Pull to refresh
2
0
Андрей Григорьев @eigrad

Linux, Python

Send message

Крошить без оглядки это IDKFA.

Проверил - аккаунт ещё живой. Даже пароль почти с первого раза вспомнил (только оно попросило привязать телефон).

Из всей истории - только пара сообщений 2017 года. Старую историю ещё при переезде в мэйл продолбали, жалко :-(. Но вообще она у меня где-то на DVD-шках в кладовке забэкаплена, поищу повспоминаю через лет десять.

Подпись должна идти вместе с образом, а для ее проверки достаточно знать используемый публичный ключ... но Docker Inc всё ещё "We are working on integrating signature validation into our image pull and build processes. This will ensure that all Docker Official Images are verified before use, providing an additional layer of security for our users." (линк), так что проверять пока нечего.

→ docker trust inspect ubuntu:latest --pretty

Signatures for ubuntu:latest

SIGNED TAG DIGEST SIGNERS
latest 3f85b7caad41a95462cf5b787d8a04604c8262cdcdf9a472b8c52ef83375fe15 (Repo Admin)

Administrative keys for ubuntu:latest

Repository Key: 8273733f491f362bb36710fd8a99f78c3fbaecd8d09333985c76f1064b80760f
Root Key: 1f9bc7ae6335ae41ee03e983c0e31303901be567b4cdb3fc7c7363f0591128ff

Выглядит так, как будто подписи тут нет.

Плохой способ - ключ шифрования мог быть слабый сгенерерирован, или одинаковый на всю серию. Надо выводить из строя сами чипы памяти, без вариантов.

Hidden text

Концепция "всё есть capability" (everything is a capability) представляет собой подход к дизайну систем, где основным элементом является понятие "способности" или "права" (capability), которое определяет, что именно может делать программа или процесс в системе. Эта идея фокусируется на безопасности и изолировании, позволяя контролировать доступ к ресурсам на более тонком уровне, чем традиционные модели, основанные на разграничении доступа (например, Unix-подобные права на файлы).

В контексте "всё есть capability":

1. **Определение**: Capability — это ключ или токен, который предоставляет держателю право на выполнение определенной операции или доступ к ресурсу. Важной особенностью является то, что capability конкретизирует и минимизирует права, тем самым предотвращая злоупотребления и ограничивая возможные точки сбоя.

2. **Ресурсы и операции**: В системе, основанной на capabilities, всё, что требует контроля доступа — файлы, устройства, сетевые соединения и даже более абстрактные действия, такие как возможность перезагрузки системы — представляется через capability. Это означает, что для любого действия или доступа к ресурсу существует соответствующая capability.

3. **Делигирование и распространение**: Capability можно передавать от одного процесса к другому, позволяя создавать тонко настроенные цепочки доверия и делегирования прав. Это делает систему гибкой и позволяет строить сложные многоуровневые архитектуры безопасности.

4. **Изоляция и безопасность**: Использование capability обеспечивает естественную изоляцию между компонентами системы, поскольку каждый компонент имеет доступ только к тем ресурсам, для которых у него есть явно выданные права. Это снижает риск несанкционированного доступа и предотвращает множество атак, связанных с повышением привилегий.

5. **Примеры систем**: Некоторые операционные системы и платформы, например, Genode OS Framework или Google's Fuchsia, используют концепции, близкие к идеям capability для обеспечения безопасности и изоляции.

Концепция "всё есть capability" может значительно улучшить безопасность и гибкость системы за счет более точного контроля над тем, кто и как может взаимодействовать с ресурсами системы. Однако реализация такого подхода требует сложного дизайна и администрирования, а также может потребовать от разработчиков и пользователей изменения привычного подхода к взаимодействию с системой.

Нужно лучше курить матчасть против которой ведёшь риторику, и быть дотошным в тезизах, а так статья хорошая, молодец. Покури ещё концепцию "всё есть capability".

Сложная тема, чтобы представить как оно работает в случае cluster mode или spark submit (не будет ли каких-то side effect от перезапуска драйвера), нужно как минимум понимать как взаимодействуют yarn/driver/applicationmaster.

Помимо прочего, после завершения JVM-процесса драйвера необходимо корректно завершить все открытые соединения с ним. Для этого достаточно вызвать метод shutdown() у экземпляра класса JavaGateway

А нельзя просто shutdown позвать без всех извращений с ручной отправкой команд?

(сорян, промазал полем ответа)

в процессе обработки данных источника вполне может быть ряд промежуточных Spark-задач, которые не нуждаются в использовании такого количества ресурсов

Чем в таком кейсе не подошёл dynamic allocation?

И что помешало разбить процесс на несколько задач (на уровне оркестратора)?

Интересный факт, фанаты эппла и не подозревают о возможности подключения внешней видеокарты (и о том что на apple silicon такой возможности нет :-) ).

Вместо этого у эппла есть возможность продать фичу подключения нескольких мониторов :-).

В первом абзаце так много восторженных баззвордов заказанных маркетологами, что дальше уже не хочется читать.

Про подачу - куча воды и реклама телеграм канала в конце. В блоге компании. Туш.

Фиг знает, иногда достаточно просто задать пару вопросов из того списка чтобы определить примерный уровень кандидата, а выдать кастомную задачку надо ещё уметь. Про пару pod'ов общающихся через интернет - слишком общий вопрос, который под собой вероятно имеет какую-то конкретную рабочую ситуацию, и кандидат должен постараться вытянуть из интервьюера достаточное количество подробностей чтобы о чем-то там рассуждать. Тоже впрочем полезный скилл, который имеет смысл проверять на собеседовании. Но для "понимания как кандидат думает" лучше дать четкую задачку на логику.

И часто у вас такое бывает в большой тройке облаков AWS/GCP/Azure ?

Обычно как минимум один раз на каждую организацию, которая решает использовать Kubernetes :-).

Мой пойнт в том, что задача не базовая. Оригинально nginx не очень рассчитан на то, чтобы работать в контейнеризированном окружении, а его настройка (даже без контейнеризации) это довольно комплексная задача, требующая понимания многих аспектов работы ОС и сети. Но, если речь про кубер, то нормальный кандидат как минимум должен спросить "эм, вы имеете ввиду настроить ingress?", ну и другие требования уточнить. Запустить пачку pod'ов с nginx'ом != развернуть nginx в кубере.

Если речь не про ingress, то вопрос должен быть "а что именно этот nginx должен делать?". И там даже для раздачи статического контента очень много о чем можно поговорить, кроме использования kubectl и определений ресурсов в YAML.

Нет смысла тестироваться на этой задаче в исходной постановке, ни на русском ни на английском. Она многократно встречается в датасетах на которых эти сетки обучались. Но стоит отметить что во многих бенчмарках используются подобные задачи, правда обычно чуть более простые.

Это какое-то странное умение. Пример в указанной доке использует nginx как hello world. С тем же успехом там мог быть любой другой сервис.

Очень больно бывает когда в компании неожиданно падает мэнеджед кубер, а девопс инженеры считают разворачивание nginx базовой задачей и не знают с какой стороны к лежачему куберу подойти. Впрочем не обязательно ломать сам кубер, можно просто сервис сломанный дать и спросить как его чинить вообще.

Фиг знает, молодцы конечно, но подано это всё немного с преувеличениями. Году в 2013м трогал репозиторий сравнимого размера, на предмет перехода с svn. Размер чекаута основного бранча там был поменьше наверное на порядок, общий размер репы был под 100гб. При грамотной настройке клиентской системы git с полным репозиторием работал довольно шустро, хоть и не без проблем, и какая-то часть разработчиков даже пользовалась git-svn, правда только с нужными ветками и обычно используя sparse checkout. В итоге там решили писать свою систему контроля версий имени этого репозитория :-).

1
23 ...

Information

Rating
3,828-th
Location
Лимассол, Government controlled area, Кипр
Date of birth
Registered
Activity