ReLoad

Thierry Jaouen WikiBlog
"Rien à foutre d'être lu,
tant que je peux me relire."

User Tools

Site Tools


start


Debian Jessie et le "Thin provisioning" LVM

Je découvre le “thin provisioning” de LVM2 , mais avant de faire un post (ou pas) sur le sujet, il s'avère que l'implémentation sous “Debian Jessie” est incomplète.

Donc, avant de jouer avec ça et de tomber dans la “busybox” au prochain boot, assurez-vous de 2 choses:

  1. Le package “thin-provisioning-tools” est installé
  2. Le module “dm-thin-pool” est chargé au boot.

LVM et vgsplit

Un rapide topo pour expliquer comment répartir des volumes logiques sur plusieurs disques physiques, et puis séparer ces volumes en plusieurs groupes de volumes.

Bon, c'est pas très clair, alors on va partir d'un cas concret.

chown et "Argument invalide"

Un petit truc pas spécialement bien expliqué (sauf ) …

Sur un montage nfs , avec un système relativement récent, on peut tomber sur une erreur comme ça:

# chown nobody:nogroup /mnt/tmp/bla
chown: modification du propriétaire de « /mnt/tmp/bla »: Argument invalide

Pourtant, on est “root” et ce partage “nfs” est banal: “root” devrait avoir tout les droits, y compris celui de changer le propriétaire d'un répertoire ou d'un fichier.

Ah bah non: Pas forcément avec “nfs4” .

A ma connaissance, il y a 2 solutions:

Let's Encrypt: Faire signer ses propres clés

On a vu précédemment comment utiliser le script “letsencrypt-auto” pour créer des clés signés.

C'est sympa, mais je n'aime pas trop la manière dont sont organisés les fichiers dans “/etc/letsencrypt/” : c'est confus pour moi.

Il existe une option pour signer ses propres clés.
Elle est assez simple et laisse a chacun le choix sur la manière d'organiser ses fichiers…

Let's Encrypt avec nginx

Let's Encrypt” permet de créer des certificats “SSL/https” gratuitement , et surtout, reconnu par la grande majorité des navigateurs.

:!: UPDATE: La suite logiciel du client “Let's Encrypt” a changé de nom pour “certbot”.

Il y a quelques limites (susceptible de changer), dont:

  • les certificats sont valides que 90 jours maximum
  • Il n'y a pas de joker (genre: “*.mondomain.fr” )
  • Un certificat ne peut pas contenir plus de 100 domaines.
  • Il ne faut pas créer trop de certificat par semaines/IP/domaines (voir détails ailleurs)

Pour ce qui concerne les limites, on peut quand même faire des tests à volonté avec des “fausses clés”… ouf.

Il y a 2 gros écueils:

  1. Il faut pouvoir être identifié “automagicaly” comme administrateur des domaines
  2. Il faut renouveler les certificats relativement souvent (<90 jours).

Je vais rapidement expliquer comment installer les outils “Let's Encrypt” et puis les utiliser.

J'ai pour habitude d'utiliser nginx en frontal https, comme proxy… Donc, la mise en pratique reposera sur nginx, mais c'est parfaitement adaptable pour d'autres environnements…

Dans un autre article , j'explique comment faire signer ses propres clés…
(Et c'est finalement cette dernière méthode que j'ai adopté pour ma petite infra perso…)



start.txt · Last modified: 2012/03/25 22:48 by thierry