Misc a écrit 6333 commentaires

Fait un kickstarter et à toi le pognon. Au contraire de la pétition demandant à lennart d'arrêter de coder, avec quasiment personne qui a signé…

Je pense que Centos aurait suivi RHEL avec ou sans le fait d'avoir des salariés de RH, parce que c'est la raison d'être de la distribution.

Et je pense que si qui que ce soit de compétent et motivé l'aurait voulu, il aurait fait sa distro sans systemd, et les gens l'aurait suivi si il y avait vraiment un interet fort, et des avantages.

Comme c'est pas arrivé, soit les gens qui ralent sont pas prêt à mettre la main à la patte, soit ils sont pas assez nombreux.

Visiblement, le souci n'est pas de changer ou pas, vu que si les gens prennent une version récente, ils veulent du changement.

Non, mais centos 6 est encore maintenu.

Non, la procédure normale en sécurité est d'arrêter la machine
vérolée, et d'assurer la continuité de service à partir d'un
état que l'on sait sain. Pas de continuer avec une machine
potentiellement vérolée qu'on n'a pas audité.

Pas forcément. D'une part, arreter la machine va détuire les processes en cours et donc des informations potentiellement intéressante.

Ensuite, le but est aussi d'assurer la continuité du service si possible. Dans le cas d'une banque, la perte en réputation est tel que tu peux difficilement prendre le risque que la machine soit vérolé. Dans le cas de linuxfr et aux vues des réactions des gens icis, ils estiment que la continuité passe avant tout. C'est leur droit, et visiblement, entre couper tout linuxfr ou couper à minima et fouiller aprés, ils ont choisi.

Bien sur, tu peux faire un choix différent, mais c'est eux les admins et le concept de responsabilité fait qu'ils ont toute latitude dans le fait de choisir en ignorant ou pas tes arguments.

Perso, c'est pas forcément ce que je voudrais. Moi, j'aime bien avoir un truc intégré avec des gens qui vérifient et qui font pas n'importe quoi et n'importe comment. Je voit bien par exemple comment ça se passe sur les différentes applis android bourré de pub, etc.

Je peux comprendre que des gens veulent ça et je m'oppose pas à la techno ou à laisser le choix pour ceux qui ont moins bons gouts que moi, mais ça me dérange pas que ça ne soit pas déjà le cas, loin de la.

C'est pour ça qu'il aut utiliser systemd et les cgroups :p

( d'ailleurs, c'est ce qui est fait dans atomic : http://www.projectatomic.io/ )

Tu peux aussi faire pareil via ansible et docker avec un connecteur spécial:
https://github.com/ansible/ansible/pull/7971

Le registry docker est relativement simple à faire tourner pourtant.

Tu peux aussi regardé du coté de crane et de pulp:
https://github.com/pulp/crane
https://github.com/pulp/pulp_docker

qui permette de gerer ton propre jeu de miroir de rpm, d'imageopenstack ou docker ( et si quelqu'un pouvait coder le support des paquets Debian, ça serait chouette ).

Et je suis pas sur que faire un dépôt basé sur git pour mettre des images de 100 à 200m soit une riche idée :)

Tu parles de Canonical ?

Moi, ce que je trouve bizarre, c'est qu'on perpétue le fait que les fonctionnaires soient différents et qu'on se dise dans notre esprit qu'ils sont une et une seule entité. Et qu'on fasse une différence privé publique si forte. Jamais tu n'as dans l'esprit des gens ou dans les discussions une opposition marqué entre 2 boites privés ou 2 administrations publiques. Mais les hommes politiques, à force de stigmatisation, ont réussi à ce qu'on généralise sur les fonctionnaires, alors qu'il y a comme partout ailleurs, de tout.

Je pense qu'il y a sans doute un lien entre ce qu'on voit grâce à l'explosion des réseaux sociaux, la peur de louper des choses ( https://en.wikipedia.org/wiki/Fear_of_missing_out ) et le comportement de la NSA. Il n'y a pas de raison que ça affecte les gens en dehors de la NSA et pas les gens à l'intérieur, surtout si une partie de leur role est justement de se tenir au courant.

À partir de la, et ayant les moyens et entouré de gens partageant le syndrome, n'ayant pas de garde fous ( tel que "j'ai un job à faire" et "je doit voir mes potes" ), j'imagine que ça a très bien pu se propager comme un feu de priarie dans la structure de l'agence.

Sans vouloir trop pinailler et après avoir fouillé :
http://wiki.centos.org/About/Product
https://access.redhat.com/site/fr/support/policy/updates/errata

fin de centos 4 => 30/02/2012
fin de RHEL 4 => 28/02/2015

IE, tu peux payer pour avoir 3 ans de support en plus sur RHEL.
Mais je reconnais que c'est discutable.

Donc ça serait pour Numergy que Canonical a adapté Openstack comme VMWare ( cad, avoir VMWare comme hyperviseur supporté ), cf

https://insights.ubuntu.com/2014/04/15/ubuntu-14-04-lts-the-cloud-platform-of-choice/

http://www.infoworld.com/d/virtualization/vmware-partners-canonical-extend-openstack-cloud-217458

En fait, au vue de la taille de la citation sur le premier et de la pub que le VP de Numergy se fait, je peux imaginer qu'il s'agit d'un client stratégique, et ça implique sans doute "payer pour du code".

Mais ensuite, il semble que l'intégration avec VMWare ne soit pas encore suffisamment fiable:

http://www.silicon.fr/cloud-numergy-ajoute-corde-openstack-arc-95094.html

Et il n'est pas question de passion, d'esprit du libre, de
communauté et tout le toutim.

Il faut pourtant voir qu'un tarif plus bas permet d'avoir une debian LTS. Et avoir une debian LTS permet de garder leur business en vie d'une part, mais aussi de rendre Debian compétitive, d'augmenter le nombre de contribution et donc s'aligne aussi avec leur passion de Debian.

Je ne pense pas qu'on puisse facilement séparé les 2.

Comme j'ai déjà posté si souvent, la longévité de Debian est assez courte en comparaison d'autres OS. ( je me cite moi même https://linuxfr.org/nodes/97929/comments/1447718 ).

Centos tape dans la même durée de vie que RHEL sauf erreur de ma part ( peut être pas d'aprés ce que Zertinam dit ). Mais le reste encore correct, et en effet, Debian passe à la traine sans LTS par rapport aux restes des distribs traditionnellement vu comme serveurs.

Je pense que 3 ans, c'est suffisant pour moi en tant que particulier. Mais je sais aussi qu'il y a des gens avec des distribs comme RHEL 4 en production, du Solaris 8, etc, etc. SUr le coup, quand j'ai eu un appel téléphonique avec un client qui m'a dit avoir ça, j'ai pas percuté, mais Solaris 8 est sorti en 2000, Solaris 9 en 2002, et sont encore supporté ( plus ou moins pour Solaris 8, et plus très longtemps pour le 9 si je pige bien ce que Wikipedia me dit ).

Il faut aussi voir le timing des discussions. Fin 2011, Canonical passe le support LTS de 3 ans à 5 ans.

http://www.omgubuntu.co.uk/2011/10/ubuntu-12-04-lts-desktop-to-be-supported-for-five-years

Début 2012, RH annonce supporter RHEL pour 10 ans (http://www.theregister.co.uk/2012/01/31/redhat_rhel_more_life_support/).

Avril 2012, Canonical sort sa LTS avec un support plus étendu que d'habitude, fait de la publicité, etc.

Un an, un an et demi passe, et je pense que l'effet des annonces commencent à se faire sentir par ci par la, à savoir que les gens commencent à réaliser que prendre une Ubuntu va permettre d'avoir un support plus long que Debian, que prendre Centos va aussi permettre d'avoir un support plus long que Debian. Pour certains, ils s'en foutent, pour d'autres, peut être pas.

La, je pense que les discussions privées sur un coin de table commence. L'idée trotte sans doute depuis longtemps, mais c'était pas si critique, Debian était dans la moyenne.

Donc on arrive à mi-2013, les gens discutent et quelques mois plus tard, organisation d'un meeting de la security team à Essen, allemagne. Et l'annonce de Debian LTS est faite en janvier 2014. Avance rapide au moins de Juin, Debian 6 est EOL, donc Debian-LTS arrive.

Debian LTS est la parce que les indépendants autour de Debian ont commencé à voir les demandes des clients, parce qu'ils ont aussi envie de voir le projet vivre et prospérer, et parce que les temps ont changés.

Je ne doute pas que le tarif de gros soit moins cher. Je pense que l'équipe de 10 admins windows, qui était un peu moins expérimenté que moi était à 200 ou 300€ par jour et par personne. Mais c'était aussi des gens qu'on avait pris quasiment à la sortie de l'école (aec un diplôme en physique, ce qui n'est pas un mal mais un chouia moins adapté au taf qu'un en informatique), formé 2/3 semaines et mis chez le client, de l'aveu même des personnes.

Mais sinon, oui, ils étaient en régie de la même façon que moi.

Les tarifs pratiqués pour les prestations varient quand même beaucoup.

Bon, sinon ça fait 680€/jour

ce qui est pas si cher en fait pour le nieau de compétences. J'étais facturé par feu ma boite à 800€/j en début de carrière, en régie en Alsace pendant 3 ans. Et quand je vois le tarif des consultants de nos jours, je me dit que soit l'inflation est passé par la, soit j'étais pas si cher que ça.

Ensuite, il faut voir que ça ne vise pas que les travailleurs français, et je pense aussi qu'ils font ça par passion donc sont sans doute prêt à faire une réduction de principe, ce qui explique le prix pas si haut que ça (ça, ou une déformation du à Paris).

Y a un certain nombre de trucs qui me laisse songeur
un peu partout.

D'abord, faire une liste privé pour que les boites puissent se retrouver entre elles, ça me parait un peu aller contre la transparence qu'on attends de Debian. Je comprends bien le fait de devoir offrir quelque chose en plus, mais ça fait très "mandrake club", et historiquement, ça n'a super bien marché. À coté, toutes les sociétés commerciales font ça aussi. Je pense qu'une condition pour que ça apporte de la valeur est d'avoir une communauté suffisamment grande et ç'est pas encore le cas. Donc personnelement, je commencerais pas par proposer ça.

Ensuite, le fait d'avoir le droit de soumettre ses propres tests cases me parait aussi curieux. Si le test case est utile à plusieurs personnes, pourquoi ne pas le donner à tous, et le mettre upstream ? Je pense aussi que l'offre ne dit pas clairement quel genre de test case je peux donner (genre, si je dit "voila mon test case, il faut lancer ce benchmark sur 30 machines", ça va être refusé ). Ou ce qui se passe en cas de problème avec le test case, etc, etc. Et il se passe quoi si je paye pas et que je donne un test case, il est pas pris en compte ?

Pareil, direct contact to LTS staff, c'est tendu. Est ce que ça veut dire que les gens qui vont faire le travail ne vont pas avoir leur email publié, ou si c'est le cas, il y a quoi comme avantage par rapport à juste regarder dans l'annuaire ?
Les gens peuvent aussi s'attendre à avoir un SLA, à ce que ça servent de support, etc. Au début, avec des gens qui connaissent le libre, pas de souci, mais si tu veux trouver 50 boites, ça risque de coincer tot ou tard.

J'imagine que je suis pas le premier à poser les questions, mais je vois pas de FAQ dans le site.

Ouais, mais la, on sort des APIs openstack. Que je sache, la localité des données n'est pas exposé par openstack de manière standard. Ensuite, bien sur, tu peux faire tout ce que tu veux à coté, mais le point, c'est que ç'est à coté :)

Genre ça:

http://www.freedesktop.org/software/systemd/man/systemd-run.html

Pour docker, tu as tout le projet atomic ( http://atomicproject.io/ ). Et par exemple, geard pour l'orchestration, cockpit pour le management, et Red hat a aussi contribué pas mal sur Docker.

Ensuite, le but d'openstack, c'est pas "pour le proprio", même si la virtu sert pas mal à ça. C'est aussi parce que ça offre plus de souplesse. Par exemple, tu peux faire du self service. Tes devs gérent leur bécane et les rendent sans te faire chier. Ou tes environnement de tests/qa/preprod.

Sinon, tu a aussi (tout chaud ce matin, avant c'était proprio) le projet manageiq (http://manageiq.org/).

la, on tape en effet dans le logiciel spécialisé de gestion complète de ton infrastructure cloud. Et je dit bien cloud, et pas IaaS, vu que l'outil fait aussi l'automatisation, la gestion des stats, le cycle de vie complet. l'outil va s'interfacer avec vmware, RHEV, openstack et sans doute à terme d'autres, pour que tu puisses déployer.

Et pour parler de RHEV, son pendant communautaire est ovirt (http://ovirt.org); La, on est dans le concurent à VCenter.

La ou Openstack file des machines jetables sans gestion fine du stockage, de l'endroit ou se trouve chaque machine ou la migration à cahdu, Ovirt gére des systèmes qui ont pas pour vocation d'être jetable. Donc tu peux faire de la migration automatique, tu as un concept de datacenter, etc, etc.

Y a largement de quoi gérer tout un tas de trucs cloud et virtu.

Tu sais, c'est pas grave, tu peux pas aller vérifier le code sur le ne…. oups, on me dit que si /o\

Ce n'est pas que je n'aime pas la nouvelle méthode - c'est que
je ne la connais pas. Et j'ai beau chercher et ouvrir des
tickets chez RH je n'ai pas encore eu de réponses
satisfaisantes.

Que je récapitule. Tu as déjà migré tes services de prod en RHEL 7 sorti il y a une semaine, tu as déjà ouvert des tickets entre temps, mais par toi même, tu as pas trouvé les présentations comme
https://events.linuxfoundation.org/sites/events/files/slides/linuxcon.pdf

La doc officiel comme ça :
https://access.redhat.com/site/documentation/en-US/Red_Hat_Enterprise_Linux/7/html/Resource_Management_and_Linux_Containers_Guide/sec-Modifying_Control_Groups.html

Ou les blogs comme
http://schnouki.net/posts/2013/12/19/resource-control-with-systemd/

Ou la doc de systemd comme :
http://www.freedesktop.org/wiki/Software/systemd/ControlGroupInterface/

Ensuite, peut être que j'ai mal compris la question, mais globalement, tu peux faire l'ajustement avec un bon vieux sudo et voila.

Sinon, c'est du dbus. Cad que la doc que je trouve sur developpez.com avec google me semble suffisante :

http://yoannsculo.developpez.com/tutoriels/linux/introduction-dbus/#LIV

En plus SELinux c'est quand même pas évident à gérer et très
facile à casser (ce qui en langage hypervisuer veut dire plus
personne ne peut rien faire tant qu'on a pas rebooter la
machine en single user et passé SELinux en audit only).

je sais pas exactement comment tu te débrouilles. Tu peux faire un setenforce 0 sur une machine de test, et tu charges ta policy, tu regardes si tu as des AVC avec auditd. Ou si tu tiens à faire ça en prod, tu peux faire des semanage permissive pour juste mettre ton domaine en permissif.

Les seuls fois ou tu va te bloquer avec selinux, c'est si tu bascules ton utilisateur dans un mode restreint sans prévoir un login root de secours et sans mettre selinux en permissive. Un peu comme basculer sur ldap sans te laisser un shell root ou ce genre de choses.

Enfin, les histoires de 7% à 15% , je pense que tu parles des audits, pas de selinux. Les 2 sont séparés ( ie, selinux peut tourner sans audit, auditd peut tourner sans selinux ), donc je suis pas sur du coup que tu testes vraiment ce que tu crois tester….

Sinon, y a softwarecollections.org pour les gens qui veulent du communautaire.

Je vois pas qui ferait ça ni dans quel intérêt. Des gens qui font des infras ultra complexes, ça existe à la pelle. On a tous croisé des usines à gaz et ce genre de choses, donc je vois pas pourquoi ça ne serait pas la vérité.

Les cgroups s'oriente vers une architecture avec un seul processus capable d'écrire dans la hierarchie. Donc c'est déjà mort, on le sait depuis quelques temps.

Ensuite, la façon de faire qui consiste à dire "nagios peut lancer et relancer tout", c'est aussi pas le but de nagios, qui fait du monitoring, pas du correctif en temps normal.

Le souci de Kaane, c'est qu'il monte ses propres architectures qui semble ultra complexes ( du moins, c'est l'impression que j'en retire des pavés et de ce que j'arrive à comprendre dans tout le mix qu'il fait ), qu'il fait des trucs relativement hors des clous ( la, nagios qui relance les services, avant, son histoire de réseau GRE à monter avant TCP/IP, etc ), et qu'ensuite, quand systemd fait la même chose (à savoir la gestion de processus) et que systemd est adopté, ça le bloque dans son architecture.

Mais systemd bloque pas quoi que ce soit, nagios peut parfaitement lancr tout ce qu'il veut soit via service ( et sudo ), soit via l'api DBUS de systemd qui est accessible à des non roots via une configuration standardisé ( vu que c'est le but de dbus ). Point bonus, tu peux contrôler ça via selinux ( ie, dire que nagios a les accès qui vont bien via dbus avec médiation par selinux https://fedoraproject.org/wiki/Features/SELinuxSystemdAccessControl ), ce qui renforce d'autant plus la sécurité et l'isolation qu'il semble vouloir.

Et en fait, l'API dbus est exactement fait pour ça, pour ne pas donner les droits roots mais pour avoir un accès fins aux données. Un project comme cockpit ( http://cockpit-project.org/ ) tire justement parti de ces APIs pour ne pas avoir besoin d'être root.

Je ne doute pas qu'il existe sans doute des vrais soucis, peut être que l'API ne donne pas les accès suffisamment finement pour ce qu'il veut, etc, mais la, les soucis semblent surtout être un mélange de dette technique et d'un manque de clarté dans l'explication du souci.