[FRsAG] MariaDB + Docker
Bonjour à tous, Je suis plutôt intéressé par les promesses de Docker et en particulier de CoreOS, et effectivement de premiers essais montrent que c'est plutôt pratique pour des applis web sans persistence. Maintenant voilà, je ne suis vraiment pas rassuré d'y mettre ma base de données car on a vraiment l'impression que même si l'image se lance, les data vont se vaporiser au prochain reboot. La question est donc, est-ce que quelqu'un l'a fait dans la vraie vie ? Est-ce que c'est viable ? Est-ce qu'il ne vaudrait pas plutôt mettre les serveurs de BDD sur des machines à part dans lesquelles on a invité etcd ? Merci pour les retours -- *Rémy Sanchez* http://hyperthese.net/ ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] MariaDB + Docker
Le 04/08/2015 13:19, Rémy Sanchez a écrit : La question est donc, est-ce que quelqu'un l'a fait dans la vraie vie ? Est-ce que c'est viable ? Est-ce qu'il ne vaudrait pas plutôt mettre les serveurs de BDD sur des machines à part dans lesquelles on a invité etcd ? De notre côté la question c'est plutôt la sécurité. Ouvrir des ports dans tous les sens pour brancher les composants sur plusieurs hôtes c'est du délire niveau sécurité. L'impossibilité de faire cohabiter plusieurs applications finales (site web, api, progiciel) sur le même hôte, si un site change ses ports php / mysql dans ses fichiers de conf il accède aux dockers des autres applis ... Bref pour nous c'est juste pour faire des maquettes au même titre que vagrant. Mais j'imagine que pour un pure player web avec sa propre infra qui doit déployer n front web, n mysql y a sans doute un gain quoi qu'un ansible / puppet / chef ... fait tout aussi bien à mon sens. Question de goût donc. signature.asc Description: OpenPGP digital signature ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] MariaDB + Docker
Je ne suis pas certain de voir l'intérêt de mettre une base de données dans un container. Perf DB = CPU * IO * RAM Typiquement le genre d'objets qu'on ne virtualise pas. Mais s'il faut absolument la mettre dans un container, j'irais plutôt la mettre dans un container LXC persistent, ou même juste dans un cgroups pour faire du contrôle de ressources. Si c'est pour sécuriser, voir firejail par example: https://l3net.wordpress.com/projects/firejail/ Cordialement, Stéphane Rémy Sanchez a écrit : Bonjour à tous, Je suis plutôt intéressé par les promesses de Docker et en particulier de CoreOS, et effectivement de premiers essais montrent que c'est plutôt pratique pour des applis web sans persistence. Maintenant voilà, je ne suis vraiment pas rassuré d'y mettre ma base de données car on a vraiment l'impression que même si l'image se lance, les data vont se vaporiser au prochain reboot. La question est donc, est-ce que quelqu'un l'a fait dans la vraie vie ? Est-ce que c'est viable ? Est-ce qu'il ne vaudrait pas plutôt mettre les serveurs de BDD sur des machines à part dans lesquelles on a invité etcd ? Merci pour les retours -- *Rémy Sanchez* http://hyperthese.net/ ___ Liste de diffusion du FRsAG http://www.frsag.org/ ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] MariaDB + Docker
Si c'est pour du semi-persistant (voire persistant) avec des serveurs qui ne sont pas en cluster et hébergeant des données spécifiques, l’intérêt de Dockers est limité au final face à une utilisation direct du système de conteneur LXC (ou VServer ou OpenVZ) sans surcouche. Tu te fais un template de conteneur MariaDB configuré comme tu veux et après tu peux déployer une nouvelle instance en quelques secondes en copiant l'arbo du template et en modifiant juste les quelques paramètres qui vont bien dans la conf du conteneur et eventuellement au niveau du système du conteneur (très simple vu que tu à accès à l'arbo depuis le système hôte donc de simples sed peuvent faire l'affaire). A savoir que tu peux facilement partager des parties de l'arbo ou le namespace reseau par exemple entre deux conteneurs (s'ils sont sur la même machine évidemment), il est possible de partager le fichier sock de MariaDB entre deux conteneurs et donc de ne pas avoir d'accès réseau à configurer (ou de partager le même namespace réseau et de pouvoir donc se connecter sur 127.0.0.1 au niveau applicatif). Le 04/08/2015 16:00, Wallace a écrit : Le 04/08/2015 13:19, Rémy Sanchez a écrit : La question est donc, est-ce que quelqu'un l'a fait dans la vraie vie ? Est-ce que c'est viable ? Est-ce qu'il ne vaudrait pas plutôt mettre les serveurs de BDD sur des machines à part dans lesquelles on a invité etcd ? De notre côté la question c'est plutôt la sécurité. Ouvrir des ports dans tous les sens pour brancher les composants sur plusieurs hôtes c'est du délire niveau sécurité. L'impossibilité de faire cohabiter plusieurs applications finales (site web, api, progiciel) sur le même hôte, si un site change ses ports php / mysql dans ses fichiers de conf il accède aux dockers des autres applis ... Bref pour nous c'est juste pour faire des maquettes au même titre que vagrant. Mais j'imagine que pour un pure player web avec sa propre infra qui doit déployer n front web, n mysql y a sans doute un gain quoi qu'un ansible / puppet / chef ... fait tout aussi bien à mon sens. Question de goût donc. ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] MariaDB + Docker
Le 2015-08-04 13:19, Rémy Sanchez a écrit : Bonjour à tous, Je suis plutôt intéressé par les promesses de Docker et en particulier de CoreOS, et effectivement de premiers essais montrent que c'est plutôt pratique pour des applis web sans persistence. Maintenant voilà, je ne suis vraiment pas rassuré d'y mettre ma base de données car on a vraiment l'impression que même si l'image se lance, les data vont se vaporiser au prochain reboot. En effet, c'est pour cela que la doc du conteneur MySQL de Docker recommande chaudement de mettre les données sur le système hôte, même si la base de données en elle-même tourne dans le conteneur https://registry.hub.docker.com/_/mysql/ (section: Where to Store Data). -- Xavier Claude cont...@xavierclaude.be ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] MariaDB + Docker
2015-08-04 13:19 GMT+02:00 Rémy Sanchez remy.sanc...@hyperthese.net: Bonjour à tous, Je suis plutôt intéressé par les promesses de Docker et en particulier de CoreOS, et effectivement de premiers essais montrent que c'est plutôt pratique pour des applis web sans persistence. Maintenant voilà, je ne suis vraiment pas rassuré d'y mettre ma base de données car on a vraiment l'impression que même si l'image se lance, les data vont se vaporiser au prochain reboot. La question est donc, est-ce que quelqu'un l'a fait dans la vraie vie ? Est-ce que c'est viable ? Est-ce qu'il ne vaudrait pas plutôt mettre les serveurs de BDD sur des machines à part dans lesquelles on a invité etcd ? Merci pour les retours -- Rémy Sanchez http://hyperthese.net/ ___ Liste de diffusion du FRsAG http://www.frsag.org/ Bonjour Rémy, Tu dois considérer tes containers comme un OS volatile. Tout ce qui est donnée résiliente ne doit pas y ếtre stocké. Pour ce genre de besoin, tu peux monter un volume dans le container. Ensuite, il ne reste plus qu'à dire à ton soft où lire son fichier de configuration et où stocker / lire ses données. Baptiste ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] MariaDB + Docker
On Tue, Aug 4, 2015 at 1:29 PM Xavier Claude cont...@xavierclaude.be wrote: Le 2015-08-04 13:19, Rémy Sanchez a écrit : Bonjour à tous, Je suis plutôt intéressé par les promesses de Docker et en particulier de CoreOS, et effectivement de premiers essais montrent que c'est plutôt pratique pour des applis web sans persistence. Maintenant voilà, je ne suis vraiment pas rassuré d'y mettre ma base de données car on a vraiment l'impression que même si l'image se lance, les data vont se vaporiser au prochain reboot. En effet, c'est pour cela que la doc du conteneur MySQL de Docker recommande chaudement de mettre les données sur le système hôte, même si la base de données en elle-même tourne dans le conteneur https://registry.hub.docker.com/_/mysql/ (section: Where to Store Data). Il est même préconisé de créer un containeur spécialement dédié pour les données si je ne m'abuse. Mais dans le contexte de CoreOS qui ordonnance les choses un peu comme il veut, j'ai peur de la fausse manip, qu'il bouge mes conteneurs sans raison sur un autre serveur et de me retrouver le bec dans l'eau. -- *Rémy Sanchez* http://hyperthese.net/ ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] MariaDB + Docker
Le 4 août 2015 à 13:19, Rémy Sanchez remy.sanc...@hyperthese.net a écrit : Bonjour à tous, Je suis plutôt intéressé par les promesses de Docker et en particulier de CoreOS, et effectivement de premiers essais montrent que c'est plutôt pratique pour des applis web sans persistence. Maintenant voilà, je ne suis vraiment pas rassuré d'y mettre ma base de données car on a vraiment l'impression que même si l'image se lance, les data vont se vaporiser au prochain reboot. tu as plusieurs possibilités, créer un container data ou un simple dossier et l'attacher, mais cela ne fonctionne que sur la même machine. en mode cluster, tu es obligé de passer par un stockage externe ( NAS / S3 / etc ... ) ou partagé ( glusterfs par ex ) afin que le volume soit disponible pour tous les hosts. concernant coreos, cela a été testé et non approuvé chez nous ( repose sur systemd, le test fut rapide ;) ). Si tu veux faire du clustering docker simple, utilise rancheros. Pour les projets plus gros/sérieux/critiques, je te conseille apache mesos. La question est donc, est-ce que quelqu'un l'a fait dans la vraie vie ? Est-ce que c'est viable ? Est-ce qu'il ne vaudrait pas plutôt mettre les serveurs de BDD sur des machines à part dans lesquelles on a invité etcd ? Merci pour les retours -- Rémy Sanchez http://hyperthese.net/ http://hyperthese.net/___ Liste de diffusion du FRsAG http://www.frsag.org/ ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] PowerShell - Révéler les mots de passe Windows
Petit suivi, désormais l'outil fonctionne aussi sous : * Windows 7 32 bits * Windows 8.1 * Windows 2012r2 * Windows 10 (Home, Pro, Enterprise sans le VSM) http://sysadminconcombre.blogspot.ca/2015/07/how-to-reveal-windows-10-password.html Bonne journée, 2015-07-06 13:05 GMT-04:00 Pierre-Alexandre Braeken pabrae...@gmail.com: Hello Denis, Merci pour ta réponse :-) Je connaissais déjà les liens que tu m'as donné. Malheureusement la KB que tu mentionnes ne résout pas le problème. En effet, le simple ajout de la clé de registre : UseLogonCredential (DWORD à 1) dans HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest permet toujours la récupération. Bien à toi, PA 2015-07-06 12:47 GMT-04:00 Denis Cardon denis.car...@tranquil-it-systems.fr: Bonjour Pierre-Alexandre, Tout d'abord, vous devez savoir que mon code a été créé et est publié à des fins d'apprentissage et vous ne devez en AUCUN cas vous en servir de façon frauduleuse. Je ne suis pas responsable des mauvaises utilisation de celui-ci. Vous pouvez l'essayer sur des machines qui vous appartiennent, toute utilisation non autorisée de celui-ci dans le but d'obtenir des accès non autorisés sont illégales. Ceci étant spécifié, passons aux choses sérieuses : J'ai créé un script PowerShell qui permet de révéler les mots de passes des utilisateurs logués ou s'étant logués (et machine non rebootée) d'une machine Windows (testé sous Windows 2003,2008R2,2012,7 et 8). Le script fonctionne différemment des outils WCE et Mimikatz. La décryption se fait dans le script sans appeler les .dlls de Windows qui s'en occupent pour le système. Il fonctionne également même si l'architecture du système cible est différente de la votre. Il est disponible sur GitHub : https://github.com/giMini/RWMC et ici : http://sysadminconcombre.blogspot.ca...ws-memory.html http://sysadminconcombre.blogspot.ca/2015/07/powershell-reveal-windows-memory.html Microsoft a une solution au moins sous win8/win2k12r2 pour ce soucis avec la kb2871997 qui désactiver tous les types d'authentification hormis le kerberos dans le lsass pour les utilisateurs du groupe Protected Users. Dans ce cas là on a plus que le TGT kerberos [1] en mémoire, donc pas de mdp en clair. Mais ça supprime la possibilité d'utiliser le NTLM, le wDigest, et consort... Pour plus d'information : http://blogs.technet.com/b/srd/archive/2014/06/05/an-overview-of-kb2871997.aspx La KB ci-dessus wipe-out aussi les mdp de la mémoire vive lors du logoff, ce qui supprime le pb mentionné ci-dessus au niveau de la récupération des mdp des utilisateurs s'étant logués précédemment. Le but ? Démontrer à quel point il est nécessaire de contrôler les accès à vos systèmes ainsi que de réduire les droits donnés à vos utilisateurs. 100% d'accord! Cordialement, Denis [1] https://en.wikipedia.org/wiki/Ticket_Granting_Ticket Bonne journée ! ___ Liste de diffusion du FRsAG http://www.frsag.org/ -- Denis Cardon Tranquil IT Systems Les Espaces Jules Verne, bâtiment A 12 avenue Jules Verne 44230 Saint Sébastien sur Loire tel : +33 (0) 2.40.97.57.55 http://www.tranquil-it-systems.fr ___ Liste de diffusion du FRsAG http://www.frsag.org/
[FRsAG] [JOBS] Digital Netcom recherche administrateurs systèmes réseaux
Digital Netcom, groupe Digital Network, MSP à forte valeur ajoutée présent sur le marché de linfogérance, de lhébergement et du cloud computing, recherche des administrateurs systèmes réseaux. Votre profil : Hacker dans lâme au sens noble du terme, passionné par le fonctionnement des rouages des réseaux et des systèmes dexploitation, vous êtes pourvu dun sens accru de lautonomie ainsi que de fortes capacités dapprentissage. Vous évoluerez au sein de lécosystème Datacenter (serveurs dédiés, cloud computing, sécurité, infrastructures haute disponibilité) et aurez à votre charge la conception, la mise en service et lexploitation des infrastructures client, des procédures générales et dexception. Vous y aurez également l'immense plaisir de m'y croiser de temps en temps ;) Pour en savoir plus : http://www.digital-netcom.com/digital-netcom-recherche-administrateurs-systemes-reseaux/ cordialement, -- Christophe Casalegno http://www.christophe-casalegno.nz ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] MariaDB + Docker
Bonjour, 2015-08-04 16:19 GMT+02:00 Stephane Martin stephane.mar...@vesperal.eu: Je ne suis pas certain de voir l'intérêt de mettre une base de données dans un container. Perf DB = CPU * IO * RAM Typiquement le genre d'objets qu'on ne virtualise pas. C'était peut-être vrai avant, mais je pense que si même Oracle se met à la virtualisation ( http://aws.amazon.com/fr/rds/oracle/ ) on doit pouvoir dire que c'est du passé, non? D'autant que Docker (et les conteneurs en général) n'est pas de la virtualisation au sens traditionnel (ie virtualisation de matériel) mais de la virtualisation d'environnement. En ce qui concerne les performances, IBM avait publié une étude sur le sujet l'été dernier. Le résultat est disponible en pdf ici: http://domino.research.ibm.com/library/cyberdig.nsf/papers/0929052195DD819C85257D2300681E7B/$File/rc25482.pdf Je vous laisse vous faire votre avis mais pour ma part, je trouve que Docker s'en sort plutôt bien. Si les questions de la connectivité (réseau et stockage) étaient réglés, il y a belle lurette que mes bases de données seraient dans des conteneurs. Au passage après Microsoft, Oracle aussi se met à Docker. Autant sur Linux ( https://blogs.oracle.com/linux/entry/oracle_linux_images_for_docker ) que sur Solaris ( https://www.oracle.com/corporate/pressrelease/docker-gets-in-the-zone-with-oracle-solaris-073015.html ). Peut-être est-il encore temps de s'y mettre? Mais s'il faut absolument la mettre dans un container, j'irais plutôt la mettre dans un container LXC persistent, ou même juste dans un cgroups pour faire du contrôle de ressources. Si c'est pour sécuriser, voir firejail par example: https://l3net.wordpress.com/projects/firejail/ Cordialement, Stéphane -- Cordialement, Benoit ___ Liste de diffusion du FRsAG http://www.frsag.org/
