Philippe M a écrit 963 commentaires

Le point à ne pas négliger est la contrainte éditeur. Par exemple j'ai à 80% un parc serveurs en Linux, le reste est composés de Windows parce que telle ou telle logiciel fonctionne uniquement sur un environnement Windows et qu'il n'existe pas d'alternative viable dans l'univers de l'OpenSource (paie, pointeuse…).

Tu peux choisir Linux pour la partie système et réseau (DNS, DHCP, authentification… Bref l'invisible pour l'utilisateur) mais pour le reste tu dois composer avec le besoin, ce qui est dispo sur le marché et tes convictions.

Born to Kill EndUser !

SMB n'a pas le même usage que NFS, SSHFS, iSCSI. Il provient du monde de Windows et l'objectif initial était de permettre à tout les ordinateurs d'un même workgroup de ce voir et d'échanger des fichiers. Ensuite sont venu l'authentification, la couche DNS, les GPO…

NFS il faut connaitre à l'avance la machine que tu souhaite atteindre, ensuite connaitre le nom du point de montage. C'est parfait pour de l'échange entre serveurs, mais pas vraiment exploitable au quotidien par un utilisateur.

SSHFS pour moi c'est pour transférer un fichier à un moment précis.

iSCSI, tout comme NFS c'est pour de l'échange entre serveurs à un niveau inférieur en mode block.

Born to Kill EndUser !

Salut, désolé de répondre si tardivement.

Merci pour tes infos, je comprends un peu mieux la logique. A la relecture de ma question il y a un sujet que je n'ai pas abordé : docker, traefik et les certificats Let's. Actuellement traefik est configuré pour faire une demande de création de certificats à Let's sur le domaine example.com et il utilise l'API d'OVH pour faire en sorte de Let's retrouve tout ce qu'il faut pour valider le certificats. Ces containers sont accessible uniquement en interne et ils le resteront. Par exemple pour le container en charge de GLPI j'y accède par glpi.example.com, sur mon bind actuel j'ai cette config pour la zone example.com

$ORIGIN example.com.
$TTL 86400      ; 1 day
@       IN      SOA     dns11.ovh.net. admin.example.com. (
                                 3667417071 ; serial
                                 21600      ; refresh (6 hours)
                                 3600       ; retry (1 hour)
                                 604800     ; expire (1 week)
                                 86400      ; minimum (1 day)
                                 )
@       IN              NS      ns11.ovh.net.
@       IN              NS      dns11.ovh.net.
localhost               A       127.0.0.1
@       IN              A       213.186.33.2
www                     A       213.186.33.2
galerie                 CNAME   www
share                   CNAME   www
galerie                 CNAME   www
mail                    CNAME   www
smtp                    CNAME   www
imap                    CNAME   www
pop                     CNAME   www
ftp                     CNAME   www
pim                     CNAME   www
mdm                     A       192.168.xxx.xxx
; Serveur docker
*.example.com.           A       192.168.xxx.xxx

Du coups il me parait logique que je conserve la gestion local du domaine example.com pour les machines locales et si j'ai bien compris je vais avoir trois cas :
- une zone pour *.marue205.example.com : accessible uniquement par mes machines locales, chargé de résoudre les ip locales et non accessible depuis l'extérieur;
- une zone pour *.example.com : accessible uniquement par mes machines locales, chargé de faire la correspondance pour cette zone qui renvoie soit sur une IP locale (docker par exemple) soit sur une IP externe;
- les requêtes pour les autres domaines qui seront redirigés par mon bind vers le DNS de mon opérateur.

Demain si j'ajoute un domaine, monautrerue90, j'ai juste a ajouter une zone monautrerue90.example.com à mon DNS en charge de résoudre les correspondances des ip/machines de cette zone.

J'ai bon ? ;)

Born to Kill EndUser !

A priori l'utilisation d'un TLD invalide peut empêcher l'obtention d'un certificat : https://wiki.samba.org/index.php/Active_Directory_Naming_FAQ#Using_an_Invalid_TLD

Invalid TLDs, such as .local or .internal, will soon be unable to get SSL certificates from any of the major certificate providers. The CA/Browser Forum has decided that no certificates should be issued for these invalid domains starting November 1, 2015. In fact, you are now unable to purchase a certificate for these names if they expire after this date. This includes Subject Alternative Names (SAN) used within otherwise valid certificates (this is a very common configuration for Microsoft Exchange). While internal certificate authorities have no such restriction, having this option open to you is always a good thing.

avec la contrainte de ne pas utiliser les TLD publiques, ni le TLD .local

Pour le .local je suis d'accord mais d'après la doc rien ne s'oppose à l'utilisation d'un TLD public : https://wiki.samba.org/index.php/Active_Directory_Naming_FAQ#Using_Your_external_Domain_Name

J'imagine bien que la partie suffixe est libre, mais justement tellement libre que tout et n'importe quoi peut être fait, la preuve j'ai fais de la merde lors de la création du domaine en 3.5 ;) Comme j'en suis à la migration et envisage de renommer le domaine, j'aimerais le faire correctement ou en tout cas ne pas me retrouver limiter si par exemple je dois mettre en place un autre sous-domaine pour un autre site.

Born to Kill EndUser !

Effectivement, je ne vois pas l'intérêt que tous les fichiers aient le même propriétaire.

Un utilisateur créant un fichier sur un partage en est le propriétaire donc il peut décider qui a accès ou non à ce fichier (il peut même virer l'admin des droits sur ce fichier). L'objectif d'un partage public est que tout les utilisateurs connectés est le même niveau de droit (lecteur, écriture, exécution) et que les niveaux supérieurs de droits reste au choix de dieu… Pardon l'admin ;)

Par contre, il est déconseillé d'utiliser ton contrôleur de domaine comme serveur de fichiers. Le lien précédent explique notamment qu'il est impossible d'utiliser les ACLs POSIX sur un contrôleur de domaine.

Effectivement, c'est une évolution prévu pour le futur. Pour le moment j'ai que 25 utilisateurs, je pense que je rentre encore dans les petites structurent.

Pour d'autres questions à propos de Samba, je t'invite à utiliser la liste de diffusion samba@lists.samba.org.

Je vais tenter de me faire comprendre avec mon pauvre anglais :(

Merci tout de même

Born to Kill EndUser !

Pour info ce n'est pas en Allemagne que les églises ont financé et motivé leurs oies à faire des manifs contre le mariage homo, par exemple. Les plus extrémistes sont plus proches de toi que tu ne le penses, tu stigmatises un pays dont tu ne connais pas le fonctionnement pratique (en pratique les églises allemandes sont au service de l’État qui leur fait de la délégation de service public, donc peut les contrôler et couper le financement si problème).

Ok merci pour l'info, mais est-ce que le mot "exemple" te parle ? J'aurais pu citer le pays des nuages.

Tu parles d'un OS soumis au Patriot Act, ça ne changera rien tant que tu ne supprimeras pas cet OS, c'est un faux critère qui ne sert qu'à se donner donner bonne conscience tant qu'il n'est pas appliqué à tous les logiciels.

Sauf que parfois il n'est pas possible d'éradiquer totalement le mal. Pour différentes raison il faut composer avec les contraintes d'entreprise et faire en sorte d'aller au moins pire.

Born to Kill EndUser !

Parfait, au moins une source factuel.

Merci.

Born to Kill EndUser !

Merci pour tout ces infos. J'y vois plus clair maintenant.

En attendant d'avoir le courage de me lancer, j'ai contourner le problème en modifiant la variable TMPFILE avant de lancer le build

export TMPFILE=/ma/partition/qui/a/grave/de/la/place

Born to Kill EndUser !

Donc c'est sda2 que je dois agrandir pour pouvoir ensuite agrandir sda5 et le pv ?

Born to Kill EndUser !

Le sujet du partitionnement a toujours été flou pour moi :(

Je vois un peu prêt la théorie mais j'ai comme l'impression que ma sortie fdisk ne correspond pas

fdisk -l /dev/sda
Disque /dev/sda : 20 GiB, 21474836480 octets, 41943040 secteurs
Modèle de disque : Virtual disk    
Unités : secteur de 1 × 512 = 512 octets
Taille de secteur (logique / physique) : 512 octets / 512 octets
taille d'E/S (minimale / optimale) : 512 octets / 512 octets
Type d'étiquette de disque : dos
Identifiant de disque : 0x4913323d

Périphérique Amorçage    Début      Fin Secteurs Taille Id Type
/dev/sda1    *            2048   999423   997376   487M 83 Linux
/dev/sda2              1001470 20969471 19968002   9,5G  5 Étendue
/dev/sda3             20969472 41943039 20973568    10G 83 Linux
/dev/sda5              1001472 20969471 19968000   9,5G 8e LVM Linux

O_o

Born to Kill EndUser !

C'est pas mal aussi cette idée avec tar mais je préfère rester avec rsync car les fichiers source ne changent pas beaucoup donc le côté incrémentale est vraiment un plus.

Born to Kill EndUser !

J'ai la main sur la structure du fichier mais cela ne change en rien la structure physique du stockage et je n'ai pas la main sur le stockage source.

Born to Kill EndUser !

C'est une bonne idée, moyennement quelques adaptations.

Dans mon premier post je n'ai pas précisé que ces fichiers sont ensuite accessible via une url pour être mis à dispo pour des clients. Sur le serveur de destination c'est du apache/php qui tourne. Je ne sais pas si les hardlink marchent dans ce cas ?

Il n'y aura donc qu'une seule fois le fichier fic1.jpg sur le disque dur, mais présent à la fois dans /reception/a/d/p/e/ et dans files/ref1/fic1/thumbnail/

C'était pas clair dans mon exemple mais se sont des différents.

Born to Kill EndUser !

J'ai passé le cap et lancé l'installation de Fedora après avoir réussi à démarrer depuis la clé usb avec Ventoy.

Avant, depuis Windows, j'ai réduit la partition principal au strict minimum pour pouvoir installer Fedora sur l'espace libre.

Maintenant dans Grub j'ai les entrées pour lancer Fedora et une pour lancer le boot manager de microsoft.

Born to Kill EndUser !

J'y ai pensé mais je préfère l'inverse, linux en hôte et windows en VM (j'ai plusieurs version de windows pour différent besoins).

Born to Kill EndUser !

J'ai réussi à démarrer depuis la clé USB grâce de Ventoy. Tout a l'air de marcher mais je n'ose pas lancer l'installation par peur de me retrouver bloqué de nouveau par le secure boot :(

Born to Kill EndUser !

Je l'ai déjà tenté, Par défaut sur mon BIOS le TPM est déjà activé et cela ne règle pas le problème.

Born to Kill EndUser !

J'ai tenté d'attaquer directement une base de données en prod (ERP) et même si il y a un cache, cela fait ramer la base source. J'ai rencontré ce problème avec l'utilisation de champ personnalisé et des dates. J'ai ouvert un ticket (https://github.com/metabase/metabase/issues/16533) sur ce sujet mais je pense que c'est un problème que l'on retrouvera sur tout les outils proposant des interfaces graphiques. Un peu comme à la grand époque de Dreamweaver pour la construction de site en HTML. C'était simple pour le commun de mortel mais une vrai boucherie pour le codeur qui passe derrière.

Il faut prendre en compte la volumétrie, si c'est pour faire une requête par soir sur un nombre limité d'enreg cela peut suffire ou accepter que cette requête tourne pendant 10mn alors pas de problème. Mais si c'est pour monter un tableau de bord commercial qui se rafraîchit toute les 5mn, cela devient difficilement tenable en prod.

Born to Kill EndUser !

pas de transformations de données (j'ai des données géométriques). Si la donnée est propre (genre un timestamp), ça le fait super mais si c'est un peu moins propre, pas de moyen de lui dire comment faire mieux

L'intérêt du datawarehouse est de pouvoir stocker les données comme tu souhaite les exploiter. Par exemple, depuis peu de temps Metabase propose les tableaux croisés dynamiques, pour pouvoir les exploiter correctement nous avons été obligé d'éclater la date YYYY-MM-DD par groupe. Dans le datawarehouse tous les champs date sont éclatés :

+------------+-------------+--------------+------------+
| credat     | credat_year | credat_month | credat_day |
+------------+-------------+--------------+------------+
| 2021-11-30 |   2021      |    11        |     30     |
+------------+-------------+--------------+------------+

Avec cette méthode je peux faire un filtre sur credat et utiliser les credat_* pour présenter mes données par les TCD. Le tout sans aucune modification de la prod.

Born to Kill EndUser !

Metabase est-il de près ou de loin un concurrent de Redash ?

A priori, la grosse différence est que Metabase propose un requêteur graphique qui ne nécessite aucunes connaissances en SQL alors que pour Redash il faut tapoter soit même ses requêtes.

Born to Kill EndUser !

Nous sommes actuellement en phase de mise en prod de metabase. Lors des tests je l'ai connecté directement à la base Oracle de notre ERP… Pas une bonne idée car comme tout requêteur graphique il a tendance à taper large et du coups à générer de grosse requête.

Est-il possible "facilement" de créer des graphiques personnalisé et d'y afficher des données venant de plusieurs type de bdd ? (Genre dans le même graphique recouper des infos venant de mysql et postgres ?).

La solution est de monter un datawarehouse qui sera synchronisé avec une ou x bases. L'avantage est choisir la périodicité de synchro et pouvoir croiser des données provenant des différentes bases, voir même d'import Office injecté par les utilisateurs dans des tables spécifiques.

Born to Kill EndUser !

si les données existent deja et sont disponibles sur la baie netapp,

Oui les données existe déjà et ce depuis de nombreuses années. C'est juste pour un nouveau partage qu'on me demande la possibilité de définir au dossier/fichier des droits et non au share complet. Jusqu'à présent nous avions un public et un share par service.

elles sont peut-etre plus tranquilles sur le NFS qui stockent ensuite en raid, avec deduplication, etc sur le netapp

Les disques des VM sont eux aussi stockés sur la baie dans des datastores dédiés gérés par VmWare.

puis migrer tes utilisateurs sur le nouveau serveur, sans meme toucher aux données qui restent sur le NFS

La migration sera un peu plus "complexe" puisque je souhaite passer de la branche 3.5 à 4.x pour avoir une simulation AD complète avec en backend LDAP, dns, dhcp…

il me semble avoir lu que ce serait une mauvaise idée par exemple de partager des dossiers webs, qui hébergent des sites en PHP, avec du NFS, pour le mettre à dispo d'une ferme de serveurs webs (apache ou nginx)

Cela reste pour de l'interne. Nous avons des app en php mais y une couche docker au milieu de ce petit monde.

J'aime bien garder l'idée du montage NFS car bien plus simple à gérer qu'un disque. Si j'ai besoin de l'agrandir ça me prend à peine 3s, alors qu'un disque, même avec LVM faut que je me gratte la tête pour me rappeler comment faire. Et même bien fait j'ai eu des mauvaises surprise. Je vais faire des essais avec une VM toute propre et récente.

Born to Kill EndUser !

Ah punaise ! Très bonne idée !

Comme quoi ça vaut le coups d'en parler avant d'y aller tête baissé.

Reste à trancher si je continue avec mes montages NFS dans la nouvelle VM ou alors si j'ajoute des disques dans la VM ?

Merci.

Born to Kill EndUser !

Du coups si je veux faire plus simple, il faut que j'ajoute un disque à la VM et que j'active les xattr sur ext4 ?

Born to Kill EndUser !

Oups effectivement erreur de ma part :

nfs4_getfacl test/
A::OWNER@:rwaDxtTnNcCy
A:g:GROUP@:rwaDxtTnNcy
A::EVERYONE@:rwaDxtTnNcy

test/ étant un montage NFS

Born to Kill EndUser !