моего последнего поста про SelectOS много кто заглянул в личку с вопросами — мол, как оно вообще и т.п. Раз интересно, запилил для тебя продолжение. Рассказал как на этой ОС я поднял локальный gitlab для команды, впендюрил раннеры и с чем пришлось столкнуться. Го чтиво читать да комменты писать 👇 🦖 SelectOS в деле 🛠 #linux #review — ✅ @bashdays / @linuxfactory / @blog

Тут Контур.Толк запустил резюме встреч Это сервис коммуникаций, который объединяет встречи, чаты, доски и вебинары. Теперь Толк сам генерирует саммари созвона, нужно только включить запись. Работает это так: после встречи ИИ обрабатывает запись, создает расшифровку и анализирует содержание беседы. Затем создается краткий пересказ разговора. Пользователи, которые уже используют резюме, отметили — на подведение итогов созвона нужно в 3 раза меньше времени: в среднем 8 минут вместо получаса. Фича уже доступна всем пользователям. Чтобы протестовать, переходите и регистрируйтесь в Толке. Подробнее о релизе в статье. А новость еще раз доказывает, что ИИ забирает не работу, а рутинную часть. Хоть нейронка и написала, о чем договорились на встрече, задачи все равно делать самим. Инструмент уже доступен. Регистрируйтесь в Толке и тестируйте обновление — это бесплатно.

Давно хотел попробовать эту штуку и попробовал. Штука называется iVentoy. ㅤ iVentoy это PXE сервер. Если уж совсем простым языком, то это сервер который раздаёт исошники. Чтобы установить операционку тебе не нужна никакая флешка и т.п. Выставляешь в биосе сетевую загрузку и устанавливаешь на выбор любой дистрибутив. iVentoy из коробки дружит и с легаси биосом и с efi, так что хуёвина универсальная. Можно поднимать сервер и по Linux и под Windows.

iVentoy is an enhanced version of the PXE server. With iVentoy you can boot and install OS on multiple machines at the same time through the network. iVentoy is extremely easy to use, without complicated configuration, just put the ISO file in the specified location and select PXE boot in the client machine. iVentoy supports x86 Legacy BIOS, IA32 UEFI, x86_64 UEFI and ARM64 UEFI mode at the same time. iVentoy support 110+ common types of OS (Windows/WinPE/Linux/VMware)

Тыкаем палкой:

wget https://github.com/ventoy/PXE/releases/download/v1.0.20/iventoy-1.0.20-linux-free.tar.gz
tar -xzf iventoy-1.0.20-linux-free.tar.gz
mv iventoy-1.0.20 /opt/iventoy
cd /opt/iventoy

Теперь закидываем любые iso образы в папку /opt/iventoy/iso. Я закинул ubuntu server и selectos для теста. Запускаем:

./iventoy.sh start

После этого можно зайти на морду и посмотреть более детально, крутится эта штука на 26000 порту. Меня пустило так:

http://192.168.10.32:26000

Внутри можно поднастроить TFTP сервер, увидеть исошники, поменять разрешения экранов и менюшек, прописать белые списки мак адресов ну и т.п. Сам потыкаешь, всё интуитивно понятно.

Да, важно не забыть в вебморде справа нажать зеленую стрелку, это запустит PXE сервер.

Проверяем. Поднимаю новую машину в виртулбоксе c EFI, выставляю загрузку по сети и вижу ожидаемый результат. У меня доступно два дистрибутива ubuntu и selectos. Отлично! Выбираем нужный дистрибутив и запускаем установку по сети. Что понравилось — iVentoy ставится элементарно, без хуйни и заморочек. Буквально пару минут и у тебя готовый PXE, запускай и накатывай операционки без флешек и внешних винтов. Да, чтобы оно автоматом стартавало, можно закинуть какой-нибудь такой юнит.

[Unit]
Description=iVentoy PXE Server
After=network.target

[Service]
Type=forking
ExecStart=/opt/iventoy/iventoy.sh start
ExecStop=/opt/iventoy/iventoy.sh stop
Restart=on-failure

[Install]
WantedBy=multi-user.target

Надо будет попробовать исошники с виндой подкинуть. А то порой приносят мне по старой памяти ноуты на переустановку винды, хуй откажешься, я же блядь программист. Ладно, бери на вооружение, глядишь пригодится. 🛠 #linux #pxe #utilites — ✅ @bashdays / @linuxfactory / @blog

⭐️ Давным-давно, когда ещё не было никакой Яндекс Станции, он уже придумывал гаджеты. Геннадий Круглов из команды, которая разрабатывает аппаратную часть Станций, рассказывает о своём увлечении — собирать световые мечи и другую электронику. ↗️ 25 и 26 апреля пройдёт Repair Cafe «Чинители прекрасного». Это мероприятие для тех, кто любит изобретать, мастерить и работать отвёрткой. На нём сможете послушать лекцию Крэйла про световые мечи и то, как их делают в домашних условиях. Регистрируйтесь. Ставьте буст, чтобы у нашего канала появилось больше сторис ❤️

У Hashicorp Vault есть прикольная фишка со встроенным ssh враппером и подписными ключами. ㅤ То есть ты не напрямую подключаешься к серверу:

ssh root@server

А подключаешься к серверу через сервер с Vault, получается что-то вроде бастиона. Vault подписывает ключи и запускает тебя в нужное место. Настраивается эта штука так: На сервере с Vault выполняем:

vault secrets enable -path=ssh ssh
vault write ssh/config/ca generate_signing_key=true

Создаём под это дело отдельную роль:

vault write ssh/roles/devops -<<"EOH"
{
  "allow_user_certificates": true,
  "allowed_users": "*",
  "allowed_extensions": "permit-pty,permit-port-forwarding,permit-agent-forwarding,permit-user-rc,permit-X11-forwarding",
  "default_extensions": [
    {
      "permit-pty": ""
    }
  ],
  "key_type": "ca",
  "default_user": "root",
  "ttl": "30m0s"
}
EOH

На сервере к которому хотим подключаться, делаем:

curl -o /etc/ssh/trusted-user-ca-keys.pem https://vault.bashdays.ru:8200/v1/ssh/public_key

Добавляем в конфиг /etc/ssh/sshd_config строчку:

TrustedUserCAKeys /etc/ssh/trusted-user-ca-keys.pem

И перезапускаем: systemctl restart sshd Переходим на свою локальную машину, с которой будем подключаться:

export VAULT_TOKEN="token"

vault write -address='https://vault.bashdays.ru:8200' ssh/sign/devops public_key=@$HOME/.ssh/id_rsa.pub

Этой командой подписываем свой публичный ключ через vault сервер. В ответ получаем кучу всякой хуйни типа: serial_number и signed_key. Сохраняем на локальную машину подписанный ключ:

export VAULT_TOKEN="token"

vault write -address='https://vault.bashdays.ru:8200' --field=signed_key ssh/sign/devops public_key=@$HOME/.ssh/id_rsa.pub > ~/.ssh/id_rsa_signed_key.pub

Смотрим параметры получившегося ключа:

ssh-keygen -Lf /Users/user/.ssh/id_rsa_signed_key.pub`

Опять же получишь портянку информации, можно посмотреть валидность и время жизни этого ключа. Теперь подключаемся:

ssh -i ~/.ssh/id_rsa_signed_key.pub -i ~/.ssh/id_rsa root@server

Ну и вишенка, подключаемся через враппер:

vault ssh -address='https://vault.bashdays.ru:8200' -private-key-path=~/.ssh/id_rsa -public-key-path=~/.ssh/id_rsa.pub -mode=ca -role=devops -user-known-hosts-file=/dev/null root@server

В этом случае подписывать ключ не обязательно. Доступ к серверам контролирует Vault. Можно быстро накручивать необходимые права, забирать и отзывать ключи. Ну и там много чего еще можно сделать.

Выглядит крайне неудобно и не интуитивно. Но порой такую штуку можешь встретить в компаниях. Хотя я против такой хуйни, какая-то блядь избыточная безопасность.

Что-то вроде центра сертификации, писал как-то отдельный пост на эту тему. Нашел еще видос у пиндоса на эту тему, можешь визуально глянуть и проникнутся. Такие дела! 🛠 #linux #devops — ✅ @bashdays / @linuxfactory / @blog

📕Открытый урок о функционале блока подсистемы кадровый учет в 1C ERP для разработчиков 1C, консультантов 1C, аналитиков и функциональных архитекторов. На открытом уроке 29 апреля в 20:00 мск мы погрузимся в основные настройки, а также возможности подсистемы кадровый учет в 1C ERP. 📗 В результате вы: - Узнаете, как реализован блок кадрового учета и расчета зарплаты в 1С ERP; - Разберетесь, какие настройки необходимо включить в 1С ERP для корректного ведения учета; - Освоите на практике работу с подсистемой и её возможности для различных кейсов и задач. Спикер Юлия Курзова — опытный аналитик 1C, 10+ лет в сфере работы с 1C, сертифицированный преподаватель 1C, отвечает за внедрение 1С:ERP, 1С: КА, 1С:ERPУХ на крупных проектах. 👉 Регистрируйтесь прямо сейчас, чтобы не пропустить мероприятие: https://otus.pw/uUWG/ 📙 Все участники открытого урока получат скидку на курс "Бизнес-аналитик 1С" Реклама. ООО «Отус онлайн-образование», ОГРН 1177746618576

😲 HRы и иже с ними, забирайте! Мазафакин скилз девопс-инженер, уровень — я бы даже сказал ближе к сеньору. Ща раскидаю по полкам. ㅤ Я лично с ним поработал в нескольких проектах, его работы это произведение искусства. Ниндзя Гайден сосёт хуй и отдыхает! Что понравилось — оперативное решение инфраструктурных проблем, въедливый дебаг и траблшутинг, не делает другим мозги, пишет ОХУЕННУЮ документацию, придерживается кодстайла, уверенный программист на yaml, здравые мысли по оптимизации + еще куча талантов. А самое главное качество — самостоятельность и умение гуглить! Любая неизвестная технология для него — дай час, разберемся. Короче этот викинг поставит твою инфраструктуру раком и выебет её по всем бест-практикам и маст-хэвам. А самое ценное, этот человек увеличит твою прибыль в 17 раз за 3 часа. По стеку, база: ansible, gitlab, docker, hashicorp, пайплайны, ну короче вся эта девопсовая хуйня которая тебе и нужна. Ставки и аппетиты умеренные: 250к в месяц. Но всё обсуждаемо. Если дашь больше, значок тебе и вымпел! Если нечем платить, лучше не пиши, будешь послан нахуй и проклят.

Такие предложения бывают раз в 100 лет, тем более с рекомендациями, НЕ ПРОЕБИСЬ. Предложи удалёнку, 250 тыщ в месяц, хорошее отношение и по итогу получишь Золотую Антилопу.

Пиши быстрее сюда и назначай собес: @LittleGreenCat 🛠 #хантинг — ✅ @bashdays / @linuxfactory / @blog

Искали оплачиваемую стажировку с крупными IT-проектами? Присоединяйтесь к YADRO Импульс — прокачивайте скилы, влияйте на продукт и забирайте шанс остаться в команде! Почему это крутой старт карьеры: конкурентная зарплата, удаленка или работа из офиса, индивидуальный план развития и поддержка ментора. Выбирайте свой трек: — C, системное программирование — DevOps — Автоматизация тестирования на Python — Техническая поддержка — Ручное тестирование Смотрите все направления и присоединяйтесь к команде YADRO до 27 апреля: https://u.to/lhw8Ig

Не сломано? Не чини! ㅤ Давай рассмотрим ситуацию, чтобы въехать в контекст.

Производитель пива изменяет формулу напитка, предварительно проводит А/Б тестирование. Из 10ти тестировщиков, только 1му не зашёл новый напиток. А это означало, что новое пиво мастхев и его можно вливать в пузаны населению. Но что-то пошло по пизде, новое пиво не взлетело. А потребители массово захейтили производителя и потребовал вернуть старую формулу.

Почему всё пошло по пизде? Ведь на проекте были тестировщики, были результаты исследований. Что не так? Все просто, в отличие от потребителей, тестировщики не знали какой бекэнд они тестировали, старый или новый. Производитель банально не учел у потребителей когнитивное искажение — отклонение в сторону «Статус-Кво». Эт чё за хуйня? Это склонность держаться за старое, даже если новое в разы лучше.

Идите нахуй со своим новым фреймворком, мне привычнее на Bash скриптах сервера настраивать. Лучше оставлю всё как есть. Куберы? Нене, я лучше протоптанной дорожкой пойду и на docker swarm буду жить.

Короче эта тяга ко всему привычному и знакомому, даже если оно пиздец не удобное и не безопасное. Почему появляется искажение «Статус-Кво». Ты годами задрачивал Bash скрипты и теперь с помощью их можешь решить абсолютно любую задачу. Но приходит какой-то Алёша и говорит — Антон, твои скрипты унылое гавно, слишком сложные и трудозатратные. Чтобы решить задачи, есть более эффективные инструменты. С помощью этих инструментов ты будешь тратить в 10 раз меньше времени и результат будет лучше. Но чтобы всё получилось, тебе придется окунуться в новое и еще годик позадротить. Антон шлёт нахуй этого Алёшу. Зачем изучать новое, если дорожка протоптана и заасфальтирована. Иди по ней и в ус не дуй. Так работают мозги. Работа с привычкой. У мозга есть знакомые сценарии и готовые шаблоны. Поэтому мы с тобой склонны избегать перемен, даже если они приведут к лучшему результату.

По крайней мере у меня так, я в рот ебал что-то новое изучать, особенно если это нужно не мне, а работодателю. Если я делаю это для себя, то конечно с этим проще.

Последствия этих искажений очевидны — ты пиздецово деградируешь. Упускаешь возможности, хуяришь на нелюбимой работе, пишешь душный код, лишь бы от тебя отъебались. Но иногда эти искажения наоборот полезны — когда твои новые решения несут непредсказуемые и высокие риски. В этой ситуации «Статус-Кво» будет хорошим выбором, но только если это не сверх осторожность. Следовать привычки это не плохо или хорошо. Всё зависит от привычки. Можно привыкнуть ко всему, даже если это раньше казалось тебе не возможным.

Когда ты начал изучать Кубер и такой — да блядь, почему эта хуйня такая неочевидная? А через полгода ты уже его на хую вертел и всё что можно в него мигрировал.

Всегда пробуй то, что кажется некомфортным или страшным. Будь открыт к новому, получай, а не трать свою энергию от знакомства с неизведанным. Ну и конечно же оценивай риски и преимущества изменений (swot-анализ), чтобы принимать более осознанные решения. Задавай вопрос — а действительно ли я делаю так, потому что это лучше для меня? Или потому что это привычно? Главная опасность «Статуса-Кво», то что люди могут привыкнуть к любым ужасам, причиной которых они сами и являются. Поэтому чтобы не быть причиной ужасов, задумайся — когда именно твоё мнение стало твоим. Подведем черту. Если решил что-то изменить, убедись что другим это зайдет. Проводи тесты на реальных пользователях, а не на заинтересованных лицах (тестировщиках).

Как с Кинопоиском, когда они выкатили новую морду, весь интернет орал. По итогу ребята вернули старую версию, но оставили возможность переключаться на новую.

Так и с пивом, теперь есть 2 версии. Старое и новое. А потребитель уже сам выберет, что ему больше по вкусу. Пили параллельно, вводи параллельно, давай право выбора и у тебя всегда всё будет хорошо. Хорошего тебе дня! 🛠 #рабочиебудни — ✅ @bashdays / @linuxfactory / @blog

🔥 Готовы к реальному Kubernetes-челленджу от Rebrain и Yandex Cloud? С 1 по 10 мая вас ждёт реальная траблшутинг-задача на облачном кластере — никакой теории ради теории, только практика и настоящие ошибки. Разберетесь, почему не скачиваются образы, найдете уязвимости, восстанови всё — и получите заслуженную награду (да-да, без неё не уйдёте 😉). 👨🏼‍💻 Что вас ждёт: Реальный кейс с ошибками в Yandex Managed Kubernetes, завалидированный архитектором Yandex Cloud Ваша миссия — найти баги и победить их Всё это — с автоматической проверкой и личным фолдером в Yandex Cloud После прохождения — именной сертификат от Rebrain и Yandex Cloud + бонусы для самых шустрых 👉 Бесплатная регистрация открыта только до 29 апреля. Задача для решения будет доступна с 1 по 10 мая Начать челлендж: clck.ru/3LXEfy Реклама. ООО "РЕБРЕИН", ИНН: 7727409582, erid: 2W5zFJkfx16

Продолжаем с WSL2 ㅤ По умолчанию wsl запускается с какими-то своими дефолтными параметрами, будь то память, проц, свап и т.п. Но все эти параметры можно без труда зареврайтить. Всё это делается через тот же самый файл C:\Users\<user>\.wslconfig. Пример:

[wsl2]
processors=2

Здесь я выделил виртуальной машине 2 ядра из 16ти доступных. По умолчанию wsl сразу выгребает 16 ядер и половину памяти.

Таких параметров для тонкой настройки — жопой ешь, под любые твои хотелки и потребности.

Хочешь подключить swap? Без проблем! Хочешь указать кастомное ядро? Хуйня! Есть и такой параметр! Про всё остальное почитаешь сам. Всё это удобно собрано в этой доке, причем на русском языке. Садишься, пробегаешься глазками, вникаешь, закрываешь свои базовые потребности. Удобно! В общем имей в виду, что даже wsl поддаётся конфигурации.

Хотя у меня никогда не возникало потребностей что-то менять, дефолтные параметры вполне вменяемые, линуксы не тормозят, всё работает из коробки. Но позадротить иногда хочется и благо для этого есть всё необходимое.

Пользуйтесь! 🛠 #linux #networks #windows #wsl — ✅ @bashdays / @linuxfactory / @blog

Itentis ☁️ Cloud - новое слово на рынке облачных технологий. Безопасная, изолированная облачная платформа для бизнеса. Легко масштабируемый и отказоустойчивый виртуальный датацентр всего за пару кликов. 🔥 Выбирая нас вы получаете: ✅ VPC - Виртуальное частное облако. ✅ VNF - Разнообразный сетевой функционал ✅ IaC - Инфраструктура как код ✅ 2FA - Двухфакторная аутентификация ✅ AutoScaling - Автоматическое расширение виртуальных кластеров ✅ Snapshots & Backups - Защитите ваши данные от потери. ✅ S3 - Надежное и масштабируемое объектное хранилище. ✅ Managed K8s - Легкое развертывание и управление кластеров Kubernetes. 🎁 Спешите оценить удобство Itentis Cloud! Простая регистрация: В пару кликов, без привязки карты. Бесплатная миграция: Поможем перенести вашу инфраструктуру в облако. Бесплатная консультация: Обсудите ваши задачи с нашими экспертами! Еще больше информации в нашем тг-канале, переходи по ссылке 🔗 Реклама. ООО "АВАНГАРД", ИНН:7729648547, Erid:2Vtzqvwmgkr

Хозяйство вести — не мудями трясти! ㅤ Ну дак вот, чтобы твой любимый линукс в wsl имел такой же айпишник как и хостовая машина, нужно сделать так: В винде, в папке C:\Users\<user>\ создать файл с названием .wslconfig и запихать в него:

[wsl2]
networkingMode=mirrored

Затем перезапустить wsl2 в повершеле:

wsl --shutdown

И после этого твой линукс получит тот же самый айпишник что и хостовая машина (192.168.0.100), а не виртуальные (172.31.124.159, 10.255.255.254). Ну а там дальше пробрасывай порты и развлекайся как твоей душе угодно.

Режим mirrored включает зеркальный режим сети, при котором wsl использует сетевой стек хоста, а не собственную виртуализированную NAT-сеть. — wsl и винда имеют один и тот же IP-адрес — Порты, открытые в wsl, становятся видимыми как будто они открыты на самой винде. — Локальные сервисы винды и wsl могут легче видеть друг друга без специальных настроек. — Повышенная совместимость с випиэн, файрволами и корпоративными прокси.

Раньше жили пиздатее, можно было сделать так: networkingMode=bridge и виртуалка в wsl получала айпишник прям по DHCP. Но в новых версиях винды эту штуку выпилили, видимо на это были свои причины. Где и как можно применить: - Ты хочешь из винды обратиться к серверу поднятому внутри wsl, без localhost:port-forward и прочих долбаёбских танцев. - Проблемы с випиэн (часто бывает, что при включённом випиэн wsl теряет интернет или не видит другие хосты). - Когда надо изнутри wsl видеть локальную сеть хоста и взаимодействовать, как обычное приложение винды. - При разработке серверных приложений, если нужно, чтобы всё вело себя как на обычной машине, а не в изолированной виртуалке. Ну ты понял. Бери на вооружение, хуйня полезная если правильно применить. 🛠 #linux #networks #windows #wsl — ✅ @bashdays / @linuxfactory / @blog

Если упал, встань и иди дальше. Если опять упал, то снова поднимись. А если падаете постоянно, то стоит задуматься, где хранятся базы данных. Советуем vdc.ru — у ребят реально мощные виртуальные и выделенные серверы в России и Европе с SLA 99.9%. Современное оборудование Hewlett Packard Enterprise, быстрые NVMe диски Intel и сеть до 100 Гбит/с с премиальной связностью позволят вашему бизнесу развиваться без оглядки на производительность. Только собственные серверы в дата-центрах РФ и ЕС уровня Tier III. Не реселлеры — поэтому предлагаем лучшие цены при enterprise-качестве. Более 12 лет стабильной работы, 24/7 поддержка от квалифицированных специалистов. Полная документальная и техническая легальность. Запишите себе в заметки или добавьте сайт себе в закладки — и ни в коем случае не теряйте. Меньше седых волос на голове, если за сервера не опасаться 😉 Реклама. ИП Мальков Д. В., ИНН: 732717403051, Erid:2VtzqxdjuB8

Живу в лесу, поклоняюсь колесу… ㅤ А чё эта хуйня не работает? Яж всё правильно сделал!

su -c 'ls -la'

С виду всё верно. Но если внимательно прочитать команду и подумать, происходит такое:

Хочу стать root и выполнить команду ls -la.

Но у su другое мнение:

Хочу стать пользователем с именем -c

А -c — это не имя пользователя, а опция. Поэтому правильно так:

su root -c 'ls -la'

Теперь логика не хромает:

Перейти к пользователю root и выполнить команду ls -la.

Вроде мелочь, а на эти грабли постоянно наступают и бегут — аа, у меня принтер не печатает!!! Что я делаю не так???

А чем отличается su от sudo я писал тут, почитай на досуге и обнови нейронные связи.

🛠 #bash #badpractices #bestpractices — ✅ @bashdays / @linuxfactory / @blog

Просто настроить RBAC и NetworkPolicies недостаточно👨‍💻 Безопасность контейнеров и Kubernetes требует большего. На вебинаре 24 апреля облачный провайдер Cloud․ru расскажет, с чего начать защиту микросервисов, контейнеров и окружения Kubernetes от киберугроз. Вы узнаете: 😶‍🌫️как обеспечить максимальную защиту инфраструктуры на базе Kubernetes; 😶‍🌫️какие потенциальные угрозы и уязвимости контейнерных сред есть; 😶‍🌫️топ уязвимых компонентов системы контейнеризации и связанные с ними риски; 😶‍🌫️базовые принципы защиты контейнеров Kubernetes; 😶‍🌫️практические методы минимизации киберугроз. Зарегистрироваться на вебинар 👈

Бомбардиро крокодило! ㅤ Я выспался, можно продолжать радовать вас всякой «нужной» хуйней. Давно про nip.io ничего не слышал, но всё чаще встречаю его у ребят с Linux Factory. Суть этого сервиса — автоматически разрешать поддомены в IP адреса без необходимости поднимать свой DNS сервер. Сейчас как мы делаем, локально редактируем файл /etc/hosts, прописываем в него какие-то свои локальные айпишники на вымышленные домены. Например:

192.168.0.10 nginx.local
192.168.0.11 grafana.local

И если перейти по адресу nginx.local попадаешь на виртуалку с айпишником 192.168.0.10. Это всё очевидно.

Но опять же как оказалось про манипуляции с hosts файлом многие не знали.

А ведь это база. С помощью которой ты к примеру поднимаешь новый продакшен. Но что бы протестировать его, тебе нужно подкинуть на новый продакшен домен со старого продакшена. А тебе такое сделать не дадут. Вот и прописываешь себе в hosts этот домен, указываешь айпишник нового прода, идешь тестишь, если все ок, то меняешь A запись. Вернемся к nip.io, суть там такая же, прописываешь айпишники и нужные домены и по итогу получаешь такое:

nginx.192.168.0.10.nip.io → 192.168.0.10
app.192.168.0.11.nip.io → 192.168.0.11
test.192.168.0.12.nip.io → 192.168.0.12

Теперь открыв nginx.192.168.0.10.nip.io ты попадешь на 192.168.0.10 без редактирования своего hosts файла. Давай потыкаем У меня на IP 192.168.10.6 в локалке висит малина со всякими открытыми портами. Пингуем:

ping 192.168.10.6.nip.io

В ответ я получаю такую картинку:

Server: 8.8.8.8
Address: 8.8.8.8#53

Non-authoritative answer:
Name: 192.168.10.6.nip.io
Address: 192.168.10.6

Отлично, пинг прошел, вернулся локальный айпишник. То есть мы пинганули какой-то глобальный домен, а он привел нас на локальный сервис. Теперь я направляюсь в браузер и открываю url:

http://192.168.10.6

Мне открывается стартовая страница nginx. Тут всё понятно и логично. А теперь давай сделаем так.

http://nginx.192.168.10.6.nip.io

Хуяк и видим предупреждение:

Для сайта 192.168.10.6.nip.io не поддерживается защищенное подключение

Ну клёвое же. Запрос прошел через глобальный домен и перенаправил запрос в мою локальную сеть. Без необходимости что-то прописывать в hosts файле. Просто жмем «продолжить» и попадаем снова на стартовую страницу nginx. Еще вариант с портами:

http://sync.192.168.10.6.nip.io:8384

На порту 8384 у меня висит syncthing и всё отлично открывается. То есть можно пробрасывать запросы через домен прям на порты или в докер контейнеры. А можно прям кучу поддоменов плодить:

http://a.b.c.d.192.168.10.6.nip.io/

И всё будет работать. А еще можно на такие домены получить SSL сертификаты, но у тебя должен быть белый айпишник.

sudo certbot certonly --standalone -d nginx.204.0.115.50.nip.io

Хуяк и у тебя готовый SSL для домена nginx.204.0.115.50.nip.io. Ну а если не хочется возиться с certbot можно воспользоваться алтернативами, например acme.sh или caddy. Минусы nip.io: 1. Не поддерживает wildcards, но в большинстве случаев они избыточны. Инструмент заточен больше на удобное тестирование при разработке. 2. SSL работает только с публичными IP. Для 127.0.0.1.nip.io или 192.168.x.x.nip.io Let's Encrypt не выдаст сертификат. У nip.io есть альтернативы: xip.io или sslip.io

В общем я показал, а тебе уже самому решать где это применить или не применить.

Хорошо тебе провести эти выходные. Ну а я пошел фиксить баги. Увидимся! 🛠 #devops #networks — ✅ @bashdays / @linuxfactory / @blog

Как внедрить API First в сложную финтех-инфраструктуру? Живет ли OpenSource в крупных предприятиях? И что значит быть инженером в новых реалиях? Все ответы на GPB CONF — конференции Газпромбанк.Тех для разработчиков и инженеров! 22 апреля тебя ждут крутые спикеры, секретный гость и два мощных трека: – Хардовый: для тех, кто в проде с закрытыми глазами. На реальных кейсах разберем API-first, архитектуру, мониторинг и TBD. – Софтовый: для тех, кто хочет не только писать код, но и растить людей. Обсудим, как прокачивать лидерские навыки и внедрять изменения в команде. А в экспозоне у тебя будет возможность прямо на стендах погрузиться в специфику каждого направления — от мобильной разработки до кибербеза и продуктового дизайна. Участие бесплатно, все что нужно — зарегистрироваться по ссылке и получить свой билет с подробной программой. Когда: 22 апреля 2025 года. Где: Москва, Коровий вал, д. 3 стр.1, «Градский Холл». Реклама, Банк ГПБ (АО), ИНН: 7744001497, erid: 2Vtzqx3Z4Dg