Cảm ơn bạn đã xác nhận nha, mình đang học chay nên có nhiều cái biết nhưng vẫn chưa thực sự chắc chắn. Mong được học hỏi bạn nhiều hơn 👍 rất chờ đợi bài tiếp theo trong series nha 🥰
Đúng r nha bạn, WP Plugin với S3 cũng có hỗ trợ EC2 Instance Role nên nếu làm thực tế thì nên xài Role. Còn do này mình làm demo nên mình sẽ làm nhanh và bỏ qua các vấn đề bảo mật, như mình đã nói ở đầu bài nha, phần này mình chỉ tập trung vào thiết kế hệ thống. Tại thêm vào phần security nữa thao tác sẽ khá dài nên mình tạm bỏ qua 🤣
Hello anh, series quá hay. e cũng đang sử dụng pgsql cho hệ thống.
Có 1 vấn đề hiện tại là cùng 1 query, cùng điều kiện nhưng query có lúc nhanh(~2s, 3s) nhưng lại có lúc rất chậm (7 đến 10s, 20s). Đặc biệt là những lần đầu tiên sẽ chậm và càng về sau càng nhanh hơn.
Liệu nó có liên quan đến cơ chế caching nào không ạ?
vâng a. thế còn vụ e add user vào group root thì sao vẫn k đc a nhỉ?
@lxquan quả này thì hơi khó đoán chút đó nhé, cái này phải trực tiếp debug mới nói được.
Nhưng gần đây a cũng có bị 1 quả, resource nằm trong "root" folder "/", và a dùng non-root user access vào, kể cả đã add user vào group root nhưng khi chạy thì nó vẫn báo ko có quyền truy cập. A có thử search ở đây thấy mọi người bảo bản chất nó vậy: https://askubuntu.com/a/315998/960306 (mà chưa thực sự rõ lắm)
Cài đặt harbor dùng TLS
1.1 Nếu có Cert xịn được sign với các tổ chức --> Lúc này từ k8s sẽ pull dc mà không phải thao tác gì thêm
1.2 Dùng self sign cert (vd Lets encrypt) --> Có thể cấu hình ở client để dùng cert đã cấu hình HOẶC disable luôn phần TLS check cho Registry này (harbor)
Không cài TLS cho harbor --> Cấu hình cho phía client không verify tls (như anh làm bên trên)
Note: Cấu hình cho Docker/Containerd/Podman cho không phải chỉ lúc gọi lệnh pull.
vậy thì e phải đổi quyền của file kia về giống với user của e nữa, đảm bảo rằng mọi thứ mà user của e đụng tới thì nó phải có đủ quyền.
Lí do: khả năng rất cao, kể cả e đã đổi qua USER appuser thì mặc định khi chạy lên thì Apache vẫn start với root user (cái này có thể là ở trong config của nó)
Nhưng, ở trường hợp này a nghĩ đổi trực tiếp permission bằng chown có vẻ không ổn. E xem ở thread này nhé, họ dùng setcap để chạy Apache dưới non-root user đó:
THẢO LUẬN
+1 vote 🫡
xịn quá nè ❤️
Cảm ơn bạn đã xác nhận nha, mình đang học chay nên có nhiều cái biết nhưng vẫn chưa thực sự chắc chắn. Mong được học hỏi bạn nhiều hơn 👍 rất chờ đợi bài tiếp theo trong series nha 🥰
Đúng r nha bạn, WP Plugin với S3 cũng có hỗ trợ EC2 Instance Role nên nếu làm thực tế thì nên xài Role. Còn do này mình làm demo nên mình sẽ làm nhanh và bỏ qua các vấn đề bảo mật, như mình đã nói ở đầu bài nha, phần này mình chỉ tập trung vào thiết kế hệ thống. Tại thêm vào phần security nữa thao tác sẽ khá dài nên mình tạm bỏ qua 🤣
@rockman88v : Seri hay quá Mr Việt.
Ngoài các chủ đề này ra trong DevOps còn các nội dung nào nữa Việt nhỉ:
Bài viết rất hay. Ở khía cạnh bảo mật thì mình nghĩ là dùng IAM role cho application sẽ tốt hơn là dùng account credential
được bạn, thậm chí để đơn giản hơn thì mình có thể dùng POST trong tất cả các trường hợp update/tạo mới luôn
Mình còn phải học hỏi rất nhiều. Rất mong nhận được góp ý cụ thể hơn từ bạn 😄
😍😍😍@lxquan tuyệt vời e ơiiii 😍
hay lắm pro
@maitrungduc1410 vâng a. cám ơn a ạ. bài viết của a hay lắm ạ. giúp e hiểu nhiều hơn về docker ạ.
Hello anh, series quá hay. e cũng đang sử dụng pgsql cho hệ thống. Có 1 vấn đề hiện tại là cùng 1 query, cùng điều kiện nhưng query có lúc nhanh(~2s, 3s) nhưng lại có lúc rất chậm (7 đến 10s, 20s). Đặc biệt là những lần đầu tiên sẽ chậm và càng về sau càng nhanh hơn. Liệu nó có liên quan đến cơ chế caching nào không ạ?
@lxquan có vẻ không sao e ạ, đổi thành root mới sợ còn non-root thì a nghĩ chắc oke
@lxquan quả này thì hơi khó đoán chút đó nhé, cái này phải trực tiếp debug mới nói được.
Nhưng gần đây a cũng có bị 1 quả, resource nằm trong "root" folder "/", và a dùng non-root user access vào, kể cả đã add user vào group
rootnhưng khi chạy thì nó vẫn báo ko có quyền truy cập. A có thử search ở đây thấy mọi người bảo bản chất nó vậy: https://askubuntu.com/a/315998/960306 (mà chưa thực sự rõ lắm)@maitrungduc1410 e thử add thêm phân quyền luôn cho thư mục /run/httpd cho appuser thì cũng chạy ngon ạ (kb còn rũi ro nào nữa k ạ)
@maitrungduc1410 vâng a. thế còn vụ e add user vào group root thì sao vẫn k đc a nhỉ?
@hoangha84 Trong câu lệnh helm anh đang set repo bằng IP, vậy anh thử pull/push với cái IP đó xem dc ko? Cách debug như sau:
@hoangha84 có 2 phương án anh có thể xem xét:
vậy thì e phải đổi quyền của file kia về giống với user của e nữa, đảm bảo rằng mọi thứ mà user của e đụng tới thì nó phải có đủ quyền.
Lí do: khả năng rất cao, kể cả e đã đổi qua
USER appuserthì mặc định khi chạy lên thì Apache vẫn start với root user (cái này có thể là ở trong config của nó)Nhưng, ở trường hợp này a nghĩ đổi trực tiếp permission bằng
chowncó vẻ không ổn. E xem ở thread này nhé, họ dùngsetcapđể chạy Apache dưới non-root user đó:https://github.com/docker-library/httpd/issues/102#issuecomment-404637485
Hoặc e search google a thấy nhiều kết quả lắm: docker how to run apache as non-root user
Bài viết sàm quá !!!!!