И грешат они на оверхид со стороны TCP и пр.
Документ правда 2008 года.
С тех пор в стеке протоколов TCP/IP, я вас уверяю, ничегошеньки не поменялось, как и за последние 20-30 лет. Да, какие-то хаки TCP добавлялись (вроде window scaling) но принципиально ничего нового.
Влияют, но не так, как латентность бэкенда хранилища (дисков, SSD).
Оно, конечно, сферическое до какого-то момента, после которого уже начинает играть роль.
Если она выдает 1000 IOPS по iSCSI, то по FC она выдаст те же 1000 IOPS
При таком кол-ве иопсов разницы действительно не будет. Когда же счет идет на десятки и сотни тысяч иопсов, то уже разница будет чувствоваться.
Нагуглил ценник на MDS9148 — $12k. Свитч на 48 десяток сейчас стоит такие же деньги (и цена еще будет снижаться, в отличии от FC).
Я недавно брал MDS-ы с 16 активными портами за 140т.р. и брал Catalyst-ы 4500-X тоже с 16 портами за 300т.р.
Еще можно рассмотреть нексусы 5к за 550т.р. с 32 портами. Так что где вы нашли 48 десяток за 12 килобаксов я не знаю.
Плюс эти десятки много кому нужны помимо СХД. Унификация — великая вещь.
Унификация — это FCoE, который взял лучшее из обоих «миров»: низкую латентность и lossless передачу из FC и возможность работы на стандартном (относительно) оборудовании от iSCSI. Плюс теми же нексусами с универсальными портами можно связывать FCoE и FC сети прозрачно.
А еще мне в FC нравится его простота в эксплуатации, эдакий PnP.
С iSCSI же (особенно на 1Гбит сетях) требуется вагон телодвижений для обеспечения утилизации всех линков в Multipath и тому подобное.
FC выдаст больший IOPS за счет следующих факторов:
1. Меньше слоев над физикой нагорожено. Соответственно, чтобы упаковать данные в FC требуется меньше действий.
2. Протокол заранее был спроектирован под низкую латентность и сети хранения с 1 слоя и дальше вверх.
iSCSI же был впихнут поверх существующего Ethernet/IP/TCP стека и, соответственно, наследует все его плюсы и минусы (такие как потери пакетов, ретрансмиты и прочие костыли). Большинство этих проблем, кстати, решено в Data Center Ethernet и работающем над ним FCoE (это не замена iSCSI, конечно, т.к. FCoE работает на 3 уровне, но тем не менее)
3. Тот факт, что в большинстве случаев для реализации iSCSI используется софтовый стек, а не железные HBA, тоже вносит свои задержки.
А вот будет ли заметна эта дополнительная латентность в работе конкретного софта — другой вопрос.
С ценами на FC интересное дело — свичи (те же Cisco MDS9148) стоят сильно дешевле 10Gbit Ethernet свичей (в 2-3 раза), но при этом FC HBA стоят в 2-3 раза дороже тех же 10Gbit Ethernet сетевых карт (Qlogic 2562 40~45т.р. против Intel X520-DA 16~18т.р., в кулоджике, правда, уже трансиверы стоят).
Так что, на мой взгляд, выбирать iSCSI особого смысла нет в настоящее время. Разве что на FCoE поглядеть.
FC шнурок может теоретически пропустить около миллиона IOPS
Что-то я очень сомневаюсь.
Мне не удавалось получить больше 100к IOPS (блоками по 512) при тестировании 8Gb FC с NULL бэкендом.
Гонял как через прямой линк (хост-хост), так и через свич.
В качестве таргета Linux + SCST, железяки Qlogic 2562.
Миллион IOPS — это, скорее, для Infiniband задача выполнимая.
Два момента:
1. Файлы вроде /etc/passwd проще всего мониторить на изменения через vfs.file.cksum, не нужны будут костыли в zabbix_agentd.conf
2. Логи сетевых устройств мониторить аналогично юниксовым, пересылая их на сислог сервер в иерархию вроде /var/log/cisco/$IP/log и уже оттуда читая заббиксом.
Не видел таких. Тут, я думаю, дело в патентах и т.п.
Хотя, конечно, общий алгоритм авторизации и применяемые алгоритмы шифрования могли бы и выложить, это да.
Вроде как даже применимо к Magic Systems кто-то снифферил траффик и в общих чертах разобрался в диалоге между базовым модулем и брелком, но где я это читал уже не припомню. Вроде как там всё честно, двух- или трех-шаговая авторизация (что-то вроде CHAP).
Тут кто-то на хабре предлагал уже делать опен-сурс сигнализации на базе стандартных микроконтроллеров и радиомодулей (atmega + nRF те же). По-моему, вполне здравая мысль, я буде свободное время занялся бы чем-то таким для себя, для начала думаю начать с сигналки для квартиры.
Так что в плане безопасности сигнализаций пока приходится полагаться на статистику взломов и возможности выпускаемых дельцами кодграбберов (список сигнализаций, которые они ломают).
Как нам сказали в полиции, в таких случаях тупо кидают питание со своего аккумулятора на бензонасос и т. д.
Это всё на словах просто. А найти что в машине заблокировано и обойти — дело очень сложное. Если машину спёрли — значит хозяин игнорировал предупреждение сигнализации или как-то иначе дал ворам кучу времени на обход закладок.
Еще бывает, что установщики сливают данные о владельце и месте установки блокировок. Ну тут уже нужно либо ставить самому, либо доверенными установщиками пользоваться.
Про КАСКО вообще вас не понимаю. Если машина стоит больше, чем КАСКО на год — нужно застраховать и не бояться всяких неприятностей, типа аварии или угона.
Угу, угу, плавали, знаем. Попробуй потом получить в страховой деньги за угон — заманаешься, при этом ты получишь денег сильно меньше стоимости машины. И потеряешь кучу времени и нервов на этот процесс.
Про повреждения вообще молчу, починить машину после более или менее серьезного ДТП можно только подав гражданский иск к виновнику обычно.
Так что спасибо. не надо. КАСКО это дополнение, но никак не замена сигналки.
У меня не срабатывает. ЧЯДНТ? Да и вообще нынче редко у кого (в моем дворе) срабатывает без надобности.
А если захотят угнать, то угонят независимо от наличия сигнализации (у родственников угнали две машины подряд)
Очень странное утверждение. Во-первых, если захотят угнать — то угонять будут менее защищенную машину. Во-вторых, есть много примеров, когда угнать захотели, но не получилось как раз из-за хорошей сигнализации.
И вообще советую почитать про архитектуру современных качественных сигнализаций — это достаточно сложный комплекс удаленных реле-блокировок, работающих по радио каналу или 1-wire-подобным интерфейсам (по штатной проводке, например), которые распиханы по разным местам в машине (бензонасос, стартёр и т.п.). Такой комплекс очень и очень сложно обойти, по крайней мере за разумное время.
По сути единственный быстрый вариант угнать машину остается — утащить ее на эвакуаторе, но на это мало кто пойдёт.
Стоимость, при этом, обычно сильно дешевле чем 1 год КАСКО.
Что там за «сигнализация» стояла у родственников я догадываюсь.
Совершенно очевидно, что дефолтная система (центральный замок, управляемый кнопкой на ключе) ничем не хуже.
Это я бы вообще оставил без комментариев, но так было бы нечестно :)
Штатная система вскрывается любым мало-мальский знакомым с темой вором буквально за пару минут либо подключением к CAN шине, либо заменой блока штатного иммобилайзера на свой.
По моей практике есть две конторы, которые делают надежные, не взламываемые кодграбберами, системы — это питерская Magic Systems и калужская Pandora. Я пользовал и ту и ту (одна на машине, другая — на мотоцикле) — впечатления только положительные.
Ну и товарищи на ugona.net часто устраивают тесты сигналкам новейшими кодграбберами. Всякий компост вроде шерхана сдается сразу обычно.
Вроде еще и Starline начал выпускать сигналки с честной диалоговой авторизацией, но ИМХО у них опыта маловато.
С тех пор в стеке протоколов TCP/IP, я вас уверяю, ничегошеньки не поменялось, как и за последние 20-30 лет. Да, какие-то хаки TCP добавлялись (вроде window scaling) но принципиально ничего нового.
Оно, конечно, сферическое до какого-то момента, после которого уже начинает играть роль.
При таком кол-ве иопсов разницы действительно не будет. Когда же счет идет на десятки и сотни тысяч иопсов, то уже разница будет чувствоваться.
Я недавно брал MDS-ы с 16 активными портами за 140т.р. и брал Catalyst-ы 4500-X тоже с 16 портами за 300т.р.
Еще можно рассмотреть нексусы 5к за 550т.р. с 32 портами. Так что где вы нашли 48 десяток за 12 килобаксов я не знаю.
Унификация — это FCoE, который взял лучшее из обоих «миров»: низкую латентность и lossless передачу из FC и возможность работы на стандартном (относительно) оборудовании от iSCSI. Плюс теми же нексусами с универсальными портами можно связывать FCoE и FC сети прозрачно.
А еще мне в FC нравится его простота в эксплуатации, эдакий PnP.
С iSCSI же (особенно на 1Гбит сетях) требуется вагон телодвижений для обеспечения утилизации всех линков в Multipath и тому подобное.
1. Меньше слоев над физикой нагорожено. Соответственно, чтобы упаковать данные в FC требуется меньше действий.
2. Протокол заранее был спроектирован под низкую латентность и сети хранения с 1 слоя и дальше вверх.
iSCSI же был впихнут поверх существующего Ethernet/IP/TCP стека и, соответственно, наследует все его плюсы и минусы (такие как потери пакетов, ретрансмиты и прочие костыли). Большинство этих проблем, кстати, решено в Data Center Ethernet и работающем над ним FCoE (это не замена iSCSI, конечно, т.к. FCoE работает на 3 уровне, но тем не менее)
3. Тот факт, что в большинстве случаев для реализации iSCSI используется софтовый стек, а не железные HBA, тоже вносит свои задержки.
А вот будет ли заметна эта дополнительная латентность в работе конкретного софта — другой вопрос.
С ценами на FC интересное дело — свичи (те же Cisco MDS9148) стоят сильно дешевле 10Gbit Ethernet свичей (в 2-3 раза), но при этом FC HBA стоят в 2-3 раза дороже тех же 10Gbit Ethernet сетевых карт (Qlogic 2562 40~45т.р. против Intel X520-DA 16~18т.р., в кулоджике, правда, уже трансиверы стоят).
Так что, на мой взгляд, выбирать iSCSI особого смысла нет в настоящее время. Разве что на FCoE поглядеть.
Что-то я очень сомневаюсь.
Мне не удавалось получить больше 100к IOPS (блоками по 512) при тестировании 8Gb FC с NULL бэкендом.
Гонял как через прямой линк (хост-хост), так и через свич.
В качестве таргета Linux + SCST, железяки Qlogic 2562.
Миллион IOPS — это, скорее, для Infiniband задача выполнимая.
LCSCЩито? Да таких нынче днем с огнем не сыщешь. Все — только LC Duplex или Simplex.
Вот у Finisar поди найди хоть один с LC: www.finisar.com/products/optical-modules/sfp-plus
И это логично, ибо в маленький SFP даже один SC коннектор можно впихнуть лишь с трудом, про два я вообще молчу :)
Я не удивлюсь, что если нужно будет что-то поснифферить, то придёт дядечка в погонах с клавиатурой, монитором, флешкой и табуреткой и откроет сейф :)
Я когда работал в провайдере, то у нас был этот «СОРМ» — по сути что-то вроде сейфа с системником внутри, там какой-то линукс и tcpdump, всё.
Не идет ни в какое сравнение с датацентрами АНБ.
Два момента:
1. Файлы вроде /etc/passwd проще всего мониторить на изменения через vfs.file.cksum, не нужны будут костыли в zabbix_agentd.conf
2. Логи сетевых устройств мониторить аналогично юниксовым, пересылая их на сислог сервер в иерархию вроде /var/log/cisco/$IP/log и уже оттуда читая заббиксом.
Хотя, конечно, общий алгоритм авторизации и применяемые алгоритмы шифрования могли бы и выложить, это да.
Вроде как даже применимо к Magic Systems кто-то снифферил траффик и в общих чертах разобрался в диалоге между базовым модулем и брелком, но где я это читал уже не припомню. Вроде как там всё честно, двух- или трех-шаговая авторизация (что-то вроде CHAP).
Тут кто-то на хабре предлагал уже делать опен-сурс сигнализации на базе стандартных микроконтроллеров и радиомодулей (atmega + nRF те же). По-моему, вполне здравая мысль, я буде свободное время занялся бы чем-то таким для себя, для начала думаю начать с сигналки для квартиры.
Так что в плане безопасности сигнализаций пока приходится полагаться на статистику взломов и возможности выпускаемых дельцами кодграбберов (список сигнализаций, которые они ломают).
Это всё на словах просто. А найти что в машине заблокировано и обойти — дело очень сложное. Если машину спёрли — значит хозяин игнорировал предупреждение сигнализации или как-то иначе дал ворам кучу времени на обход закладок.
Еще бывает, что установщики сливают данные о владельце и месте установки блокировок. Ну тут уже нужно либо ставить самому, либо доверенными установщиками пользоваться.
Угу, угу, плавали, знаем. Попробуй потом получить в страховой деньги за угон — заманаешься, при этом ты получишь денег сильно меньше стоимости машины. И потеряешь кучу времени и нервов на этот процесс.
Про повреждения вообще молчу, починить машину после более или менее серьезного ДТП можно только подав гражданский иск к виновнику обычно.
Так что спасибо. не надо. КАСКО это дополнение, но никак не замена сигналки.
У меня не срабатывает. ЧЯДНТ? Да и вообще нынче редко у кого (в моем дворе) срабатывает без надобности.
Очень странное утверждение. Во-первых, если захотят угнать — то угонять будут менее защищенную машину. Во-вторых, есть много примеров, когда угнать захотели, но не получилось как раз из-за хорошей сигнализации.
И вообще советую почитать про архитектуру современных качественных сигнализаций — это достаточно сложный комплекс удаленных реле-блокировок, работающих по радио каналу или 1-wire-подобным интерфейсам (по штатной проводке, например), которые распиханы по разным местам в машине (бензонасос, стартёр и т.п.). Такой комплекс очень и очень сложно обойти, по крайней мере за разумное время.
По сути единственный быстрый вариант угнать машину остается — утащить ее на эвакуаторе, но на это мало кто пойдёт.
Стоимость, при этом, обычно сильно дешевле чем 1 год КАСКО.
Что там за «сигнализация» стояла у родственников я догадываюсь.
Это я бы вообще оставил без комментариев, но так было бы нечестно :)
Штатная система вскрывается любым мало-мальский знакомым с темой вором буквально за пару минут либо подключением к CAN шине, либо заменой блока штатного иммобилайзера на свой.
Ну и товарищи на ugona.net часто устраивают тесты сигналкам новейшими кодграбберами. Всякий компост вроде шерхана сдается сразу обычно.
Вроде еще и Starline начал выпускать сигналки с честной диалоговой авторизацией, но ИМХО у них опыта маловато.
Наверное, все-таки, симметричного и ассиметричного.