​​TDP – заблуждения и реальность. Продолжение

В прошлой заметке мы разобрали общие вопросы касающиеся TDP и регулировки производительности процессора. Сейчас немного углубимся в детали.

Разбирать будем на примере Intel, так как данный производитель имеет часть документации, касающейся этого вопроса в свободном доступе, AMD разглашает меньше подробностей, но в целом принцип и там и там одинаков, отличаются лишь детали реализации.

Еще раз напомним, что TDP – это всего лишь рекомендация по выбору системы охлаждения и данный параметр не отражает реального потребления процессора.

Реально же используются значения PL1 и PL2. PL1 – пороговое значение средней долговременной мощности. Его не рекомендуется устанавливать выше TDP и обычно эти значения равны.

PL2 – пиковое значение мощности которое может быть кратковременно достигнуто. При превышении этого значения вступаю в дело алгоритмы ограничения мощности и путем регулировки частоты и напряжения удерживают мощность в рамках этого значения.

Но есть один тонкий момент. Нижний предел охлаждения у нас находится на уровне PL1 (который не должен превышать TDP) и, следовательно, процессор должен уметь длительно работать с радиатором, рассеивающим указанную мощность.

Проще говоря, для условного процессора с 95 Вт TDP пользователь может купить кулер, на коробке которого указаны те же 95 Вт и не испытывать проблем.

А дальше представляем себе бассейн и две трубы, по одной в него приходит вода, по другой уходит. Радиатор всегда рассеивает свой TDP, т.е. у нас в единицу времени уходит мощность PL1.

Но тут мы открутили вентиль и начали наливать в бассейн воду в объеме PL2 за ту же единицу времени. Как долго мы можем работать в таком режиме? Очевидно, что пока не переполнится бассейн, а это зависит от его объема и его свободной части.

У радиатора это зависит от теплоемкости. Но как правильно определить доступный объем?

Для этих целей Intel использует специальный параметр Turbo Time (Tau), который рассчитывается по экспоненциально взвешенному скользящему среднему (EWMA) и определяет время, которое процессор может находиться в режиме от PL1 до PL2.

Если мы сразу выходим на мощность PL2, то это время будет равно 8 секундам, при меньших показателях мощности оно будет иным, меняющимся не линейно, а по экспоненте.

После чего процессор возвращается на уровень PL1 и не превышает его до тех пор, пока нагрузка не опустится ниже определенного значения за определенное время.

Если вернуться к аналогии, то рассчитав примерное время наполнения бассейна система ждет пока он гарантированно сольется.

Это позволяет избежать перегрева не только процессора, но и элементов питания материнской платы, которые также ориентируются на значения TDP.

У AMD примерно все тоже самое, только существует еще один ограничивающий фактор в виде температуры ядра, который также начинает ограничивать производительность даже до достижения PL2. А в особо запущенных случаях процессор даже не будет пытаться разгоняться.

Понятно, что все эти показатели высчитаны из расчета, что будет применяться самый слабый радиатор и подсистема питания также будет впритык. Но как быть обладателям дорогих материнских плат с мощным питанием и суперкулеров?

Для них производители предусматривают в BIOS специальные режимы, например, у Gigabyte он называется, как:

🔸 *Enhanced Multi-Core Performance*
Allows you to determine whether to apply the highest Turbo ratio to all CPU cores

Которое фактически изменяет лимиты PL1, PL2 и Tau с общим расчетом на то, чтобы процессор мог большее время находится в разгоне. На дорогих платах таких настроек может быть несколько, точнее несколько градаций настроек, скажем, как «умеренно, максимально, ультра».

Китайцы и вовсе пошли впереди планеты всей, на некоторых платах может быть вовсе снят лимит с PL2, а то и с PL1, точнее установлен в значение 4096W, чтобы корректно работал расчет Tau.

К чему это может привести догадаться несложно. Если вы не обеспечили эффективного охлаждения и дали предельную нагрузку, то от платы может пойти волшебный дым.

​​Диагностика SSD

В комментариях к вечерней заметке подняли тему диагностики SSD, что достаточно актуально при покупке б/у техники.

Одной из популярных программ для диагностики дисков является Victoria HDD/SSD, но в случае с твердотельными накопителями она не сильно поможет.

С ее помощью можно выявить явный брак памяти либо ее сильный износ, но только на участках, занятых данными. Для пустых участков контроллер с большой долей вероятности отдаст вам ноль, не читая память.

И в этом главное отличие твердотельника от жесткого диска. Диск не знает, что находится в секторе и поэтому будет физически читать его, даже если там ноль. SSD – знает и если ячейка пустая, то зачем ее читать?

Таким образом Victoria покажет вам только то, что диск пора выкидывать, объективного состояния диска вы не получите.

Единственный вариант получить достаточно объективную информацию о диске – это S.M.A.R.T и хорошо если диск выдает в нем процент износа (или оставшийся процент ресурса). Это основной показатель, на который следует ориентироваться, так как рассчитывается он по реальному количеству перезаписей ячеек.

При его отсутствии обращаем внимание на параметры логической записи и сравниваем ее с заявленным ресурсом, но помним, что этот показатель достаточно относительный, так как реальное количество записанных на диск данных будет больше на коэффициент усиления записи – WA, который является величиной переменной и зависит от многих внешних факторов.

Если вы не хотите руками изучать S.M.A.R.T, то неплохим вариантом будет утилита от производителя, если она, конечно, показывает здоровье диска. На эти данные вполне можно опираться.

Если же их нет, то смотрите на выработанный ресурс, при его снижении более чем на 50% диск желательно поменять (так как реальный объем записанных во флеш данных с учетом WA нам неизвестен).

Что касается самых бюджетных дисков, тех же китайцев, то там и к параметрам S.M.A.R.T надо относиться с осторожностью, так как он может показывать то, что хочет его «производитель», а не то, как обстоят дела на самом деле. Наглядный пример – датчик температуры у многих дешевых дисков, который вечно показывает некоторое значение, либо никогда не превышает некий верхний порог.

Также неизвестно качество памяти в таких дисках, например, вы можете столкнуться с таким явлением, как деградация флеша, когда он перестает держать заряд.

Т.е. вы нормально записываете файл и думаете, что там все хорошо. Но через день-другой вы уже не сможете его прочитать, потому что заряд с ячейки начнет стекать. При этом внешне все выглядит благополучно и узнать о проблеме вы сможете только при чтении файла.

Хуже всего, что происходит такое в первую очередь на холодных данных и узнать о таком дефекте вы сможете далеко не сразу.

Поэтому б/у китайца лучше сразу поменять, даже, при стеснении в средствах, на второго китайца, новый хотя бы гарантированно отработает некоторое время.

А в целом вывод простой: инструментов, гарантированно позволяющих оценить состояние твердотельных накопителей нет. Мы можем ориентироваться либо на косвенные признаки, либо на данные, предоставленные нам производителем в S.M.A.R.T. Но помним, что единого стандарта на этот счет нет и каждый производитель отдает туда только то, что хочет и не факт, что делает это добросовестно.

Ожидания и реальность

Для тех, кто считает именно записанные данные. Взяли мы тут несколько дисков с исчерпанным ресурсом и посмотрели какие данные они отдают.

Ну и сравнили с заявленным TBW.

Выводы каждый сделает сам.

Настраиваем Fail2Ban для совместной работы с брандмауэром Mikrotik

Fail2Ban - давно зарекомендовавшее себя решение для Linux систем, позволяющее эффективно выявлять и блокировать вредоносную активность, такую как подбор паролей или поиск уязвимостей.

Но как быть, если защищаемые узлы находятся внутри сетевого периметра, а на внешнем контуре находится роутер Mikrotik? Ведь хотелось бы управлять блокировками на уровне всей сети, а не отдельного узла.

Нет ничего сложного, в этой статье мы расскажем как быстро и просто обеспечить совместную работу этих двух популярных продуктов.

https://interface31.ru/tech_it/2024/09/nastraivaem-fail2ban-dlya-sovmestnoy-raboty-s-brandmauerom-mikrotik.html

​​Автоматическое шифрование BitLocker в Windows 11

Начиная с Windows 11 24H2 все предустановленные системы или чистые установки на компьютеры с TPM и SecureBoot автоматически включается шифрование BitLocker для всех локальных дисков.

Редакция ОС и тип учетной записи роли не играют, шифрование начинается сразу после завершения этапа OOBE во время установки или при первом запуске предустановленной ОС.

После чего диски оказываются зашифрованы, но не защищены. Что это значит? А это значит, что к их содержимому получит доступ любой, кто имеет физический доступ к компьютеру.

Достаточно загрузиться в любую систему с поддержкой BitLocker и он автоматически расшифрует диски при помощи TPM.

Если вы попробуете получить доступ к диску отдельно от ПК, то система попросит у вас 48-символьный пароль, которого у вас пока нет и быть не может. Чтобы получить доступ к данным достаточно вернуть диск в физическую систему.

Т.е. слить данные сняв диск у вас больше не получится. Используйте для этого среду восстановления или WinPE.

Также следует иметь ввиду, что автоматически зашифрованы будут все подключенные к компьютеру диски, кроме съемных. Поэтому перенос информации на временно подключенный к ПК локальный диск тоже может преподнести сюрпризы.

Все меняется после того, как пользователь войдет с учетной записью Microsoft или Azure Active Directory, а также Active Directory с активированной соответствующей политикой.

Диски будут сразу-же защищены, т.е. для них будет сформирован 48-символьный пароль восстановления и доступ к дискам будет доступен только после входа в систему.

Данный пароль в случае входа с облачными аккаунтами передается и хранится в облаке, а при доменной учетной записи – в Active Directory.

Теперь если вы не можете загрузить систему, либо загрузились в среду восстановления то для доступа к данным вам понадобится этот пароль.

Тоже самое будет если вы переустановили систему и отформатировали только диск C, для доступа к другим дискам потребуется знать пароль.

В целом это не страшно, ведь облачный аккаунт у вас есть, если вы смогли войти с его помощью, а значит есть и ключ. Но многие, особенно неопытные пользователи и администраторы пугаются и часто совершают фатальные для данных поступки.

Для облачной учетной записи Microsoft ключи восстановления BitLocker вы можете посмотреть на странице https://account.microsoft.com/devices/recoverykey

В каких случаях вы можете безвозвратно потерять данные? Если у вас диск был зашифрован, но не защищен и вы более не владеете исходным ПК, например, вынули диск из ноутбука и продали его.

В этом случае остается только помахать данным ручкой. Тоже самое произойдет, если вы активируете защиту дисков BitLocker вручную и нигде не сохраните пароль восстановления (в этом случае он не передается ни в какое облако).

Узнать текущий статус дисков можно командой:

Get-BitLockerVolume

В статусе вы можете увидеть FullyDecrypted – полностью расшифровано или FullyEncrypted – полностью зашифровано.

В последнем случае смотрим колонку ProtectionStatus, если там стоит Off, то защита выключена и для доступа к содержимому достаточно физического доступа к компьютеру. Если On – то включена и вам потребуется пароль восстановления.

В этом случае также будет заполнено поле KeyProtector, где будет указано RecoveryPassword.

Узнать его здесь и сейчас можно командой:

(Get-BitLockerVolume C:).KeyProtector.RecoveryPassword

Где C: имя интересующего тома.

Ну и наконец вы можете отключить BitLocker для тома командой:

Disable-BitLocker -MountPoint "C:"

Следует ли это делать? Скорее нет, чем да, особенно если устройство переносное. Как ни крути, а шифрование серьезно повышает безопасность в случае кражи или потери девайса.

В общем, каждый решает сам. Но знать основы и особенности технологии автоматического шифрования нужно, дабы не попасть в неудобные ситуации.

Публикация баз данных 1С:Предприятие на веб-сервере IIS c защитой SSL и аутентификацией по паролю

При развертывании комплекса 1С:Предприятие на платформе Windows для веб-публикации информационных баз часто используют IIS (Internet Information Services).

Это вполне оправданное решение, позволяющее обойтись только штатными средствами платформы Windows без установки дополнительного софта.

В данной статье мы не только рассмотрим процесс публикации различных информационных баз на веб-сервере IIS, но и настроим их работу по защищенному протоколу HTTPS с сертификатами Let's Encrypt, а также добавим дополнительную парольную защиту.

https://interface31.ru/tech_it/2023/05/publikaciya-baz-dannyh-1spredpriyatie-na-veb-servere-iis-c-ssl-zashhitoy-i-autentifikaciey-po-paroly.html

Публикация баз данных 1С:Предприятие на веб-сервере Apache в Windows c защитой SSL и аутентификацией по паролю

Для публикации информационных баз 1С:Предприятие на платформе Windows часто используют альтернативу штатному IIS - веб сервер Apache, который, несмотря на ряд ограничений, тоже неплохо подходит для небольших и средних установок.

Одним из очевидных преимуществ Apache является его кроссплатформенность, т.е. если вы умеете настраивать данный веб-сервер на одной платформе, то без особого труда сделаете это и на другой.

В данной публикации мы расскажем вам как установить и настроить Apache для публикации баз с SSL-защитой на базе сертификатов Let's Encrypt и дополнительной аутентификацией по паролю.

https://interface31.ru/tech_it/2023/05/publikaciya-baz-dannyh-1spredpriyatie-na-veb-servere-apache-v-windows-c-zashhitoy-ssl-i-autentifikac.html

Тестирование и исправление информационной базы - что делает и для чего нужно

Существуют вещи настолько привычные, что кажется все про них знают, но это весьма обманчивое впечатление.

Да, о них почти все знают, почти все используют, но мало кто представляет происходящие при этом процессы, скрытые за привычной внешней формой инструмента.

При этом те, кто знает не спешат делиться, ведь это "общеизвестно", а те, кто не знает стесняются спросить по той же самой причине.

Но мы не будем стесняться, а подробно расскажем о том, что делает каждая опция данного инструмента, заглянув каждый раз немного глубже простого описания.

https://interface31.ru/tech_it/2021/05/testirovanie-i-ispravlenie-informacionnoy-bazy-chto-delaet-i-dlya-chego-nuzhno.html

Ой, а почему у нас так тормозит 1С?

Этим вопросом задаются многие администраторы, но не все могут найти ответ. В результате отношения между администраторами, бухгалтерами и 1Сниками часто становятся напряженными. 😡

Но не нужно конфликтовать, очень часто причины подобного поведения буквально лежат на поверхности. 👉

Прежде всего, особенно если у вас файловая база, добавьте ее и все процессы 1С в исключения Microsoft Defender.

🔹 Почему тормозит 1С. Файловый режим и Microsoft Defender

Во-вторых, разберитесь с регламентными заданиями, отключите ненужные и настройте адекватное расписание для нужных, подробнее здесь:

🔹 Почему тормозит 1С. Регламентные задания

Для файловых баз не забывайте эпизодически выполнять Тестирование и исправление, вопреки неудачному наименованию, это не только инструмент ремонта, но и обслуживания.

🔹 Тестирование и исправление информационной базы - что делает и для чего нужно

А для сравнительной оценки оборудования и его настроек в мире 1С принято использовать тест Гилева, это своего рода отраслевой стандарт с которым трудно поспорить.

🔹 Как установить и использовать тест Гилева для 1С:Предприятие

Ой, а что это случилось? Куда делась лицензия? Программные лицензии 1С - полное дно!!!

На самом деле процессор на данном хосте заменили еще в конце июля, а выстрелило в середине сентября.

Хотя все причастные со стороны заказчика знали, что замена процессора требует переактивации лицензии.

Но не слетело же сразу? Поэтому благополучно забили. А когда работа стала колом посреди рабочего дня - сказали, что это же 1С...

В общем, не надо так делать. Заменили железки - выполнили повторную активацию. А новый пин-код всегда пришлет поддержка. Нет смысла цепляться за них и жалеть.

Установка и настройка pgAdmin 4 в режиме сервера

pgAdmin -- это приложение с открытым исходным кодом для администрирования и разработки баз данных PostgreSQL которое позволяет выполнять множество задач, начиная от мониторинга и обслуживания и заканчивая выполнением SQL-запросов.

pgAdmin 4 можно установить на локальный компьютер, но в наше время, когда доступ может потребоваться в любое время и из любого места, это не очень удобно.

Гораздо удобнее установить pgAdmin 4 в режиме сервера и иметь доступ к нему через браузер из любой точки мира. О том как это сделать мы расскажем в данной статье.

https://interface31.ru/tech_it/2021/01/ustanovka-i-nastroyka-pgadmin-4-v-rezhime-servera.html

🤯 Версии конфигурации виртуальных машин Hyper-V

Далеко не все знают, что у виртуальных машин Hyper-V есть версии, которые различаются поддерживаемыми возможностями и лимитами. Из поддерживаемых сейчас систем минимальная версия 5.0 для Server 2012 R2 и Windows 8.1, максимальная 12.0 для Server 2025 и Windows 11 24H2.

А всего версий конфигурации целых 15 штук, они увеличивались каждый раз при обновлении Hyper-V, а обновлялся он с каждым новым выпуском Windows, в т.ч. клиентском.

Долгое время конфигурации были совместимы сверху вниз, т.е. на новой версии гипервизора вы могли запустить старую конфигурацию. Но начиная с выпуска 2004, LTSC 2021 и Server 2022 отключили поддержку версии ниже 8,0.

При этом сама тема конфигураций сделана в лучших традициях Microsoft, т.е максимально скрыто от пользователя. Многие могли годами работать и не сталкиваться с этой темой.

Итак, какие могут быть проблемы?

🔹 Вам нужно переместить ВМ со старого гипервизора на новый. Скажем с 2016 на 2022. А у вас там по наследству крутится 5.0. Ответ вроде бы прост, сделать апгрейд конфигурации. Для этого есть командлет Update-VMVersion.

Но есть одна проблема. Он апгрейдит до текущей версии хоста. И если вы запустите его на новом сервере по получите машину версии 10.0, которую уже не сможете вернуть назад. Если это критично, то апгрейд нужно запускать на 2016, тогда получим версию 8.0, которая поддерживается обоими гипервизорами.

🔹 Обратный вариант - переместить машину на более старый гипервизор. Здесь поможет только создание новой машины поддерживаемой версии и подключение к ней виртуальных дисков от текущей машины.

🔹 И последний вариант, если вы создаете и отлаживаете машины под клиентской ОС, а только потом перемещаете в продакшен, здесь вы можете получить и вовсе экзотическую версию, какую-нибудь 9.1, которая потом не заведется на том же 2019. Здесь лучше создавать ВМ из консоли, сразу указывая нужную версию:



New-VM -Name "VM_name" -Version 8.0


Более подробно почитать про все это (на английском) и посмотреть таблички совместимости можно здесь:

✅ Upgrade virtual machine version in Hyper-V on Windows or Windows Server

Специально собрал целую стопку дисков. Завтра сниму данные, кто сколько записал, какой износ и какой WA. Характер нагрузки офисный, но тоже разный. Возможно найдём интересные сопоставления.

​​Open vSwitch – что это такое и для чего нужно

Сегодня читатель задал вопрос про Open vSwitch, мол стоит ли переходить на него в Proxmox. Но однозначного ответа на этот вопрос дать нельзя. Почему? Давайте разбираться.

Широкое применение виртуальных машин привело к появлению виртуальных сетей, где огромные массы трафика могут перемещаться внутри гипервизора и не покидать его пределов.

И если мы хотим гибко управлять этим трафиком, то обычного Linux Bridge нам уже будет недостаточно. Особенно если мы работаем в кластере и виртуальные машины перемещаются между нодами.

В первом приближении Linux Bridge можно сравнить с физическим неуправляемым коммутатором. Дешево и просто.

Но когда в физических сетях нам требуется чего-то большего, то мы ставим управляемый коммутатор. В виртуальных сетях коммутатор будет тоже виртуальный. Именно тем самым виртуальным управляемым коммутатором и является Open vSwitch.

Он поддерживает протокол OpenFlow, который позволяет создавать программно определяемые сети (SDN) и гибко управлять конфигурацией коммутаторов. Это позволяет не задумываться на какую ноду и какой коммутатор уехала виртуальная машина, все связанные с ней сетевые правила также мигрируют до места назначения.

Также Open vSwitch поддерживает VLAN, приоритизацию трафика и его учет, агрегацию и балансировку.

Ну так это же круто, скажет иной читатель. Давайте же его использовать!

Но здесь, как и в физических сетях, нужно руководствоваться здравым смыслом. Вы же не будете ставить дорогой управляемый коммутатор в небольшой офис? Так и здесь. За все возможности Open vSwitch вы будете расплачиваться вычислительными ресурсами.

Поэтому если вы не знаете, для чего именно вам нужен Open vSwitch и какие задачи вы будете решать с его помощью, то, скорее всего нужны в нем у вас нет.
А если очень хочется попробовать новые технологии, то сделайте это на стенде. После чего вы поймете нужно ли это именно вам, а если нужно – то для чего.

Иначе получится как в некоторых физических сетях, где администратор гордо устанавливал в серверный шкаф дорогой управляемый коммутатор и потом использовал его сугубо как обычный свитч.

Поэтому исходите из понятия разумной достаточности. Open vSwitch – мощный сетевой инструмент, но его использование должно быть обосновано. Иначе это будет просто бесполезное усложнение системы со столь же бесполезной тратой вычислительных ресурсов.