7 августа 2015, 16:12
Столкнулся с проблемой, после добавления 2-х нод на базе Centos 6 в систему мониторинга zabbix значительно выросли значения для zabbix busy poller и zabbix busy unreachable poller статистик. Для примера график:
Включив DebugLevel=4 на сервере увидел в логах ошибки:
|
|
13371:20150807:142850.682 Item [cento6node:system.cpu.util[,system]] error: Get value from agent failed: ZBX_TCP_READ() failed: [4] Interrupted system call 13357:20150807:142851.695 Item [cento6node:system.cpu.util[,user]] error: Get value from agent failed: ZBX_TCP_READ() failed: [4] Interrupted system call 13352:20150807:142852.258 Item [cento6node:vtundcheck] error: Get value from agent failed: ZBX_TCP_READ() failed: [4] Interrupted system call 13363:20150807:142853.446 Item [cento6node:system.localtime] error: Get value from agent failed: ZBX_TCP_READ() failed: [4] Interrupted system call |
При этом судя по дампу сетевого трафика zabbix агент просто не успевал ответить за 20 секунд, а это значение выставлено у меня в timeout. При этом запросы простейшие, такой ситуации просто не должно возникать.
Подозрение пало на проблемы в работе DNS серверов, либо какой-то внутренний баг в zabbix agent. При проверке выяснилось, что DNS сервера работают нормально, отвечают быстро, но проблема была решена добавлением записи со ссылкой на zabbix server в /etc/hosts.
Как альтернативу можно использовать вариант с заменой FQDN имени Zabbix сервера в конфигурационном файле агента на IP.
По факту у хостера видимо какое-то ограничение на количество запросов от клиента на получение IP для одного и того же домена. При этом сам zabbix агент делает тонну DNS запросов, по сути на каждый запрос на получение данных с него. Ждем когда закроют этот тикет, с 2011 года не закрыт.
22 июля 2015, 17:11
После добавления одного из серверов в мониторинг выяснилась странная проблема, а именно не работала простая проверка HTTPS порта в zabbix, то есть он все время выдавал информации что порт недоступен, хотя через браузер все открывалось корректно.
После анализа сетевого трафика всплыла следующая проблема:
|
|
63.893903 123.123.123.123 -> 123.123.123.124 SSL 208 Client Hello 63.895282 123.123.123.124 -> 123.123.123.123 TCP 66 443 > 43871 [ACK] Seq=1 Ack=143 Win=15616 Len=0 TSval=165771041 TSecr=1070936 63.905794 123.123.123.124 -> 123.123.123.123 TLSv1.2 1514 Alert (Level: Warning, Description: Unrecognized Name), Server Hello |
После чего SSL сессия обрывалась и zabbix не мог продолжить дальнейшую установку соединения.
Причиной оказался неправильно оформленный файл /etc/hosts, из-за чего apache не мог корректно определить FQDN и curl, который используется zabbix`ом для реализации http/https проверок, не мог корректно установить соединение.
В логе apache была следующая ошибка:
|
|
[Wed Jul 22 14:28:59 2015] [warn] RSA server certificate CommonName (CN) `test.domain.ru' does NOT match server name!? |
После внесения изменений в /etc/hosts и перезапуска сервера проблема ушла.
18 июня 2015, 0:34
Недавно переводил один старый сервер с debian 4 на debian 8.1, в ходе этой миграции возникла проблема с сервером nginx, а вернее с самописным клиентом, который подключался к нему по HTTPS. В логах проблема была выражена следующей строкой:
|
|
2015/06/16 02:56:04 [crit] 1196#0: *20 SSL_do_handshake() failed (SSL: error:14076102:SSL routines:SSL23_GET_CLIENT_HELLO:unsupported protocol) while SSL handshaking, client: xxx.xxx.xxx.xxx, server: 0.0.0.0:443 |
Причина проблемы – в настройках клиента явно указано, что требуется использовать протокол шифрования SSL3, но в пакете openssl его поддержку убрали. Для устранения проблемы – пришлось пересобрать пакет openssl БЕЗ конфигурационного ключа no-ssl3. В ближайшее время создам репозиторий, куда буду периодически выкладывать актуальную версию пакета.
12 июня 2015, 11:04
Просто как заметка – у Яндекса есть возможность переноса почты при переходе на их сервис Почта для домена. Сам процесс замечательно описан в документации.
По факту же скорость переноса данных с сервиса Office 365 составляет примерно 1.2 Gb в сутки, при этом при повторной миграции, уже после перенастройки MX записей сначала импортируются более новые письма, потом более старые, что несомненно удобно.
17 мая 2015, 13:21
Полезный файл с описанием методики оптимизации настроек Linux сервера под высокие сетевые нагрузки.
Скачать (PDF, 191KB)
7 мая 2015, 22:21
Чтобы каждый раз не пересобирать модуль ixgbe создал DKMS пакет с версией 3.23.2.1 для Debian Linux. Возможно кому-то пригодиться, сам пакет доступен по ссылке. Если кому-то интересно как самостоятельно это сделать, то пишите в комментариях – оформлю краткую инструкцию в отдельной заметке.
Список поддерживаемых опций под катом.
Читать полностью ‘Dkms версия модуля ixgbe для Debian Linux’ »
5 мая 2015, 22:55
Рано или поздно перед любым владельцем сайта встает вопрос настройки HTTPS доступа.
Для этого необходимо купить или получить бесплатный сертификат от WoSign и настроить его в веб сервере сайта, ниже укажу пример конфигурации для Nginx.
Конфигурация SSL:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 |
ssl on; # SSLv3 и v2 нас не интересуют. ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers kEECDH+AES128:kEECDH:kEDH:-3DES:kRSA+AES128:kEDH+3DES:DES-CBC3-SHA:!RC4:!aNULL:!eNULL:!MD5:!EXPORT:!LOW:!SEED:!CAMELLIA:!IDEA:!PSK:!SRP:!SSLv2; # Указываем свои ssl_certificate /etc/nginx/ssl/bundle.crt; ssl_certificate_key /etc/nginx/ssl/key.key; # Создаем командой openssl dhparam -out dhparam.pem 4096 ssl_dhparam /etc/nginx/ssl/dhparam.pem; ssl_session_cache shared:SSL:10m; ssl_session_timeout 24h; ssl_prefer_server_ciphers on; # Включаем OCSP, версия nginx должна быть не ниже 1.3.7. # При проверке OCSP включается не сразу, а через 1-2 https запроса. ssl_stapling on; ssl_stapling_verify on; resolver 8.8.8.8 8.8.4.4 ipv6=off valid=300s; resolver_timeout 5s; # Это bundl файл с CA Chain сертификатами, подойдет тот что указан в ssl_certificate, # но без 1-го сертификата ssl_trusted_certificate /etc/nginx/ssl/ca_ocsp.crt; # Включаем HSTS, после этого скорее всего сайт получит A+ и браузеры всегда будут переходить на https, # даже если доступен http add_header Strict-Transport-Security "max-age=31536000; includeSubDomains"; |
Проверить корректность внесенных изменений можно на ssllabs.com, пример для этого сайта.
4 мая 2015, 16:57
Следующая ошибка с ключами при обновлении списка пакетов в debian 7:
|
|
W: There is no public key available for the following key IDs: 9D6D8F6BC857C906 W: There is no public key available for the following key IDs: 7638D0442B90D010 W: There is no public key available for the following key IDs: 7638D0442B90D010 |
Исправляется путем установки новой версии пакетов с ключами:
|
|
aptitude update; aptitude -y install debian-archive-keyring debian-keyring |
Аналогично устраняется проблема с ключами для репозитория cyconet.org:
|
|
wget -O - http://ftp.cyconet.org/debian/repo.key 2>/dev/null | apt-key add - |
10 апреля 2015, 23:19
На серверах Supermicro есть возможность при помощи утилиты ipmitool изменить скорость работы вентиляторов, для этого нужно поставить утилиту, подгрузить необходимые для ее работы драйвера и выполнить следующие команды:
|
|
Выставить/Получить режим работы вентиляторов Input : NetFn 0x30 Cmd 0x45 Data1 Get/Set ->[0/1] Data2 Fan Speed Mode, standard/full/optimal -> [0/1/2] // for Set only Output: Completion Code 0x00 Для примера, чтобы выставить Full Fan Speed Mode: ipmitool raw 0x30 0x45 1 1 |
