Microsoft выпустила патч для CVE-2019-0708 - можно получить удалённый доступ к системе через RDP и делать что хочешь: An attacker could then install programs; view, change, or delete data; or create new accounts with full user rights. Всё настолько серьёзно что и для XP есть патчи. С Windows 8 и 10 всё в порядке.
И у Cisco похожая история, можно управлять всем, вплоть до загрузчика.

На ближайшем RIPE78 Max Rottenkolber расскажет про Vita, это такой очень производительный VPN на Lua. Всё это в комплексе вместе со snabb - фреймворком для высокопроизводительной обработки трафика в userspace. В отличие от DPDK не привязан к Intel.
Цель всех подобных решений избавиться от посредника в виде ядра, которое своей универсальностью ломает производительность. Стоит упомянуть ещё packet_mmap, pf_ring, netmap, другие тоже есть. Ключевые слова для поиска Zero Copy и Userspace IO. Это позволяет выжимать гораздо больше чем может ядро зажатое рамками планировщика и прерываниями. Совсем прямой доступ к железу никто давать всё равно не хочет, хотя Intel с очередными багами в процессорах старается. Во времена DOS с этим было проще :-)

Прелесть многих старых протоколов прикладного уровня в том что они диалоговые: FTP, IMAP, в меньшей степени HTTP. Одна строчка вопрос, в удобочитаемом виде, одна или много в ответ, в более или менее читаемом виде. Модный сейчас JSON при всей его читаемости всё же машинный формат. Формировать запрос вручную почти не имеет смысла, это делает программа и программист, что и в случае бинарных протоколов.
Возможно имеет смысл унифицированный формат для всего, поэтому JSON везде, даже в почте и называется это JMAP. Cтатья в блоге IETF, потому что, видимо, процесс стандартизации к концу подходит. А за подробностями надо идти на сайт jmap.io

Про все утилиты знали? Для себя пару новеньких открыл. В начале есть пару ссылок на другие списки программ, не менее полезные.

Почти просто про PIM и мультикаст маршрутизацию на Habr. Совсем просто написано про PIM DM, про сообщения и общие принципы что к чему. Про PIM SM с его RP в принципе сложнее, так что проще не напишешь. Чтобы включить и всё заработало хватит. У мультикаста полно нюансов, но тут только опыт помогает.

Поймал себя на мысли что есть адекватный термин принятый в русскоязычной технической литературе в том числе и переводной - многоадресная рассылка. Но я его уже давно нигде не встречал, думаю иногда попробую его использовать, если меня понимать конечно будут. Терминология для того же и нужна, чтобы понимали с полуслова.

Пылинка на оптическом волокне может стоить вам рабочей магистрали. Fluke крутые, у нас таких нет. Видео презентация.
На какой-то из конференций представитель Flukenetworks хвалился что у Тони Старка есть их продукция, даже видеодоказательство показывал из первых Мстителей, но я уже забыл в каком моменте.

По поводу аварии в Яндекс.Облако.

Амазон терял данные пользователей на EBS в 2011 году.
Сервис S3 лежал несколько часов в одном из регионов. Из-за этого у конечных пользователей были проблемы различного масштаба, от сломавшихся холодильников до неработающих пультов от телевизора.

GitLab убил production базу. Во время восстановления выяснилось, что бекапы работали некорректно, и восстановили в итоге из снимка ФС по чистому везению.

ЦОД GCP ушел в отказ, когда в него ударила молния два раза подряд. Два. Раза. Подряд.

Github в результате цепочки отказов работал в деградированном режиме 24 часа и 11 минут.

Про отказы Facebook, Instagram и ВК я вообще молчу.

У меня нет инсайдов о том, что именно произошло в Я.О, но по тем крупицам информации, что я нашел - это не самое страшное, что могло случиться, и масштаб трагедии гораздо меньше, чем пишут на Pikabu и Хабре.

На DevOps Forum Moscow я сказал, что будущее ИТ за развитием публичных и гибридных облаков, и Яндекс делает титаническую работу.

Я желаю команде Яндекс.Облако удачи в решении инцидента, и пусть это будет их последняя крупная авария.

Прекращайте спекуляции и own your reliability (c)

Оказывается, есть упрощённая версия Grafana для терминала. Удобно, информативно, визуально приятно:

https://github.com/slok/grafterm

#фидбечат #monitoring #grafana

Другой подход к быстрому управлению трафиком это BPF (eBPF), XDP (Express Data Path). Обзор того как это устроено в Cloudflare, где на каждом этапе прохождения трафика он используется.

Если пользуетесь OpenVPN, то для того чтобы совместить его HTTPS на однном сокете не надо ничего придумывать, достаточно опции port-share:

port 443
port-share 127.0.0.1 4443

Конечно, сам веб сервер придётся унести на другой порт. Поможет во многих случаях когда открыт только 443, для публичного Wi-Fi такое часто бывает, собственно поэтому и полез настраивать. В современных реалиях не проблема держать только сервер для VPN на любых портах, так что это ограничение так себе. Работает только с TCP, рассчитано конечно на веб, но теоретически можно и с SSH совместить.

Битва за IPv4. Возможно, в ближайшем времени мы увидим куда масштабнее события, а может и не увидим.
Худо бедно, но адреса всё ещё есть. Этот лишний миллион не сделает погоды, это просто показатель дефицита и ценности ограниченного ресурса. Который "внезапно" таким стал. Даже не сам факт возвращения, а новость об этом факте.
В зоне RIPE NCC всё относительно просто - платишь членские взносы, получаешь адреса. Одна юридическая организация может стать LIR и получить /22 в руки (пока) много раз. Если проблема решается деньгами - это не проблема, что показывает что адреса ещё есть.

О! MSK-IX включила фильтрацию по RPKI. Так-то учитывали они это давно, специальное комьюнити есть по результатам проверки - 8631:65510 если подписан и валиден, а теперь вот ещё и фильтруют.
Правда проникновение RPKI всё равно оставляет желать лучшего, но даже небольшие шаги это шаги.

в дополнение @LookinGlassBot

whois-бот

@WhoisDomBot - поиск информации о доменах и IP-адресах.

Есть ли жизнь с мультикаст трафиком в Wi-Fi? Статья про основные проблемы таких решений и как сделать жизнь чуть лучше. Ищите точки и производителей которые имеют опцию Multicast-to-Unicast, могут преобразовывать один мультикаст поток во много уникастовых. Тогда и снупинг начинает работать и жить становится веселее, хотя надо учитывать нюансы.

Uber хвалит QUIC: большая статья про проблемы TCP в разрезе Uber специфики и как они решились с QUIC. Тесты проводились в Дели, как самом плохом в плане задержек регионе и показали значительное улучшение показателей. А то что всё работает в пространстве пользователя, для Uber это плюс.

Экскурсия по лаборатории Ericsson в Москве (часть 2 и часть 3) от @abloud62. Много фоточек крупным планом, в основном радио железок, но есть и другие.

Все видели что происходит с новой стойкой через год или два эксплуатации, а если расширить это на масштабы датацентров то результат может быть совсем грустным. Поэтому надо об этом позаботиться заранее. Обзор работы в которой рассматривается несколько популярных топологий, вводятся метрики количества устройств, патчпанелей, количество различных типов соединений. Предполагая рост в процессе жизненного цикла датацентра происходит анализ изменений. И на основе этого анализа предлагается новое решение с наименьшей сложностью, лучшими метриками по результатам изменений, под названием FatClique.

Для меня это высшая математика, когда мы строили свою аппаратную, то про топологию не сильно думали. Но при этом мы заложили возможность кроссировок каждой стойки с каждой, выделив отдельный шкаф куда разварена вся оптика. Таким образом, что соединяя разные патчпанели в одном месте получаем нужный линк между нужными устройствами. И это было очень удачное решение, избавившее нас вообще от необходимости думать о том как и что соединить чтобы было красиво, потому что всё уже было красиво изначально. Правда, после шести лет эксплуатации у нас кончились волокна по некоторым направлениям, мы выросли сильнее наших ожиданий.

Урок простой - никогда не экономьте доступный и условно бесконечный ресурс, будь то оптические кабели или IP адреса (тем более серые). Если есть возможность запланировать больше - запланируйте больше. В нашем случае проблема решается просто добавлением параллельной магистрали, благо всё в рамках одного помещения. А вот в случае с IP новый блок получится, как правило, уже в другой подсети и будет не очень красиво, что, скорее всего, потащит за собой дополнительные строчки в конфиге и ресурсы маршрутизатора.

Серия статей про Cumulus Linux на theasciiconstruct.com, от базовой настройки интерфейсов до BGP, EVPN, VXLAN и это ещё не конец. Предполагается что используемые технологии и протоколы уже знакомы как и знаком Linux, вся суть именно в том как это на Cumulus. Используется единая топология, в каждой статье к сети добавляется новый функционал и выполняется его настройка. Быстрый обзор для желающих оценить: "А как оно там?"

Менеджер конфигураций CDIST для серверов. Шаблон конфигурации формируется на Shell. Говорят так лучше, не надо учить никаких YAML, а Shell и так все знают. Это подаётся как преимущество. Кроме того это полноценный язык с циклами и условиями и вызовом любых внешних модулей. Для управления серверами, опять же, нужен только Shell и доступ через SSH.

Сами шаблоны (манифесты) помимо Shell формируются из типов (действий). Фактически, это те же скрипты, соответственно можно создавать свои, но многие стандартные действия определены. Вот такая строчка в манифесте __file /etc/cdist-configured может создать файл cdist-configured на всех обслуживаемых хостах.

На первый взгляд выглядит просто, может даже очень просто - как внутренний проект который писали-писали, он разросся, а потом пришёл Ansible и надо было что-то решать. Но по факту требований действительно мало, кроме того что надо и правда хорошо разбираться и любить именно Shell. Разработчики его точно знают, это хорошо видно в приводимых примерах. Будет ли он удобным? Кому-то точно будет.