A
а после появления ebpf его нужность стала еще менее очевидной
Не все готовы писать фильтры на ebpf.
Size: a a a
2020 July 27
A
какой?
Еще есть возможность иметь общие правила для ipv4 и ipv6.
SP
Alexander
Не все готовы писать фильтры на ebpf.
когда у вас заходит задача уровня "нат 1:1 для 10к адресов работает слишком медленно" у вас уже есть люди, которые готовы
p
ipt не интерпретатор
Я упрощаю сильно.
SP
Alexander
Еще есть возможность иметь общие правила для ipv4 и ipv6.
вот в этом и проблема. это было нужно 15 лет назад. за это время снаружи ядра выросла куча контролплейна, который эмулирует нужную функциональность.
SP
Я упрощаю сильно.
ipt интерпретатор крайне условно, я могу с этим согласиться. как и любая другая машина состояний.
A
когда у вас заходит задача уровня "нат 1:1 для 10к адресов работает слишком медленно" у вас уже есть люди, которые готовы
Это типичная задача при слиянии пары ИТ-компаний среднего пошиба (сильно меньше яндекса), и там не то, чтобы обычно готовы писать ebpf-модули.
p
а после появления ebpf его нужность стала еще менее очевидной
Не все готовы писать на некотором подмножестве си правила фильтра )
SP
Не все готовы писать на некотором подмножестве си правила фильтра )
зачем вообще в маленькой ит-компании нужно больше 10 натов 1:1? можно юзкейс с подробностями?
SP
я вижу это счастье только в хостинге вообще
SP
Не все готовы писать на некотором подмножестве си правила фильтра )
сложные кейсы проще на ebpf, простые уже работают на iptables. смысл миграции "просто чтобы было" не очевиден.
p
когда у вас заходит задача уровня "нат 1:1 для 10к адресов работает слишком медленно" у вас уже есть люди, которые готовы
Но есть разница между "написать правила прочитав ман" vs "разобраться в xdp"
SP
Но есть разница между "написать правила прочитав ман" vs "разобраться в xdp"
так в этом и поинт. если такая задача пришла, то эти люди ман читают уже пятый месяц.
p
зачем вообще в маленькой ит-компании нужно больше 10 натов 1:1? можно юзкейс с подробностями?
Да тот же isp )
SP
Да тот же isp )
и давно в isp рутят на линуксе в софте с концентрацией по 10к кастомеров на хост?
A
сложные кейсы проще на ebpf, простые уже работают на iptables. смысл миграции "просто чтобы было" не очевиден.
Ты просто смотришь со своей яндексовой колокольни, где у вас с такой задачей может справиться каждый второй инженер :)
SP
Alexander
Ты просто смотришь со своей яндексовой колокольни, где у вас с такой задачей может справиться каждый второй инженер :)
я три года как не в Яндексе.
SP
и давно в isp рутят на линуксе в софте с концентрацией по 10к кастомеров на хост?
я помню такое в 2007. тогда ещё все ссались с ната во фряхе.
p
и давно в isp рутят на линуксе в софте с концентрацией по 10к кастомеров на хост?
Ну не 10к, а 2к, например