>Причем здесь локальные маршруты и тот же BGP FSM?
Вопрос. Будет ли каждый роутер, загружающий лучшие маршруты в FIB, осуществлять процесс scan? Может, так понятнее.
>Смотрим 10ый слайд и читаем внимательно. И опаньки, сюрприз!:
Всего-то надо уметь читать…
1) SA DB загружается в ESP с RP. Это как бы очевидно.
2) Существует очень много фич, которые реализованы хардварно в ESP. К примеру, чтобы считать netflow, не требуется отправлять пакеты в RP.
>Мы вроде бы, пока еще говорим про масштабирование и сходимость BGP. Или ты думаешь, что ЦОД — это 2-3 сервера?
Так откуда ты взял цифру «4000 BGP пиров с 100 000 префиксов на борту»? Почему именно 100000 префиксов, а не 600000 или 10?
>В некоторых ЦОД может присутствовать BGP Full View, его конечно не гоняют везде, но это не отменяет самого факта.
Ага. И при правильном дизайне это не является проблемой, потому что со времен RIP мы несколько ушли вперед…
>Из личного опыта.
Несложно заметить, что у тебя нет личного опыта, раз «сотни соседств» тебя пугает.
>А вот откуда ты взял цифру десятки тысяч, вот это мне до сих пор непонятно
Где-то на Live слышал. Попробую поискать ссылку…
>Ссылка для медитации (смотрим количество IPSec туннелей и много думаем)
Угу. Возможности ESP. Что-то мне подсказывает, что та цифра споков (4000) уперлась именно в ESP, а у RP еще все хорошо. Даже с EIGRP. А BGP в такой топологии скейлится лучше. У меня с примерно тысячей EIGRP соседств, с таймерами 5/15, хорошо если RP у 1002-X на пару процентов задумается. Колд старт тоже не проблема, нагрузка от всего есть, но небольшая. У 7200 дела обстоят намного хуже, при колд старте расколбас (соседства то падают по отсутствию кипалайвов, то поднимаются) пару минут может продолжаться. Но помним, что там много чего одновременно происходит — согласование IPSec SA куда тяжелее, чем поднятие EIGRP соседства.
>И разобраться с тем, что делают процессы BGP I/O и BGP Router.
А я там должен что-то новое узнать?
>Я тебе еще оставлю оттуда одну цитату
Вот она проблема людей, обладающих бумажками и не обладающих боевым опытом. Они ни за чем не следят и не знают ничего что выходит за рамки необходимого для получения бумажки (а там очень мало на самом деле).
http://www.cisco.com/c/en/us/td/docs/ios/12_0s/feature/guide/s_bgpdpg.html
The introduction of the BGP Dynamic Update Peer-Groups feature separates BGP update generation from peer-group configuration. The BGP Dynamic Update Peer-Groups feature introduces an algorithm that dynamically calculates BGP update-group membership based on outbound routing policies. This feature does not require any configuration by the network operator. Optimal BGP update message generation occurs automatically and independently. BGP neighbor configuration is no longer restricted by outbound routing policies, and update-groups can belong to different address families.
А по твоей ссылке пишут не то чтобы неправду, но сильно устаревшую информацию, такое бывает. Ты можешь зайти в консоль любой железки и убедиться. Как можно этого не знать — понятия не имею. Ты же вроде был падаваном в операторе связи, должен знать BGP лучше моего, в первую очередь такие нюансы.
>Мне от тебя ничего не нужно, а техническая информация полезна будет и для других людей.
Ок.
>Я согласен с тем, что балансер не знает «наверняка» (надо гуглить детальное описание какого-нибудь ldirectord) полное состояние сессии
Может и знать. Он видит весь трафик в одну сторону. Если был пакет с флагом SYN, а затем начинают идти пакеты с флагом ACK, то сессия наверняка жива, клиент получил SYN ACK. Это может быть не так в случае подделки пакетов клиентом, но не вижу рисков в таком векторе атаки, кроме разве что возможности целенаправленно досить одну ноду пула ACK пакетами.
>возможно там могут быть и другие драйверы, а не только проблемы с перерасчетом хэша
Драйверы — возможность с полностью нулевым влиянием на сервис снять трафик с узла (старые сессии доработают, но новые уже не будут на него назначаться), возможность при включении узла дать ему сначала небольшой (главное — контролируемый) процент трафика, возможность кипалайвить узел и в случае проблем быстро всех переключить на другие сервера (вариант с BGP сложнее — надо внутри самого сервера организовывать watchdog, проверяющий доступность вебсервиса и рвущий соседство при недоступности). В общем, DSR дает гибкость с небольшими компромиссами там, где трафик к серверу радикально ниже, чем от сервера.
>выбор лучшего маршрута связан с реализацией BGP Best Path Algorithm и как я уже сказал ранее, не имеет какого-либо отношения к BGP FSM (который кстати не является частью процесса BGP Scanner, а скорее имеет отношение к процессу BGP Open)
Так и запишем — BGP считает маршруты только при поднятии сессии, ок.
>Тот же IPSec (шифрование) частично оффлоудится на QFP (читай hardware assist)
Всё еще печальнее — ты даже не различаешь понятия control plane и data plane.
Все этапы согласования SA выполняются на обычном процессоре.
В случае платформы ASR1k весь data plane обрабатывается QFP. Правда, как раз шифрованием он вообще не занимается, там отдельный акселератор стоит :) Вот в новых ISR 43XX, эмулирующих QFP на general purpose ядрах, они и шифруют.
А еще в тех графиках есть и софтовый 3945E…
>То есть ты думаешь, что человек, который упомянул про peer-group и peer template в контексте разговора Adj-RIB-In/Adj-RIB-out, подробно и популярно объяснив нюансы, не понимает о чем говорит?
Ты, как всегда, повторяешь кажущиеся тебе умными слова, не вникая в их смысл. Я объясняю, в чем конкретно ты не прав. Ты утверждаешь, что раз ты умеешь повторять те слова — значит, ты прав. Потрясающе :)
>Посчитай, сколько пакетов нужно передать в случае передачи BGP Full View (каков размер BGP Full View) при различных значениях TCP Mss.
Меня не перестает поражать твой постоянный полет мысли. Теперь выясняется, что Switch'у на нижней картинке топика (вообще-то речь про нее идет, с возможным горизонтальным масштабированием) уже надо full view иметь. Вопрос — ты хоть раз в жизни занимался дизайном чего-либо? Или за тебя взрослые думали?
>И поверь мне, 4000 BGP нейбров с 1 префиксом на каждый, не одно и тоже, что и 4000 BGP пиров с 100 000 префиксов на борту.
Но откуда же ты берешь эти цифры? Да и проблема может возникать при cold boot, BGP обычно не делает периодический флад таблицы всем нейборам…
>Я уже молчу про наличие или отсутствие в конфигах таких вещей, как peer-group или peer template.
Ты все еще будешь настаивать на том, что peer-group дает выигрыш в каких-либо ресурсах помимо nvram?
Если хочешь перестать публично позориться в чужом корпоративном блоге, можем перейти в ЛС.
>Процитирую:
А тут тебе почему-то померещилось, что я писал о конкретном алгоритме best path selection. Надеюсь, не надо объяснять, что в том или ином виде он есть у всех? :)
>Ты лучше задумайся над тем, почему peer-group (и чем эта фича отличается от peer-template) не во всех случаях можно использовать.
Так я же и объясняю, что у циски peer-group уже не дает выигрыша ни в чем кроме конфигурения, процесс создания апдейт-групп автоматический по дефолту, и даже документировано, в каких случаях оно работает (фактически, если нет исходящего роут-мапа — всё хорошо, остальные варианты не особо реалистичны).
>А вообще, глядишь такими темпами ты скоро узнаешь про то, как tcp mss влияет на BGP и в каких случаях используется bgp neighbor transport connection-mode active/passive.
Это начинает утомлять. Ты снова бросаешься словами, смысла которых не понимаешь, как будто открыл command reference и читаешь все интересно звучащие названия. Ну какие к чертовой матери несовпадения MTU внутри сети? За такое архитектору зубы выдирают без обезболивания. Мы обсуждали более-менее конкретный сценарий, и в нем все критерии для включения в update-group будут выполнены. И в случае DMVPN у всех будет одинаковый MTU.
>Ага, ну прям десятки тысяч пиров с сотнями тысяч маршрутов
В этом случае единицы тысяч, с кучей обвесов в виде других протоколов. Ты утверждал, что даже несколько сотен в простейшей схеме — ничего хорошего.
>Прое́кция
То есть это я спустя полтора года полтора года вспомнил про то, как меня посадили в лужу и инициировал повторное перебрасывание какашками в попытке отыграться, но снова сел в лужу на базовых вещах? :)
>Вот ты и показал свои знания BGP и вообще. BGP FSM и BGP Best Path Selection Algorigthm это не одно и то же. BGP FSM определяет процедуру установки соединения между BGP спикерами
Сколько ты слов интересных вычитал — «best path»…
FSM — конечный автомат. Список состояний, в которых может быть процесс, и переходов между ними. Список несколько обширнее, чем ты думаешь — http://www.informit.com/library/content.aspx?b=CCIE_Practical_Studies_II&seqNum=79 например.
А откуда ты взял best path selection — вообще не понимаю. На глаза попалось знакомое слово scanner? :)
>Фактически, чем больше количество speaker'ов, тем больше будут занимать места в памяти различные версии БД Adj-RIB-in/Adj-RIB-out. Надо ли мне говорить, что это один из ключевых факторов в условиях масштабируемости BGP по количеству соседей?
Снова полное невежество.
В случае циски давно есть оптимизация, называемая dynamic update groups. Фактически все нейборы, на которых применяется одинаковая политика, попадают в одну группу и апдейты вычисляются один раз на всех. Когда-то давно ты мог читать в книжках, что если объединять нейборов в peer-groups, то можно нехило ресурсов сэкономить — уже много лет этот совет неактуален, то же самое выполняется автоматически где можно. И на самом деле стыдно этого не знать.
>Очевидно, что это не бьется с тем, что я сказал про adj-rib-in/adj-rib-out и производительностью tcp/ip стэка в control-plane маршрутизаторе.
Не бьется, потому что ты написал какую-то чушь.
>Более того, у Cisco (как и у любого другого вендора) есть вполне конкретные цифры по масштабируемости с точки зрения количества bgp соседей.
Ага. Навскидку, из того, что первым нашел — http://d2zmdbbm9feqrf.cloudfront.net/2013/usa/pdf/BRKSEC-4054.pdf, 15-я страница. Это не просто соседство по IGP/BGP. Это еще isakmp/ipsec SA и NHRP.
Почему тебе настолько яростно хочется хоть кому-то доказать, что ты хоть в чем-то прав?
>Лишние 75Hz конечно же повлекут за собой всемирный апокалипсис. Да! Спасибо, от души посмеялся.
Рекомендую вспомнить математику. Мы говорим про увеличение более чем в полтора раза. Мышь будет слать ресиверу информацию в полтора раза чаще. По совместительству, эта передача данных — наибольший потребитель энергии. Оно нам надо?
>для работы тоже важна точность и чёткость очень во многих задачах! Начиная от дизайна и проектирования и заканчивая рисованием и т.п.
Рисование мышью — это пять, от души посмеялся. В остальном, точность мыши прекрасная. Мельчайшие движения передаются четко. Что еще надо? Чтобы движение передавалось на несколько миллисекунд быстрее? Смешно.
>Anycast может сосуществовать в обычных сетях с более класическими подходами в вопросах маршрутизации трафика
Угу. Например, anycast перестает быть таковым на периметре площадки. Случай Яндекса например.
>И причем здесь DNS round robin?
Это к многократно повторенному nslookup на гмейл. Объяснить, в чем принципиальное отличие от anycast? Ты утверждаешь, что гмейл работает эникастом между локациями и/или внутри локации. Сможешь это доказать?
>Что касается фразы «почта», я уже сказал, что это слишком обобщенный термин.
В обывательском представлении, это вебморда. И ты, кажется, с вебморды начинал. Можно и продолжить. Про IMAP/SMTP сложнее говорить, там куда больше зависит от реализации клиента. Не впадет ли какой-нибудь BAT старой версии в ступор от получения RST? Все ли MTA перепошлют письмо? Не думаю, что тут вообще имеет смысл говорить об anycast, тем более что трафик там не такой существенный, как у веба.
>сходимость в BGP определяется не только процессом выбора лучшего маршрута или наличием/отсутствием всяких плюшек вида BGP PIC Edge/Core, но и BGP Finite State Machine (надеюсь этот термин знаком?).
Очень плохой ответ. Тебе этот термин совершенно непонятен, иначе ты знал бы, что всё указанное в первой половине предложения («выбор лучшего маршрута» особенно) фактически входит в понятие FSM, потому утверждение лишено смысла. В одном состоянии автомата происходит scan, на другом программируется TCAM.
Дам наводку на то, как узнать правильный ответ. Перечисли основные этапы сходимости (что конкретно происходит с процессом, когда что-то в сети меняется?) и заодно выясни, какие из них в типовой реализации происходят параллельно. Еще узнай, на что конкретно влияет добавление нового соседа (ты так и не сказал, что за ресурсы control plane тратятся, не говоря уже «на что тратятся»). Вдруг окажется, что всё не так плохо и число соседей само по себе почти никакого значения не имеет, только число событий в единицу времени, число различных примененных к ним политик и тому подобное?
А дальше можно будет перейти к практике использования BGP в реальных сетях. Тысячу соседств даже EIGRP легко переварит на более-менее современной платформе, если всё сделать правильно (из опыта говорю). В случае BGP одна коробка осилит десятки тысяч соседств. Ну а простейший пример сценария, где такое может потребоваться — DMVPN.
>Изначально ты мне затирал про дизайн с full L2
Конечно. Ты же приводишь IX в качестве примера хорошего дизайна — а там речь всегда про L2. Но даже они не считают это хорошим дизайном. Вот Amazon например не имеет L2 и благодаря этому почти не падает :)
>Папы правили половиной мира, а вы говорите, что вопреки.
Да, они тормозили прогресс в половине мира. Кстати, сейчас лучше всего живется в тех странах, где религиозность населения минимальна.
>Старейшие европейские университеты (например, Парижский университет, Болонский, да и другие) были основаны или учреждались и функционировали в теснейшей связи с духовенством.
Угу. Иначе было нельзя — сгнобили бы.
>Долгие годы средневековья только в стенах монастырей изучались медицина, логика математика и другие искусства.
Так может, это еще одна проблема? :) И раньше, и позже такого не было.
>Вот ваши некоторые дикарские высказывания:
Они дикарские с точки зрения человека, страдающего ПГМ. Вот оно, мышление веруна во всей красе: он непоколебимо убежден, что Х верно. Он не замечает, что вообще говоря Х никогда даже не работало на практике, даже когда за нарушение убивали, а сейчас нарушители Х в среднем живут лучше. Он не умеет обдумывать Х объективно, со всех сторон. С детства ему вбили в голову определенные идеи, и переосмыслить их — святотатство.
>Уголовная статья за оправдание нацизма.
И снова крайняя однобокость мышления. Говорю ли я, что Менделе всё делал правильно? Нет. Из того факта, что его поступки были омерзительны, следует, что они не были полезны для человечества? Тоже нет.
Узнайте на досуге, как работают лаборатории, где экспериментируют на животных. Всем им запросто можно влепить статью 245.2 УК РФ, «Жестокое обращение с животными группой лиц по предварительному сговору». Однако, человечество эгоистично. Когда надо разработать что-то что поможет людям, жизнь животного несущественна, животное — просто расходный материал. У нацистских медиков подход тот же, что и у нас сейчас, единственное отличие в расширенном определении слова «животное», куда включались и определенные группы людей. А издевательства-то по сути те же.
>осталось вспомнить и статику у Яндекса, и Anycast DNS и гугловые примеры.
Следующий шаг — узнай, как именно реализован яндекс статик внутри площадки — думаю, удивишься :) А DNS вообще сравнительно небольшой трафик. Городить под него отдельную архитектуру бессмысленно.
>Почта через pop3, imap, веб интерфейс по http или https (и другие протоколы) — не одно и тоже. Когда осознаешь, тогда и поговорим.
Фраза переводится как «я облажался, так как не понимаю разницы между DNS round robin и anycast».
>Не каждая коробка, способна вытянуть 700+ BGP сессий
А тут можно сообразить, что когда используются RR — можно делать несколько уровней, и не надо никаких сотен сессий :)
>Очевидно, что нагрузка на control-plane с 2-4 bgp сессиями — меньше, сходиться будет быстрее.
А вот тут ощущается некоторое непонимание внутреннего устройства BGP и того, какими факторами определяется сходимость протокола. Еще тут ощущается непонимание того, что такое control plane. Нагрузка на него? Какого рода? Память? Процессор? Скажу по секрету, в типичном случае (хардварный роутер, full view) время перестроения топологии может не упираться ни в ресурсы control plane, ни в таймеры, хотя уже-не-особо-новые фичи более-менее исправляют это :)
>Кейсы бывают разные, варианты тоже и в каждой ситуации свой драйвер
Я тебе это изначально и говорил. Сейчас ты как попугай повторяешь это, но продолжаешь отстаивать точку зрения «мой велосипед с квадратными колесами отлично работает в большинстве случаев» :)
>Ваш комментарий:
Замечу — через существенное время после начала беседы.
>В случаях с web application (да и в большинстве других случаях) — это необязательно. sic! в большинстве других случаях != (читай не равно) все случаи
Это совершенно ошибочное представление. Тебе потребовалось целых полтора года, чтобы найти первый и пока единственный пример, где это может работать, а в той беседе примера не было :) Так как раньше тебя окунули носом в лужицу собственного невежества — ты в него и вцепился.
>Через три дня открыл свой компьютер, зашел на Gmail без авторизации, попав на один из четырех IP адресов.
Вот только это не имеет отношения к anycast в пределах площадки и между ними :) Да и в http://habrahabr.ru/company/ivi/blog/240237/#comment_8572237 тебе объяснили про то, как будет работать почта с anycast…
>Я не сказал, что L2 нужно деплоить между маршрутизаторами в clos топологии
Когда архитектура сервиса позволяет вполне забыть про L2 между более чем двумя узлами — какой смысл возвращаться к L2? Что конкретно это даст? Какой смысл вообще держать IGP, когда BGP даже по сходимости неотличим от IGP с FRR в рамках озвученной задачи? Зачем было городить какой-то ужас с VRF на сервер как ты ранее предлагал? Посмотри вид топологии у ivi, это же просто сказочная простота.
>я сказал, если приложение допускает.
А ссылку можно? Особенно интересно, в какой момент беседы это появилось… А какие еще приложения это допускают? Где хотя бы этот пример, чтобы фантазии о доставке трафика до серверов посредством anycast перестали быть фантазиями и базировались на реальных задачах? Не было же ничего. Было просто непонимание самой задачи и основных граблей с твоей стороны. Какие-то пионерские, оторванные от реальности идеи, «а давайте вот эдак сделаем».
>Топология Клоза хорошо ложиться на дизайн с ECMP и Anycast
Она в L2 плохо ложится, а выше я видел предложение забабахать большущий L2 сегмент по аналогии с тем, от чего все IX плюются :) А clos — это дело десятое. Классическая архитектура с уровнем ядра (два устройства) и агрегации/доступа тоже в каком-то смысле подвид clos, просто с двумя spine узлами. Таким образом сети строились не один десяток лет назад. Главное в той топологии — симметрия и задействование всех линков.
Очень грубое издевательство над логикой. Вы заявляете, что все эксперименты были бесполезны, если один эксперимент был по вашему мнению бесполезен? Подозреваю, что это — не рациональная, а сугубо эмоциональная реакция, вызванная ощущением, что я оправдываю мясника.
Потрудитесь поискать, с какой целью сшивали людей, тогда всё станет ясно. Он был явным психопатом, но все-таки в совсем уж беспричинных издевательствах не был замечен. Всегда что-то изучалось. Какие-то направления оказались бесперспективными, это неизбежно.
>И я тогда Вам сказал, что если application это допускает, то это зло с которым можно мириться
Не… Вы доказывали, что это хорошо работает именно в общем случае. Я говорил, что это почти никогда не работает хорошо. Ну благодаря мне вы узнали, что не все дизайны применимы во всех условиях. Пожалуйста.
>Статья по теме clos topology (а это имеет прямое отношение к anycast ECMP based внутри площадки)
Вы снова путаете понятия — ECMP и anycast. ECMP используется повсеместно, anycast — почти нигде, это удел единичных организаций даже в рамках глобальной маршрутизации. А что clos отличная топология никто и не спорит. Ориентирована как раз на L3, как вариант — костыли вроде TRILL.
>And?
Да просто для понимания возможных рисков.
>У CCL кластера есть один большой минус — shared control-plane (а это значит shared failure domain).
Разумеется. Зато огромная производительность и приличная функциональность. Ну серьезно, отсутствие файрвола на периметре — паршивая идея, он нужен. В нарисованных в топике топологиях flowspec вообще никаким боком, нет в нем смысла, если точки фильтрации считаются по пальцам одной руки. Вот если есть огромная сеть с огромным числом точек входа трафика и асимметрией — другой разговор. Та же циска (огромная транснациональная контора с жутким бардаком) у себя не развернула flowspec, но использует BGP блэкхолинг плохих узлов внутри сети.
>Вполне себе живой дизайн, опять же этот пост тому пример.
Это — уникальный и чуть ли не единственный случай, когда этот дизайн может работать.
>Типичный сетап раздающей ноды Netflix у оператора — два cisco asr 9000 + два коммутатора nexus + n кэширующих серверов.
Я ничего не путаю, вроде бы Netflix фактически то же самое, что и ivi? :)
>CCL Cluster имеет ряд особенностей, часть функционала все равно отрабатывает на master nod'е
Причем на одном ядре той ноды, верно? Ну ничего, fast path и большинство фич CP распределены, вся нагрузка идет туда. Да и вообще, это был просто пример очень похожего подхода, лишенного тех недостатков, хотя не без своих недостатков.
>А еще забавно, что Вы тогда написали, что вы бы ко мне, как к интегратору не пошли из-за таких решений
Напомню точную цитату: «если бы я обратился к интегратору с просьбой разработать архитектуру, и мне предложили бы нечто вроде сказанного Игорем, то я бы больше не работал с тем интегратором». И напомню, что вы предлагали эту архитектуру для всего включая HTTP (я не про видео), говоря, что потеря сессии не страшна. Жуть.
>У Вас тогда знатный разрыв шаблона произошел
Угу. Вы там городили велосипед с квадратными колесами в виде петли Мёбиуса зачем-то, от непонимания куда более простых и давно проверенных дизайнов…
Проблема у них кстати ровно та же, что я описывал:
«Переходные процессы одного сервера (включение в кластер или исключение) влияют на весь кластер. Ведь роутер ничего не знает о серверах – он думает, что имеет дело с роутерами и каналами. Соответственно, все соединения распределяются на все доступные каналы. Никакого server-affinity. В результате при выключении сервера все соединения перетасовываются между всеми оставшимися серверами. И все активные TCP-сессий разрываются»
Но так как пользуется сервисом одно конкретное приложение, и это приложение запросто переживает разрыв сессии, этот дизайн работает. Повторяю: очень специфический дизайн, с кучей критических недостатков, неспособный работать в общем случае.
> Тот же сервис по защите от DDoS атак Qrator использует BGP Anycast подход (коим защищен сам habrahabr.ru)
Это не внутри ЦОДа, а между ЦОДами :) В случае DDOS такой подход разумен, так как не позволяет сконцентрировать атаку на единой точке входа, ну и провайдеры тоже рады уменьшению внешнего трафика. И DDOS — экстремальная ситуация, где «немного страдает сервис» предпочтительнее, чем «сервиса нет вообще».
>Я бы порекомендовал смотреть в сторону дизайна аля IX
Дизайн аля IX, где используется обширный L2 сегмент — безусловное зло. Но у IX-то вариантов особых и нет, приходится так делать, замена next hop добавила бы немерено головной боли.
https://chi.ams-ix.net/technical--7/specifications-descriptions/port-security-at-ams-ix
https://labs.ripe.net/Members/kistel/the-ams-ix-outage-as-seen-with-ripe-atlas
Насколько я помню, кто-то сделал L2 кольцо на 100G. Никакие костыли включая arp sponge не помогли. Вот он, изначально порочный дизайн, от которого невозможно отказаться и который обязательно время от времени приводит к факапам. С другой стороны есть ivi.ru, которые имеют возможность вообще всё на L3 сделать. Зачем советовать им сделать всё хуже?
>Если нужна безопасность, можно еще посмотреть в сторону distributed firewall via BGP flow-spec :)
Однажды Cloudflare посмотрел.
https://blog.cloudflare.com/todays-outage-post-mortem-82515/
Безопасность там конечно есть, но так себе. От флуда не защитит — политики применяются только внутри сети. Грохнуть нехорошую по мнению IDS сессию можно, только все равно нужен IDS для наблюдения за трафиком, и реакция будет запоздалой. Если защищаемся в первую очередь от внешних атак, то все-таки установленные на периметре файрволы покруче будут. Однако, надо обеспечить симметрию трафика. Тут есть разные варианты. Самым забавным мне показался дизайн кластера ASA 5585-X. Делается один большой port-channel, на 8 линков например. Каждый линк смотрит на отдельную ASA. За счет выставления одинакового механизма хеширования прямой и обратный трафик будут ходить симметрично. Если линк сдохнет, то сессии может раскидать по чужим файрволам, но state информация реплицируется, из влияния на сервис будет лишь небольшое снижение производительности перепрыгнувших на другой узел потоков из-за необходимости прыгать через мастер.
Да, помню что-то подобное. Сводился спор вроде к тому, что в типовом случае ECMP работать не будет, разрыв сессии на L4 вызывает сбой на L7, что является проблемой. Так оно и есть. Но у ivi-то не типовой случай, у них приложение, которое незаметно для пользователя переустанавливает соединение. Много таких примеров назовете? Мне вот сейчас ничего другого в голову не приходит, и в моей сети нет ни одного такого приложения. Даже в случае голоса/видео, когда отказ сервера не обязан прервать общение между участниками, так как медиатрафик вообще не через сервер ходит (за исключением конференций и MTP), могут отвалиться определенные фичи управления.
>125Hz — это позорный атавизм для столь известного бренда
Это — беспроводная мышь. Эти герцы напрямую бьют по автономности.
Аналогичный холивар — механическая клавиатура против мембранной. Механика совершеннее, приятнее в работе. Благодаря четкой фиксации нажатия — выбор геймера. Значит ли это, что отсутствие механических свитчей будет недостатком произвольно выбранной клавиатуры? Нет конечно.
>Для обычного обывателя много в чём нет разницы, это не аргумент.
Аргумент. Это — офисная мышь. Не для игрушек, а для работы. Ей не требуются эти свистоперделки, и ЦА не заметит их отсутствия. ЦА заметит, что мышь прекрасно ездит по любой поверхности, курсор четко реагирует на любое движение.
>Я пользуюсь наклоном колеса на MX Anywhere и это действительно удобно
Перемещение там немного непредсказуемое, чуть сильнее наклонил и улетел за горизонт. В отличие от бокового колеса.
>Передатчики нужно покупать, а это уже усилия со стороны пользователя, если Компания продаёт мышь с возможностью подключения к трём устройствам, то и датчики копеечные можно включить в комплект
Большинству пользователей это вряд ли потребуется. Обратите внимание на наличие BT. Думаю, вполне типичный юз-кейс — переключать между десктопом и ноутбуком. Все современные ноутбуки имеют Win8 и BT4.0 радио, то есть второй ресивер просто не нужен. Если вкладывать второй ресивер сразу в комплект, то в половине случаев он обязательно потеряется. Опять же, на ебее цена — $8.
>Я бы не решился заявлять это наверняка, т.к. пользовался радио-мышами от Logitech с аккумулятором и да, со временем они не держали заряд и их нужно было постоянно подзаряжать
У меня есть Performance MX. Примерно с момента его выхода до момента выхода MX Master, т.е. долго. Емкость как-то не меняется.
>например та же MX1000 деградировала за пол года работы
Запросто — если она постоянно стояла на зарядке когда не работала. Надо ко всему с умом подходить. Умный контроллер, отключающий ток при пороге зарядки выше определенного уровня, снижает ущерб от такой работы, только ненамного. Все равно намотаете бешеное число циклов. Если аккумулятор NI-MH, то совсем беда.
>а вот частота лично для меня критична о чём я и написал
Тогда эта офисная мышь не для вас. Собственно, всё. О чем тут спорить? Лично для меня мышь идеальна, в ней есть всё что нужно и нет ничего лишнего.
>Вы хам и не уважаете собеседников, не способны вести диалог корректно и по сути оскорбляете других прямо называя их идиотами.
Я просто всегда говорю что думаю :) Утверждать «если X стоит дорого, то в корпусе должен быть металл» — идиотизм. Металл — паршивый материал для корпуса любого девайса который держится в руках. Софт-тач пластик лучше — не скользит, не холодит и не греет. В логитековских продуктах прекрасный пластик, его приятно держать в руках. А уж «дорогой вид» — совсем абзац. Мышь и так выглядит круто, дорого, и ни малейшего значения это не имеет. Неважно, как она выглядит, важно как она ощущается рукой.
Вот если бы вы сказали «мне больше нравился бы металл в корпусе» (без отсылок к цене и пафосу) — другой разговор.
>и поверьте кибер-спортсмену в прошлом со стажем, разница есть.
Вот ваша проблема (плюс, уверен, немного чего-то аналогичного аудиофилии). Вы сравниваете ламборгини и камаз по времени разгона 1-100. Эти две мыши никто не позиционирует как геймерские, успокойтесь.
Для обычного, домашнего пользователя 125гц НЕ является проблемой. Он не заметит разницы. Он прекрасно будет играть в любые игрушки включая FPS и стратегии, никаких проблем. Если будет проигрывать, то не по вине мыши.
По самой мыши (на примере имеющейся у меня MX Master) — она роскошна. Она полностью удовлетворяет моему use-case'у:
1) Носить мышь между домом и работой — теперь не надо перетыкать трансивер. Нажал кнопку и готово. Еще забавно по BT к телефону подключать.
2) Потрясающее колесо с тонкой настройкой порога перехода в режим быстрой прокрутки, который я минут 10 калибровал до полного удобства. Никаким другим колесом я пользоваться уже не смогу, это будет дискомфортно. Фактически, из-за этого сейчас для меня существуют только две мыши, и одна из них на мой вкус мелковата, а другая у меня уже есть.
3) Очень удобно лежит в руке.
4) На Performance MX колесо можно было наклонять, но этим невозможно было пользоваться. Тут нельзя, зато есть удобное боковое колесо. Стало намного лучше.
5) Нет мусорных фич. Нет десятков кнопок. Все кнопки, которые есть, идут в дело, и их хватает.
Использую мышь и для работы, и для игрушек.
Указанные вами недостатки совершенно идиотские:
1) Передатчики продаются за копейки на ебее или в официальном магазине. Я купил. Вставил и забыл. Можно и без них, если Win8+ и BT4.0.
2) Нет, батарея не сдохнет раньше чем мышь до дыр сотрется.
3) 125гц не проблема. Невозможность сменить DPI тоже не проблема. И отсутствие грузиков не проблема. И много чего другого. Зачем мне весь этот мусор? Если бы оно было нужно, я бы посмотрел в сторону геймерских мышей, но увы, они мне категорически не подходят.
4) Самый большой идиотизм — претензии по нехватке металла в корпусе.
>Но ведь на этих ценностях построили величайшую современную цивилизацию.
Величайшая современная цивилизация достигла своего уровня вопреки религии. Христианство много веков тормозило развитие человечества. Очень сильный паразит, хрен избавишься от него, хотя сейчас наблюдается огромный прогресс в этой области. Ну вот нравится людям считать себя более ущербными, чем они есть на самом деле, и во всем надеяться на дедушку на облаке. Вон одна из сильнейших цивилизаций (римская империя) развалилась именно из-за христианских идей.
>пересадка головы это первый шаг к бессмертию, который противоречит догматам христианства о том, что бессмертие может дать только Бог.
Значит, догматы христианства ошибочны. Сенсация!
Был такой товарищ — Йозеф Менгеле. Когда развитие мировой медицины почти остановилось (ну недостаточно ей экспериментов на приматах), он, наплевав на этику, стал двигать ее семимильными шагами. Современная медицина официально плюет ему в лицо, но при этом шепчет «спасибо». Он спас больше людей, чем убил.
В данном случае наблюдаем нечто подобное, но без проблем с этикой, так как испытуемый полностью информирован о рисках, добровольно согласен и ничего не теряет в случае провала, который все равно будет полезен науке.
Ущерба репутации тоже не вижу. Никто не скрывает, что прогноз для пациента ни разу не оптимистичный, но при этом в любом случае будет огромный вал полезнейшей информации из самых разных областей. В этом основное различие с Mars One.
Так в чем проблема? Вроде бы объективно прекрасный способ умереть с маленьким шансом выжить. Всяко лучше чем еще через несколько лет фактически потерять тело.
Вопрос. Будет ли каждый роутер, загружающий лучшие маршруты в FIB, осуществлять процесс scan? Может, так понятнее.
>Смотрим 10ый слайд и читаем внимательно. И опаньки, сюрприз!:
Всего-то надо уметь читать…
1) SA DB загружается в ESP с RP. Это как бы очевидно.
2) Существует очень много фич, которые реализованы хардварно в ESP. К примеру, чтобы считать netflow, не требуется отправлять пакеты в RP.
>Мы вроде бы, пока еще говорим про масштабирование и сходимость BGP. Или ты думаешь, что ЦОД — это 2-3 сервера?
Так откуда ты взял цифру «4000 BGP пиров с 100 000 префиксов на борту»? Почему именно 100000 префиксов, а не 600000 или 10?
>В некоторых ЦОД может присутствовать BGP Full View, его конечно не гоняют везде, но это не отменяет самого факта.
Ага. И при правильном дизайне это не является проблемой, потому что со времен RIP мы несколько ушли вперед…
>Из личного опыта.
Несложно заметить, что у тебя нет личного опыта, раз «сотни соседств» тебя пугает.
>А вот откуда ты взял цифру десятки тысяч, вот это мне до сих пор непонятно
Где-то на Live слышал. Попробую поискать ссылку…
>Ссылка для медитации (смотрим количество IPSec туннелей и много думаем)
Угу. Возможности ESP. Что-то мне подсказывает, что та цифра споков (4000) уперлась именно в ESP, а у RP еще все хорошо. Даже с EIGRP. А BGP в такой топологии скейлится лучше. У меня с примерно тысячей EIGRP соседств, с таймерами 5/15, хорошо если RP у 1002-X на пару процентов задумается. Колд старт тоже не проблема, нагрузка от всего есть, но небольшая. У 7200 дела обстоят намного хуже, при колд старте расколбас (соседства то падают по отсутствию кипалайвов, то поднимаются) пару минут может продолжаться. Но помним, что там много чего одновременно происходит — согласование IPSec SA куда тяжелее, чем поднятие EIGRP соседства.
>И разобраться с тем, что делают процессы BGP I/O и BGP Router.
А я там должен что-то новое узнать?
>Я тебе еще оставлю оттуда одну цитату
Вот она проблема людей, обладающих бумажками и не обладающих боевым опытом. Они ни за чем не следят и не знают ничего что выходит за рамки необходимого для получения бумажки (а там очень мало на самом деле).
http://www.cisco.com/c/en/us/td/docs/ios/12_0s/feature/guide/s_bgpdpg.html
The introduction of the BGP Dynamic Update Peer-Groups feature separates BGP update generation from peer-group configuration. The BGP Dynamic Update Peer-Groups feature introduces an algorithm that dynamically calculates BGP update-group membership based on outbound routing policies. This feature does not require any configuration by the network operator. Optimal BGP update message generation occurs automatically and independently. BGP neighbor configuration is no longer restricted by outbound routing policies, and update-groups can belong to different address families.
А по твоей ссылке пишут не то чтобы неправду, но сильно устаревшую информацию, такое бывает. Ты можешь зайти в консоль любой железки и убедиться. Как можно этого не знать — понятия не имею. Ты же вроде был падаваном в операторе связи, должен знать BGP лучше моего, в первую очередь такие нюансы.
>Мне от тебя ничего не нужно, а техническая информация полезна будет и для других людей.
Ок.
ramax, если вам этот срач надоест — скажите.
>Я согласен с тем, что балансер не знает «наверняка» (надо гуглить детальное описание какого-нибудь ldirectord) полное состояние сессии
Может и знать. Он видит весь трафик в одну сторону. Если был пакет с флагом SYN, а затем начинают идти пакеты с флагом ACK, то сессия наверняка жива, клиент получил SYN ACK. Это может быть не так в случае подделки пакетов клиентом, но не вижу рисков в таком векторе атаки, кроме разве что возможности целенаправленно досить одну ноду пула ACK пакетами.
>возможно там могут быть и другие драйверы, а не только проблемы с перерасчетом хэша
Драйверы — возможность с полностью нулевым влиянием на сервис снять трафик с узла (старые сессии доработают, но новые уже не будут на него назначаться), возможность при включении узла дать ему сначала небольшой (главное — контролируемый) процент трафика, возможность кипалайвить узел и в случае проблем быстро всех переключить на другие сервера (вариант с BGP сложнее — надо внутри самого сервера организовывать watchdog, проверяющий доступность вебсервиса и рвущий соседство при недоступности). В общем, DSR дает гибкость с небольшими компромиссами там, где трафик к серверу радикально ниже, чем от сервера.
Так и запишем — BGP считает маршруты только при поднятии сессии, ок.
>Тот же IPSec (шифрование) частично оффлоудится на QFP (читай hardware assist)
Всё еще печальнее — ты даже не различаешь понятия control plane и data plane.
Все этапы согласования SA выполняются на обычном процессоре.
В случае платформы ASR1k весь data plane обрабатывается QFP. Правда, как раз шифрованием он вообще не занимается, там отдельный акселератор стоит :) Вот в новых ISR 43XX, эмулирующих QFP на general purpose ядрах, они и шифруют.
А еще в тех графиках есть и софтовый 3945E…
>То есть ты думаешь, что человек, который упомянул про peer-group и peer template в контексте разговора Adj-RIB-In/Adj-RIB-out, подробно и популярно объяснив нюансы, не понимает о чем говорит?
Ты, как всегда, повторяешь кажущиеся тебе умными слова, не вникая в их смысл. Я объясняю, в чем конкретно ты не прав. Ты утверждаешь, что раз ты умеешь повторять те слова — значит, ты прав. Потрясающе :)
>Посчитай, сколько пакетов нужно передать в случае передачи BGP Full View (каков размер BGP Full View) при различных значениях TCP Mss.
Меня не перестает поражать твой постоянный полет мысли. Теперь выясняется, что Switch'у на нижней картинке топика (вообще-то речь про нее идет, с возможным горизонтальным масштабированием) уже надо full view иметь. Вопрос — ты хоть раз в жизни занимался дизайном чего-либо? Или за тебя взрослые думали?
>И поверь мне, 4000 BGP нейбров с 1 префиксом на каждый, не одно и тоже, что и 4000 BGP пиров с 100 000 префиксов на борту.
Но откуда же ты берешь эти цифры? Да и проблема может возникать при cold boot, BGP обычно не делает периодический флад таблицы всем нейборам…
>Я уже молчу про наличие или отсутствие в конфигах таких вещей, как peer-group или peer template.
Ты все еще будешь настаивать на том, что peer-group дает выигрыш в каких-либо ресурсах помимо nvram?
Если хочешь перестать публично позориться в чужом корпоративном блоге, можем перейти в ЛС.
А тут тебе почему-то померещилось, что я писал о конкретном алгоритме best path selection. Надеюсь, не надо объяснять, что в том или ином виде он есть у всех? :)
>Ты лучше задумайся над тем, почему peer-group (и чем эта фича отличается от peer-template) не во всех случаях можно использовать.
Так я же и объясняю, что у циски peer-group уже не дает выигрыша ни в чем кроме конфигурения, процесс создания апдейт-групп автоматический по дефолту, и даже документировано, в каких случаях оно работает (фактически, если нет исходящего роут-мапа — всё хорошо, остальные варианты не особо реалистичны).
>А вообще, глядишь такими темпами ты скоро узнаешь про то, как tcp mss влияет на BGP и в каких случаях используется bgp neighbor transport connection-mode active/passive.
Это начинает утомлять. Ты снова бросаешься словами, смысла которых не понимаешь, как будто открыл command reference и читаешь все интересно звучащие названия. Ну какие к чертовой матери несовпадения MTU внутри сети? За такое архитектору зубы выдирают без обезболивания. Мы обсуждали более-менее конкретный сценарий, и в нем все критерии для включения в update-group будут выполнены. И в случае DMVPN у всех будет одинаковый MTU.
>Ага, ну прям десятки тысяч пиров с сотнями тысяч маршрутов
В этом случае единицы тысяч, с кучей обвесов в виде других протоколов. Ты утверждал, что даже несколько сотен в простейшей схеме — ничего хорошего.
>Прое́кция
То есть это я спустя полтора года полтора года вспомнил про то, как меня посадили в лужу и инициировал повторное перебрасывание какашками в попытке отыграться, но снова сел в лужу на базовых вещах? :)
Сколько ты слов интересных вычитал — «best path»…
FSM — конечный автомат. Список состояний, в которых может быть процесс, и переходов между ними. Список несколько обширнее, чем ты думаешь — http://www.informit.com/library/content.aspx?b=CCIE_Practical_Studies_II&seqNum=79 например.
А откуда ты взял best path selection — вообще не понимаю. На глаза попалось знакомое слово scanner? :)
>Фактически, чем больше количество speaker'ов, тем больше будут занимать места в памяти различные версии БД Adj-RIB-in/Adj-RIB-out. Надо ли мне говорить, что это один из ключевых факторов в условиях масштабируемости BGP по количеству соседей?
Снова полное невежество.
В случае циски давно есть оптимизация, называемая dynamic update groups. Фактически все нейборы, на которых применяется одинаковая политика, попадают в одну группу и апдейты вычисляются один раз на всех. Когда-то давно ты мог читать в книжках, что если объединять нейборов в peer-groups, то можно нехило ресурсов сэкономить — уже много лет этот совет неактуален, то же самое выполняется автоматически где можно. И на самом деле стыдно этого не знать.
>Очевидно, что это не бьется с тем, что я сказал про adj-rib-in/adj-rib-out и производительностью tcp/ip стэка в control-plane маршрутизаторе.
Не бьется, потому что ты написал какую-то чушь.
>Более того, у Cisco (как и у любого другого вендора) есть вполне конкретные цифры по масштабируемости с точки зрения количества bgp соседей.
Ага. Навскидку, из того, что первым нашел — http://d2zmdbbm9feqrf.cloudfront.net/2013/usa/pdf/BRKSEC-4054.pdf, 15-я страница. Это не просто соседство по IGP/BGP. Это еще isakmp/ipsec SA и NHRP.
Почему тебе настолько яростно хочется хоть кому-то доказать, что ты хоть в чем-то прав?
Рекомендую вспомнить математику. Мы говорим про увеличение более чем в полтора раза. Мышь будет слать ресиверу информацию в полтора раза чаще. По совместительству, эта передача данных — наибольший потребитель энергии. Оно нам надо?
>для работы тоже важна точность и чёткость очень во многих задачах! Начиная от дизайна и проектирования и заканчивая рисованием и т.п.
Рисование мышью — это пять, от души посмеялся. В остальном, точность мыши прекрасная. Мельчайшие движения передаются четко. Что еще надо? Чтобы движение передавалось на несколько миллисекунд быстрее? Смешно.
Угу. Например, anycast перестает быть таковым на периметре площадки. Случай Яндекса например.
>И причем здесь DNS round robin?
Это к многократно повторенному nslookup на гмейл. Объяснить, в чем принципиальное отличие от anycast? Ты утверждаешь, что гмейл работает эникастом между локациями и/или внутри локации. Сможешь это доказать?
>Что касается фразы «почта», я уже сказал, что это слишком обобщенный термин.
В обывательском представлении, это вебморда. И ты, кажется, с вебморды начинал. Можно и продолжить. Про IMAP/SMTP сложнее говорить, там куда больше зависит от реализации клиента. Не впадет ли какой-нибудь BAT старой версии в ступор от получения RST? Все ли MTA перепошлют письмо? Не думаю, что тут вообще имеет смысл говорить об anycast, тем более что трафик там не такой существенный, как у веба.
>сходимость в BGP определяется не только процессом выбора лучшего маршрута или наличием/отсутствием всяких плюшек вида BGP PIC Edge/Core, но и BGP Finite State Machine (надеюсь этот термин знаком?).
Очень плохой ответ. Тебе этот термин совершенно непонятен, иначе ты знал бы, что всё указанное в первой половине предложения («выбор лучшего маршрута» особенно) фактически входит в понятие FSM, потому утверждение лишено смысла. В одном состоянии автомата происходит scan, на другом программируется TCAM.
Дам наводку на то, как узнать правильный ответ. Перечисли основные этапы сходимости (что конкретно происходит с процессом, когда что-то в сети меняется?) и заодно выясни, какие из них в типовой реализации происходят параллельно. Еще узнай, на что конкретно влияет добавление нового соседа (ты так и не сказал, что за ресурсы control plane тратятся, не говоря уже «на что тратятся»). Вдруг окажется, что всё не так плохо и число соседей само по себе почти никакого значения не имеет, только число событий в единицу времени, число различных примененных к ним политик и тому подобное?
А дальше можно будет перейти к практике использования BGP в реальных сетях. Тысячу соседств даже EIGRP легко переварит на более-менее современной платформе, если всё сделать правильно (из опыта говорю). В случае BGP одна коробка осилит десятки тысяч соседств. Ну а простейший пример сценария, где такое может потребоваться — DMVPN.
>Изначально ты мне затирал про дизайн с full L2
Конечно. Ты же приводишь IX в качестве примера хорошего дизайна — а там речь всегда про L2. Но даже они не считают это хорошим дизайном. Вот Amazon например не имеет L2 и благодаря этому почти не падает :)
Да, они тормозили прогресс в половине мира. Кстати, сейчас лучше всего живется в тех странах, где религиозность населения минимальна.
>Старейшие европейские университеты (например, Парижский университет, Болонский, да и другие) были основаны или учреждались и функционировали в теснейшей связи с духовенством.
Угу. Иначе было нельзя — сгнобили бы.
>Долгие годы средневековья только в стенах монастырей изучались медицина, логика математика и другие искусства.
Так может, это еще одна проблема? :) И раньше, и позже такого не было.
>Вот ваши некоторые дикарские высказывания:
Они дикарские с точки зрения человека, страдающего ПГМ. Вот оно, мышление веруна во всей красе: он непоколебимо убежден, что Х верно. Он не замечает, что вообще говоря Х никогда даже не работало на практике, даже когда за нарушение убивали, а сейчас нарушители Х в среднем живут лучше. Он не умеет обдумывать Х объективно, со всех сторон. С детства ему вбили в голову определенные идеи, и переосмыслить их — святотатство.
>Уголовная статья за оправдание нацизма.
И снова крайняя однобокость мышления. Говорю ли я, что Менделе всё делал правильно? Нет. Из того факта, что его поступки были омерзительны, следует, что они не были полезны для человечества? Тоже нет.
Узнайте на досуге, как работают лаборатории, где экспериментируют на животных. Всем им запросто можно влепить статью 245.2 УК РФ, «Жестокое обращение с животными группой лиц по предварительному сговору». Однако, человечество эгоистично. Когда надо разработать что-то что поможет людям, жизнь животного несущественна, животное — просто расходный материал. У нацистских медиков подход тот же, что и у нас сейчас, единственное отличие в расширенном определении слова «животное», куда включались и определенные группы людей. А издевательства-то по сути те же.
Следующий шаг — узнай, как именно реализован яндекс статик внутри площадки — думаю, удивишься :) А DNS вообще сравнительно небольшой трафик. Городить под него отдельную архитектуру бессмысленно.
>Почта через pop3, imap, веб интерфейс по http или https (и другие протоколы) — не одно и тоже. Когда осознаешь, тогда и поговорим.
Фраза переводится как «я облажался, так как не понимаю разницы между DNS round robin и anycast».
>Не каждая коробка, способна вытянуть 700+ BGP сессий
А тут можно сообразить, что когда используются RR — можно делать несколько уровней, и не надо никаких сотен сессий :)
>Очевидно, что нагрузка на control-plane с 2-4 bgp сессиями — меньше, сходиться будет быстрее.
А вот тут ощущается некоторое непонимание внутреннего устройства BGP и того, какими факторами определяется сходимость протокола. Еще тут ощущается непонимание того, что такое control plane. Нагрузка на него? Какого рода? Память? Процессор? Скажу по секрету, в типичном случае (хардварный роутер, full view) время перестроения топологии может не упираться ни в ресурсы control plane, ни в таймеры, хотя уже-не-особо-новые фичи более-менее исправляют это :)
>Кейсы бывают разные, варианты тоже и в каждой ситуации свой драйвер
Я тебе это изначально и говорил. Сейчас ты как попугай повторяешь это, но продолжаешь отстаивать точку зрения «мой велосипед с квадратными колесами отлично работает в большинстве случаев» :)
>Ваш комментарий:
Замечу — через существенное время после начала беседы.
>В случаях с web application (да и в большинстве других случаях) — это необязательно. sic! в большинстве других случаях != (читай не равно) все случаи
Это совершенно ошибочное представление. Тебе потребовалось целых полтора года, чтобы найти первый и пока единственный пример, где это может работать, а в той беседе примера не было :) Так как раньше тебя окунули носом в лужицу собственного невежества — ты в него и вцепился.
>Через три дня открыл свой компьютер, зашел на Gmail без авторизации, попав на один из четырех IP адресов.
Вот только это не имеет отношения к anycast в пределах площадки и между ними :) Да и в http://habrahabr.ru/company/ivi/blog/240237/#comment_8572237 тебе объяснили про то, как будет работать почта с anycast…
>Я не сказал, что L2 нужно деплоить между маршрутизаторами в clos топологии
Когда архитектура сервиса позволяет вполне забыть про L2 между более чем двумя узлами — какой смысл возвращаться к L2? Что конкретно это даст? Какой смысл вообще держать IGP, когда BGP даже по сходимости неотличим от IGP с FRR в рамках озвученной задачи? Зачем было городить какой-то ужас с VRF на сервер как ты ранее предлагал? Посмотри вид топологии у ivi, это же просто сказочная простота.
А ссылку можно? Особенно интересно, в какой момент беседы это появилось… А какие еще приложения это допускают? Где хотя бы этот пример, чтобы фантазии о доставке трафика до серверов посредством anycast перестали быть фантазиями и базировались на реальных задачах? Не было же ничего. Было просто непонимание самой задачи и основных граблей с твоей стороны. Какие-то пионерские, оторванные от реальности идеи, «а давайте вот эдак сделаем».
>Топология Клоза хорошо ложиться на дизайн с ECMP и Anycast
Она в L2 плохо ложится, а выше я видел предложение забабахать большущий L2 сегмент по аналогии с тем, от чего все IX плюются :) А clos — это дело десятое. Классическая архитектура с уровнем ядра (два устройства) и агрегации/доступа тоже в каком-то смысле подвид clos, просто с двумя spine узлами. Таким образом сети строились не один десяток лет назад. Главное в той топологии — симметрия и задействование всех линков.
Потрудитесь поискать, с какой целью сшивали людей, тогда всё станет ясно. Он был явным психопатом, но все-таки в совсем уж беспричинных издевательствах не был замечен. Всегда что-то изучалось. Какие-то направления оказались бесперспективными, это неизбежно.
Не… Вы доказывали, что это хорошо работает именно в общем случае. Я говорил, что это почти никогда не работает хорошо. Ну благодаря мне вы узнали, что не все дизайны применимы во всех условиях. Пожалуйста.
>Статья по теме clos topology (а это имеет прямое отношение к anycast ECMP based внутри площадки)
Вы снова путаете понятия — ECMP и anycast. ECMP используется повсеместно, anycast — почти нигде, это удел единичных организаций даже в рамках глобальной маршрутизации. А что clos отличная топология никто и не спорит. Ориентирована как раз на L3, как вариант — костыли вроде TRILL.
>And?
Да просто для понимания возможных рисков.
>У CCL кластера есть один большой минус — shared control-plane (а это значит shared failure domain).
Разумеется. Зато огромная производительность и приличная функциональность. Ну серьезно, отсутствие файрвола на периметре — паршивая идея, он нужен. В нарисованных в топике топологиях flowspec вообще никаким боком, нет в нем смысла, если точки фильтрации считаются по пальцам одной руки. Вот если есть огромная сеть с огромным числом точек входа трафика и асимметрией — другой разговор. Та же циска (огромная транснациональная контора с жутким бардаком) у себя не развернула flowspec, но использует BGP блэкхолинг плохих узлов внутри сети.
>Вполне себе живой дизайн, опять же этот пост тому пример.
Это — уникальный и чуть ли не единственный случай, когда этот дизайн может работать.
>Типичный сетап раздающей ноды Netflix у оператора — два cisco asr 9000 + два коммутатора nexus + n кэширующих серверов.
Я ничего не путаю, вроде бы Netflix фактически то же самое, что и ivi? :)
>CCL Cluster имеет ряд особенностей, часть функционала все равно отрабатывает на master nod'е
Причем на одном ядре той ноды, верно? Ну ничего, fast path и большинство фич CP распределены, вся нагрузка идет туда. Да и вообще, это был просто пример очень похожего подхода, лишенного тех недостатков, хотя не без своих недостатков.
>А еще забавно, что Вы тогда написали, что вы бы ко мне, как к интегратору не пошли из-за таких решений
Напомню точную цитату: «если бы я обратился к интегратору с просьбой разработать архитектуру, и мне предложили бы нечто вроде сказанного Игорем, то я бы больше не работал с тем интегратором». И напомню, что вы предлагали эту архитектуру для всего включая HTTP (я не про видео), говоря, что потеря сессии не страшна. Жуть.
Угу. Вы там городили велосипед с квадратными колесами в виде петли Мёбиуса зачем-то, от непонимания куда более простых и давно проверенных дизайнов…
Проблема у них кстати ровно та же, что я описывал:
«Переходные процессы одного сервера (включение в кластер или исключение) влияют на весь кластер. Ведь роутер ничего не знает о серверах – он думает, что имеет дело с роутерами и каналами. Соответственно, все соединения распределяются на все доступные каналы. Никакого server-affinity. В результате при выключении сервера все соединения перетасовываются между всеми оставшимися серверами. И все активные TCP-сессий разрываются»
Но так как пользуется сервисом одно конкретное приложение, и это приложение запросто переживает разрыв сессии, этот дизайн работает. Повторяю: очень специфический дизайн, с кучей критических недостатков, неспособный работать в общем случае.
> Тот же сервис по защите от DDoS атак Qrator использует BGP Anycast подход (коим защищен сам habrahabr.ru)
Это не внутри ЦОДа, а между ЦОДами :) В случае DDOS такой подход разумен, так как не позволяет сконцентрировать атаку на единой точке входа, ну и провайдеры тоже рады уменьшению внешнего трафика. И DDOS — экстремальная ситуация, где «немного страдает сервис» предпочтительнее, чем «сервиса нет вообще».
>Я бы порекомендовал смотреть в сторону дизайна аля IX
Дизайн аля IX, где используется обширный L2 сегмент — безусловное зло. Но у IX-то вариантов особых и нет, приходится так делать, замена next hop добавила бы немерено головной боли.
https://chi.ams-ix.net/technical--7/specifications-descriptions/port-security-at-ams-ix
https://labs.ripe.net/Members/kistel/the-ams-ix-outage-as-seen-with-ripe-atlas
Насколько я помню, кто-то сделал L2 кольцо на 100G. Никакие костыли включая arp sponge не помогли. Вот он, изначально порочный дизайн, от которого невозможно отказаться и который обязательно время от времени приводит к факапам. С другой стороны есть ivi.ru, которые имеют возможность вообще всё на L3 сделать. Зачем советовать им сделать всё хуже?
>Если нужна безопасность, можно еще посмотреть в сторону distributed firewall via BGP flow-spec :)
Однажды Cloudflare посмотрел.
https://blog.cloudflare.com/todays-outage-post-mortem-82515/
Безопасность там конечно есть, но так себе. От флуда не защитит — политики применяются только внутри сети. Грохнуть нехорошую по мнению IDS сессию можно, только все равно нужен IDS для наблюдения за трафиком, и реакция будет запоздалой. Если защищаемся в первую очередь от внешних атак, то все-таки установленные на периметре файрволы покруче будут. Однако, надо обеспечить симметрию трафика. Тут есть разные варианты. Самым забавным мне показался дизайн кластера ASA 5585-X. Делается один большой port-channel, на 8 линков например. Каждый линк смотрит на отдельную ASA. За счет выставления одинакового механизма хеширования прямой и обратный трафик будут ходить симметрично. Если линк сдохнет, то сессии может раскидать по чужим файрволам, но state информация реплицируется, из влияния на сервис будет лишь небольшое снижение производительности перепрыгнувших на другой узел потоков из-за необходимости прыгать через мастер.
Это — беспроводная мышь. Эти герцы напрямую бьют по автономности.
Аналогичный холивар — механическая клавиатура против мембранной. Механика совершеннее, приятнее в работе. Благодаря четкой фиксации нажатия — выбор геймера. Значит ли это, что отсутствие механических свитчей будет недостатком произвольно выбранной клавиатуры? Нет конечно.
>Для обычного обывателя много в чём нет разницы, это не аргумент.
Аргумент. Это — офисная мышь. Не для игрушек, а для работы. Ей не требуются эти свистоперделки, и ЦА не заметит их отсутствия. ЦА заметит, что мышь прекрасно ездит по любой поверхности, курсор четко реагирует на любое движение.
>Я пользуюсь наклоном колеса на MX Anywhere и это действительно удобно
Перемещение там немного непредсказуемое, чуть сильнее наклонил и улетел за горизонт. В отличие от бокового колеса.
>Передатчики нужно покупать, а это уже усилия со стороны пользователя, если Компания продаёт мышь с возможностью подключения к трём устройствам, то и датчики копеечные можно включить в комплект
Большинству пользователей это вряд ли потребуется. Обратите внимание на наличие BT. Думаю, вполне типичный юз-кейс — переключать между десктопом и ноутбуком. Все современные ноутбуки имеют Win8 и BT4.0 радио, то есть второй ресивер просто не нужен. Если вкладывать второй ресивер сразу в комплект, то в половине случаев он обязательно потеряется. Опять же, на ебее цена — $8.
>Я бы не решился заявлять это наверняка, т.к. пользовался радио-мышами от Logitech с аккумулятором и да, со временем они не держали заряд и их нужно было постоянно подзаряжать
У меня есть Performance MX. Примерно с момента его выхода до момента выхода MX Master, т.е. долго. Емкость как-то не меняется.
>например та же MX1000 деградировала за пол года работы
Запросто — если она постоянно стояла на зарядке когда не работала. Надо ко всему с умом подходить. Умный контроллер, отключающий ток при пороге зарядки выше определенного уровня, снижает ущерб от такой работы, только ненамного. Все равно намотаете бешеное число циклов. Если аккумулятор NI-MH, то совсем беда.
>а вот частота лично для меня критична о чём я и написал
Тогда эта офисная мышь не для вас. Собственно, всё. О чем тут спорить? Лично для меня мышь идеальна, в ней есть всё что нужно и нет ничего лишнего.
>Вы хам и не уважаете собеседников, не способны вести диалог корректно и по сути оскорбляете других прямо называя их идиотами.
Я просто всегда говорю что думаю :) Утверждать «если X стоит дорого, то в корпусе должен быть металл» — идиотизм. Металл — паршивый материал для корпуса любого девайса который держится в руках. Софт-тач пластик лучше — не скользит, не холодит и не греет. В логитековских продуктах прекрасный пластик, его приятно держать в руках. А уж «дорогой вид» — совсем абзац. Мышь и так выглядит круто, дорого, и ни малейшего значения это не имеет. Неважно, как она выглядит, важно как она ощущается рукой.
Вот если бы вы сказали «мне больше нравился бы металл в корпусе» (без отсылок к цене и пафосу) — другой разговор.
Вот ваша проблема (плюс, уверен, немного чего-то аналогичного аудиофилии). Вы сравниваете ламборгини и камаз по времени разгона 1-100. Эти две мыши никто не позиционирует как геймерские, успокойтесь.
Для обычного, домашнего пользователя 125гц НЕ является проблемой. Он не заметит разницы. Он прекрасно будет играть в любые игрушки включая FPS и стратегии, никаких проблем. Если будет проигрывать, то не по вине мыши.
По самой мыши (на примере имеющейся у меня MX Master) — она роскошна. Она полностью удовлетворяет моему use-case'у:
1) Носить мышь между домом и работой — теперь не надо перетыкать трансивер. Нажал кнопку и готово. Еще забавно по BT к телефону подключать.
2) Потрясающее колесо с тонкой настройкой порога перехода в режим быстрой прокрутки, который я минут 10 калибровал до полного удобства. Никаким другим колесом я пользоваться уже не смогу, это будет дискомфортно. Фактически, из-за этого сейчас для меня существуют только две мыши, и одна из них на мой вкус мелковата, а другая у меня уже есть.
3) Очень удобно лежит в руке.
4) На Performance MX колесо можно было наклонять, но этим невозможно было пользоваться. Тут нельзя, зато есть удобное боковое колесо. Стало намного лучше.
5) Нет мусорных фич. Нет десятков кнопок. Все кнопки, которые есть, идут в дело, и их хватает.
Использую мышь и для работы, и для игрушек.
Указанные вами недостатки совершенно идиотские:
1) Передатчики продаются за копейки на ебее или в официальном магазине. Я купил. Вставил и забыл. Можно и без них, если Win8+ и BT4.0.
2) Нет, батарея не сдохнет раньше чем мышь до дыр сотрется.
3) 125гц не проблема. Невозможность сменить DPI тоже не проблема. И отсутствие грузиков не проблема. И много чего другого. Зачем мне весь этот мусор? Если бы оно было нужно, я бы посмотрел в сторону геймерских мышей, но увы, они мне категорически не подходят.
4) Самый большой идиотизм — претензии по нехватке металла в корпусе.
Величайшая современная цивилизация достигла своего уровня вопреки религии. Христианство много веков тормозило развитие человечества. Очень сильный паразит, хрен избавишься от него, хотя сейчас наблюдается огромный прогресс в этой области. Ну вот нравится людям считать себя более ущербными, чем они есть на самом деле, и во всем надеяться на дедушку на облаке. Вон одна из сильнейших цивилизаций (римская империя) развалилась именно из-за христианских идей.
>пересадка головы это первый шаг к бессмертию, который противоречит догматам христианства о том, что бессмертие может дать только Бог.
Значит, догматы христианства ошибочны. Сенсация!
В данном случае наблюдаем нечто подобное, но без проблем с этикой, так как испытуемый полностью информирован о рисках, добровольно согласен и ничего не теряет в случае провала, который все равно будет полезен науке.
Ущерба репутации тоже не вижу. Никто не скрывает, что прогноз для пациента ни разу не оптимистичный, но при этом в любом случае будет огромный вал полезнейшей информации из самых разных областей. В этом основное различие с Mars One.
Так в чем проблема? Вроде бы объективно прекрасный способ умереть с маленьким шансом выжить. Всяко лучше чем еще через несколько лет фактически потерять тело.