Uncategorized

Network: Cisco VPP (Vector Packet Processing)

Очень много презентаций о VPP на сайте fd.io
- - Разобрал только эту “How to Push Extreme Limits of Performance and Scale with Vector Packet Processing Technology”
Netgate TNSR – один из известных комерческих проектов, использующих VPP
Есть даже аппаратные ускорения VPP на базе спец.

Linux: DPDK, HYPERSCAN, SNABB; NETMAP DNA, PFRING, XDP; hugepages

вот пример как nginx гонять поверх стека на VPP https://wiki.fd.io/view/VPP/HostStack/LDP/nginx

с точки зрения техники там производится ldpreload модуля, который подменяет необходимые сисколлы на свое ((аналогично встраивается и openonload))

Сравнение Netmap DNA и PFRING. Довольно подробное есть тут.

Even if DNA and netmap have been developed in totally independent ways, they solve the same problem: how to move packets back/forth a network adapter without using too many CPU cycles.

Network: Packet Broker, Balancer (пакетные брокеры и L3-L7 балансировщики: nginx, haproxy, f5, nfware, etc)

(Ngfw с выдержками, proxy/balancer только header) Выдержка из статьи цифровых решений (dsol) о плюсах intel qat на базе cpu (тк у них нет продукта балансера с реализованным decrypt они это пиарят)
Пакетные брокеры с функционалом балансировки. Часто встречаемое решение в последнее время, особенно в фин.

Artificial Intelligence (AI): Machine learning (ML), Deep Learning (DP); оценка эффективности ML моделей

(AI, python) самые популярные ML-библиотек для искуственного интелллекта/aritigicial intelligence AI: PyTorch, TensorFlow, Scikit-learn
Интересная дискуссия о применении ИИ
- Мне кажется, что основной нюанс в том, как и кто применяет ИИ – инструменты и как к ним относится. Если отношение к ним как к волшебной таблетке, которое должно “сократить” все ИТ – такого не будет.

Excel: разные хинты

Про ВПР и замены множества ячеек при сохранении старых см. отдельные статьи
Если хочется использовать округленное число в формуле excel, то нужно его в исходной ячейке округлить через функцию =ОКРУГЛ, а не менять форму представления ячейки.
Как в Excel поменять оси в графике местами?

IaC, CMS, CMDB (Chef, Puppet, Ansible, Nornir, CFEngine, Arista CVP; CISCO IP SOLUTION CENTER, JUNIPER WANDL, Cisco ISC, Ciena Route Explorer, ANNET)

CMDB (Configuration Management Data Base) — это база данных управления конфигурациями, которая включает в себя элементы ИТ-инфраструктуры и отражает их связи. Одна из главных особенностей CMDB — учет не только оборудования и ПО, но и конфигурационных единиц (КЕ).

Infrastructure as a Code (IaC), Configuration Management (CM), Centralized Management

Масштабируемость системы очень важный аспект для любой растущей системы.

Читать дальше

Network: BGP общее, реализации (QUAGGA, BIRD, FRRouting); iWAN/PfR in Global Routing

Summary видео
- OMG 🙂 Белый дом решил заняться BGP Biden-⁠Harris Administration Releases Roadmap to Enhance Internet Routing Security
- BGP изначально построен по принципу доверия инженеру, настраивающему его
- Множество аварий связанных с BGP, включая утечки маршрутов
  - в 2008 падал youtube
  - в 2018 amazon S3 dns трафик перенаправлен ; вопровство денег из криптокошельков
  - в 2021 падал facebook/insta
- ответом в том числе по мнению белого дома является использование RPKI для валидации коррекности принимаемой информации; при этом он плохо применяется в USA (30%) в сравнении с Европой (70%)

CheatSheet
Полезные ссылки – построение графов, список соседей по пирингу, префиксы и проч
- bgp.he.net

Security: remote access (RA) VPN (SSL/TLS VPN, IPSec VPN, VPN clients: Cisco AnyConnect); GOST VPN: ViPNet, Kontinent, S-Terra

Все статьи про VPN
- Базовая теория
- DMVPN
- L2VPN
- Remote Access VPN
- IPsec VPN и множественные его реализации, site-to-site VPN (эта статья)
- Пример практической настройки IPSec
  - IPSec VPN на Linux
  - IPSec VPN на Zyxel Keenetic
ЦБ спокойно может написать ГОСТ и сама использовать при это cisco anyconnect (мнение из чата NGFW)

Расчет накладных расходов ГОСТ VPN ViPNet, Kontinent, S-Terra от Александра Веселова (Солар).

Linux: permissions/права/sudo

POSIX based file permissions пришли еще с UNIX (поэтому актуальны и для MacOS), они определили формат назначания прав read/write/execute для user/group/others; подробнее ниже
ACL based file permissions позволяют назначать разные права для разных пользователей и групп, в отличии от классического POSIX подхода; подробнее ниже
Удобный калькулятор разрешений в десятичом виде в зависимости от типа прав (r/w/e) и scope (u/g/o)

Грамотные админы в повседневной работе не работают из под root, а заходят в эту учетку только если нужно что-то сделать – защита от случайных поломок, безопасность (как минимум пароль нужно ввести для входа под root)
Изначально ownership придуман чтобы собственник даже в случае некорректной установки прав не потерял доступ

sudo/su

su – тоже самое что su root.

SberCloud (Enterprise, Advanced)

Huawei облако на базе openstack, в вакансии на главного инженера облака: Практический опыт работы с облачными решениями VWware, OpenStack;
Используют допиленный OpenStack с модулями Nova, Cinder, Neutron

Помимо стандартных vpc без переподписки в general-purpose instance/flavor используются переподписанные ядра, есть три разных instance, необходимых для разных баз данных.