Category: отзывы

Category was added automatically. Read all entries about "отзывы".

Cat-light

Впечатления от NextHop-2021

Послушал вчера конференцию Yandex NextHop-2021.

Четыре доклада из десяти мне даже понравились. То есть примерно одна треть этой конференции оказалась для меня полезной. Вполне неплохой выхлоп.

Что касается остальных докладов. Мне эти-то сведения на практике точно никогда не применить. А уж остальные-то и подавно. Не так много в мире компаний масштабов рылокниги или тындекса, где вот реально нужны все эти spine-leaf, top-of-rack, 400-гигабитные линки и прочие непотребства. Но вообще всегда интересно чего новенького успели напридумать яйцеголовые, особенно если кто-нибудь умеет доступным языком рассказать. Но, к сожалению, с последним пукнтом почти всегда возникают проблемы.

Насчет этого вашего Yandex.Cloud, я искренне не понимаю кому и зачем он хотя бы теоретически может быть нужен. Да, они там внедрили хренову тонну каких-то инновационных решений, но на хрена козе баян?

Оратор из Juniper-а — это вообще позорище ходячее. Сочинил один раз какой-то весьма посредственный доклад про квантовые ключи и торгует с ним хлебалом на каждой более-менее подходящей по тематике конференции.

Про то, как в гугле пять лет тому назад вообще упразднили отдел мониторинга сети, и как там у них автоматически создаются тикеты на RMA (замену неисправных деталей) в случае выхода из строя железок, конечно, занятно послушать. Но это не стоило размусоливать на 45 минут. Кинули бы просто понты за 5...10 минут, да и ушли под аплодисменты.

Про ZTP и Segment Routing Policy я вообще не осилил. Уснул.

SwitchDEV — это всё, конечно, хорошо и замечательно. Но кому он реально нужен помимо FAANG, непонятно.

Собственно, и всё остальное примерно в том же духе. Наверное, действительно полезной была только инфа про различные форматы / стандарты SFP-модулей и про проблемы их (не)совместимости с чипами / шинами коммутаторов. А-ля ликбез. Но опять же, лично мне такие SFPшки, про которые шла речь, вряд ли когда-либо доведется хотя бы просто в руках подержать.

Правда, по результатам пары докладов меня таки посетили интересные мысли, ближе к философским рассуждениям.

... Когда-то далеко в начале 2000-ых, возможно году в 2005...2007 (точнее уже не вспомню) я на NAG-е (nag.ru) читал статью о том, как один небольшой украинский ISP забубенил себе маршрутизатор ядра сети на amd64. Они тогда хвастались, что сами пропатчили драйвера Intel-евых сетевух дабы раскидать их очереди по 24 ядрам процессоров, чтобы добиться приемлемых показателей pps (packets-per-second). А наградой за их труды стало очень-очень быстрое схождение Full View BGP на скольких-то там не занятых под транзит трафика оставшихся ядрах.

С тех пор проходит больше десяти лет, и что мы видим? Яндекс строит пограничный (!) FireWall на... та-да-а-а-ам... Linux + Intel X86_64 ! Правда, с тех пор много воды утекло. Появилась магия в виде eBPF и DPDK. Но сам факт. Как поёт группа "Пикник", "Маятник качнётся, всё опять начнётся". Ну да, ну да... от чего уходили, к тому и вернулись. ASIC-и, уясики, это всё не то. Хочешь настоящей гибкости и настоящей вычислительной мощности — при всём богатстве выбора другой альтернативы нет. © Только x86_64, только хардкор.

... А другой доклад мне очень сильно напомнил метания между тем, как же распределить обязанности между различными компонентами той или иной системы. Например, Intel встраивает графику в ядро CPU. А NVidia наоборот, предлагает ускорять всё на свете на мощностях видеоадаптера. Вроде бы они заняли каждый свою нишу. Но!

Теперь NVidia всерьёз полезла на рынок телекома и всего что с ним связано. Они предлагают вместо "традиционного" сетевого интерфейса совать в сервер ещё один сервер, только маленький. ARM-based SoC (System on Chip). Они называют это "DPU": "Data Processing Unit". Который уже и кофеварка, и кофемолка, и кофевозделывательная плантация. От привычного сетевого интерфейса там остались разве что шина PCI-Express да частично принципы взаимодействия с ядром операционной системы.

Как всегда обещают углубить, улучшить, расширить, ускорить и всё в этом духе. Мол, теперь ваша сетевая карточка — это прям вот полноценный L3, может прокачивать через себя какие-то лютые PPS и не подавиться. А вам уже не нужно ничего знать, только кнопочки нажимать: опытные сетевые инженеры всё настроят централизованно вместо вас. И вам уже не нужны дорогущие TOR-свитчи (Top-of-Rack) для превращения L2 в L3, типа экономия. При том, что вы можете мутить MPLS, eVPN и прочие оверлейные сети прямо на адаптере, воткнутом в ваш сервер.

По мне так, "ну кому нужен бильярдный шар с растущими на нём волосами"? © Но не знаю. Может и правда взлетит. Народ жы ж сходит с ума по облакам. Ждём ответа от Intel, где сетевая карточка будет встроена в CPU, использовать штатную оперативную память, уметь писать прямо в процесс внутри виртуальной машины, а выводы будут разведены прямо с ножек процессора в разъём RJ-45... Зачем? А хрен знает. Но прикольно же!

... Сначала рылокнига героически делает крутейшее централизованное управление сетью. Потом так же централизованно её валит на шесть часов. Красота! "Может не надо, Шурик? Надо, Федя. Надо." ©

Ох уж этот новый дивный мир.

Cat-light

ITILное

... Исключительно на основании собственных наблюдений и мироощущений могу вынести сугубо субъективное мнение.

Kayako, ManageEngine ServiceDesk Plus, TargetProcess, Naumen — ракообразное говнище с быдлокодом внутри.

Из всех виденных мной до сих пор ITILей самым вменяемым является JetBrains YouTrack.

От нищеты, если денег мало / нет, а трекер очень хочется, можно попользовать FlySpray.

Как-то так. Мнение автора этого поста не обязано совпадать с чьим-либо ещё мнением и не претендует на объективность.

Cat-light

За что я не люблю CentOS

Прежде всего — за безголовое управление кривой инсталлятор. Смотри скриншот справа ради получения лулзов. А если серьезно, то:


  • в "полновесном" ISO-шнике нет опции удаленной SSH-установки в текстовом режиме (как в Debian-е режим "remote console");

  • в режиме "minimal install" он не ставит ну совсем вообще ничего, даже tar-а;

  • почему-то нельзя сделать swap-раздел перед root-разделом (и это от версии к версии так, wtf?).

Это только по инсталлятору. По софту.

То, что он там зело тухлый, промолчу, спишем на дизайн и "стабильность". Но! Нужно постоянно подключать тонны каких-то сторонних или условно-сторонних репозиториев. Какие-то там "EPEL", "CONTRIB" и прочие. tar лежит в одном репозитории, pv и 7z — в другом. Postgres ставится из третьего места, расширения для него — из четвертого. Блин, что за бред? Не, в Debian-е тоже есть подобные приколы, связанные в основном с его замороченностью на бесплатности и GNU-танутости. Только там один раз прописал в sources.list заклинание "main contrib non-free" ещё на этапе инсталляции и забыл. А тут вечно какой-то головняк.

Collapse )
Cat-light

Коллективные паролехранилки

Встал выбор коллективной паролехранилки. Чего хотелось бы в идеальном мире.


  • Только self-hosted (обязательное требование).

  • Предпочительно бесплатная.

  • Удобный интерфейс.

  • Пригодная к использованию теми, "у кого лапки".

  • Возможность раскладывать пароли по папкам и метить их тегами.

  • В идеале — возможность искать в базе не только по названию item-а, но и по логин / URL / Notes.

  • Наличие плагинов для браузера является плюсом.

  • Если к ней до кучи прилагаются мобильные приложения — это вообще фантастика.

Из всего, что я видел, самым удобным вариантом является, как ни странно, связка pass+git с обвеской "по вкусу". Но, увы, у такого варианта есть три существенных недостатка.


  • Не подходит тем, "у кого лапки".

  • Сложно разграничивать "кому куда можно".

  • Все имеющиеся пароли по умолчанию хранятся локально на всех устройствах, хоть и в зашифрованном виде.

То есть, это больше подходит для расшаривания персонального паролехранилища между несколькими разными точками (домашний комп, рабочий комп, планшет, телефон и т.п.). А вот для коллективного использования не особо приемлемо.

Что лично я тестировал именно из коллективных.


  1. TeamPass. Интерфейс средненеудобный. Тестировал давно, тогда он использовал в качестве бэкенда MySQL и не шифровал ничего кроме собственно паролей. Управление правами очень неудобное. Выкинул ф помойку.

  2. Thycotic. Помню, как-то давно попросил у них триалку. Потыркался туда-сюда. Какое-то глюкалово. Тоже давно было. Уже не помню что именно не взвелось, помню что с матюгами тоже выкинул.

  3. PassBolt. Интересный проект. Но с точки зрения usability не понравился. Группировки по папкам только обещают сделать, да ещё и в платной версии.

  4. BitWarden. Какое-то монструозное чудовище, написанное на C#. Поставляется в виде докера, тащит за собой какое-то нереальное количество всякого г...на в зависимостях, жрёт системные ресурсы как корова веники. Сразу ну нах.

  5. Padloc. Просто какое-то глюкавое г...но на NodeJS писаное. Даже и написать-то про него особо нечего.

  6. SysPass. Примерно из той же серии, что и TeamPass. Тоже шифрует только пароль и тоже дико неудобный. В пень.

  7. Psono. Очень интересная штука. Python + PostgreSQL. При беглом тестировании явных косяков замечено не было. Usability в порядке. Единственное что не понравилось — умеет искать только по названию item-ов, но не по их содержимому. То есть найти запись по логину или комментарию, например, не получится. Зато официально бесплатная в community-редакции и для предприятий с численностью сотрудников не более 10 человек.

  8. Passwork. Прикольная штука. PHP + Mongo. Странный выбор бэкенда, но да ладно. С точки зрения usability понравилась вообще всем. Есть и теги, и папки, и поиск по любому полю объекта, и разграничение прав, и интеграция с LDAP. Единственный недостаток — кусачая цена. 50 килорублей на 50 пользователей. Правда, "навсегда".

В-общем, если фирма расщедрится, то наверное всё-таки купим Passwork. Если не раскошелится — то поставим Psono. Всё остальное из прощупанных совсем неприлично грустное.

Комментарии? Поправки? Дополнения?

Lynx

Вход здесь

Не спрашивайте, зачем я полез искать это место на Яндекс.Картах. Но как услужливо он (Яндекс) нарисовал мне вход в здание, просто поражает.

Также можете почитать отзывы об организации. Они доставляют отдельно. А ещё там рядом есть датацентр. Никто не хочет в него "встать"? Говорят, электричество с атомной электростанции даёт +20% к вычислительной мощности потребляющих его серверов. Но это не точно.

Cat-light

Помацал Ubiquiti UniFi

Не понравилось.

Как всегда, продолжаю решать долбанутые задачи. Есть условно-моя офисная сеть. Есть сеть организации-контрагента. Надо их состыковать, чтобы из моей сети попадать во "вражескую". Но поскольку IP-адресация пересекается, приходится NATить (знакомо, да?). Каналообразующее оборудование предоставляет контрагент, я от него получаю RJ-45 порт в своём шкафу, остальное меня не волнует.

От предыдущего админа досталась железяка с пафосным названием "Ubiquiti Security Gateway Pro 4". По некоторым причинам она оказалась никому не нужна, другой всё равно нет, так чего бы не сделать из неё NAT? Ага, щаззз, разбежался...

Стоит она каких-то неразумных денег. Внутри самый обычный Linux 3.10 крутится на MIPS-процессоре. Но ты не можешь просто так взять и настроить его так, как тебе нужно. Потому что все эти iptables-iproute2 обёрнуты в проприетарный шелл со своим ни на что не похожим странным синтаксисом и командами. А в веб-морде нет никаких настроек от слова "совсем".

Производителем предполагается, что сразу после включения ты заводишь этот USG4 в общую "экосистему" под управление централизованного контроллера и выполняешь все настройки через него. При попытке зайти по SSH тебя прям сразу большими буквами недвусмысленно предупреждают: "всё что ты щас тут будешь настраивать, неизбежно похерится сразу после подключения роутера к контроллеру". Вашу ж мать... ну ладно, значит не будем подключать.

А этой самой "экосистемой" в принципе не предусматривается, что у тебя в сети может существовать больше одного этого самого Gateway-я. И что он не будет являться default-ным. Поэтому подключив ("adopt") его к контроллеру, я рисковал положить к чертям вообще всю сетку. Потому что за выход в интернет и глобальную маршрутизацию там отвечает как бе совсем другое устройство. И смена default gateway на клиентах явно ни к чему хорошему бы не привела.

Пришлось изучать этот самый корявый синтаксис и азы идеологии. Блин... у микротиков и то логичнее, хотя всё оно есть суть сорта одного и того же г...на. В итоге я за пару часов настроил, конечно. Но нет, больше не хочу. Мне уже цисок "выше крыши" хватило с их "nat overload", инвертированными масками в ACL-ях и невозможностью добавить на физический интерфейс ip-адрес с маской "/32". Еще и эту ubiquit-евскую е**нину в голове держать — ну на**й.

Контроллер тоже какой-то чудесатый. Взял ноутбук, спустился на соседний этаж. Примостился на подоконнике в одном метре от ближайшей точки доступа. Но нет, бесшовное переключение на неё почему-то не состоялось. Сигнал "одна палка", работаю ни пойми через что. Нафиг так жить?

Короче говоря, весь этот Ubiquiti — для мамкиных одминов, которым хочется красивую веб-морду и чтоб без особых умственных усилий построить простенькую одноранговую сеточку с выходом в интернет. Шаг вправо, шаг влево — всё, тушите свет, сливайте воду. Для SOHO слишком дорого, для Enterprise — совершенно бесполезно. Не знаю даже на кого оно всё рассчитано.

Осталось теперь только где-нибудь пощупать TP-LINK Omada. Так, чисто для общего развития. Чтоб знать какие в принципе бомжвейные решения бывают и насколько они кривые.

Cat-light

Ещё про менеджеры паролей

Поисследовал я ещё немного на тему хранения и синхронизации списка паролей между разными устройствами. Внезапно всё оказалось очень грустно.

Мои требования.


  1. OpenSource.

  2. Self-Hosted.

  3. Наличие приложений для iOS, Android, плагины для FireFox, Chrome.

  4. Прозрачная синхронизация между ними.

  5. Шифрование всей инфы, а не только паролей.

Так вот, данный список почему-то оказался на момент написания этого поста практически невыполнимым. Большинство производителей софта не дают серверную часть, многие хотят денег, причем ещё и по подписЬке. Кто-то клянчит за саму возможность синхронизации отдельное бабло, и так далее.

Ближе всего к тому, что мне хотелось бы, подходят следующие продукты.


  • BitWarden. Но какой же он, сцуко, тяжелый и жирный (смотри предыдущий псто). Склоняюсь к мысли, что я его всё-таки снесу на хрен с такими системными требованиями.

  • Как ни странно, самый обычный KeePass и его клоны типа KepassXC. Единственное неудобство заключается в том, что для синхронизации паролей с яблоками (iPhone, iPad), требуется каждый раз их подключать проводом к компу. Я в курсе про SyncPass, но реально он не работает.

  • Относительно молодой, но весьма интересный и перспективный проект под названием "PassBolt". Обещают до конца года запилить мобильные приложения. Посмотрим. Надо будет вспомнить про него попозже и поглядеть. Если действительно сделают, должно получиться очень круто. Жаль, его не существовало в те далекие времена, когда мы с коллегами коно****ись с TeamPass-ом (вот чего точно никому не посоветую).

  • Самое главное и ну совсем внезапное. Народ тупо хранит зашифрованные GPG-ой текстовые файлы и синхронизирует их между устройствами через Git. Причём под это дело написано какое-то огромное количество утилит, приложений и прочей обвязки на любой вкус. Unix-way, так сказать. Приложения под Android и iOS тоже есть. Настройка подо всё кроме винды совершенно не сложная. Больше инфы есть на сайте Passwordstore.org. Оттуда можно походить по ссылкам и посмотреть что как делается в зависимости от конкретной платформы.

Вот последний способ меня люто порадовал. Благодаря Git-у "из коробки" идёт даже "командная работа". Можно тупо создать отдельный репозиторий и расшарить его с тем, с кем считаешь нужным. Для удовлетворения паранойи репозиторий можно положить поверх eCryptFS. А синхронизация идёт поверх SSH, куда можно логиниться в том числе и SSH-ключами.

Единственное, как я уже упомянул, под виндой возникает некоторый трах-тибидох, связанный с настройкой и запуском GPG2-агента. А в остальном, всё то же самое.

Ещё беспокоит момент, что у меня, например, уже около 1000 разных паролей. Философия хранения рекомендует на каждый сервис заводить отдельную папочку, логин-пароль класть в один файлик, а сопутствующую инфу — в другой. Я вот думаю, файловой системе от такого плохо не станет? По идее, конечно, не должно. Еще плохо, что по понятным причинам нельзя проводить поиск по содержимому этих файлов. То есть, требуется очень аккуратно и вдумчиво придумывать имена файлам и папкам при их создании. И то, всё равно может оказаться неудобным. Потому что я, например, дюже привык в том же KeePass-е искать нужный пароль по комментариям.

Короче, буду пробовать постепенно переползать с KeePass-а на вот эту "убер-технологию". Посмотрим что из этого получится. Или не получится. Потом расскажу. Если доживу.