Estoy tratando de instalar la solución de expedientes electrónicos y no me funciona cuando dicen que tengo que poder acceder a expedientes.unca.edu.ar/usuarios.
Sinceramente no entiendo el lio de redes que muestra la aplicacion de la imagen adjunta y creo que me faltó/falló la configuración de algo.
las que interesan para la solucion de expedientes son
traefik-public
red-siu
Estas recibiendo algun error?, algo mas que me puedas agregar?.. por otro lado, que version de expedientes estas trabajando?
Lo importante seria saber si estas llegando al contenedor de Traefik y que pasa luego, ponelo en modo DEBUG asi podes ver mejor que es lo que esta haciendo.
Si no estas llegando al contenedor ese, entonces el despiole viene mas por el lado de la infraestructura.
no necesariamente, son redes virtuales … recorda que el punto de entrada es Traefik que mapea el puerto 80/443 de dicha VM hacia el contenedor del mismo.
De ahi para adentro tenes la red traefik-public via la cual se conectan aquellos servicios que son accesibles de forma publica, pero desde fuera esa red no tiene porque estar en el rango de la VM.
Ademas tenes red-siu que involucra aquellos contenedores que no son publicos (x ej: db, ldap, memcached, nuxeo, jasper, etc) pero que son accesibles por otros contenedores, esta red desde fuera tampoco tiene porque estar en el rango de la VM. Suponiendo que los tenes en contendores.
En estos momentos, al navegar a expediente.unca.edu.ar/usuarios, me dice que no puede hacer una conexion segura. Calculo problemas de certificados
Bien, fijate este link, tene en cuenta que si usas certificados propios (para produccion) tienen que ser validos, no sirven autofirmados y sino tenes la chance de usar Let’s Encrypt para los mismos.
Si es para testing podes ir con autofirmados pero los navegadores te van a tirar la bronca y segun cual quizas no te deje acceder directamente.
Yo estoy siguiendo, https://expedientes.siu.edu.ar/docs/instalacion/ calculo que bajará la última.
Perfecto, al dia de hoy v1.0.8 es la ultima version disponible... cada vez que sacamos version se actualiza la documentacion, asi que si ves que cambia el nro es porque hay algo nuevo.
Te agrego una imagen. Al contenedor traefik,llego
Igual cuando vi que te dio error por el certificado asumi que estabas llegando, ya que Traefik es quien los presenta.
no se como tengas los puertos mapeados internamente, igual la config por defecto que tiene expedientes te redirige hacia el protocolo seguro.
El problema está en que, traefik, no encuentra los certificados autofirmados.
Por defecto ya trae un par de autofirmados (para prueba) el repo, lo que quizas este faltando es que los cargues en docker como [i]secret[/i] y [i]config[/i] respectivamente.
El paso para cargarlos seria [url=https://expedientes.siu.edu.ar/docs/redes/#certificados-existentes]este[/url]
Fijate que aca se direccionan los certificados en cuestion como secrets y/o configs.
Saludos
PD: Los autofirmados que estan en el repo estan mas vencidos que el jarabe que tomaba de chico, asi que mejor create un par key/cert nuevo via openssl y pisa esos archivos de ahi, el resto si es valido.
tenes razon, por lo que veo esta faltando agregar eso a la documentacion ya que sino quedan fuera de sincronia los nombres.
Gracias por el aviso, ahi meto un fix para la doc de la proxima version.
Ademas en dichos archivos está
uunn.local.cert
mientras que los archivos son
uunn.local.crt
Esto no seria problema, uunn.local.crt es como lo tenes vos en disco… mientras uunn.local.cert es como lo espera internamente el contenedor, el mapeo se hace via config/secret al especificar el target.
Este certificado "uunn.local" es el que pasa a traefik. Creo que el certificado de traefik.uunn.local no pasa al contenedor
Es correcto cuando deployas con certificados propios, [b]traefik.uunn.local[/b] se necesita solo si haces el deploy con Let's Encrypt.. y el certificado no lo incluis vos de antemano.
Corregidos estos problemas, me sale el error de la imágen al acceder a uunn.local/usuarios en conexion segura.
Algo para ver, que se te ocurra?
Bien, una vez hecho el paso anterior… completaste la inicializacion de Arai?
bien, si te vuelve a suceder lo mismo…te voy a pedir que nos pases el log del contenedor del IDP.
Lo podes obtener con:
docker service logs [Opciones] serviceId
Si yo quiero que el directorio "\expedientes\recursos" sea el que utilice para almacenar las fotos y lo que sea, como tengo que definirlo?
Intenté varias formas y me sigue diciendo que usuarios_usuarios_assets en el directorio de docker.
Fijate que al final del archivo usuarios.yml tenes una seccion que dice
volumes:
usuarios_assets:
Ahi mismo tenes comentado un ejemplo sobre como definir dicho volumen para un filesystem con NFS.
Si lo queres hacer con un dir local para probar, lo que tendrias que hacer estimo seria algo asi
volumes:
usuarios_assets:
driver: local
driver-opts:
device: /path/to/dir
El tema con hacerlo a un dir local es que tiene sus inconvenientes (ponele que para una prueba zafan):
No tenes escalabilidad fuera de dicha maquina
Segun que SO uses podes no tener opciones para el driver, lo que te dificulta el asunto.
Probemos con la config pelada (que igual te crea un volumen) y despues vemos si lo podemos mapear a un dir puntual.
en teoria lo unico que tiene que hacer docker cuando vos realizas el deploy es ir y chequear si hay alguna version nueva de la imagen (osea otro SHA) no mas que eso.
En mi maquina localmente suele tardar tambien, no se si sea por la conexion, porque realiza chequeos extra por sobre un run comun o por que alguna de las configuraciones de CPU en los yml influya en como se comporta.
Podrias usar algo asi quizas… que seria una especie de proxy cache, el tema es que quizas no sea la conexion el problema sino el proceso en si o la maquina.
Yo cuando hago un stack deploy tengo unos 20 o 30 sgs hasta que el contenedor esta corriendo correctamente.
Tenes descomentada esta seccion en la configuracion de traefik?
Yo cuando hago un stack deploy tengo unos 20 o 30 sgs hasta que el contenedor esta corriendo correctamente.
segundos???
Ojalá
Hay veces que me sale un mensaje “No puedo iniciar sesion en memcached” o parecido.
Obviamente no bajó completo ese servicio, por mencionar uno que no es del siu.
Esto no es tecnologia para el tercer mundo.
Tenes descomentada esta seccion en la configuracion de traefik?
No. Ya voy a pasar todo en limpio y hacerlo con buena conexion y veo.
Esto apunta al servicio “usuarios-api” que se creó en el stack “usuarios” servicio “api”. Es como una especie de dns directo autogenerado por Docker, y entre contenedores es posible referenciarse así. Podes conectarte a uno y desde adentro hacer ping a otro por ese nombre, debería funcionar (estando en la misma red, etc).