Eida.cz - Jak zas nebyl čas

Jak zas nebyl čas

14. prosince 2017, 17:58 Eida

Něk­dy to tak při­j­de, že všech­ny doko­na­lé plá­ny najednou zha­tí je­den je­di­ný okamžik. Možná je to vyšší zás­ah, možná si na nás brou­sí zu­by Micro­soft, dost možná pros­tě sem tam ně­co důl­eži­tého opo­mene­me a pak se nám to ja­ko bu­me­rang vrátí se vší si­lou pří­mo do ob­li­če­je. No a ne­bo je to všechno jen vánoční náh­o­da.

When you are confu­sef, don’t forget to try not to kill so­me­o­ne.

Před něko­lika týd­ny už by­la si­tua­ce na­dále neudrži­telná, jed­na z we­bových .NET ap­lika­cí s WPF za­ča­la mít ta­kové nár­oky, že to už snad ani ne­bylo legální, ne­bo spíše splni­telné na stáva­jí­cím vir­tu­álu s dvaatři­ce­ti­bi­tový­mi Win­dows 7 a je­jich na­tivní IIS. Jedno ja­dérko Xe­o­nu E3 a maxi­mální množ­ství 3 GB RAM před­stavovalo li­mit, nad kte­rý se ne­dalo už jít. Tak za­ča­la etapa přípravy nového stro­je se stejný­mi OEM Win­dows, ako­rát te­dy s dvojná­s­obným paměť­ovým ob­je­mem a čtyři­aše­de­sá­ti­bi­tovou in­stala­cí. Po zku­šenos­tech to ne­by­la žád­ná výzva, prak­ticky sta­či­lo ak­tivovat IIS, vložit jí od­po­ví­da­jí­cí UNC ces­tu, ově­ř­it se pro­ti do­méně a je­lo se. Vlastně ne. Sta­ré Fo­xko se svý­mi VFP olé, skon­či­lo už v ro­ce 2008 a nik­do od něj ne­če­kal návrat do bu­doucnos­ti, kde bu­dou bi­tíky už jen při­bývat a všechno bu­de po­stupně nad­re­lační a su­pe­r­ob­jek­tové. No jasně. Na řa­du pak mu­sel při­jít Micro­soft SQL Server, kte­rý ko­nečně může na­tivně běž­et pod Li­nuxem. Zvo­li­li js­me… ale co to po­ví­dám, když mám hlavní slovo, zkrátka pou­žil jsem pro něj Cen­tOS 7 s nasta­vením SE­Li­nux po­li­tiky plus mínus v legisla­tivních rám­cích tajných doku­men­tů EU a pak ako­rát upravil fi­rewall na NA­Tování z li­bvirt hos­ta. Legrační je, že vlastně v izo­lovaných pro­stře­dích není možné NA­Tovat pro­střednic­tvím hos­ta z ji­ných vir­tu­álních subne­tů, přes­tože to z fyzické LAN vlastně jde. No co už, tak se zkrátka vy­ro­bil nový subnet a bylo. Ale o to teď nej­de.

Na fyzické sí­ti pak ješ­tě běží mi­ni­a­turní vir­tu­ál s De­bi­anem 8 v ro­li kavár­ny do­ménového řa­di­če Ac­tive Di­rec­to­ry. Na tom by ne­bylo nic špatného, po poku­sech z uplynu­lých let je ko­nečně na­sazen v pro­duc­ti­on a je­ho pa­ra­me­t­ry, totiž vy­uži­tí pod 512 MB RAM a so­tva de­se­ti­nu jedno­ho CPU jád­ra, by slo­ži­ly do kapsy všech­ny ori­gi­nální Serve­ry 2016 R6, kte­ré mu­sí po­vinně běž­et na těch nejnovějších a nej­dražších stro­jích. Je­likož je ale všu­de na tenhle pro­voz málo mís­ta, mu­se­lo se vy­mys­let za­tím do­časné ře­šení pro umís­tění do­mov­ských jedno­tek a pro­fi­lů uživa­te­lů. Nic snazšího, řeklo by se, pros­tě js­me čap­li je­den z vy­řazených WD Re dis­ků a připo­ji­li ho ja­ko fyzické za­řízení pří­mo do KVM. Je potře­ba si ta­dy uvě­do­mit, že Sam­ba ja­ko AD DC pracuje s NT oprávnění­mi, kte­ré překlá­dá ja­ko UNIX ACL a mís­to, kam za­pi­suje, mu­sí umět user_xattr, acl. Takže pův­odní plán s min­jíkem mít JFS úplně ne­vy­šel, pros­tě tam běží ex­t4 a je to ta­ky v po­ho­dě. Saz­mozřejmě to úskalí - na­in­stalovat nový fyzický disk pros­tě ch­ce ce­lý har­d­wa­re vypnout a pak znova zapnout. I když pokus uděl­at to ja­ko hot­swap by tu byl, jen pros­tě nefungo­val SA­TA kabel, takže se vlastně nic nestalo.

Ješ­tě před tou vým­ěnou pro­bíh­al tak tro­chu vánoční úk­lid v sí­ti. Ono je vž­d­ycky jedno­dušší navr­hovat všechno od za­čátku, než se snažit po­mo­cí in­tegra­ce po­stupně obnovovat stáva­jí­cí mis­si­on-cri­ti­cal ar­chi­tek­tu­ru. Ale k vě­ci - přes­tože by to asi mál­oko­ho na­padlo, grafický virt-manager při pro­cházení cest a moun­tování staženích .iso ob­razů vy­tváří sto­rage konfigu­ra­ce pro dé­m­o­na, li­bvir­td. To je hodně špatná si­tua­ce, pokud něk­do ja­ko ne-ro­ot stahuje CDčko do svého ~/Downloads/ a pak se pros­tě roz­hodne ho buď úplně smazat, ne­bo pros­tě změnit svo­je stažené sou­bo­ry k ne­poznání a pře­roz­házet všech­ny do­sud stažené vě­ci na síťové ces­ty, aby je pak mo­hl znovu pou­žít i něk­do ji­ný. Pro­tože pak při­šel re­bo­ot, ce­lý host na­bíh­al znovu a star­toval všech­ny svo­je dé­m­o­ny, jak bývá obvyk­lé. Pak na řa­du do­razil ko­nečně li­bvir­td, kte­rý se sta­rá o spouš­tění in­stan­cí KVM/QE­MU, zapnul první stroj a pak, tram­ta­da­dá, zhava­roval s vel­mi tvr­dým SEGFAUL­Tem. Co bu­du po­ví­dat, to­hle na­pravit za­bralo o něj­a­ké tři ho­di­ny navíc pro­ti pův­odní­mu plánu a zas ne­byl čas, je­likož js­me mu­se­li utí­kat na vel­mi vtipný a poučný kon­cert.

Ale to po­řád není všechno. Vir­tu­ální stro­je na­ko­nec všech­ny po opravě cest naběh­ly, ale z něj­a­kého dův­o­du ne­bylo možné pou­žívat zmíněnou we­bovou ap­lika­ci. Ta je nor­málně, ja­ko v mi­nu­lých le­tech, schovaná za Apache v ro­li reverz­ní pro­xy a nik­dy s tím ne­byl pro­blém. IIS pou­žívá se­bou po­de­psaný cer­tifikát, kte­rý Apache ví­ceméně igno­ruje a na­venek se pre­zen­tuje cer­tifiká­tem od Let’s En­crypt au­to­ri­ty. No a po­tíž se pro­jevova­la najednou v tom, že něk­te­ré pro­hlíže­če z něj­a­kého dův­o­dy ne­drže­ly .NET ses­si­on, ať už po­slanou v URL, ne­bo ja­ko za­bez­pe­čené co­okie. Zděš­ení, že to něk­de jde a něk­de ne, vy­vo­lalo spe­kula­ce o užívání drog a be­zesné chvíle strá­vené de­bugo­váním vše­ho možného. Na­ko­nec se ukázalo, že všechno, co fungo­valo, fungo­valo vlastně špatně a naopak, co nefungo­valo, se chovalo na vý­s­ost správně a zaslou­ží si to hvěz­dičku.

Pes, resp. ra­ráš­ek, byl za­kopaný ten­tokrát hodně, hodně hlu­boko. Po­stupné tra­sování hlavi­ček přes cURL ukázalo, že ses­si­on vy­prše­la zhru­ba ho­di­nu před sa­motným vysláním poža­davku. Huh? To po­řád ale ne­vy­světl­ovalo, proč tře­ba tex­tové pro­hlíže­če s ap­lika­cí nor­málně pracu­jí, ale tře­ba mo­bilní Safa­ri vůb­ec. Za všechno stejně mo­hl hodně špatný In­ternet, ja­ký ISP u Krá­l­í­kových v sou­časnos­ti na­bízí, ovšem z mé chýše se už celkem slušně kres­li­lo tře­ba RDP, takže by se moh­lo ukázat ně­co víc. Je to smutné, že k Win­dows vlastně není nor­málně možné přistu­po­vat bez GUI, on i ten Power­Shell je dost směšný. Že je ně­co oprav­du v ne­po­řád­ku, to­mu moh­lo tak tro­chu na­po­ví­dat, že do­ménové přih­láš­ení trvalo ne­uvěř­i­telně dlouhou do­bu. No a pak… pak to přišlo. Vpravo do­le, kde obvykle Win­dows zob­razu­jí ho­di­ny, se ukázal čas - ale ne ta­kový, ja­ký ukazoval Mac vpravo na­ho­ře. On ne­byl čas! Byl o ho­di­nu ve­d­le.

No jis­tě, KVM host je při star­tu ja­ko har­d­wa­re nasta­vený na GMT a je jen zál­eži­tos­tí guest OS, jak se s tím vy­rovná. V tom­to přípa­dě Win­dows 7 te­dy ni­jak. No ale aby do­mé­na AD děl­a­la, co má, mu­sí být na řa­di­či ta­ky po­sky­tova­tel ča­su, te­dy NTP server. On se sta­rá kro­mě po­de­pi­sování pa­ke­tů a ově­ř­ování to­tožnos­ti do­ménových uživa­te­lů v ča­sových rám­cích ta­ky o to, aby měly všichni připi­jení kli­en­ti správný čas. No a teď si to de­bugni, na Win­dows, kde i w32tm /resync skon­čí jen se suchým hláš­ením, že se to pros­tě ne­po­ved­lo. Naš­těs­tí mít po ru­ce UNIX s nor­málním kli­en­tem se díky VPN do­tazem ntpdate -q dc1, ntpdate -q ntp.lan oprav­du vy­pla­ti­lo, pro­tože zpátky přišlo co­si ja­ko no server sui­table for syn­chro­niza­ti­on found. O tro­chu výše ovšem zář­i­la sku­tečná pří­či­na. Oby­čejně to funguje tak, že DC je v sí­ti ješ­tě syn­chro­nizován s NTP serve­rem v LAN, kte­rý si pak be­re sku­tečný čas z ko­řenových NTP serve­rů, na­příklad z tik.cesnet.cz. No a vtip je, že je­ho au­to­ri­ta závi­sí na vrstvě, takže když tam svítí stra­tum 16, dost možná to asi ne­bu­de to pravé. DC má ručně kompi­lovaný NTPd, kte­rý měl, ja­chach, překlep v ntpd.conf, kde je možné falšovat stra­ta ur­či­tých stro­jů. Takže správně se na­paš­ti­lo fudge ntp.lan stratum 2 a po re­bo­o­tech už bylo vše ok. Joj.

Na­pro­ti to­mu bylo v uplynu­lých dnech i ně­co po­zi­tivního, totiž i když zas ne­byl čas, stejně bylo potře­ba na­jít pár okamži­ků na úplně novou in­stala­ci High Sier­ry na je­den stroj. Vlastně ho za­se sta­či­lo jen vzít do budníku, spus­tit In­ternet re­cove­ry, za pár mi­nut to bylo stažené a je­lo se. Jde ale hlavně o to, že in­stala­ce z vlast­ní vůle vy­ro­bi­la na vestavěném SSD nový Apple FS, a to i přes­tože tam byl po­ne­chaný HFS+. A ku­po­divu to je ve­li­ce rych­lé a použi­telné, takže ne­hro­zí žád­né zdržování ve chvíl­ích, kdy zas ne­bu­de na nic čas. Ale o tom už zkrátka asi jsou Váno­ce - o mytí ča­su.

Eida
Tento článek přečetlo již 15 čtenářů (0 dnes).

Komentáře

Nový komentář