You signed in with another tab or window. Reload to refresh your session.You signed out in another tab or window. Reload to refresh your session.You switched accounts on another tab or window. Reload to refresh your session.Dismiss alert
Der icvpn-update-Cronjob läuft im Moment jede Stunde, weil er von roles/icvpn/tasks/bird.yml in /etc/cron.hourly/ installiert wird. Wenn bei dem Update etwas schiefgeht und der DNS-Server danach nicht mehr läuft, sind sehr schnell alle Gateways betroffen. Das Skript kann so zu einem SPOF für die ganzen Infrastruktur werden. Genau das ist anscheinend am 1.5.2020 passiert.
Lösungsvorschlag: der Cronjob sollte nur wöchentlich und mit einer zufälligen Verzögerung von 0-6 Tagen laufen. Die Daten im Git-Repo (https://github.com/freifunk/icvpn) ändern sich nicht so oft; und durch die Verzögerung wären nicht gleich alle Server betroffen.
Die Cronjobs in /etc/cron.weekly/ werden leider auf allen Debian-Installationen zur gleichen Zeit ausgeführt (laut /etc/crontab: jeden Sonntag um 6:47). Die Verzögerung muss deshalb händisch eingebaut werden.
Falls das Cronjob-Skript nicht mehr in /etc/cron.hourly/ installiert werden soll, muss sichergestellt sein, dass die Ansible-Rolle auch das alte Skript aus /etc/cron.hourly/ löscht.
Der
icvpn-update-Cronjob läuft im Moment jede Stunde, weil er vonroles/icvpn/tasks/bird.ymlin/etc/cron.hourly/installiert wird. Wenn bei dem Update etwas schiefgeht und der DNS-Server danach nicht mehr läuft, sind sehr schnell alle Gateways betroffen. Das Skript kann so zu einem SPOF für die ganzen Infrastruktur werden. Genau das ist anscheinend am 1.5.2020 passiert.Lösungsvorschlag: der Cronjob sollte nur wöchentlich und mit einer zufälligen Verzögerung von 0-6 Tagen laufen. Die Daten im Git-Repo (https://github.com/freifunk/icvpn) ändern sich nicht so oft; und durch die Verzögerung wären nicht gleich alle Server betroffen.
Die Cronjobs in
/etc/cron.weekly/werden leider auf allen Debian-Installationen zur gleichen Zeit ausgeführt (laut/etc/crontab: jeden Sonntag um 6:47). Die Verzögerung muss deshalb händisch eingebaut werden.Falls das Cronjob-Skript nicht mehr in
/etc/cron.hourly/installiert werden soll, muss sichergestellt sein, dass die Ansible-Rolle auch das alte Skript aus/etc/cron.hourly/löscht.