?

Log in

No account? Create an account
Кот Муций
За последнее время много вожусь с IaaS-облаком; хочется излить несколько наблюдений, как подходы, принятые в обычных, невиртуализированных системах некритически переносятся в облачную среду:

1. Неоднократно наблюдал, как на облачных серверах баз данных или там Exchange люди привычно ставят диск для баз, и отдельно - диск на transaction logs, думая, что это улучшит производительность. Да с чего бы? На обычном железе в этом был простой, понятный смысл: на диске баз данных считывающая головка может прыгать между секторами как угодно, а на диске логов будет большую часть времени просто записывать в хвост. Соответственно, лучше, чтобы диски были разные.
Но зачем это делать в облаке, где все эти диски - всего лишь файлы на датасторе? Если они хранятся на одном и том же физическом хард-диске - ну так значит, он обречён крутиться псевдорандомально. Но даже если мы разнесём их на разные хранилища - один чёрт каждое из них используется тучей прочего народу. Предсказать, как реально будут крутиться хард-диски в этих хранилищах - абсолютно невозможно.

Впрочем, по мере ухода магнитных дисков этот вопрос отпадёт окончательно. Хотя и тогда по инерции админы будут разносить базы и логи - у нас так заведено.


2. Продолжая тему дисков - объясните мне кто-нибудь, а какой смысл в локальных дисках в облаке? Почему не определить любой, или хотя бы любой data disk как shared? (Шишков, прости...) Это в физическом мире у нас есть либо SAN, либо просто SCSI-кабель к дискам, который больше чем в один компьютер не воткнёшь. А в виртуальном какая разница, какое устройство эмулировать - SCSI-контроллер или HBA какой-нибудь? Один чёрт наши диски - просто файлы на каком-то датасторе.

Сегодня облака shared disks обычно не предоставляют, и поэтому, чтобы завести какой-нибудь кластер на виртуалках, который их требует (да хотя бы файлсервер на микрософтовском Failover Cluster) нужно сооружать дикие турусы на колёсах. А как было бы просто: кликаешь в облачном портале мышкой пару раз - вот тебе виртуалка с диском. Кликаешь ещё - вот тебе вторая, третья, восьмая виртуалка, и все видят тот же диск. А дальше дело твоё, как их координировать: либо только главный сервер кластера юзает диск, либо ставь файловую систему, поддерживающую доступ со многих, типа VMFS или GFS2.


3. VLANs и, шире говоря, Ethernet вообще. Как-то упускается из виду, что в обычных локальных сетях broadcast domains существуют не от хорошей жизни, а оттого, что каждый компьютер в порт файерволла не воткнёшь. Хотелось бы инспектировать трафик между любыми двумя хостами - но что делать, свитчи функциональностью современного файерволла не обладают, а если такие и есть, то цена у них заоблачная, pun intended. Поэтому, если не хочется угробить производительность, приходится разбивать сеть на какие-то секьюрити-зоны, отказываться от возможности фильтровать трафик внутри них и удолетворяться фильтрацией между ними. Кроме того, VLAN-ы позволяют с лёгкостью гонять групповой и широковещательный трафик.

Но это не то, что я хотел бы от облака! Там-то мне возможность фильтровать трафик между двумя любыми машинами гораздо чаще пригождалась бы, чем преимущества broadcast domains.

Пример: допустим, у меня классический расклад - 20 вебных фронтэндов, за ними SQL Server. По логике секьюрити-зон, мне надо засунуть фронтэнды в один VLAN, SQL - в другой, и контролировать трафик между ними. Но тогда фронтэнды могут между собой неограниченно общаться - а зачем мне это надо? Им нужно говорить с HTTP-клиентами и с SQL-сервером, а друг дружке им что-либо передавать незачем.

Тут пригодился бы Private VLAN, но облако такое не предоставляет. Наштамповать отдельный VLAN под каждый фронтэнд можно, но мы упрёмся в иные ограничения. Приходится сажать их в общий, а это лишний риск.

Надо сказать, что Микрософт это как раз осознали - в Azure классического Ethernet-а нету, они там наворотили что-то своё на Layer2. В результате можно фильтровать трафик между любыми машинами, даже если они сидят в одном сабнете - но любой неюникастовый и, шире, любой не-IP трафик не поддерживается. По-моему, выбор в правильную сторону.


А у вас какие наблюдения?
 
 
Current Music: Joni Mitchell - Clouds
 
 
Кот Муций
28 April 2018 @ 04:26 am
В связи с блокировкой Телеграма народ много спорит о том, можно ли расшифровывать там сообщения и передавать ключи, или вообще нельзя.

Я об этом писал раньше, но так, чисто to hammer it home, повторю: такой и только такой мессенджер можно считать безопасным, который не предоставляет шифрования. Точнее, который позволяет построить систему шифрования на своей основе, самому не вмешиваясь в её работу. Который будет просто передавать сообщения, оставляя вопросы создания ключей, хранения ключей, обмена ключами, доверия к ключам и шифрования самих сообщений вне своей компетенции.

Именно так работает обыкновенная электронная почта. Я могу использовать для шифрования PGP, S/MIME или хоть WinRAR; хранить ключи на хард-диске или на смарт-карте; использовать сертификаты, которым доверяет весь мир, или наштамповать их для себя и для друга Васи на коленке; обменяться ими по скайпу, через FTP или с почтовыми голубями - это всё вне ведения серверов электронной почты. Протоколам SMTP, POP и IMAP всё равно, шифрованные ли они сообщения передают или нет. Поэтому e-mail безопаснее любых воцапов и телеграмов - если использовать все эти фичи правильно.

В этом и состоит цена - надо самому всеми этими вопросами заниматься. Это не так уж и сложно, но надо понимать основные принципы и приёмы: как ключи работают, как их хранить, как их проверять. Но иначе невозможно: если вам обещают шифрование на блюдечке, рассказывая, что оно end-to-end, и потому никто и никогда!.. - это враньё по определению. Если мессенджер или любой другой сервис обмена сообщениями берёт на себя эти функции - возможность злоупотребления у его хозяев остаётся всегда.

(Откуда же такая разница между e-mail и мессенджерами? Да оттуда, что e-mail создавалась как децентрализованная система, с открытыми для всех протоколами, не принадлежащая никому конкретно. Любой может поставить себе сервер и обмениваться по этим протоколам письмами с другими. А в случае мессенждеров десятки миллионов людей радостно отдались на милость фирм-феодалов, по выражению Брюса Шнайера. Очень жаль, что получилось так.)
Tags:
 
 
Current Music: Somali Yacht Club - The Sea
 
 
Кот Муций
26 April 2018 @ 12:46 pm
Пара забавных эпизодов из серии misheard lyrics:

1. В году так 1998-м армейский товарищ, с которым коротали дежурство, выключил в помещении свет для эффекту и поставил какую-то крышесносящую психоделическую полуроковую-полуэлектронную композицию. Я спросил название группы, он ответил что-то вроде "porky pantry".

И я потом годами, натурально, разыскивал в Интернете группу под именем "Кладовка свинины". Пока случайно не углядел где-то правильное имя и не осознал.
А называлась она [... ну и как?]Porcupine Tree.
Вот эта композиция:



2. Рассказывал матушке, что смотрели с приятелем довольно известную кинокартину. Матушка, не разобрав название - "это что, продолжение мультика про робота"?
Картина называлась [Spoiler (click to open)]"Триумф воли".
 
 
Current Music: Big & Rich - Save a horse, ride a cowboy
 
 
Кот Муций
23 April 2018 @ 11:10 am
Товарищи, а не помнит ли кто рассказ с таким содержанием?

Наёмный убийца выслеживает студента, чтобы в каком-нибудь переулке огреть гирей по голове. Во время слежки его заносит то ли на выставку, то ли на лекцию, посвящённую анатомии, и киллер, мужик довольно невежественный, сильно переезжается тем, насколько сложная и таинственная штука - человеческий организм. Под впечатлением от этого он отказывается от убийства; студент остаётся в счастливом неведеньи о том, что ему грозило.

Мне упорно кажется, что автор - Александр Грин; вроде по стилю ему вполне подходит, но в списке рассказов Грина я ничего похожего не нашёл.

Читали, не?
 
 
Current Music: Nick Nolan - Life of Sin
 
 
Кот Муций
21 April 2018 @ 02:48 am
Злободневненькое:

1. Депутат Кнессета Орен Хазан ("Ликуд") отреагировал на сообщение об отказе Натали Портман приехать в Израиль
для получения премии "Генезис" призывом к лишению актрисы израильского гражданства.
...
Министр культуры и спорта Мири Регев ("Ликуд"), в свою очередь, выразила сожаление по поводу того, что Портман, по ее словам, "попала в сети BDS".
(источник)

Предлагаю премировать депутата Кнессета Орена Хазана (Ликуд) орденом "Вредоносный идиот второй степени" (закрыть кавычки по вкусу). Госпожу министра Мири Регев (Ликуд) - третьей.
С учётом этого хочется спросить - а не идиоты в ликудовской фракции ещё остались?


2. Искусство цитаты в исполнении господина министра обороны, дающего интервью:
С точки зрения реальной ситуации, я хочу обратить внимание ваших читателей на статью очень известной журналистки "Гаарец" Амиры Хесс. Одной из немногих, регулярно посещающих сектор Газы. 12 февраля она написала в редакционной статье: "Нет гуманитарного кризиса в Газе"

В статье Хесс пишет, что кризиса нет, поскольку кризис быстротекущ, а нынешнее положение много хуже. От такого цитирования обалдела даже редакция вполне пропагандистского NewsRu.co.il, а это неслабая ачивка.

Далее господин министр обороны очень возмущается, что военные журналисты ведут себя, как журналисты, и смеют начальству неудобные вопросы задавать.
Tags:
 
 
Current Music: https://www.youtube.com/watch?v=IGnKswiR574
 
 
 
Кот Муций
17 April 2018 @ 11:41 pm
Подсел за последнее время на музыку одного мрачноватого товарища - Blues Saraceno. Смесь southern rock, кантри и блюза, покатила она мне как-то очень хорошо. И в какой-то момент стало мне любопытно, как товарища в миру зовут. По фоткам заподозрил, кстати, что наш, еврейский мальчик.

Я-то не подумал усомниться, что это кличка такая - блюзовый сарацин. Причём сильно подозревал, что знаю, почему он её взял - наверняка как дань герою фильма "Шестиструнный самурай". Они даже внешне чем-то похожи.

И что же? Паспортное имя у Blues Saraceno - таки Blues Saraceno. Родители-музыканты сынишку назвали Блюзом. А фамилия итальянская, и означает таки "сарацин". То есть араб.


P.S. Чтобы дважды не вставать - нашёл интересную и увлекательно написанную серию постов по истории "сухого закона", глотаю не закусывая.
Tags:
 
 
Current Music: Blues Saraceno - Moonshine & Gasoline
 
 
Кот Муций
01 April 2018 @ 10:07 pm
Однако. Похоже, моё регулярное слушанье лекций Мусы Серантонио и прочих исламистов на Ютюбе незамеченым не прошло. Только что получил телефонный звонок с номера с интересным префиксом: +53-21-836214. Сразу отключились, но сам факт.

Пошёл вещи собирать, не поминайте лихом.

P.S. Если это и первоапрельская шутка, то не с моей стороны, honest injun. Может, сотовый оператор развлекается, а может, дорогие коллеги как-то научились с произвольных номеров звонить, а может, и сам персонал Гуантанамо так шутит. :-)
 
 
Current Music: Johnny Cash - Folsom Prison Blues
 
 
Кот Муций
08 February 2018 @ 01:45 am
Пост для продолжения вот этого вот фейсбучного спора на вечнозелёную тему.
Продолжение с моей стороны последует завтра в комментариях, желающие могут пока присоединяться - это не частная драка. А я щас дрыхнуть.

Содержание предыдущих серий, скопипасчено с Фейсбука:
Read more...Collapse )
Tags:
 
 
Current Music: Slayer - Bitter Peace
 
 
Кот Муций
01 December 2017 @ 09:38 am
Снилось, что я то ли читаю статью на Хабре, то ли смотрю видеолекцию - о своеобразном аспекте безопасности. Есть, дескать, для макбуков и айфонов приложение - секретарша Дженни. У Дженни есть много настроек предпочтений владельца, и в том числе такие - когда, кому и как можно вступать с владельцем в физический контакт. Подавалось это как инструмент борьбы с приставаниями на рабочем месте, и поэтому, к примеру, была такая опция: кто и в какие часы может владельцу класть руку на плечо. Скажем, с 08:00 и до 17:00 никому нельзя.

В случае нарушения Дженни мигом сигнализировала куда надо. Такая виртуальная дуэнья.

Ну и дальше шёл рассказ о том, как злоумышленники могут хакнуть бедную Дженни, чтобы владельца (вернее, владелицу) безнаказанно помацать. И как её от тех атак защитить.

Почему-то, несмотря на то, что жила Дженни на эппловских девайсах, её интерфейс был вебным, с табами, как на домашних раутерах. Судя по тому, что там можно было задавать все эти правила доступа на языке SDDL (такая вот нечитабельная хрень), это была админка для продвинутых.

P.S. Похоже, про сны мне есть рассказать куда больше, чем про реальность...
 
 
Current Music: Kid Rock - Midnight Train To Memphis
 
 
Кот Муций
23 November 2017 @ 11:56 pm
Иду себе по тротуару, чувствую, дико хочется завалиться и подремать. Ок, сказано - сделано, прямо на месте и растянулся, рюкзак под голову, блаженно вытянул лапы и задрых. Солнышко греет, бетон тёплый, хорошо.

Сквозь дрёму чувствую, что рядом притормозило что-то большое. Разлепляю очи - стоит рядом светло-серый фургон без знаков различия; из боковой двери выбираются двое крепких ребят в куртках с явным намереньем затащить меня внутрь, чтобы не валялось на улице всякое. Тут уж я просыпаюсь окончательно и пытаюсь протестовать - мне и тут хорошо, лежу, никого не трогаю, отвалите. Но один бесцеремонно вытаскивает из-под головы рюкзак, а второй норовит за ноги ухватить.

[Read more]
Пытаюсь ему заехать левой, просыпаюсь от того вторично, и через какое-то время осознаю, что лежу на полу родного офиса, и никто меня упаковать не пытается. А на улице дождь.

 
 
Current Music: Porcupine Tree - Stranger By The Minute