Сформирован выпуск основной ветки nginx 1.25.2, в рамках которой продолжается развитие новых возможностей. В параллельно поддерживаемой стабильной ветке 1.24.x вносятся только изменения, связанные с устранением серьёзных ошибок и уязвимостей. В дальнейшем на базе основной ветки 1.25.x будет сформирована стабильная ветка 1.26. Код проекта написан на языке Си и распространяется под лицензией BSD...Подробнее: https://www.opennet.me/opennews/art.shtml?num=59607
Чем ответит корпорация "Веб-сервер и точка", разрабатывающая Ангие?
rpmbuild -bb ?
утром:1) пресс качат, анжуманя
2) скачять master.zip гитхап
3) перекомпилятьвечером:
1) пресс качат, анжуманя
2) скачять master.zip гитхап
3) перекомпилять
>[оверквотинг удален]
>
> 1) пресс качат, анжуманя
> 2) скачять master.zip гитхап
> 3) перекомпилять
>
> вечером:
>
> 1) пресс качат, анжуманя
> 2) скачять master.zip гитхап
> 3) перекомпилятьВот оно! Нашелся новый админ для роскосмоса из соседней новости заместо посаженного. Этот спортсмен-комсомолец, ведет ЗОЖ, и вообще.
Как я писал ранее https://www.opennet.me/openforum/vsluhforumID3/130749.html#35> Если вдруг это кто читает из Angie (https://www.opennet.me/opennews/art.shtml?num=59231) - добавляйте туда нормальную поддержку облачных сред, докера, кубера. Это will make Angie great again!
> На подмёрдживании апстрим ветки далеко не уедете =)пока поддержку докера/k8s не сделают (которая есть, например в traefik) - так и будут вечно догоняющими.
Зачем?
Nginx как прокси был оптимальным решением лет десять назад, а сейчас для облачных сред прекрасно подходит Envoy, до которого nginx-у не дотянуться уже никогда.
Так что сейчас единственная функция Nginx в облаке - отдавать статику. А для этого поддержка облака не нужна.
> Так что сейчас единственная функция Nginx в облаке - отдавать статику. А для этого поддержка облака не нужна.Да и сам Nginx для этого не нужен. Статический контент либо S3-like раздаёт, который сам себе веб-сервер, либо CDN, который тоже отнюдь не Nginx пользуется для этого.
Ставить S3-like на статику без кэширующей прослойки (например, varnish) - звучит как-то не очень.
Хосспаде, наплодили костылей...
В то время, как труЪ одмины до сих пор гоняют всё под Apache, и загружают *.php4 через proftpd.
Ты не поверишь, массхостинг - именно апач и профтпд. php4 нет, правда.
На апаче почти весь ряд проектов. На фронтах (SSL/balance) хапрокси, что на массхостинге, что на проектах.
Достаточно труЪ, кмк.
Для 2005 года - вполне неплохо.
Вот только клиентов не столько, сколько в 2005, и софт на их хостах далеко не из 2005. А так всё нормально.
> софт на их хостах далеко не из 2005Парой комментариев выше вы подтвердили, что там apache и proftpd :)
Э, последние релизы так-то свежие, не?
Или вам надо смузи от однодневок обмазаться, чтобы не чесалось?
> Э, последние релизы так-то свежие, не?Вот только технологии с тех пор немного ушли вперёд.
> смузи
Смузи и хипстеры были на слуху году эдак в 2015. Видимо, это последний раз, когда вы выходили из дома?
Вы бы ещё эмо вспомнили.
Вам нужна, вы и делайте. Миллионам сайтов на вордпрессах и прочих джумлах она не нужна и не будет нужна.
И форумов на phpbb.Не говоря уже о статических домашних страничках всяких Джонов До.
Заведите тикет на гитхабе - каких именно фич не хватает и как их лучше сделать (может быть как-нибудь даже лучше, чем в Traefik).
Не хватает динамических бэкендов. Которые вычитываются из api докера или кубера. Для настройки используются лэйблы докера или метадата кубера* docker https://doc.traefik.io/traefik/getting-started/quick-start/ , https://doc.traefik.io/traefik/routing/providers/docker/
* k8s https://doc.traefik.io/traefik/routing/providers/kubernetes-...
В 2-х словах:
> Attach labels to your containers and let Traefik do the rest!
Пример, на docker-compose
version: '3.7'
services:
traefik:
image: traefik:v2.9.0
hostname: traefik
restart: unless-stopped
command: --configFile=/etc/traefik/conf/traefik.yml
ports:
- 0.0.0.0:8081:8081
extra_hosts:
# https://github.com/moby/moby/pull/40007
# works on Docker for Mac 3.4.0 or Linux Docker 20.10.4
- "host.docker.internal:host-gateway"
volumes:
- /var/run/docker.sock:/var/run/docker.sock:z
- ./docker/traefik_conf:/etc/traefik/conf:zusers:
image: mycorp/users:latest
deploy:
labels:
- "traefik.enable=true"
- "traefik.http.services.users-service.loadbalancer.server.port=8035"
- "traefik.http.routers.users-router.rule=PathPrefix(`/api/users`)"
- "traefik.http.routers.users-router.entrypoints=http"
- "traefik.http.routers.users-router.middlewares=auth-middleware@file"
Зачем в 2023 мучаться с переусложнённым docker-compose, если можно поставить простой, как топор, k3d с любым ingress-контроллером на выбор?
А когда уже QUICK и HTTP/3 будут собираться по дефолту, без доп.опций?
Ага и гостовые сайферы ))
сайферы же при любом раскладе отдельно
Зачем утруждаться? Доля говорят уже высокая можно на всё забить.
Не раньше, чем в OpenSSL появится необходимый API, кмк.
А как сборка нжинкса влияет на появление апи у OpenSSL?
Тут обратная зависимость.
Пока что http/3 только с альтернативными либами.
а haproxy уже собирается и работает с h3 )))
> а haproxy уже собирается и работает с h3 )))Тоже требует отдельного извращения с отдельной либой.
>> а haproxy уже собирается и работает с h3 )))
> Тоже требует отдельного извращения с отдельной либой.Про openssl лучше вообще забыть. В нем вулны каждый месяц находят, апи ужасное, дефолты несекурный, код огромный и авторы не скрывают что дилетанты в крипто. Зачем вам такая чудная либа вообще?
Небарбершопно?
OpenSSL, начиная с третьей версии, только на смузи и годится, но никак не на TLS-терминирование в проде (деградация производительности до x20). А первую ветку собираются отменить в этом году.
Прод проду рознь.
Если вы cloudflare собираете - возможно и нет.
А на 99% типовых задач, в т.ч. на массхостинге, реальная разница значения не имеет.
> А на 99% типовых задач, в т.ч. на массхостинге, реальная разница значения не имеет.На 99% типовых задач _из вашего личного опыта_, давайте уточним.
Даже у небольшой фирмы, если она сайтом деньги зарабатывает, запросто могут быть десятки kRPS.
Хосспаде, напугали опенссл десятком kRPS.
Ну, судя по комментариям выше, вы до сих пор где-то во временах четвёртой фри, поэтому сделанная нежными бородачами с подворотами openssl 3.x для вас останется в бесконечно отдалённом будущем.
Как большие нагрузки (в ваше время интернет был сильно меньше.)
Мы во временах OL9 и UEK R7, смузи не интересует.
3.0.7e, бхахахаха.
Приятного аппетита, не обляпайтесь.
> Небарбершопно?Напротив! Это одни из самых первых барбершоперов от крипто. Настолько замшелые что даже еще без гироскутера и смузи. Но все остальное по части разработки софта очень барбершопно. В частности занятие делом в котором не бельмеса, и в котором воздается за некомпетентность.
Кто дебианщикам ACKнул изменение сводящее ключи к списку на 6 мегов? А, вот эти супер-девы? Кто вслепую доверяет рандому от проца? Ах, опять эти "эксперты" крипто? У кого какая-то совершенно левая фича память сервера сливала публике, вместе с ключами? У кого CVE каждый месяц?
Хуже них либу с крипто ну даже не знаю кто делал. Разве что матрикс - там да, смузи хлебнули и еще лучше зашло, end to end сломалось вообще совсем в ноль - в дефолтной либе. Но #2 в этом шит параде точно у openssl.
Проблема в том, что всё остальное - ещё хуже.
> Проблема в том, что всё остальное - ещё хуже.Это кто сказал? Другой либы с CVE стабильно раз в месяц я даже просто так с ходу и не назову.
У Неуловимого Джо вообще 0 CVE, и что?
> авторы не скрывают что дилетанты в крипто.Это было про LibreSSL.
> Зачем вам такая чудная либа вообще?
Потому что WolfSSL пока сыроват.
>> авторы не скрывают что дилетанты в крипто.
> Это было про LibreSSL.Таки - про Open. Libre - это форк от опенщиков задолбаных постоянными CVE. И они посообразительнее в целом и по крайней мере не склонны трогать своими шаловливыми лапками то что не понимают. В отличие от вон тех.
>> Зачем вам такая чудная либа вообще?
> Потому что WolfSSL пока сыроват.SSL/TLS вообще сделать не сыроватым, как бы это - в нам более 9000 фич, совместимостей с экспортным 40 битным :)) RC4 и каким там еще супер секуром. При этом даже в хорошей реализации можно наломать дров. А в плохой - вот, каждый месяц.
И апликух правильно юазющих чудное апи от этих господ - немного. Реально HTTPS умеют нормально только браузеры. Остальные дико лажают. Даже OpenVPN много лет имел глупейший вулн когда оно не проверяло роль (клиент или сервер) и любой клиент мог изобразить сервер OpenVPN который остальные примут за чистую монету, это ж правильный серт, подписаный верным CA. Сейчас конечно починили, но, честно, на фоне этого позора - wireguard просто masterpiece. Который не имеет - и никогда не будет - иметь такие проблемы.
openSSH, apache, haproxy, squid, postfix, dovecot, curl, openvpn, PHP, openIPMI, asterisk, netSNMP, BIND, clamAV, exim, FreeRADIUS, openLDAP, MySQL, MariaDB, nodejs, git, PostgreSQL, proFTPd, Redis, nginx, iperf, keepalived, mongo, lighttpd, LUA, rsync, unbound, zabbix, memcached, nmap и многие прочие.В самом деле, всего-то ничего. И это я только по очевидным зависимостям прошёлся.
> Libre - это форк от опенщиков задолбаных постоянными CVE.Опёнщик задалбывает практически исключительно NIH-синдром.
> И они посообразительнее в целом
Ага, делали SMTP-сервер, а сделали remote shell.
> не склонны трогать своими шаловливыми лапками то что не понимают.
В лучше случае - не потрогают, и CVE OpenSSL в неизменно виде доедут в Libre.
В худшем случае - потрогают, и добавят своих.
> А когда уже QUICK и HTTP/3 будут собираться по дефолту, без доп.опций?Если сервать не обьемами гугла или яндекса, то caddy по дефолту идет с HTTP3
Чтобы парится с их отключением? Вам нужно, вы и включайте.