Size: a a a
2020 July 09
2020 July 12
Не важно сколько миллионов стоит ваш коммутатор если вы забыли про инфраструктуру. Нулевой и минус первый уровень тоже существуют и важны не меньше всех остальных: круглосуточный и круглогодичный доступ к аппаратным, наличие дежурной службы, инженеры и техники, которые именно в этом разбираются, регулярное обслуживание и контроль, бюджеты для всего этого... И тогда, может быть, ваши сети будут чуть меньше простаивать. А аварии, случаются в любом случае.
2020 July 14
Известная особенность
Одним из решений тогда назывался
BGP, но не так часто упоминаемая - это то что BGP никак не заботится о какой-либо безопасности на транспортном уровне, об этом надо позаботиться отдельно. Хороший обзор проблемы на PF2017 от Игнаса Багдонаса и его презентация. PF2017 вообще хорошо прошёлся по многим аспектам обеспечения безопаcности при работе с BGP.Одним из решений тогда назывался
BGP over QUIC и теперь это обрело форму в rustybgp. Cтатья про это в блоге автора на японском, с которой переводчик сносно справляется. Дальше видимо везде, но, скорее всего, не сразу.Замечательный драфт про неудачные проектные решения при выборе числовых значений и их формировании в повсеместно используемых протоколах, которые делают их уязвимыми в очень широком смысле. Описание проблемы и временные вехи, как это потом пытались исправить.
2020 July 15
Во FreeBSD ещё в апреле починили бридж - улучшили производительность с ~4Mpps до ~19Mpps:
Run the bridge datapath under epoch, rather than under the BRIDGE_LOCK().
We still take the BRIDGE_LOCK() whenever we insert or delete items in the relevant lists, but we use epoch callbacks to free items so that it's safe to iterate the lists without the BRIDGE_LOCK.
Tests on mercat5/6 shows this increases bridge throughput significantly, from 3.7Mpps to 18.6Mpps.
Без особых подробностей заметка в блоге, а обещанная статья так и не состоялась.По мнению Apple:
-
-
- а ещё у них
Но это у Apple, а как в мире можно посмотреть тут https://stats.labs.apnic.net/v6perf/XA и почитать, что к чему.
-
IPv6 быстрее IPv4 из-за отсутствия NAT,-
HTTP/2 быстрее HTTP, вероятно, из-за своей бинарной природы,- а ещё у них
TLS1.3, который быстрее TLS1.2 и MTCPНо это у Apple, а как в мире можно посмотреть тут https://stats.labs.apnic.net/v6perf/XA и почитать, что к чему.
2020 July 16
Если на клетке слона прочтёшь надпись «буйвол», не верь глазам своим.
Детальный обзор Cisco 2960, которая совсем не Cisco. При этом всё работало и даже устраивало владельцев, пока не пришло время обновляться. Я думаю многие так и не заметили бы - списали бы как брак, или потому что просто не обновляются. Может быть, даже покупали бы подешевле, зная что это не настоящая Cisco. Что, в том числе, говорит о высоком уровне технологического обеспечения тех кто такие подделки делает и серьёзных затратах на это.
Не читая сам документ, попробуйте определить на какой картинке подделка, на левой 👈 или на правой 👉.
Детальный обзор Cisco 2960, которая совсем не Cisco. При этом всё работало и даже устраивало владельцев, пока не пришло время обновляться. Я думаю многие так и не заметили бы - списали бы как брак, или потому что просто не обновляются. Может быть, даже покупали бы подешевле, зная что это не настоящая Cisco. Что, в том числе, говорит о высоком уровне технологического обеспечения тех кто такие подделки делает и серьёзных затратах на это.
Не читая сам документ, попробуйте определить на какой картинке подделка, на левой 👈 или на правой 👉.
2020 July 17
Я сейчас не часто покупаю себе бумажные книжки. Раньше делал чуть чаще, особенно студентом, почти с каждой стипендии. Но раньше выбора было поменьше, да и стипендии не на всё хватало. Сейчас я, отчасти, восполняю этот пробел покупая классические вещи, но делая это от случая к случаю, больше под настроение чем системно. И вопрос цены, по прежнему, тут не последний.
Сегодня забрал с доставки "Внутреннее устройство Windows" в современном варианте. Читать буду обязательно, надеюсь будет интересно, потому что в своё время я так и не забрался сильно глубоко. Для моих практических целей хватало
Сегодня забрал с доставки "Внутреннее устройство Windows" в современном варианте. Читать буду обязательно, надеюсь будет интересно, потому что в своё время я так и не забрался сильно глубоко. Для моих практических целей хватало
win32.chm и SoftICE. И даже то что вы можете увидеть на фотографии на полке слева, я с трудом помню, что вообще читал.
2020 July 18
Пока вы спали, у cloudflare на 23 минуты прилегло 50% их сети. Знаете почему?? Опечатка в конфиге на роутере в одном из приватных бекбонов! https://blog.cloudflare.com/cloudflare-outage-on-july-17-2020
Пульс Интернета - каждый участник глобальной сети подключенный к ней по
Остальные могут воспользоваться ris-live.ripe.net и одной из двух десятков точек присутствия, или всеми сразу, чтобы получать уже отформатированные данные и нарисовать свой пульс. А можно просто смотреть за сменяющими друг-друга сообщениями и медитировать, прикоснувшись к самой его сути.
BGP может это увидеть.Остальные могут воспользоваться ris-live.ripe.net и одной из двух десятков точек присутствия, или всеми сразу, чтобы получать уже отформатированные данные и нарисовать свой пульс. А можно просто смотреть за сменяющими друг-друга сообщениями и медитировать, прикоснувшись к самой его сути.
2020 July 19
Про BGP - тезисно. Разные аспекты работы, не все, но очень важные. Шпаргалка, чтобы вспомнить, для тех кто уже знает.
Кстати, простой способ DNS over TLS используя systemd-resolved, с большой вероятностью он уже есть в системе. И держим в уме что всё падает, поэтому резервируем своим.
2020 July 21
Современное состояние мира Интернет, того самого, который с большой буквы. В котором одновременно существуют
Это статья продолжение вот этой песни и не менее замечательная. В ней нету технических деталей, всё простым и понятным языком, про те эмпирические законы на которых Интернет был построен и
IPv6 и IPv4 и это делает его хуже. НО, надежда есть.Это статья продолжение вот этой песни и не менее замечательная. В ней нету технических деталей, всё простым и понятным языком, про те эмпирические законы на которых Интернет был построен и
IPv6, в том числе, и что из этого получилось.Коллега админ поднимал тестовую среду и столкнулся с проблемой что
Самый быстрый способ - известный в первую очередь тебе самому, а значит самый простой. Проблема могла бы быть решена и заменой
SFP+ не определяется в сервере - нет интерфейса. Дело уже почти дошло до перекомпиляции драйвера, но хватило опции allow_unsupported_sfp=1. Такой привычной для Cisco, но почему-то не подумалось, что такое может быть для серверной карточки и её драйвера. Причём эту опцию он как раз в коде драйвера и увидел.Самый быстрый способ - известный в первую очередь тебе самому, а значит самый простой. Проблема могла бы быть решена и заменой
SFP+, и "прошивкой", чтобы мимикрировать под нужного вендора, и перекомпиляцией драйвера, если так проще. И это всё верные решения, правильные с разных сторон, для разных людей с разным опытом и разными подходами. И теперь в этой копилке есть ещё одно.2020 July 22
Что к чему с настройками разрешения имён DNS в Linux, в пяти частях. Про все конфигурационные файлы, чуть про Docker с Kubernetes и отладка. В продолжение настроек DNS over TLS.
А вот то, про что я говорю последние два года: эпоха единого интернета проходит, начинается фрагментация. Уже есть четыре самостоятельных сети, регулируемых США, Евросоюзом, Китаем и Индией.
Если вас интересует состояние и будущее интернета - обязательно прочитайте, особенно про Индию и Jio. Статья небольшая, но важная https://stratechery.com/2020/india-jio-and-the-four-internets/
Апдейт: В блоге Дзена отличная выжимка-перевод этой статьи https://t.me/zenleaks/2625
Если вас интересует состояние и будущее интернета - обязательно прочитайте, особенно про Индию и Jio. Статья небольшая, но важная https://stratechery.com/2020/india-jio-and-the-four-internets/
Апдейт: В блоге Дзена отличная выжимка-перевод этой статьи https://t.me/zenleaks/2625
2020 July 23
Про кикстартер и то, что бюрократия везде бюрократия, во все времена и во всех местах. А ещё про то, что за идеей стоит гораздо больше чем просто идея и конечный продукт - это не самый простой путь.
Меня спрашивают по десять раз в день, когда уже можно будет купить флиппер. Попробую ответить здесь
Почему так долго?
Сделать полноценное устройство намного сложнее, чем просто голые платы. Тут нужно объединить одновременно работу нескольких заводов. Изготовление корпуса и плат происходит в разных местах, отдельно еще сборка, прошивка, тестирование, упаковка. Никакой завод не будет производить вам десять штучек, (вернее будет, но по цене они будут как из золота) поэтому нужно сразу заказывать партию от тысячи штук. Поэтому, чтобы запустить производство, нам нужно сразу оплатить всю партию, а это миллионы денег.
Помимо этого есть еще целая куча юридических вопросов. Кикстартер работает только с некоторыми странами вроде США, Гонконга, Японии, Германии и еще пары штук. Изначально мы планировали все делать через Гонконг, но нас долго мурыжили с проверками из-за нашего не очень благородного происхождения и в результате послали.
Поэтому в начале месяца мы решили идти через США. Эта процедура состоит из нескольких этапов, возможно, когда-то я расскажу подробнее.
✅ Открытие компании
Компанию в США может открыть иностранец. Это делается достаточно просто, можно полностью удаленно, сидя за компьюктером у себя в Мухосранске. По сути, это просто создание сущности в реестре штата. У нас заняло 4 дня. При этом вас даже не спрашивают паспорт! Просто имя “Вася Пупкин Инкорпорешн”.
✅ Получение физического адреса
Это очень смешная процедура. Чтобы подать документы в налоговую, вам нужен физический адрес в США, на который будет приходить бумажная почта. Для этого вы должны разрешить посреднику вскрывать ваши письма и пересылать их сканы по интернету. Закон требует нотариального заверения такого разрешения. Выглядит это так: вам звонит темнокожая женщина по видеосвязи, и вы показываете ей паспорт в камеру. Вот только проблема в том, что ей нужен документ на английском языке с подтверждением вашего домашнего адреса, на котором будет ваше имя. По-русски она читать не умеет. Пришлось ей в прямом эфире переводить счета за электричество, очень весело.
✅ Получение номера налогоплательщика EIN
Сама по себе компания не может почти ничего. Чтобы оперировать деньгами ей нужен номер налогоплательщика. Это уже намного сложнее, вы должны ПО ФАКСУ (!!!) отправить запрос в налоговую и ждать ответа на физический адрес. Многие знакомые ждут ответа уже второй месяц. Нам же удалось сделать этот номер всего за день. Часть этой процедуры предполагает звонок в налоговую США, где нужно попросить прислать тебе ответ по факсу. Для этого пришлось арендовать факс (sic!)
✅ Верификация компании на Кикстартере через Stripe
C этой процедурой мы как раз застряли дольше всего. Из-за того, что EIN мы получили очень быстро, судя по всему, он не успел попасть в какие-то базы налоговой и не проходил автоматическую проверку в Stripe. Но благодаря вашей активности в твиттере, Stripe быстро все решил прямо в самом твиттере. Лайки и комменты действительно работают.
❌ Получение банковского счета
Это самый сложный этап. Большинство серьезных банков открывают счета только после того, как посмотрят вам в глаза лично и обнюхают со всех сторон. Иностранцам открывают счета с большей настороженностью, а удаленно почти никто не открывает. Сейчас мы ждем апрува от сервиса Mercury, это что-то вроде отечественного Рокетбанка, то есть модная веб-прокладка к другому материнскому банку. Они единственные заявляют, что открывают счета удаленно иностранцам. Их CEO мне пообещал в твиттере что все будет норм. На всяких случай вот твит https://twitter.com/zhovner/status/1286046151695884289
❌ Проверка продукта Кикстартером
В самом конце Кикстартер проверяет соответствует ли наш продукт их требованиям. Это делается в самом конце, когда уже есть банковский счет, поэтому мы пока эту проверку не проходили. По заявлению Кикстартера это занимает до 3 рабочих дней.
Сейчас остались только эти два последних шага. По опыту предыдущих действий я не могу даже примерно сказать, сколько это займет времени на самом деле. Но если все пройдет гладко, то через пару дней после апрува мы запустимся.
Почему так долго?
Сделать полноценное устройство намного сложнее, чем просто голые платы. Тут нужно объединить одновременно работу нескольких заводов. Изготовление корпуса и плат происходит в разных местах, отдельно еще сборка, прошивка, тестирование, упаковка. Никакой завод не будет производить вам десять штучек, (вернее будет, но по цене они будут как из золота) поэтому нужно сразу заказывать партию от тысячи штук. Поэтому, чтобы запустить производство, нам нужно сразу оплатить всю партию, а это миллионы денег.
Помимо этого есть еще целая куча юридических вопросов. Кикстартер работает только с некоторыми странами вроде США, Гонконга, Японии, Германии и еще пары штук. Изначально мы планировали все делать через Гонконг, но нас долго мурыжили с проверками из-за нашего не очень благородного происхождения и в результате послали.
Поэтому в начале месяца мы решили идти через США. Эта процедура состоит из нескольких этапов, возможно, когда-то я расскажу подробнее.
✅ Открытие компании
Компанию в США может открыть иностранец. Это делается достаточно просто, можно полностью удаленно, сидя за компьюктером у себя в Мухосранске. По сути, это просто создание сущности в реестре штата. У нас заняло 4 дня. При этом вас даже не спрашивают паспорт! Просто имя “Вася Пупкин Инкорпорешн”.
✅ Получение физического адреса
Это очень смешная процедура. Чтобы подать документы в налоговую, вам нужен физический адрес в США, на который будет приходить бумажная почта. Для этого вы должны разрешить посреднику вскрывать ваши письма и пересылать их сканы по интернету. Закон требует нотариального заверения такого разрешения. Выглядит это так: вам звонит темнокожая женщина по видеосвязи, и вы показываете ей паспорт в камеру. Вот только проблема в том, что ей нужен документ на английском языке с подтверждением вашего домашнего адреса, на котором будет ваше имя. По-русски она читать не умеет. Пришлось ей в прямом эфире переводить счета за электричество, очень весело.
✅ Получение номера налогоплательщика EIN
Сама по себе компания не может почти ничего. Чтобы оперировать деньгами ей нужен номер налогоплательщика. Это уже намного сложнее, вы должны ПО ФАКСУ (!!!) отправить запрос в налоговую и ждать ответа на физический адрес. Многие знакомые ждут ответа уже второй месяц. Нам же удалось сделать этот номер всего за день. Часть этой процедуры предполагает звонок в налоговую США, где нужно попросить прислать тебе ответ по факсу. Для этого пришлось арендовать факс (sic!)
✅ Верификация компании на Кикстартере через Stripe
C этой процедурой мы как раз застряли дольше всего. Из-за того, что EIN мы получили очень быстро, судя по всему, он не успел попасть в какие-то базы налоговой и не проходил автоматическую проверку в Stripe. Но благодаря вашей активности в твиттере, Stripe быстро все решил прямо в самом твиттере. Лайки и комменты действительно работают.
❌ Получение банковского счета
Это самый сложный этап. Большинство серьезных банков открывают счета только после того, как посмотрят вам в глаза лично и обнюхают со всех сторон. Иностранцам открывают счета с большей настороженностью, а удаленно почти никто не открывает. Сейчас мы ждем апрува от сервиса Mercury, это что-то вроде отечественного Рокетбанка, то есть модная веб-прокладка к другому материнскому банку. Они единственные заявляют, что открывают счета удаленно иностранцам. Их CEO мне пообещал в твиттере что все будет норм. На всяких случай вот твит https://twitter.com/zhovner/status/1286046151695884289
❌ Проверка продукта Кикстартером
В самом конце Кикстартер проверяет соответствует ли наш продукт их требованиям. Это делается в самом конце, когда уже есть банковский счет, поэтому мы пока эту проверку не проходили. По заявлению Кикстартера это занимает до 3 рабочих дней.
Сейчас остались только эти два последних шага. По опыту предыдущих действий я не могу даже примерно сказать, сколько это займет времени на самом деле. Но если все пройдет гладко, то через пару дней после апрува мы запустимся.
Простыми словами как работает зеркалирование в коммутаторах и как не работает тоже. Функция несомненно полезная, но как и любая функция может иметь особенности применения, про которые стоит знать.
Например, ограничение производительности, которое сказывается не только на скопированном трафике, но и на проходящем. В этом случае несколько часов поиска причин происходящего вам обеспечены. Для некоторых устройств существуют разные способы добиться желаемого, которые задействуют разные механизмы, об это тоже стоит узнать и выбрать нужный.
Например, ограничение производительности, которое сказывается не только на скопированном трафике, но и на проходящем. В этом случае несколько часов поиска причин происходящего вам обеспечены. Для некоторых устройств существуют разные способы добиться желаемого, которые задействуют разные механизмы, об это тоже стоит узнать и выбрать нужный.
2020 July 26
Если сразу строить сеть на IPv6, то, во-первых, будут исключены все проблемы связанные с трансляцией адресов в любом виде. А, во-вторых, не будет никаких отмазок и психологических барьеров, которые сейчас присутствуют у очень многих компаний: всё работает, нас всё устраивает, продержимся ещё пару лет, а там уж как-нибудь.
Такая роскошь доступна, конечно, стартапам и тем кто вдруг затеял реорганизацию или большой, новый, независимый проект внутри своей компании - стоит воспользоваться шансом.
Такая роскошь доступна, конечно, стартапам и тем кто вдруг затеял реорганизацию или большой, новый, независимый проект внутри своей компании - стоит воспользоваться шансом.
