Итак, есть VPS: 3 ядра Intel Xeon, 2 Gb RAM +SSD диск

На такой конфигурации крутиться интернет-магазин на Битриксе.

Сейчас при наполнении товарами, все это добро начало жутко тормозить.

В магазине порядка 15 000 товаров, НО все это размещено в 350 категориях

и у каждого товара в среднем порядка 10-15 свойств, плюс у самой категории тоже примерно 10-20 свойств.

СУРБД Percona Версия 5.7.19-17

Из ругани в ПУ Битрикса

Процент временных таблиц потребовавших создание на диске

 (Created_tmp_disk_tables / (Created_tmp_tables + Created_tmp_disk_tables)). 

Процент более 30% и требуется увеличить параметры tmp_table_size (текущее значение: 128 МБ) 

и max_heap_table_size (текущее значение: 128 МБ). 

Убедитесь, что значения этих параметров равны. 

Так же возможно требуется сократить количество SELECT DISTINCT запросов без LIMIT.

У нас там сейчас порядка 47% данный показатель.

Load average: 0.96 , 1.64 , 1.16

Я, конечно, завтра прогоню еще все mysqltuner, когда будет хотя бы суточный uptime и прогреются кеши, но хотелось бы знать с чего начинать поиск «бутылочного горлышка»

cast KRoN73, образно говоря, мне нужна печь от которой можно плясать :-)

Доброго времени суток. Редирект настроен, но не очень понятен один момент. Если я принудительно ввожу ссылку http://mysite.com, то в итоге прихожу на сайт http и соотвественно сертификат ssl не получаю. Если ввожу просто mysite.com, то всё ок. Добавлю, что сайт на чистом nginx.

server {
listen 80;
server_name mysite.com;
return 301 https://mysite.com/;

#так же пробовал такие записи и честно говоря разницы не понял

return 301 https://$server_name$request_uri;
return 301 https://$host$request_uri;
}
server {
listen 443 ssl;
server_name mysite.com;
...
}

Так и должно быть?

Объясните логику, к примеру, хотим иметь доступ к машине только через ssh:

*filter
:INPUT DROP
:FORWARD DROP
:OUTPUT ACCEPT

-A INPUT -i lo -j ACCEPT

-A INPUT -m conntrack --ctstate INVALID -j DROP
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT

COMMIT

Будет ли этот набор правил iptables достаточным и оптимальным? Задаю вопрос, потому что не раз встречал наборы правил, где помимо «все запрещено, разрешено только нужное» режутся всякие инвалидные пакеты, и прочее прочее. Не могу понят зачем это нужно.

Доброго времени суток

Сабж

Через веб-морду создавать шаблон с нуля это адов треш и мартышкин труд, и не только из-за неудачного интерфейса

Гораздо хуже, что изменив item, приходится ждать, пока zabbix прочухает изменение и решит-таки получить данные. Тем более, если это не просто item, а lld. Да, можно временно ставить интервал в 60 секунд. Но всё равно первые результаты будут через минуту-две. А речь идёт об отладке, когда нужно проверить 5 .. 10 вариантов. Это крайне паршиво, когда я думаю гораздо быстрее, чем ПО работает.

Можно ли из консоли или через api пнуть zabbix, чтобы он обновил конкретный item/lld немедленно? А в идеале ещё и увидеть результат ( про «Monitoring -> Latest data» знаю, но как же это долго и неудобно... )

update: или даже не пнуть реальный item, а получить данные по заданным аргументам без создания item'а ( вроде zabbix_get, но для серверных действий, с указанием хоста, макросов и параметров )

Доброго времени суток

Кто-нибудь знает, как именно low level discovery поступит, если один из нескольких параметров в discovery изменится?

Посчитает, что это новый элемент и по нему нужно создавать item'ы, или обновит существующие item'ы?

Пример - snmp, дескрипшн интерфейса

если сделать description отдельным item'ом, то он будет висеть бесполезным грузом - его не добавить на график и не включить в имя других item'ов

если включить description в LLD, например так

discovery[{#IFNAME},.1.3.6.1.2.1.31.1.1.1.1,{#IFALIAS},.1.3.6.1.2.1.31.1.1.1.18]

То, насколько я понимаю, LLD вернёт данные вида

{
    "data": [
        {
            "{#SNMPINDEX}": "1",
            "{#IFNAME}": "TenGigabitEthernet 0/20",
            "{#IFALIAS}": "p770-2-3 P2-C6-T1"
        },
        ...
    ]
}

в этом случае его уже можно включать в имена любых item'ов и графиков

Но что произойдёт, если сетевой инженер поменяет дескрипшн ( {#IFALIAS} )? LLD обновит имена графиков и item'ов, или решит что это новый объект и наштампует новые item'ы и графики, в которых не будет старой истории?

Доброго времени суток

Сабж. Предположим, discovery вернул данные вида

{
    "data": [
        {
            "{#SNMPINDEX}": "20",
            "{#IFNAME}": "TenGigabitEthernet 0/20",
            "{#IFADMINSTATUS}": "1"
        },
        {
            "{#SNMPINDEX}": "21",
            "{#IFNAME}": "TenGigabitEthernet 0/21",
            "{#IFADMINSTATUS}": "0"
        },
        ...
    ]
}

Возможно ли не создавать элементы из прототипов ( или создавать, но в статусе disabled. ), если порт в дауне ( {#IFADMINSTATUS} == 0 ) ?

Т.е. не включать зря мониторинг погашенных портов

Мне бы не помешал свой центр сертификации. Есть openssl и даже куча скриптов к нему, но мне интересно что-то, что позволило бы запрашивать сертификаты в сети. Скажем приложение или вебморда, в которой можно запрашивать и подписывать сертификаты. Лучше вебморда, для кроссоплатформенности. И отзыв сертификатов. Скажем, я отозвал сертификат, как остальные машины узнают об этом?

Есть Сервер VPS1 под Ubuntu 14.04 есть задача клонировать все данные и настройки сайты и все файлы в точности на VPS2 на который стоит такой же чистый Ubuntu 14.04

за ранее спасибо.

Доброго веремени суток! Изредка работаю с таким продуктом как Ansible, поэтому опыта в его конфигурировании мало. Сейчас прилитела задача написать несколько ролей для конфигурирования серверов. Написал playbook, но к нему не срабатывает handler с ошибкой " ERROR! The requested handler 'restart ssh' was not found in either the main handlers list nor in the listening handlers list " Т.е. он не видит обработчик, хотя он есть и находится в директории handlers уровнем выше.

ansible 2.3.1.0

Файлы конфигурации #/etc/ansible/roles/ssh/tasks/main.yml http://notepad.idzaaus.org/x8shmkcrwnvkra5syjoanrwbvk2t5yg3#7

#/etc/ansible/roles/ssh/handlers/main.yml http://notepad.idzaaus.org/x8shmkcrwnvkra5syjoanrwbvk2t5yg3#6

Вот схема того что есть

                          ------------
         ---------------->| INTERNET |<------NAT--------- 
         |                ------------                  |
 ----------------------         ↑               ---------------------      
 |      VPS1          |         |               |  WIN7 HOME        |
 | eth0 46.101.222.40 |  ---------------------  | gateway 10.8.50.1 |
 | openvpn client2    |  |      VPS2         |  | openvpn client1   | 
 | tun0 10.8.50.50    |  | eth0 185.40.31.56 |  | ip: 10.8.50.30    |
 ----------------------  | openvpn server    |  ---------------------
                         | tun0 10.8.50.1    |
                         ---------------------

ip add default 10.8.50.50 table 120
ip rule add from 10.8.50.30 table 120

( читать дальше... )

Но на VPS1 полная тишина :(

Проект Gentoo объявил, что в связи с тем, что патчи grsecurity стали закрытыми и несвободными, теперь больше нет возможности поддерживать hardened-сборки. Так как эта ветка больше не будет обновляться, 27 августа пакет будет скрыт, а до конца сентября - удален.

Рекомендуется перейти на стандартное ядро и использовать SELinux и средства усиления безопасности при сборке компонентов пространства пользователя. Также возможно пропатчить ядро на свой страх и риск неофициальными патчами gsecurity или Copperhead OS.

Анонс

>>> Полный текст новости