[...]Ist noch als Test ausgelegt, deswegen ist der Quelltext auch nicht superb.
Hui, danke, schaue ich mir mal an. Sieht aber momentan noch nach viel Overhead aus.
Generell ist mongoDB super dafür geeignet wie ich finde, muß sich aber zeigen unter Last.
Aktuell Pipe Backend. Wegen dem kommenden DNSSEC muss ich aber neu implementieren im Remote Backend mit Unix Sockets oder IPC Pipes.
Genau das hatte mich damals auch abgehalten, gab ein Projekt auf Github aber irgendwie tot seit 2014 und ohne DNSSEC, das hatte mich $damals auch davon abgehalten. Ist dein aktuelles Script vom Pipe Backend OpenSource irgendwo?
Alles anzeigenAlso:
Ich habe ein MongoDB Cluster (ReplicaSets) für DNS laufen. Dort sind alle Zonendaten abgespeichert. Jeder DNS Server ist Teil des Clusters.
Über einen Connector fragt der lokale PowerDNS die Datenbank nach den Records ab. Der PowerDNS Daemon weiß aber nichts von seinen Nachbarn.
Soll:
Die Zonen werden On-Demand signiert vom PowerDNS Daemon, keine Zone wird bei Änderung vorsigniert.
Gesteuert wird dies durch eine selbst entwickelte Applikation.
Lässt du PowerDNS die mongoDB abfragen? Hast du das selbst geschrieben mit dem Pipe Backend zusammen?
Ich selbst nutze MySQL Percona als Master-Master mit 2 PowerDNS dahinter, sowie einen "Backup" Nameserver extern im Hintergrund aber nicht aktiv.
AXFR hatte ich am Anfang im Einsatz aber für meienn Zweck ungeeignet gewesen, da zuviele Änderungen in den Zonen.
Einer der besten Tests für DNSSEC, geht auch bei Bedarf sehr ins Detail:
http://dnsviz.net/ bzw. https://dnssec-analyzer.verisignlabs.com/
Mich wollten die beim Saturn mal bescheissen. Bin hingegangen und wollte eine Waschmaschine kaufen die Online bei Saturn den Preis x gekostet hat. Lokal wollten die 3-400 Euro mehr. Als ich das angemerkt habe, haben sie den Preis reduziert. Die Kundenberater sind auch nicht so toll, besonders wenn man von den Produkten die man kaufen will etwas Ahnung hat.
Will da auch niemanden verteufeln, es gibt auch durchaus Leute die dort den Job mögen und auch können, das merkt man meistens auch recht schnell.
Ich würde das ganze gerne nochmals kurz aufgreifen. Ich habe die eingetragen und es läuft auch sauber. Bei einer Abfrage über cat /etc/resolv.conf ist mir jedoch aufgefallen, dass nur die beiden ipv4 Nameserver angezeigt werden. Ist dies ein Problem von resolve? Weil die IPv6 Nameserver scheinen zu funktionieren da ich sonst kein ping6 oder so ausführen könnte.
Das besagt nur ob die Nameserver auch per IPv6 Erreichbar sind, auch Nameserver die "nur" per IPV4 Erreichbar sind können ja auch IPV6 Adressen zurückliefern, nicht verwirren lassen. 
Der Lokale Einzelhandel hat sich durch mehrere Dinge ruiniert!
[...]
Also Unterm Strich: der Einzelhandel soll nicht immer die Schuld von sich wegschieben und einen auf "der Böse Onlinehandel macht uns Kaputt" machen. Wenn ein Einzelhandel Erlebnis anders aussehen würde als überteuerte Parkplätze, inkompetentes Servicepersonal und Lückenhaftes Sortiment, würden auch mehr Leute im lokalen Einzelhandel kaufen. Der Einzelhandel hat es selber in der Hand an der Situation was zu ändern, stattdessen wird sich aber nur über den Online Handel beschwert.
Exakt, und alleine das warten wärend manche Mitarbeiter dort erst Ihr Gespräch beenden müssen/wollen, ich freue mich schon auf die Zeit wo die meisten Märkte dann Vollautomatisiert sind. Das dort etwas Entwicklung, nicht Trend, verschlafen wurde darüber meckern, den Kunden anpöblen/ignorieren und die eigene Arroganz nach oben heben ist schon bemerkenswert. Mit der Automatisierung muß dann niemand mehr (dort) so arbeiten wie bisher und kann sich anderen Feldern widmen. Vor 100 Jahren gab es auch mehr Reitpeitschen Hersteller als heute.
Es mag schon ein Umbruch sein, vermutlich dauert dieser noch 1-2 Generationen (Naja, in D dann 3-4) aber nicht minder so wichtig wie die industrielle Revolution, nur hat D dieses Potential natürlich nicht erkannt und mault an den falschen Stellen rum.
Seit wann ist Grafana ein Monitoring Tool?
Benutz doch einfach Icinga 2 und gut ist.
Behaupte ich auch nicht, ich trenne Monitoring und Trending, Icinga 2 ob mit oder ohne Director ist "Standard", da gibts nix zu meckern.
Zabbix ist z.B. ein Schlachtschiff was Monitoring und Trending vermischt, und zu komplex geworden um es mal "so nebenbei" zu machen, zumindest wenn man mit Zabbix Proxys arbeiten muß, so ist auch ein ständiges Tuning von MySQL von Nöten für die Performance. Auch die Templates und die erste Konfiguration ist relativ anstrengend, zumindest ist man da anderes Arbeiten gewöhnt von anderen OpenSource Tools. Wenn es dann mal läuft tut es auch was es soll aber nervt manchmal etwas. 
Details?
Ich habe seit Jahren Dutzende Nodes am Munin Master mit insgesamt Hunderten Plugins hängen, ohne rrdcached. Früher sogar ohne SSD. Die I/O-Leistung war und ist dort mein geringstes Problem. Und das trotz modifizierter RRD-Definition, wodurch mehr Datenpunkte je Interval vorhanden sind. Eine einzige RRD-Datei braucht dabei fast einen halben Megabyte.
Trotzdem erinnert mich das daran, dass der Punkt rrdcached von meiner TODO-Liste irgendwann abhanden gekommen ist. Muss ich gleich mal wieder drauf setzen…
Mein Munin Master hatte mit 6 Kisten wo er die Daten zusammenstellen sollen Probleme gehabt, so das der erste Cronjob noch lief als es bereits vom neuen beginnen sollte. rrdcached half einigermaßen, bin davon aber deswegen absolut nicht überzeugt mehr. Der Server selbst ist aber noch nie negativ bei der Perfomance bzw. I/O Last aufgefallen seit Jahren.
Generell fühlt es sich auch etwas altbacken an das ganze Perl geraffel. Hab aber auch keine Alternative gerade für mich, alles andere ist irgendwie anders nervig wie Zabbix, und der neue heiße Scheiß wie Grafana z.B.
Maule also nur und benutze es.
Bin vor ein paar Monaten über LibreNMS gestolpert und seitdem sehr begeistert davon.
Kommt aber denk ich auch ein bisschen auf den Einsatzzweck an.
Schreibt auch nur RRD Files, was ab einer gewissen Größe nicht mehr wirklich skaliert, muß mich bei Munin mit 7 Servern auch bereits mit rrdcached behelfen.
Ich muss gestehen ich habe schon sehr viel über MaxScale gelesen, aber noch nichts über die Lizenzkosten.
Um Galera Cluster geht es mir ja. Aber dann bräuchte ich eben den proxy, und MaxScale ist wohl besser als HAProxy.
Oder gibt es eine Variante ohne Proxy?
Etwas mehr Details zur neuen Lizenz: https://falseisnotnull.wordpre…-on-maxscale-new-license/
MaxScale hatte seinen Charme, gerade auch das trennen der Read/Write Queries sowie auch selbst die Authentication zu übernehmen. Das eigentliche Verteilen kann auch ein nginx als TCP Loadbalancer, allerdings gibt es auch da wieder einen SPOF.
Es hat sich aber bewährt das es mit der Applikation genausogut zu lösen ist, gibt selbst für die meiste $Software Native Möglichkeiten Read/Write Queries zu splitten und auch mehrere Slaves zum lesen in Hochlastszenarien zu verwenden, in dieser Logik kann dann auch einen Failover mit eingebaut werden, theoretisch zumindest.
Mal eine etwas blöde Frage wo sich ein eigenes Thema glaub kaum lohnt.
Gibt es eine Möglichkeit bei einem MariaDB Cluster das so einzurichten, dass ich keinen Proxy benötige? Wenn ich HAProxy/MaxScale einsetze, so gebe ich in allen Anwendungen die IP des Proxy an. Wenn dieser jedoch mal weg sein sollte, so ist die Datenbank nicht mehr erreichbar. Ansonsten müsste ich ja zwei Proxys verwenden mittels Failover IP oder gibt es da was "schlaueres"?
Bei einem Gluster System (Nicht für die Datenbank geeignet was mir klar ist) kann ich ja mehrere Server zusammenschliessen, und dank dem Gluster Client verwendet er immer die IP die erreichbar ist ohne das ich einen Proxy verwende.
Soll jetzt kein trollen werden aber genau wegen dem Maxscale Lizenz Foo bin ich von Galera Cluster bzw. XtraDB überzeugt und auch überrascht gewesen. Vielleicht ist das ja sogar was für dich.
MaxScale flog bei fielen raus da es nicht mit Transactions umgehen kann, was ansich in der Natur der Sache da liegt.
Aus Erfahrung her kann ich sagen das der Failover soweit es geht am besten direkt in der Applikation erfolgen sollte, nichts ist schlimmer als Splithead.
Naja, nen PW tuts auch, Keys finde ich persönlich immer eher unpraktisch, nutze ich nur bei Server - Server Verbindungen.
Hab bei allen RS und VPS nen 30-40stelliges randomisiertes PW und dazu Fail2Ban mit 5 Versuchen und 48h Ban... Reicht für mich mehr als aus 👌😊
Mein ssh-ed25519 Key hat 68 Zeichen.
Ich würde nie, nie Passwort Auth aktivieren, gibt schlicht keinen Grund dafür. Mit SSH Agent ForwardIng ist Passwort der umständliche Weg, Und auch alleine schon um "ChallengeResponseAuthentication" und "PAM" deaktivieren zu können.
Wenn dir jemand eine Kiste aufmacht, egal wie, und Passwort Auth war an, das bekommste dann nichtmehr erklärt.
Wie hoch ist die Findtime von Fail2Ban? Also wielange darf man auf SSH einprügeln?
hat jemand schonmal Apache2.4 und https://github.com/gnif/mod_rpaf benutzt?
Jaein, unter 2.4 heißt das mod_remoteip: https://httpd.apache.org/docs/2.4/mod/mod_remoteip.html
[...]Also wenn wirklich der Anbieter gemeint war, dann kann ich da keine Konkurenz erkennen
Konkurenz, das heißt wenn überhaupt "Marktbegleiter".
Wenn es um Statistik Daten geht bin ich auf für influx. Gerade mit collectd zum sammeln der daten und einer Influx zu speichern ist es echt mächtig.
Mit collectd lassen sich ja auch per exec Plugin leicht eigene Scripte zum Daten sammeln schreiben.
Jubb, für Time Series ist influxDB wirklich das beste momentan, kenne das noch mit nem Prometheus und/oder Graphite davor, sonst auch nur Grafana, da gibts wirklich hübsche und sogar auch aussagekräftige Dashboards bzw. Statistiken. Alles irgendwie mal in der Hand gehabt. Dann an Zabbix hängengeblieben. (Teilweise Scherz, Teilweise ernst.)
Dennoch glaube ich ich das Ende mit den Logs noch nicht erreicht, da kommt noch _das_ simple, überzeugende Tool, und ich meine nicht "(e)grep, awk usw.".
Caspar : Graylog ist zwar nett, aber schau dir lieber ELK an. Das ist noch 'ne ganze Nummer mächtiger (und komplexer).
Elasticsearch, Logstash, Kibana jedes für sich genommen schon anstrengend, zumal man das dann nichtmehr anfassen kann/darf.
Graylog ist das was vor ELK "fancy" war, hat auch seine Berechtigung, wenn es läuft dann läuft es auch.
Kann mir aber dennoch nicht vorstellen das dieser Toolstack bisher das Beste ist was nach fast 40 Jahren Logfiles, rausfällt, Gerade wenn ich mir diese Grok-Filter anschaue habe ich latent den Geschmack von erbrochenem im Mund.
Lieber Grafana zum aufhübschen der Daten?
Ich hatte/habe die besten Erfahrungen mit:
- Wenig Plugins, weniger ist da wirklich mehr
- MySQL Percona 5.7 und jemalloc
- http2 mit nginx+php-fpm7.2 (socket)
- fastcgi-Cache
- Redis Cache mit dem Plugin dazu
Wäre cool, ja. Geht aber leier nicht.
Übrigens verlief bei mir der Reboot ohne Probleme. Server ist von alleine runtergefahren und nach ein paar Minuten wieder ordentlich hochgefahren.
Klingt für mich eher danach das der Aufwand das reboot Script mit der Datenbank zu verheiraten zuviel Overhead ist, was auch eine valide Entscheidung ist, ist ja nur ein "Nice to have".
Grüße,
Ich würde mir auch wünschen das noch der "Nickname" vom (v)Server mit in der Email steht, habe aktuell 7 vServer da kommt man schon schnell durcheinander.
Ansonsten bin ich auch zufrieden und möchte mich auch auf diesem Wege nochmal bedanken für die umsichtige Handhabung trotz der Eile und der Anzahl an Maschinen.
So wirklich Recht machen mit den Zeiten kann man es eh nicht allen, ich habe z.B. durch mein Projekt bedingt (DynDNS Dienst) Nachts meinen Peak.
Da die komplette Hardwarenode neugestartet wird, wird es immer jemanden Treffen wo es "nicht passt". Ich habe mit meiner Redundanz allerdings keine Probleme mit Ausfällen.
Grüße,
