nocproject.org

по всей видимости или все сидят под админом или vc мало кто пользуется. но под пользовательской учеткой у которой есть права на весь vc нет возможности добавлять вланы :)

Заметил что если написать тригер который закрывает алярмы линк довн на клиентских портал то количество алярмов за сутки становит ~50 штук, а нагрузка корелятора на проц уменьшилась раз в 10 !!!

freeseacher, и это не последняя проблема работы из-под ограниченной учетки

при 20 - 30 тыс алярмов FM NOCa перестаёт быть полезним ибо реакция между появлением ивента и поднятием алярма становится больше суток.

при 30к алармов любой ФМ становится бесполезным, среди тысяч не найдешь более приоритетный

у меня кстати все время крутится такая мысль, можно ли как-нибудь выделить сверхсерьезные проблемы, такие что "ААА!!! Шеф, все пропало!!!"

чтобы уже краем глаза было видно, что надо бросать все и бежать разбираться/чинить

zi_rus, а какие есть еще грабли ?

у меня пока только это. а ребята в городах все работают от юзеров

freeseacher, например, юзер с ограниченными правами, но с полным доступом к СМ у меня все равно не может просматривать конфиги

аа

у него селектор задан ?

ессно

он видит список конфигов

но в попытке открыть любой из них получает болт

нет у меня открывается

давай галочки сверять

у меня Configs (cm.config) - стоят все галки

http://www.imagebanana.com/code/zuuilgh2/_016.png

это в группе

и вот еще http://www.imagebanana.com/code/s6a2w4gj/_017.png

тем кому надо смотреть всю активку сделан селектор "все оборудование" пустой.

zi_rus у меня 3 аларм тригера отранжировали все алармы и закрыли лишние!

freeseacher, о заработало, дал группе те же права что и юзеру и привязал юзера к этой группе, теперь ОК

хотя я все равно думаю что надо начать сидеть под пользователем у которого стоят все галочки.

но нет суперпользовательской

тогда будут проверяться права а не принадлежность к суперюзерам

выше шанс отловить косяки

а вот и Дима. надо и его к этой мысле склонить :)

давай, начинай, сейчас все под рутом сидят, никто проблем не замечает, а на мои репорты о проблемах больше забивают

Ну чё написать доку по Alarm triger? Где у вас какая вики?

на форуме вестимо

kb.nocproject.org

dvolodin, есть мысль что надо работать под пользователем. с полным набором прав. но без суперюзера.

dvolodin, почему так, юзер привязан к Селектору и группа привязана к селектору, на cm.config права у группы и юзера одинаковые, юзер не может просматривать конфиги, хотя список конфигов видит, привязываю юзера к группе и все ок

zi_rus, у меня и так и так работает

ну а меня нет, пока сейчас не привязал, был болт с ушами

может еще где чего надо донастраивать, я не знаю, и вообще с правами какая-то фигня

слишко запутанно

непонятно, какие права приоритетней, юзера или группы

zi_rus http://headrush.typepad.com/photos/uncategorized/featuritis.jpg

а я об этом недавно говорил, монструозные программы угнетают

ноку далеко до монстра.

у нас есть набор скриптов на перле который может делать 80 % работы нока. отмирают. не интегрированы.

у меня тоже где-то валяются, раньше иногда запускал, теперь, в худшем случае, run_command из нока

щас буду раскручивать удаленный мрт.

freeseacher, когда будешь проводить террор с ограничением прав, обрати внимание, что хоть в ипам и есть Prefix Access, но он все равно не работает, а vc.vc вообще не имеет ограничений

zi_rus, у меня давно и сразу все из под юзера

админский доступ у 3-4 человек

префикс аццес работает.

не работает ралочка can view

*галочка

но она мне ненужна. global table должен быть виден всем.

can view, работает на половину, она дает права на вью всего ИПАМ, у меня юзеру с огр. правами установлен доступ видеть только его врф, но хрена, он видит все

с вланами да. но примерно 200 человек работают нормально. без эксцессов. за полтора года.

и грущу иногда что нет group prefix access

можно было бы привязаться к группам по городам.

а сейчас пришлось сделать аккаунт на город.

а мне не хватает установки ограничений на несколько ВРФ, но с учетом того, что оно все равно не работает приходится сидеть под рутом

у меня вот пара человек , как я сидят админом, просто потому, что я все равно не смогу правильно ограничить права, а они просят, тк очень много пунктов которыми они не пользуются и сточки зрения удобства и безопасности их лучше скрыть, но не могу

group prefix access надо сделать, д

zi_rus, кажется ты что то делаешь не так. с правми в ноке кроме обозначеных я больше граблей не знаю.

руки не доходят

freeseacher, как можно сделать доступ юзеру к нескольким ВРФ, и скрыть остальные?

даже с доступом к 1 ВРФ он все равно может просматривать остальные

хотелось бы конечно row level security но это вопрос отдельного большого програмерства

тк сейчас у нас ипам самый активно используемый модуль, для меня разделение прав в этом модуле самое важное

а тебе надо сделать именно что бы они не могли "видеть" эти vrf-ы ?

freeseacher, а вот еще кстати вспомнил, NOC-354

zi_rus, или я не понимаю что это или это fixed давно

типа юзер может выполнять скрипты на чужих железках ?

freeseacher, у меня есть 5 ВРФ с адресами в которых работает моя группа, есть 1 ВРФ к которому должна иметь доступ другая группа, а остальные ВРФ я хочу скрыть и никогда не видеть, они клиентские

а в контексте не видеть лишнего... я понял. я давно не смотрю на нак под таким углом. но вообще проблема есть.

freeseacher, NOC-354, да, на момнт создания issue, я специально проверял, проблема была актуальна, более по этому вопросу я комментариев не видел

dvolodin, смотрю твой коммит по поводу ip коллизий при дискавери. будет ли обнаружена проблема если префиксы не будут одинаковыми, но будут пересекаться? закроется ли аларм сам когда коллизия на сети будет устранена и дискавери повторно пройдет по сети?

как он поймет, что конфликт убрали, а не просто железка упала?

почему упала, адреса пересеклись, он предупредил, пересечение устранили

отсутсвие ipшника в ARP/Neighbor кеше и на интерфейсе ни о чем не говорит

ни фига себе, почему не говорит?

наличие говорит, а отсутствие нет?

да.

у меня некоторые кеши в минуту.

и если из кеша пропало значит пока не нужен доступ

к тому же если пингануть ип арп не появится

только когда железка сама захочет в сеть

это про арп, или он ловит только одинаковые адреса с разными маками? я что-то не понимаю? о каких коллизиях мы говорим?

когда в VRF Group сказано, что адреса уникальны для группы

кстати, ты issue закрыл, но так и не доделал, из двух врф все отражется только в первый, а еще если подумать в такой схеме, проще создать один врф и сказать что он представляет собой группу из нескольких, тк сейчас невозможно понять, принадлежит ли адрес э

тому врф или был отражен из соседнего

пожалуйста, еще один проблем с юзером и ограниченными правами, report latest changes выводит отчет по всем железкам, а не ограничивается селектором

Человеки есть кто с РОССТЕЛЕКОМА?

почему у меня периодически перестает работь скрол в боковом меню?

Человеки есть кто с РОССТЕЛЕКОМА?

ss_, никто не ответит тебе :)

боятся анальной кары?

вопрос есть по приставкам от smartlabs

Новое интерактивное тв запускают, вот на приставку нужен паролько на ssh

хотел сказать что такой конторы нет, но гугл меня усиленно переубеждает

Человеки есть кто с РОСТЕЛЕКОМА?

от

переименовали млять

хех

и тут мля, смартлабс.

ХАХАХА

ss_ а что случилось ?

ss_ приставка какая - промсвязь ?

да

отвязку как сделать от логина?

Стрекову звонить

так-то чераз смарттуб

через смарттуб

о как

совсем все плохо, как то совсем кавно сделали. Абонент вернул приствавку и все все ддосим человека одно

)) меню перезагрузки не сделали

да там анус полный... с этим смартслабом

ггг

и у меня есть смартлабс

правда приставка mag

кому это iptv нужно

ума не приложу

а наши коммерсанты бредят его еще через wifi по квартире раздавать

айпитиви это впринципе норм

но при нормальной трубе - проще скачать фильм через торрент

сам смотрю по телевидению только футбол да новости

смотреть нечего качество отстой

If I'm doing a fresh install for production, I should use the stable release of NOC, correct?

i think you can try vm image

acid-: the vm image is for the latest development release. I shouldn't use that for production, right?

queso: i'm using latest branch from repository

queso: to me there is no such thing as a stable noc release.

Why is there a stable release then? So, if I install the latest development release, when another release is out later, following the instructions on the upgrade page will work? The post-update script can be run at any time?

yes

How frequently do you recommend I upgrade? Or, how frequently are new releases put out?

(Perhaps the wiki page should be modified so new folk coming to look at it aren't tempted to install "stable")

maybe once a week

"release" looks more like "milestone" in noc cycle right now.

or once a month

I personally had to switch to hg repo and use trunk

noc codebase isn't stable yet.

though using it like rolling update model was safe enough to me

Once a week or once a month? NOC isn't stable? Should I not be using it in production? It says "battle-proven" on http://kb.nocproject.org/display/SITE/Users Please understand, I'm only asking these questions because I'm the one who's going to have to support this after I get it installed.

so try vm image first )

Try the VM in production?

it will not break anything i think

no problems with installing python, mongodb, etc

just download and run

Does the upgrade script modify the database schema?

Is the reason the upgrades work because there's no migration happening?

with default settings noc is safe to use in production, cause it will do nothing :)

DB schema modification is done in scripts/post-update stage.

Upgrade works fine if there is migration.

Though you may get a problem with f.e. old pymongo egg in contrib or smth

Or like when GIS module was introduced, you had need to install and setup postgis.

I personally do 'hg pull -u' 2-3 times a week.

When you pull, are you getting fresh, untested commits? Or is there a branch for that, and a branch for tested commits?

Where do I clone the repo from?

http://kb.nocproject.org/display/DOC/Installing+from+source

hg clone http://hg.nocproject.org/noc noc

looks (to me) like it's better to have it right in /opt/noc

great, thanks for your help, guys

Can someone please answer my question about tested vs untested commits? It looks like there's only one branch. Are tagged commits considered "stable"? Does it work to pull between those?

queso: ask dvolodin when he will be here

evyscr: ok, ty

Can NOC be installed anywhere? Is there a reason to put it in /opt/noc?

queso: NOC can be installed anywhere, though directory must be named "noc"

path is insignificant

common practice is to use 2 or 3- system landscape

dev (optional), q&a and production

you can pull commits into q&a, test new features/bugfixes, then push them to production

as said before - release is just a milestone, to fix changes in CHANGELOG, prepare source distro/VM image and a good reason to news announce