benja a écrit 1211 commentaires

Effectivement tu as un problème d'auth ou de config acl sur bind. Tu peux vérifier que tu utilises la bonne clef, le bon secret et que l'acl est correcte avec nsupdate.

nsupdate -y KEYNAME:secret

un fois dans l'invite, tu tappes:

server un.de.tes.ns
update add _acme-challenge.subdomain.domain.tld. 600 in txt blabla
show
send


Et tu verras directement si ça marche. Fais bien le test depuis la machine qui fait tourner certbot dans le cas où l'acl vérifier le réseau/addresse source, nsupdate se trouve dans un paquet bind9-tools (au pif).

Deuxième point, vu que tu as plusieurs NS (dig tondoamin.tld ns), il se peut que tu aie une config master/slave, dans quel cas il faudra t'assurer que tu communiques bien avec le server maître. Je suppose qu'il y a un moyen de force certbot à utiliser un NS au lieu d'auto-détecter la SOA/NS.

cf. https://linuxfr.org/nodes/128046/comments/1894150

Il manque visiblement un partie de ton log. Ce que tu vois c'est simplement certbot qui essaye (et réussi) à trouver le(s) bon(s) nameserver(s) autoritaire de la zone. En l'occurence cloudflare, et ça m'étonnerai que cloudflare propose le protocol nsupdate (mais je peux me tromper). donc où est passé ton bind? comme je te l'ai dit, tu peux éventuellement ajouter dans clouflare un _acme-challenge.subdomain CNAME vers un label dans une zone de ton ton bind, où bien ajouter un record NS pour subdomain.mondomain.fr qui pointe vers ton bind (btw, c'est curieux d'avoir enregistré ce nom :) Peut-être aussi que certbot peut utiliser l'api de clouflare directement, dans quel cas tu n'as pas besoin de bind.

Tests faits sur FreeBSD current GENERIC (donc pas du tout optimisé pour le benchmark), ce qui doit aussi expliquer les mauvais résultats que j'obtiens avec ton programme, je t'invite à tester haproxy pour pouvoir comparer correctement.

Et curieusement l'empreinte disque (approximation ~mémoire) est similaire. Je crois que l'on peut prudemment déclarer une victoire écrasante du C. :P

$ ldd `which haproxy` |grep lib | awk '{print $3}'  |xargs ls -Ll  `which haproxy` | awk '{sum = sum + $5} END {print sum}'
9131472
$ ldd /tmp/a.out |grep lib | awk '{print $3}'  |xargs ls -Ll /tmp/a.out | awk '{sum = sum + $5} END {print sum}'
9154048

HAproxy fait beaucoup mieux!

global
        maxconn         200
defaults
        mode    http
        timeout connect 5000
        timeout client  50000
        timeout server  50000
frontend http
  bind :::8080 v4v6
  http-request redirect location https://avatar.spacefox.fr/Renard-%[rand(23)]

Running 10s test @ http://localhost:8080/
  4 threads and 10 connections
  Thread Stats   Avg      Stdev     Max   +/- Stdev
    Latency    62.45us  163.53us  15.92ms   99.96%
    Req/Sec    32.25k     1.61k   35.73k    63.37%
  1296464 requests in 10.10s, 140.41MB read
Requests/sec: 128360.73
Transfer/sec:     13.90MB
wrk -d10s -t4 http://localhost:8080/  2.41s user 12.31s system 145% cpu 10.106 total

avec ton code j'obtiens

Running 10s test @ http://localhost:8080/
  4 threads and 10 connections
  Thread Stats   Avg      Stdev     Max   +/- Stdev
    Latency   169.41us   48.95us   1.82ms   89.27%
    Req/Sec     3.31k     2.90k    6.80k    39.39%
  13415 requests in 10.04s, 1.89MB read
Requests/sec:   1336.17
Transfer/sec:    193.23KB
wrk -d10s -t4 http://localhost:8080/  0.06s user 0.46s system 5% cpu 10.045 tota

Il doit y avoir moyen de faire ça avec haproxy (sans lua!) aussi. Et au doigt mouillé, ça doit exploser toutes les autres solutions évoquées ici au niveau perf (mémoire, taille du binaire et cpu). Pas sûr que cela réponde à ta question… vu que pour moi java est clairement une usine à gaz pour ce genre de ^W^W^W^W dans tous les cas ;-)

(je me suis emmêlé les pinceaux)

L'aspect intéressant de cette nouvelle c'est que cette entreprise a visiblement besoin d'opensource-washer son image auprès de ses propres employés. :D

Et l'open-source, il leur rapporte déjà combien ?
200k c'est ridicule, et probablement moins cher que le salaire du gars qui a "imaginé" ce plan marketing. Bref tout ça me semble être un non évènement.

Est-ce que c'est faisable avec bind9

Oui, c'est possible avec n'importe quel serveur dns du moment que c'est un serveur authoritaire d'une zone. Note que tu peux utiliser une zone différente du domaine de ton certificate en utilisant un cname (pour + de détails cf. la rfc de acme).

et auriez quelques étapes à me donner ?

Disons que ça dépend un peu de ton setup. Je fais ça avec uacme, des certificats ssh, un chouilla de shell, luajit+ffi et nsd—mais disons que c'est probablement overkill pour le quidam. Dans le repo du client uacme il y a un script de démonstration pour s'intégrer avec nsupdate aka ta rfc2136, je regarderais de ce côté si j'étais toi. J'imagine qu'avec certbot c'est possible aussi…

En passant et vu que tu as noté le port sd interne, je signal qu'il est aussi possible d'utiliser le port sata du cd-rom, ou le port usb qui se trouve sur la carte-mère. Les 3 méthodes se valent.

ps: pour les générations précédentes, le contrôleur raid (hp smart array 420i pour ne pas le nomer) ne supporte pas officiellement le mode hba, mais il est possible de bidouiller pour l'activer tout même (il y a des patchs qui trainent sur la lkms posté par un ingénieux Polonais me semble-t-il—apparement il s'est rendu compte que l'option était présente sur la gamme itanium du même contrôleur, il suffit juste de changer le bon bit au moment d'envoyer la page de configuration scsi au controleur). Et pour le g8+, il me semble qu'il faut tout de même une license spéciale pour activer le mode hba, ce qui fait que dans mon cas j'ai simpement fais 8 groupes raid de 1 volume chacun, ce qui est certainement une très mauvaise idée :)

pps: il est tout à fait possible de booter en mode legacy et d'utiliser gpt, il me semble que la pluspart des os libres configurent gpt de cette façon.

Donc bug ne serait pas dans le driver, mais bien dans la manière dont le port série est ouvert/initialisé: son outil semble avoir activé le mode télétype malgré le fait que sa sonde ne le supporte pas.

pl2303_get_line_request est appellé par pl2303_set_termios
https://github.com/torvalds/linux/blob/1bff7d7e8c487b9b0ceab70b43b781f1d45f55eb/drivers/usb/serial/pl2303.c#L802

qui est appellé par pl2303_open
https://github.com/torvalds/linux/blob/1bff7d7e8c487b9b0ceab70b43b781f1d45f55eb/drivers/usb/serial/pl2303.c#L968

    if (tty)
        pl2303_set_termios(tty, port, NULL);

qui est appelé par le code générique de pilot série lors de l'ouverture de la ligne série.

Donc 1: son outil pourrait n'ouvrir la ligne qu'une seule fois et la reouvrir en cas d'erreur uniquement; 2: il ne devrait pas vouloir allouer de tty.

Pour les SAN ou les VMs, tu réponds encore à côté, car tu opposes LVM au partitionnement. Ce qui n'est absolument pas le sujet ici
Ton LVM, que tu lui rajoutes un disque entier ou une partition, ne change strictement rien aux possibilités qu'il offre.

Je vais te donner un exemple pour que l'on parle bien de la même chose: tu loues une VM avec disque OS + 1TB de stockage à un client. Le client t'appelle (ou ton monitoring): il manque 100GB. Deux solutions: 1. tu resizes le disque à 1.1TB 2. tu ajoutes un disque de 100GB, ([1]). Les deux fonctionnent, au mois suivant du facture 10% de stockage en plus, tu es content! La différence c'est qu'au 15me appel on va soit se retrouver avec 16 disques, soit avec 1. Hormis l'aspect esthétique et une subtilité technique qui peut être importante (e.g. pour une bdd [2]), il n'y a pas de différence fonctionnelle fondamentale.

Par contre si tu choisis de n'avoir qu'un disque avec une table de partition, il te faudra à chaque fois redimensionner la table des partitions (ce qui est à la fois casse-pieds avec les conversion secteurs/KiBi/Kilo, respecter les alignements, etc—il ne faut pas se planter quoi, soit impossible avec redhat - lol). Donc ne pas avoir de table de partition rend la procédure plus simple. On passe de 5 étapes ("rescan scsi bus"-"rewrite partition table"-pvresize-lvresize-growfs) à 4 ("rescan scisi bus"-pvresize-lvresize-growfs), ce qui est plus court et sans l'étape complexe et dangereuse. Ce qui me semble est l'argument de totof2000.

Si tu décide d'ajouter un device (ce qui n'est pas toujours possible, i.e. emulation ide ou serveur physique plein), la procédure serait en 5 étapes sans partitions ("rescan scsi"-pvcreate-vgextend-lvresize-growfs), ou bien 6 avec partitions ("rescan scsi"-"create partition"-pvcreate-vgextend-lvresize-growfs), ce qui contient autant d'étapes voire une de plus que précédemment.

Donc la question devrait être: pourquoi vouloir utiliser des partitions lorsque cela introduit, au mieux, une étape supplémentaire, ou, au pire, une source d'erreur catastrophique ?

La réponse: "je préfère comme ça, je sais pertinemment ou je ne veux pas savoir comment la couche block de linux interagi avec mon SAN et je n'ai jamais utilisé de redhat ni fait d'erreur catastrophique de ma vie" est tout à fait valable hein[3].

[1]: On peut aussi ajouter un disque de 1.1TB puis faire un pvremove mais c'est (beaucoup) plus long, ça impacte les perfs, et c'est parfois tout simplement pas possible car on a rarement 110% de capacité en spare.
[2]: linux va utiliser 16x plus de queues "virtuelles" sur ton SAN, donc au final il sera très probable que la latence va fortement augmenter.
[3]: Perso j'aime bien avoir des partitions, mais je dois reconnaître qu'utiliser des devices directement présente une certaine praticité (et je n'ai pas encore fait d'erreur catastrophique :D).

la partition étendue (une seule sur les quatre, il me semble […])

Chacune des 4 peut être une partition étendue et il peut y en avoir plusieurs (même sous DOS, par contre DOS ne peut booter que sur une primaire). Dans chaque partition étendue, il peut y avoir une infinité de partitions.

J'entends bien avec la partition montée. De ce fait ça fonctionne très bien sur / ou sur n'importe quelle autre partition. Seulement redhat a un patch qui verouille la copie kernel de la table des partition si une des partition est "ouverte" (montée ou via un pv lvm), et il me semble que c'était toujours le cas avec une centos 7.

Il n'y a que windows pour proposer de formater un disque sans table… Un linux va détecter ton disque comme un membre LVM. Mais si vraiment ton seul problème c'est de pouvoir mettre le disque d'un serveur dans un pc windows sans risquer de perdre des données, alors effectivement il est sans doute plus opportunt d'utiliser des partitions. Cela ne me semble pas être dans le cadre d'une utilisation pro avec un san, des vm ou du raid hw, mais bon c'est sans doute le mieux pour ce cas d'usage original. Les sysadmins qui ont déjà eu des vm redhat à gèrer continueront à mettre un pv sur un disque en entier (ou pas :D)

Après, arrête aussi avec redhat. D'une part, parce qu'ils ne sont pas les seuls à distribuer des noyaux linux, et d'autres part, car le redimensionnement reste possible, juste qu'il ne se fait pas à chaud.

Il sont les seuls à avoir cette limitation, désolé. Sur une debian, je peux t'agrandir un fs, un lv, un pv, une partition et un disque à chaud, dans une redhat ou centos ça ne fonctionne pas et cela est du à un patch spécificique de redhat. Je te laisse chercher sur stackoverflow et je t'invite à tester dans une vm si tu ne me crois pas…

On ne peut pas réduire un disque dur. Ca n'a pas de sens.

De la même façon qu'on ne peut pas agrandir un disque dur… Si tu as un SAN, que tu utilise le cloud ou des VM, c'est à dire que si tu paye ou que tu facture ces ressources, ça a du sens. Même s'il apporte quelque facilité en desktop, LVM est plustôt prévu à la base pour une utilisation serveur. Je te rappelle qu'il est issu de la technologie mainframe d'IBM AIX, et de ce fait il a été pensé pour que tout puisse se faire en ligne.

Moi je répondais juste à ta question de savoir

C'est quoi la différence entre avoir le disque tout entier ou avoir la seule et unique partition du disque qui prend toute la capacité du disque

C'est dommage que tu choisisse d'exclure mon seul argument qui découle d'une réelle impossibilité technique. Encore une fois essaye avec une centos, il n'est pas possible d'augmenter une partition, même pas besoin d'avoir un san ou une vm pour tester, tu n'a qu'à prévoir un espace libre après ta partition. Mais bon, comme d'hab avec toi, tu es toujours le premier à donner des leçons à tout le monde, par contre lorsqu'on te met devant des faits, comme par hasard tout devient hors sujet ou rien n'a plus de sens… bizarre comme comportement sur un forum d'échange technique…

Un autre avantage est d'éviter tout problème d'alignement (les lv étant alignés de facto sur 4MB).

tu ne peux pas le réduire, à moins de le changer !

Bien sur que si tu peux … man pvresize.

Non. Tu redimensionnes ce qui est utilisé par LVM, pas la taille de ton disque/partition sous-jacente.

Dis tu ne serais pas un peu de mauvaise fois là ? Évidemment qu'il faut réduire ton disque où la partition sous-jacente. S'il n'y pas de partition, on gagne une étape. Et sur un noyau redhat, on peut (pouvait?) le faire en live, ce qui n'est (n'était?) pas possible avec une table de partition.

(si ma mémoire ne me fait défaut, sous AIX pvresize réduit la partition tout seul aussi… ce qui fait que les anciennes pages de manuel peuvent porter à confusion).

Tes problèmes de redimensionnement, j'avoue ne pas les comprendre.

Pourtant c'est simple: en virtuel (ou avec un SAN), cela évite d'avoir une multitude de petits disques, il suffit d'agrandir toujours le même disque et de faire un pvresize.

Sur un environnement physique, lorsque la limite des connections est atteinte, tu seras bien obligé de remplacer les plus petit disques (physiques) par des modèles de plus grande capacité. Si tu as du raid, tu remplaces tes disques l'un après l'autre, et tu finis par un pvresize (en live donc).

Ne pas avoir de table de partition permet 1: de contourner une limitation des noyaux red-hat 2: d'éviter la phase de changement de la table des partition (et historiquement d'éviter les limitations des tables mbr si on décide de faire resize disque + nouvelle partition) 3: éviter les surprises avec le backup gpt qui se trouve à la fin du disque.

Sauf que ça ne marche pas sur redhat…

Pour ajouter du folklore à cette discussion, ce qui est autrement amusant c'est que redhat recommande de faire des partitions, mais d'un autre côté patche son kernel pour empêcher le resize de partition en live (parce que bon moi aussi j'aime les trucs propres: si je dois agrandir un disque, je préfère agrandir la partition plustôt que d'ajouter un pv) … comprenne qui pourra :D

Je suppose que systemd-homed choisi à dessein un uid hors de cette range. Donc cette manipulation aurait très peu d'intérêt. De plus, selon sa documentation, gdm ne filtre pas en utilisant une borne maximale, uniquement en utilisant une borne minimale (et probablement via une constante configurée lors de la compilation mais je suis trop fainéant pour vérifier).

https://help.gnome.org/admin/gdm/stable/configuration.html.en#greetersection

Si la doc est à jour, soit il faut mettre IncludeAll=true ou bien Include=username dans la section [greeter]. On peut supposer que l'intégration avec policy kit ne fonctionne plus, la doc dit que «GDM … displays users that have previously logged in on the system (local or NIS/LDAP users) by calling the ck-history ConsoleKit interface».