[Sysadmins] Способы конфигурации модулей в новой версии apache2

[Sysadmins] Способы конфигурации модулей в новой версии apache2

[Avramenko Andrew]

Коллеги, у нас возник вопрос как лучше сделать способ конфигурации 
apache, выношу на всеобщее обсуджение.

На данный момент это выполнено таким образом:

   Варианты включения модуля:

1. Быстрый:

#/usr/sbin/a2enmod dir

   Возможно отключение при выполнении /usr/sbin/a2chkconfig, если
требование отключить его будет присутствовать в каком либо из
/etc/httpd2/conf/mods-start.d/*.conf (a2chkconfig может вызываться при
установке/обновлении/удалении связанных с apache2 пакетов).

2. Надёжный:

#'еcho "dir=yes" >> 900-local.conf'
#/usr/sbin/a2chkconfig


Лично мое мнение - это попытка нагородить сверх нормы и предлагаю пойти 
по пути стандартной загрузки сервисов в Linux - там тоже реализованы 
приоритеты загрузки, но там все делается одной командой и нет никаких 
конфигурационных файлов.

Т.е. команда a2chkconfig будет просто создавать символические ссылки и 
все и отойти от конфигурационных файлов, поскольку я так и не увидел в 
них никакого смысла - за зависимости модулей они не отвечают, в 
дефолтном конфиге не увидел никаких других параметров кроме как простого 
запуска модулей, у каждого модуля при необходимости есть свой конфиг. 
Зачем они тогда?


======================================================================

Avramenko Andrew пишет:
> Aleksey Avdeev пишет:
> 
>> Avramenko Andrew пишет:
>>
>>> У нас получается странная картина - если выполнить a2dismod,  модуль
>>> отключается, но при следующим запуске a2chkconfig модуль опять будет
>>> подгружаться.
>>
>>
>>   Да. И это позволяет легко вернуться к зафиксированной конфигурации.
>> Если по условиям задачи требуется зафиксировать включение/отключение
>> чего либо -- это желательно делать через *-start.d/999-local.conf,
>> который будет иметь максимальный приоритет (за счёт своего номера).
>>
>>> Может быть тогда a2dismod/a2enmod должны сами править
>>> *-start.d/*.conf?
>>
>>
>>   Нет.
>>
>>   Основной смысл в *-start.d/*.conf -- то что они не правятся системными
>> средствами (идея: на *-start.d/*.conf идущие в составе пакета выставлять
>> 444). Это позволяет зафиксировать конфигурацию.
>>
>>   Линки же в *-enabled/ -- обеспечивают оперативное управление.
>>
>>> Чем вообще a2chkconfig лучше a2enmod/a2dismod? Почему не взять
>>> существующую схему linux (имею в виду /etc/init.d  и утилиту chkconfig,
>>> она ведь не держит никаких конфигов? ).
>>
>>
>>   В текущей реализации данной схемы а) отсутствует возможность учитывать
>> зависимости между сервисами (на уровне самой схемы) и б) -- нет
>> возможности отличить настройки заданные автоматически (при установке
>> пакета, например) от сделанного руками.
>>
> 
> Представьте ситуацию, когда пользователь ставит apache, настраивает его,
>  выключает ненужные ему модули - делает это a2dismod'ом. Проходит месяц
> и человеку нужно поставить какой-нить mod_php, а тот сам в %post взял и
> вызвал a2chkconfig, который в свою очередь отменил все изменения,
> сделанные пользователем до этого.
> 
> Это разве правильно?

   Не совсем: модуль будет отключён _только_ если требование отключить
его будет в каком либо из /etc/httpd2/conf/mods-start.d/*.conf.
Остальное -- верно. И такое поведение отражено в RRADME.ALT. Цитирую:

<cite>

   Варианты включения модуля:

1. Быстрый:

$ sudo -H /usr/sbin/a2enmod dir

   Возможно отключение при выполнении /usr/sbin/a2chkconfig, если
требование отключить его будет присутствовать в каком либо из
/etc/httpd2/conf/mods-start.d/*.conf (a2chkconfig может вызываться при
установке/обновлении/удалении связанных с apache2 пакетов).

2. Надёжный:

$ sudo -H sh -с 'еcho "dir=yes" >> 900-local.conf'
$ sudo -H /usr/sbin/a2chkconfig

</cite>

   Если вы предложите другой вариант _явно_ разграничит части
конфигурации сделанные мантейнирами и админом -- готов рассмотреть.

PS: Думаю стоит перенести дискуссию куда нибудь в
devel@/sisyphus@/sysadmins@ (на ваш выбор): желательно более широкое
обсуждение по данному вопросу.

-- 

С уважением. Алексей.

Re: [Sysadmins] Способы конфигурации модулей в новой версии apache2

[Aleksey Avdeev]

[-- Attachment #1: Type: text/plain, Size: 2109 bytes --]

Avramenko Andrew пишет:
> Коллеги, у нас возник вопрос как лучше сделать способ конфигурации 
> apache, выношу на всеобщее обсуджение.
> 
> На данный момент это выполнено таким образом:
> 
>    Варианты включения модуля:
> 
> 1. Быстрый:
> 
> #/usr/sbin/a2enmod dir
> 
>    Возможно отключение при выполнении /usr/sbin/a2chkconfig, если
> требование отключить его будет присутствовать в каком либо из
> /etc/httpd2/conf/mods-start.d/*.conf (a2chkconfig может вызываться при
> установке/обновлении/удалении связанных с apache2 пакетов).
> 
> 2. Надёжный:
> 
> #'еcho "dir=yes" >> 900-local.conf'
> #/usr/sbin/a2chkconfig
> 
> 
> Лично мое мнение - это попытка нагородить сверх нормы и предлагаю пойти 
> по пути стандартной загрузки сервисов в Linux - там тоже реализованы 
> приоритеты загрузки, но там все делается одной командой и нет никаких 
> конфигурационных файлов.
> 
> Т.е. команда a2chkconfig будет просто создавать символические ссылки и 
> все и отойти от конфигурационных файлов, поскольку я так и не увидел в 
> них никакого смысла - за зависимости модулей они не отвечают, в 
> дефолтном конфиге не увидел никаких других параметров кроме как простого 
> запуска модулей, у каждого модуля при необходимости есть свой конфиг. 
> Зачем они тогда?

  Повторюсь: основное назначение данной схемы удобным образом разделять
настройки производимые автоматикой при установки пакета и сделанные руками.

  Что я добиваюсь данной схемой:

1. Меня устраивает, что при установки пакета нужное ему включается
автоматом.

2. У меня должен быть рычаг, позволяющий _явным_ образом запретить
включение чего либо (независимо от того что думает по этому поводу
мантейнер).

  В данной схеме я имею такую возможность. Более того: я всегда могу
нарисовать свою личную альтернативу конфигу идущему в пакете (речь идёт
не только про модули) и подключить её через 900-local.conf, отключив
конфликтующие альтернативы там же.

  Если будет предложена другая _простая_ схема, обеспечивающая подобные
возможности -- готов рассмотреть.

-- 

С уважением. Алексей.


[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 548 bytes --]

Re: [Sysadmins] Способы конфигурации модулей в новой версии apache2

[Avramenko Andrew]

> 1. Меня устраивает, что при установки пакета нужное ему включается
> автоматом.

Т.е. зависимости модуля? А почему они не включатся, если использовать 
a2enmod, если Вы сами сказали, что именно он отвечает за зависимости?


> 2. У меня должен быть рычаг, позволяющий _явным_ образом запретить
> включение чего либо (независимо от того что думает по этому поводу
> мантейнер).

Ну если включается модуль и у него что-то в зависимостях, то оно просто 
без этого не должно работать иначе зачем его включать? Если же это явно 
отключено и пытается загрузиться модуль, использующий "это", то апач 
просто не поднимется, правильно? Какой тогда смысл его установки. Я 
конечно понимаю, что в unix админ имеет больше привилегий чем система, 
но все же человек должен понимать ЧТО ставит. Ну смысл отключать 
какой-нить proxy и включать при этом proxy_http?

Давайте тогда уж на примере реальных модулей.

Re: [Sysadmins] Способы конфигурации модулей в новой версии apache2

[Aleksey Avdeev]

[-- Attachment #1: Type: text/plain, Size: 2053 bytes --]

Avramenko Andrew пишет:
>>1. Меня устраивает, что при установки пакета нужное ему включается
>>автоматом.
> 
> 
> Т.е. зависимости модуля? А почему они не включатся, если использовать 
> a2enmod, если Вы сами сказали, что именно он отвечает за зависимости?

  Прошу не путать "модуль" и "пакет содержащий модуль".

  Зависимости _модуля_ действительно включаются через a2enmod. Но в
пакете, по мимо самого модуля, как правило идёт некий конфиг(и)
использующий данный модуль для некой стандартной задачи.

  Простые примеры:

1. ports-available/https.conf и sites-available/default_https.conf
идущие в пакете apache2-mod_ssl -- сам mod_ssl может быть задействован,
но почему именно на стандартном порту?

2. ports-available/http-A1PROXIED.conf использует
ports-available/http.conf и ports-available/http-localhost-8088.conf. Но
если они все будут задействованы одновременно (в смысле, на них будут
линки в ports-enabled) -- apache2 стартовать не сможет...

  Это только то, что лежит на поверхности. Примеры можно продолжить (в
сторону mod_dav, например).

> 
> 
>>2. У меня должен быть рычаг, позволяющий _явным_ образом запретить
>>включение чего либо (независимо от того что думает по этому поводу
>>мантейнер).
> 
> 
> Ну если включается модуль и у него что-то в зависимостях, то оно просто 
> без этого не должно работать иначе зачем его включать? Если же это явно 
> отключено и пытается загрузиться модуль, использующий "это", то апач 
> просто не поднимется, правильно?

  Если это именно модуль -- то да. Если это конфиг с типовым применением
модуля -- то далеко не так. Городить же 2 механизма вместо одного
универсального -- в данном случаи, не вижу смысла.

> Какой тогда смысл его установки. Я 
> конечно понимаю, что в unix админ имеет больше привилегий чем система, 
> но все же человек должен понимать ЧТО ставит. Ну смысл отключать 
> какой-нить proxy и включать при этом proxy_http?
> 
> Давайте тогда уж на примере реальных модулей.

  Привёл выше.

-- 

С уважением. Алексей.


[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 548 bytes --]

Re: [Sysadmins] Способы конфигурации модулей в новой версии apache2

[Avramenko Andrew]

Сдаюсь :-)


Aleksey Avdeev пишет:
> Avramenko Andrew пишет:
>>> 1. Меня устраивает, что при установки пакета нужное ему включается
>>> автоматом.
>>
>> Т.е. зависимости модуля? А почему они не включатся, если использовать 
>> a2enmod, если Вы сами сказали, что именно он отвечает за зависимости?
> 
>   Прошу не путать "модуль" и "пакет содержащий модуль".
> 
>   Зависимости _модуля_ действительно включаются через a2enmod. Но в
> пакете, по мимо самого модуля, как правило идёт некий конфиг(и)
> использующий данный модуль для некой стандартной задачи.
> 
>   Простые примеры:
> 
> 1. ports-available/https.conf и sites-available/default_https.conf
> идущие в пакете apache2-mod_ssl -- сам mod_ssl может быть задействован,
> но почему именно на стандартном порту?
> 
> 2. ports-available/http-A1PROXIED.conf использует
> ports-available/http.conf и ports-available/http-localhost-8088.conf. Но
> если они все будут задействованы одновременно (в смысле, на них будут
> линки в ports-enabled) -- apache2 стартовать не сможет...
> 
>   Это только то, что лежит на поверхности. Примеры можно продолжить (в
> сторону mod_dav, например).
> 
>>
>>> 2. У меня должен быть рычаг, позволяющий _явным_ образом запретить
>>> включение чего либо (независимо от того что думает по этому поводу
>>> мантейнер).
>>
>> Ну если включается модуль и у него что-то в зависимостях, то оно просто 
>> без этого не должно работать иначе зачем его включать? Если же это явно 
>> отключено и пытается загрузиться модуль, использующий "это", то апач 
>> просто не поднимется, правильно?
> 
>   Если это именно модуль -- то да. Если это конфиг с типовым применением
> модуля -- то далеко не так. Городить же 2 механизма вместо одного
> универсального -- в данном случаи, не вижу смысла.
> 
>> Какой тогда смысл его установки. Я 
>> конечно понимаю, что в unix админ имеет больше привилегий чем система, 
>> но все же человек должен понимать ЧТО ставит. Ну смысл отключать 
>> какой-нить proxy и включать при этом proxy_http?
>>
>> Давайте тогда уж на примере реальных модулей.
> 
>   Привёл выше.
> 
> 
> 
> ------------------------------------------------------------------------
> 
> _______________________________________________
> Sysadmins mailing list
> Sysadmins@lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/sysadmins