​​Не прошло и полгода…

На праздниках незамеченной проскочила довольно любопытная новость:

Организация FreeBSD Foundation ведёт разработку нового графического инсталлятора для FreeBSD, который призван сделать более удобным для новичков процесс установки и начальной настройки системы.

Отмечается, что новый инсталлятор повысит привлекательность системы для пользователей, привыкших к графическим инсталляторам и воспринимающих текстовые интерфейсы как анахронизм.

Кроме того, графический режим установки позволит сформировать более целостное окружение в сборках, использующих FreeBSD в качестве основы для запуска пользовательских окружений.

В целом ничего интересного, если бы на календаре был бы 2004 год, а не 2024. Но лучше поздно, чем никогда. И вопрос тут больше даже не в восприятии текстового интерфейса как анахронизма, а запутанности текстового инсталлятора FreeBSD как такового, редко кто с первого раза и без подсказок сможет его осилить.

Но подобные проблемы долго не волновали господ из Беркли, увлекшихся постройкой «величественного собора», кстати, как и многие другие. Теперь проснулись и бросились догонять уходящий поезд.

Это мы видели не раз и не два. Поэтому и не приходится удивляться, что в свое время FreeBSD стремительно сдала свои позиции и очень быстро перешла из мейнстрима в область экзотики.

И сейчас вопрос – это исключительно догнать, даже не догнать, а просто продолжить забег в задних рядах. И все это, конечно, не радует. К FreeBSD можно относиться по-разному, но это система с большой историей и единственный, на текущий момент, настоящий UNIX под свободной лицензией.

Но уже сам факт движения навстречу пользователю – это хорошо, хотя сам инсталлятор остался прежним, под капотом все тот же архаичный bsdinstall, на который натянули графику. Но и это лучше, чем ничего. А там – поживем увидим.

​​Включаем QUIC и HTTP/3 в NGINX

В популярном веб-сервере NGINX начиная с версии 1.25.0 включена поддержка протоколов QUIC и HTTP/3.

Что для этого нужно? Во-первых – обязательное использование протокола TLS 1.3, без него не взлетит. Во-вторых – так как QUIC и HTTP/3 работают поверх UDP, то нужно разрешить в брандмауэре соединения на 443 UDP, если ваш сервер находится внутри периметра, то в дополнение к 80 и 443 TCP вам нужно будет еще пробросить 443 UDP.

Вообще для QUIC и HTTP/3 можно использовать любой другой порт, но рекомендуется использовать один и тот же порт для QUIC и TCP.

Минимальная конфигурация для NGINX с поддержкой новых протоколов приведена ниже:

server {
    listen 443 quic reuseport;
    listen 443 ssl;

   
    http2 on;
    http3 on;
    quic_gso on;
    quic_retry on;
    ssl_early_data on;

    server_name example.com;
  
    location / {
        add_header Alt-Svc 'h3=":443"; ma=86400';
        add_header X-protocol $server_protocol always;
        add_header Strict-Transport-Security "max-age=63072000" always;
    }
}

Параметр reuseport указывает распределять соединения HTTP/3 между несколькими рабочими процессами.

Опция quic_gso включает оптимизированный пакетный режим при помощи segmentation offloading.

Включенная quic_retry обеспечивает отправку нового токена для проверки адреса клиента и валидацию токена полученного в начальном пакете.

А включение ssl_early_data обеспечивает повторное использование уже установленного соединения и раннюю предзагрузку данных.

Секция location содержит необходимые заголовки, первый указывает браузеру что соединение по QUIC доступно и указывает порт для соединения. Порт должен совпадать с указанным в опции listen.

Параметр ma=86400 сообщает время, в течении которого NGINX принимает соединения QUIC, по его истечении клиент снова должен перейти на TCP.

Следующий заголовок явно отображает версию используемого протокола, может использоваться для сбора статистки и отладки, обязательным не является.

Ну и последний включает HSTS, механизм, предназначенный для принудительного перехода на HTTPS если до этого клиент успешно установил соединение по данному протоколу. Параметр max-age указывает промежуток времени в течении которого такой переход действует.

💥Материализуйте это!

👉Узнайте больше об электронике на бесплатном вебинаре онлайн-курса «Электроника и электротехника» - «Разработка и программирование усилителя класса D на Arduino»: регистрация

На бесплатном вебинаре вы:
- получите знания о том, как с помощью платформы Arduino создать усилитель класса D
- узнаете теоретические основы предметной области, пошаговый процесс выбора компонентов и написания кода для управления усилениями.

Урок подходит:
- Техническим специалистам, желающим реализовать проекты с использованием аудиотехнологий
- Студентам технических специальностей, ищущим практического опыта в связке программирования и электроники

🤝Понравится вебинар — продолжите обучение на курсе по спеццене и даже в рассрочку!

erid: LjN8KGt9q

​​Что такое QUIC и HTTP/3

В прошлой заметке мы рассказали, как включить поддержку QUIC и HTTP/3 в популярном веб-сервере NGINX. Но далеко не все знают для чего и зачем это нужно.

Начнем с того, что обычный HTTP давно уже перестал быть текстовым протоколом и передает самые различные данные и количество их от день ото дня растет.

Современный сайт – это не просто страничка с текстом и картинками, а полноценное веб-приложение. И протокол TCP начал играть сдерживающую роль. Как мы все знаем, TCP – протокол с подтверждением доставки, если этого не случилось, то он будет посылать данные повторно.

Ну это же не плохо? А это как посмотреть. Если к качеству связи нет претензий, то все работает хорошо, а если нет, то начинаются проблемы. Все данные прикладных протоколов, работающих поверх TCP, разбиваются на сегменты и помещаются в буфер отправки.

Если сегмент доставлен получателю, то он удаляется из буфера и уступает место другому, если же нет, то он отправляется повторно. Таким образом мы можем получить ситуацию, когда сервер многократно отправляет одни и те же сегменты блокируя тем самым отправку других. Это называется проблемой блокировки очереди.

Изначально, протокол HTTP и вовсе подразумевал отдельное соединение для каждого запроса, т.е. если на страничке есть десяток картинок, скриптов, стилей и иных элементов, то на каждое из них открывалось отдельное TCP-соединение.

Это серьезно снижало производительность протокола, так как значительное время и ресурсы тратились на установление соединения, а не передачу данных. С шифрования ситуация стала еще хуже, так как добавились накладные расходы на согласование параметров шифрования и установление защищенного соединения.

Многие эти проблемы были решены компанией Google в протоколе SPDY на базе которого впоследствии был создан HTTP/2. Хотя стандарт и не подразумевает обязательного шифрования фактическое использование HTTP/2 возможно только поверх TLS (TLS 1.2 и выше).

В новом протоколе были решены многие проблемы производительности, в частности введена конвейеризация запросов и мультиплексирование их в одно TCP-соединение, это позволило значительно сократить накладные расходы и увеличить скорость работы протокола.

Но проблема блокировки начала очереди никуда не делась и решить эту проблему можно было только сменой протокола транспортного уровня.

И тут снова подсуетилась компания Google, разработав новый протокол QUIC, который использует в качестве транспорта UDP. Так как UDP не гарантирует доставку, то никакой блокировки начала очереди не может быть в принципе.

Также UDP использует простую модель передачи без установления соединения, что также положительно влияет на производительность. При этом вопросы целостности данных и контроля доставки берет на себя протокол QUIC.

Также QUIC сразу интегрирован с криптографией и требует для своей работы не ниже TLS 1.3. Также QUIC умеет повторно использовать текущее соединение даже при переподключении клиента на другой канал связи, что важно для мобильных пользователей.

Точно также, как и в случае с HTTP/2 протокол QUIC лег в основу HTTP/3 и начинает постепенное распространение в сети интернет. Это не значит, что нужно прямо сейчас бежать добавлять поддержку HTTP/3 рабочим серверам. Но на новых установках при наличии возможности включить поддержку HTTP/3 это сделать желательно.

В полку наших дистрибутивов прибыло!

Сегодня подсказали еще один отечественный дистрибутив - Ximper Linux, разработка известной отечественной компании Этерсофт.

Это сборка на базе ALT Sisyphus с рабочим столом GNOME, дистрибутив полностью бесплатен для любого применения, в т.ч. и коммерческого.

Система построена по принципу роллинг-релизов, в настоящий момент доступна версия 0.9.1. В качестве пакетного менеджера используется EPM (Etersoft EPM package manager) собственной разработки который представляет надстройку над существующими пакетными менеджерами и позволяет использовать один и тот же пользовательский опыт в разных системах.

Система активно развивается, но уже сейчас выглядит интересно, в ближайших планах ее более подробное тестирование и обзор.

https://ximperlinux.ru

​​Где мое бесплатное пиво?

В обсуждениях время от времени всплывает тема коммерческих Linux дистрибутивов, мол какие нехорошие люди, взяли за бесплатно, закрыли и продают. Поэтому решили в очередной раз коснуться этого вопроса.

Прежде всего коснемся используемой терминологии. Мы часто употребляем термины открытое и свободное ПО как синонимы, но они ими не являются, это разные понятия.

Свободное ПО – это прежде всего философия, которая предусматривает наличие у пользователя ряда свобод: свободу использования, свободу изучения, свободу изменения и свободу распространения.

Если лицензия ПО обеспечивает указанные свободы, то такое ПО считается свободным, а занимается всем этим Фонд свободного программного обеспечения (Free Software Foundation), именно он принимает решение какие именно лицензии считать свободными. Самая известная свободная лицензия – GPL.

Открытое ПО – это программное обеспечение с открытым исходным кодом, но оно не обязательно должно быть свободным или бесплатным. В качестве примера можно привести конфигурации 1С — это открытое ПО, но оно не является свободным и тем более бесплатным.

При этом свободное ПО должно быть открытым, это проистекает из свобод изучения и изменения. Но нигде ничего не сказано о том, что оно должно быть бесплатным.

Идем дальше, тут у нас возникает еще одно понятие – дистрибутив. Это набор бинарных пакетов, которые скомпилировал сборщик и которые представляют собой некую целостную систему, включая репозитории.

И вот тут возникает первое большое непонимание. Компоненты дистрибутива могут распространяться под разными открытыми и свободными лицензиями. Но сам дистрибутив представляет собой отдельный объект авторского права и его автор может установить собственные правила его использования.

Например, предусмотреть лицензионные отчисления за каждый используемый экземпляр. Или разрешить использование дистрибутива только стоя на голове. Все это будет отражено в лицензионном соглашении и если вы его приняли, то должны следовать указанным там нормам.

Но как же GPL или другие свободные лицензии? А никак, к дистрибутиву они не применимы, они действуют для его компонентов. Вам никто не запрещает свободно их использовать самих по себе, но если вы хотите запускать именно дистрибутив – то будьте добры следовать его лицензии.

Если вам что-то не нравится – исходные коды предоставлены, собирайте сами и используйте по собственному усмотрению. Тут никаких вопросов нет, но бинарные файлы дистрибутива и репозиториев никто не обязывает предоставлять свободно и бесплатно. Здесь автор в праве поставить свои условия.

Поэтому не следует путать отдельные программы со своими лицензиями и их совокупность – дистрибутив. Он является отдельным объектом авторского права и может иметь собственные условия использования. Единственный момент – они не должны нарушать лицензии используемых компонентов.

Именно поэтому Red Hat так и не может победить клоны, она может запретить использование бинарных пакетов без оплаты лицензии, ограничить доступ к репозиториям, ставить иные различные препоны, но она не может запретить легальному пользователю самостоятельно собрать исходный код и использовать то, что получилось по своему усмотрению.

Но это будет уже не RHEL, а совсем другая сборка, со своим автором и своими правилами использования.

И еще один тонкий момент, если дистрибутив содержит ПО под проприетарными лицензиями или лицензиями, не требующими обязательного раскрытия исходного кода, то собрать вы сможете только свободную часть. Да, там есть тонкости, особенно с вирусным действием GPL, но в целом предоставить код вам должны только к свободной части.

Поэтому, если вы законно приобрели коммерческий дистрибутив Linux, то это не значит, что вы можете свободно его распространять и использовать направо и налево. Это отдельный объект авторского права со своими условиями. Или вы их соблюдаете или отказываетесь от использования.

Ну или берете исходные коды и собираете свой.

А вы знаете, что WMS ждет глобальный бум к 2028 году! Рынок достигнет 7 млрд долларов согласно исследованию Ken Research!

Чтобы не чувствовать себя неловко в логистическом сообществе, подписывайтесь на канал GTLogistics_tech Это ваш карманный помощник с понятным описанием животрепещущих тем из области складской и транспортной логистики. Вы разберетесь с такими терминами как "кросс-докинг", "Lean и Six Sigma", "Self storage" и многими другими.

А ещё у ребят есть подкаст «Логистика на ночь» где они обсуждают актуальные вопросы связанные с автоматизацией складской и транспортной логистики.

Всё, что вам важно знать, чтобы быть в теме, вы можете найти здесь @GTLogistics_tech

Реклама. ООО "ДЖИТИ ЛОДЖИСТИКС". ИНН 6670420812. erid: LjN8KVqBa

​​Виртуальные флешки в Windows

Время от времени возникает задача создания виртуальной флешки, причем не виртуального диска, а именно эмуляцию съемного. Чаще всего это нужно для работы с электронной подписью.

Для этого есть ряд решений, и они достаточно освещены в интернете. Из всего множества мы чаще всего используем следующие программы:

🔹 ImDisk - это драйвер виртуального диска для Windows. Он может создавать виртуальные жесткие диски, флешки, дискеты или приводы CD/DVD, используя файлы образов или оперативную память. Пакет устанавливает консольную утилиту и оснастку панели управления.

🔹 OSFMount – программа от PassMark, позволяет монтировать файлы образов виртуальных дисков различных форматов, а также создавать их в виде образов или RAM-дисков.

При этом эмуляция флеш-накопителя не является основной задачей для этой программы, в первую очередь это ПО для монтирования виртуальных дисков, но для нашей задачи тоже подходит.

🔹 VeraCrypt – известное ПО для создания зашифрованных контейнеров, также позволяет подключать контейнер как виртуальный флеш накопитель. Учитывая, что основная функция данного ПО – это шифрование его использование становится интересным для работы с ЭП.

Фактически на его базе можно создать виртуальный аналог токена, который будет хранить ваши подписи в зашифрованном виде и будет эффективно защищать от возможной утечки файла-образа.

​​Не мышонок, не лягушка…

Подбирали сегодня с одним заказчиком оборудование в небольшой филиал. Встал вопрос роутера, понятно, что сегодня брать старье типа hAP или 2011/3011 нет никакого смысла и выбор был среди новых моделей.

Заказчик предложил L009, новую модель, позиционируемую как замена легендарного 2011. На первый взгляд выглядит интересно, но только на первый взгляд.

Хотя, если не читать спецификацию и не смотреть на блок схему, то можно купиться, внешне все достаточно привлекательно: 8 гигабитных портов, SFP 2,5 Гбит/с, USB 3 и две большие антенны. Все это в красивом красном корпусе, вызывающем ностальгию по старому доброму 2011.

Но если почитать документацию, то остается только недоумение. Во-первых, в устройство поддерживает только диапазон 2,4 ГГц. Да, вы не ослышались, только 2,4 ГГц, в 2024 году, когда практически везде этот диапазон забит просто под завязку.

И хотя на бумаге представлена поддержка 802.11b/g/n/ax (Wi-Fi 6) в реальности устройства с поддержкой 802.11ax для 2,4 ГГц нужно еще поискать и по факту все сведется к привычному 802.11n со всеми вытекающими. В общем про нормальный Wi-Fi сразу можно забыть.

Смотрим дальше, SFP и порты Ethernet 2-8 обслуживает отдельный свитч-чип, который подключен к процессору шиной шириной 2,5 Гбит/с. Что является потенциальным бутылочным горлышком, причем неочевидным.

Второй неочевидный прикол – это то, то первый порт подключен напрямую на CPU и если вы его объедините в мост с остальными Ethernet портами, то локальный трафик начнет бегать через процессор, создавая дополнительную нагрузку.

И за это все производитель просит 129$.

Но при этом есть более дешевый hAP ax2, официальная стоимость которого всего 99$. Но за эти деньги мы имеем четыре более новых и быстрых ядра вместо двух, 1 ГБ оперативной памяти вместо 512 МБ и два диапазона Wi-Fi 2,4 и 5 ГГц точно также с поддержкой 802.11b/g/n/ax (Wi-Fi 6).

Из недостатков – отсутствие USB и отдельного свитч-чипа, вся коммутация делается на SoC, но это ни в том, ни в другом случае несущественно, для коммутации проще и дешевле купить дополнительный коммутатор.

В общем – новое устройство предельно странное и его позиционирование в линейке также вызывает вопросы, потому что по сути перед нами менее производительный и недостаточно сбалансированный роутер чем более дешевые устройства того же сегмента.

​​Проблема медленного клиента в Wi-Fi сетях

В комментариях к прошлой заметке многие читатели высказывали скептическое отношение к современным стандартам Wi-Fi, мол все это ни к чему, когда есть старый-добрый 802.11n, да и 2,4 ГГц добивает дальше. Но не все так просто и в этой заметке постараемся коротко рассказать об этом.

Начнем с того, что канал Wi-Fi – это разделяемая среда и пропускная способность канала делится поровну между всеми ее участниками.

Стандарт предусматривает разделение эфирного времени на слоты по количеству переданных устройством пакетов, что гарантирует каждому клиенту возможность передать или принять определенный объем данных.

Идем дальше. Ширина канала также является фиксированной и объем данных, которые мы можем по нему передать за единицу времени зависит от используемого метода модуляции (изменения электромагнитной волны таким образом, чтобы закодировать в ней данные).

Чем более сложную модуляцию мы используем – тем выше скорость передачи данных, но тем ниже помехоустойчивость такого сигнала.

Для примера возьмем квадрат определенного размера и разметим его сеткой 2х2 – получим 4 ячейки, если же возьмем сетку 4х4 – то ячеек уже будет 16, а при размере сетки 8х8 целых 64. Исходный квадрат у нас будет обозначать доступную полосу, а сетка – модуляцию.

А теперь давайте будем удалять наши квадраты на некоторое расстояние от наблюдателя, первым потеряет читабельность сетка 8х8, затем 4х4 и т.д.

Точно также и в беспроводных сетях. Чем ниже уровень сигнала и/или выше уровень помех, тем более простой метод модуляции будет использоваться.

Все стандарты до 802.11n (Wi-Fi 4) включительно предусматривают работу по принципу «один говорит – остальные молчат», т.е. точка одновременно работает только с одним клиентом.

Начиная со стандарта 802.11ac (Wi-Fi 5) предусмотрен режим многопользовательского MIMO, когда точка может передавать данные одновременно сразу нескольким клиентам (но не наоборот).

Такое решение позволило улучшить передачу потокового мультимедиа и улучшить пользовательские характеристики беспроводной сети.

В 802.11ax (Wi-Fi 6) добавили исходящие потоки и теперь точка может не только передавать, но и принимать данные от нескольких клиентов одновременно.

А теперь вернемся к проблеме медленного клиента. Под медленным клиентом может подразумеваться два типа устройств: устройство с устаревшим стандартом и устройство того же стандарта, но со слабым уровнем сигнала.

Начнем с устаревших, эта проблема наиболее характерна для диапазона 2,4 ГГц, даже если точка поддерживает все современные стандарты, например, как в новых Mikrotik 802.11b/g/n/ax (Wi-Fi 6), то в такой сети у нас всегда найдутся устройства 802.11n.

Что это значит? А это значит, что во время работы такого устройства все клиенты 802.11ac/ax будут молчать и точка не будет передавать им данные даже если могла бы это сделать.

В итоге мы теряем все преимущества новых стандартов и фактически опускаемся на уровень производительности сети 802.11n, особенно если старых устройств много.

С медленным клиентом того же стандарта проблема немного иная. В силу плохого уровня приема и низкого соотношения сигнал/шум он будет использовать простые методы модуляции, а следовательно, занимать больше эфирного времени.

При высокой активности такого клиента или большого их количества скорость передачи всей сети будет стремиться к скорости самого медленного устройства.

Т.е. если ваша бабушка слушает музыку с высоким качеством пропалывая грядки на краю участка страдать будет производительность и вашего нового и крутого смартфона в паре метров от точки доступа.

Поэтому самым разумным способом на сегодняшний день является использование двух диапазонов: 5 ГГц и 2,4 ГГц.

В первом будут собраны преимущественно современные устройства и работать будут как минимум на уровне 802.11ac, а все старые устройства сбросим на 2,4 ГГц на 802.11n.

Туда же будут переключаться и все устройства со слабым сигналом, и более низкая дальность 5 ГГц здесь только играет в плюс.

VMware Workstation Pro стал бесплатен для персонального использования

Компания Broadcom, в ноябре прошлого года поглотившая бизнес VMware, изменила условия распространения VMware Workstation Pro, проприетарного программного комплекса виртуализации для рабочих станций, поставляемого для Linux и Windows.

Гипервизор VMware Workstation Pro теперь распространяется бесплатно при использовании в персональных целях (на официальной странице для загрузки требуется регистрация на сайте support.broadcom.com, но пакет можно загрузить напрямую).

Для коммерческого применения вместо покупки постоянной лицензии введена ежегодная подписка.

Прямая ссылка: https://softwareupdate.vmware.com/cds/vmw-desktop/ws/17.5.2/23775571/

​​Как установить DEB-пакет с учетом всех зависимостей

Администраторы часто сталкиваются с необходимостью установки отдельных DEB-пактов, которых нет в репозиториях. Чаще всего это коммерческий софт или отдельные пакеты, ради которых подключать репозиторий нет смысла.

Обычно для этих целей используют dpkg – низкоуровневый инструмент для управления пакетами:

dpkg -i package_name.deb

Но у этого способа есть один недостаток – dpkg не умеет работать с зависимостями. В большинстве случаев такой пакет останется ненастроенным и нам придется дополнительно выполнить для разрешения зависимостей:

apt install -f 

Но для чего «два раза вставать с дивана» если это можно сделать один раз? Для этого сразу используем для установки пакета apt. Он умеет не только работать с репозиториями, но и устанавливать предварительно скачанные пакеты.

Но есть одна тонкость – локальный пакет следует передавать всегда в виде пути, даже если он находится в текущей директории. Так если мы напишем:

apt install package_name.deb

То apt попробует найти указанный пакет в репозитории и ответит вам, что такого пакета не существует. Поэтому укажите абсолютный или относительный путь:

apt install ./package_name.deb

В этом случае apt поймет, что имеет дело с локальным пакетом и начнет его установку, предварительно проверив зависимости и при необходимости скачает и установит их.

Преимущество данного метода, в отличие от dpkg в том, что вы сразу видите весь набор зависимостей, которые будут установлены. А в случае, если разрешить зависимости не удастся, то вы узнаете об этом еще до попытки установки пакета.

​​Губит людей не пиво, губит людей вода

Многие коллеги уделяют много внимания безопасности периметра: закрывают порты через порт-кнокинг, переносят их на нестандартные номера, заворачивают трафик в VPN и т.д. и т.п.

Да, это все разумные предосторожности, но при этом часто забывают об ином. Самая серьезная опасность находится внутри периметра и имя ей – пользователь.

В отличие от технических средств защиты поведение пользователя часто нелогично и неправильно. Он может нарушать установленные правила как осознанно, так и по недомыслию.

И очень часто встречается ситуация, когда вы закрыли периметр так, что мимо ни мышь не проскочит, ни муха не пролетит, но самые разрушительные последствия происходят от действия пользователей внутри.

Существует целый ряд атак, нацеленный именно на пользователей и использующий их любопытство, неосмотрительность и иные не самые положительные качества. Чаще всего таким образом распространяются шифровальщики или происходит хищение учетных данных.

На этой неделе мы закончили расследование одного инцидента. Потерпевший – Windows Server 2008, даже без R2, наружу открыт RDP на стандартном порту, последние обновления ставились во времена царя Гороха. В одно не очень приятное утро оказалось, что весь сервер зашифрован.

Взломали? Вовсе нет. Все оказалось до банального просто. Пришло поддельное письмо с просьбой подтвердить аккаунт на Авито, иначе он будет заблокирован. Ссылка вела на фишинговый сайт, где для разблокировки предложили скачать некую анкету…

И, как вишенка на торте, произошло это все в терминальной сессии, с правами администратора.

А сервер был по совместительству еще и сервером 1С совмещенным с сервером СУБД. Хорошо хоть резервные копии делались, хотя и не часто.

И нет, данный пример не говорит о том, что можно смело продолжать эксплуатировать старые системы выставив их голым задом в интернет.

Но он наглядно показывает, что даже старую и уязвимую систему скорее сломают изнутри, чем снаружи.

Потому как одно дело грамотно развести пользователя и совсем другое – использовать для проникновения уязвимость. Немного разные скиллы требуются.

Поэтому пользователь был, есть и будет слабым звеном в системе безопасности и это нужно обязательно учитывать наравне с защитой периметра.

​​День пионерии

Молодому поколению этот праздник ничего не скажет, для них это история. А вот поколение постарше вспомнит его с теплом и ностальгией.

Сама пионерия не являлась каким-то уникальным явлением, молодежные организации были и есть во многих странах, включая современную Россию. Но при этом советская пионерия во многом от них отличалась.

С одной стороны, для советского ребенка не было альтернативы, потому что в пионеры брали всех, кроме двоечников и хулиганов. Но это и создавало определенную привлекательность, потому что не быть пионером — значит серьезно отбиться от коллектива и быть не таким как все.

Поэтому пионерами быть хотели, без всякого принуждения и пионерским галстуком гордились, многие ходили в пионерской форме не только в школу, но и в магазин за хлебом, особенно первое время после принятия.

И даже идеологическая составляющая, к которой на излете Союза даже дети относились скептически не подрывала привлекательности пионерии.

Потому как пионерия давала нечто большее: дружный коллектив, интересные активности, соревновательный дух. Чего стоил один только сбор макулатуры или иного вторсырья? Когда обязательно надо было утереть нос отряду из параллельного класса.

Пионерские лагеря – это отдельный разговор, открытие и закрытие смены у костра, ночные посиделки, зубная паста…

Были ли негативные стороны? Да, конечно, были, но в детстве они не выходили на первый план и быстро забывались. А сейчас и вовсе кажутся какой-то малозначащей ерундой.

Поэтому всех пионеров с праздником!

Будь готов! Всегда готов!
🫡🫡🫡

🚀 Узнайте, как обеспечить стабильность и доступность ваших приложений в Kubernetes с помощью Kube-prometheus-stack! 📊

🔍 Prometheus operator позволяет автоматизировать настройку и управление мониторингом, сосредотачиваясь на сборе метрик и оповещениях.

🎓 Приходите на 💥бесплатный открытый урок в рамках старта курса «DevOps практики и инструменты» и вы узнаете, как оптимизировать ресурсы с помощью Prometheus operator. А именно:
- установить и настроить Prometheus operator
- создать правила оповещения и получать уведомления о событиях в кластере
- визуализировать метрики с помощью Grafana

💡 Знание Prometheus operator поможет вам в обеспечении стабильности и доступности в Kubernetes.

👩‍💻👨‍💻 Этот урок полезен для администраторов Kubernetes, DevOps инженеров, архитекторов ПО, Java специалистов, системных администраторов и специалистов по безопасности.

➡️ Ссылка для регистрации: https://vk.cc/cwSOJS?erid=LjN8K7TqF

​​Действие JUMP и собственные цепочки в iptables и брандмауэре Mikrotik

Про то, как пакеты бегают по цепочкам брандмауэра, мы рассказывать не будем, это все знают, а если не знают, то перед тем, как читать эту заметку им следует ознакомиться с базовыми принципами работы iptables.

Сегодня мы поговорим о другом, а именно об оптимизации правил брандмауэра и снижении нагрузки. Особенно это актуально для недорогих роутеров, таких как Mikrotik, но не будет лишним и на любых других системах.

Как мы помним любой пакет попадая в цепочку iptables (а в Mikrotik тот же самый iptables) начинает движение по правилам последовательно, до первого совпадения критериев. Затем, если правило терминальное, он прекращает движение по цепочке и переходит в следующую.

А теперь представьте, что у вас в цепочке несколько десятков правил и пакет попадает под критерии условно 30-го. Перед этим он впустую пройдет предыдущие 29 попадая под все проверки и вызывая дополнительную нагрузку.

И чем больше у вас в цепочке правил, тем более высокой будет нагрузка, особенно если в правилах есть «дорогие» критерии.

Можно, конечно, оптимизировать расположение правил, чтобы дорогие проверки стояли после дешевых, но не всегда это возможно, а также не решает задачи холостого срабатывания цепочек.

И вот здесь нам на помощь придут цепочки собственные и действие JUMP, которое поможет нам перейти в эти цепочки.

А дальше довольно просто, прежде всего определяем группы правил, которые можно объединить по какому-либо общему критерию и выносим их в отдельную цепочку, а в основной цепочке делаем JUMP по срабатыванию на этот общий критерий.

Например, если из 30 правил мы выделим 5 групп по 5 правил, то у нас в основной цепочке их останется только 10 и пять из них будут гораздо более простыми. Таким образом пакет пройдет брандмауэр гораздо быстрее и с меньшей нагрузкой на оборудование.

После чего следует аналогичным образом вынести и тяжелые правила, разделив их на проверку по простым критериям, на основании которой будет переход в отдельную цепочку, где уже будем дополнительно проводить «дорогие» проверки.
С одной стороны, у нас вместо одного правила получается два, но по факту мы оказываемся в выигрыше, так как большая часть пакетов будет проходить проверку только по «дешевым» критериям, не вызывая проверку «дорогих».

Также имеет смысл выносить в отдельные цепочки логические группы правил, объединенные общим назначением, что не только уменьшит нагрузку, но и позволит более легко читать сложные конфигурации брандмауэра.

Количество пользовательских цепочек не ограничено, и работа с ними ничем не отличается от стандартных, при срабатывании правила пакет прекращает движение по цепочке и возвращается к месту вызова. Туда же он вернется если не сработало ни одно правило.

Вызывать собственную цепочку можно из любого места, даже из другой собственной цепочки. Это позволяет также упростить конфигурацию брандмауэра за счет повторного использования наборов правил для разных цепочек.

Практические примеры использования собственных цепочек и JUMP мы рассмотрим в следующей заметке.

​​Памяти много не бывает

Третьего дня вместе с одним хорошим знакомым подбирали ноутбук для удаленной работы жены. С одной стороны есть бюджет, с другой хотелки и это все нужно было привести к общему знаменателю.

В целом ничего сверхъестественного. Браузер, офис, удаленка, 1С плюс криптография, мессенджеры. Типично офисная машинка.

Бюджет позволял небольшой выбор, и знакомый остановился на двух конфигурациях: Core i5 и 8 ГБ оперативной памяти или Core i3 и 16 ГБ ОЗУ.

Помня, что серьезных вычислительных задач там не планируется, я предложил ему взять модель с 16 ГБ памяти. Потому что сегодня это нижняя планка объема оптимального для комфортной работы.

Про когда-то стандартные 4 ГБ сегодня и говорить не приходится, это будет вечный напряг в стиле «поработал и закрыл» и постоянный свопинг, хотя твердотельные накопители и смягчают негативный эффект.

Фактически нижняя планка – это 8 ГБ, но это сегодня бюджетный минимум. Сильно не развернешься. В общем знакомый подумал и взял i3 и 16 ГБ и не прогадал.

Вроде бы и ничего лишнего не запустили: браузер, 1С, мессенджеры, ЯндексДиск – а уже почти 10 ГБ использовано. Зато есть еще пространство по маневру и возможность комфортно работать.

В то время как более мощный процессор и 8 ГБ оперативки фактически оказались бы несбалансированной конфигурацией, и работа постоянно бы упиралась в своппинг и повторное извлечение данных из подкачки.

Приглашаем принять участие в баесплатном вебинаре на тему "Практический опыт внедрения и эксплуатации Tantor SE 1C"

Tantor Special Edition 1С - Высокопроизводительная СУБД со встроенными графическими инструментами управления и администрирования, оптимизированная для работы с решениями на платформе 1С:Предприятие 8.

На вебинаре познакомим с СУБД, ключевыми преимуществами и практическими кейсами использования.

⏰ Дата: 27.05.2024 в 11.00 по Москве

👉 Бесплатная регистрация

🎁 На вебинаре будет розыгрыш сувениров от Tantor!