Что мешает взять у (к примеру) хетцнера в аренду какой-нибудь VDS за 8 евро в месяц (это еще и с VAT небось) — там вам в нагрузку дадут белый v4 адрес и /64 ipv6. До него пробить туннель из под ната можно чем угодно, — openvpn/ipsec/pptp/l2tp, настроить контроль доступа и все чего только душа пожелает. С того же роутера вполне реально такой тунель поднять (если роутер cisco или какой-нибудь *WRT например)
Беглый поиск выдает ряд предложений с совершенно уж детскими ценами, что-то порядка $3-4 за хост, который вполне сгодится для такого проксика. можно даже 2 взять у разных провайдеров для отказоустойчивости если странного хочется ;)
тут может быть еще хуже, потому как если дома нет света, то хоть что-то ясно. а подобные vps имеют свойство падать на пол дня, и пока до техподдержки достучишься…
C точки зрения надежности думаю тут все однозначно. Даже не знаю насколько корректно сравнивать облако гугла и одиноко стоящий тазик с одним блоком питания, одним винтом и одним каналом связи.
Причем, сохранность информации как таковой тут уже на втором месте (мы же все делаем бекапы, правда?)
А вот доступность этой информации в таком решении вызывает сомнения.
Либо вам вообще не критично — лежит почта или не лежит, но тогда тем более зачем уходить от готового и рабочего решения?
Повторюсь, если вдруг gmail внезапно без обьявления войны закроют — вы перенесете домен на другой аналогичный сервис (уверен, к тому времени он будет и не один) и поднимете почту с бекапа.
Так что я пока вижу больше минусов чем плюсов (кроме абстрактного «забрать данные от корпорации добра».)
Мне просто не вполне понятно зачем это всё?
Личная почта на своем домене, который пристыкован к Google Apps или Yandex, репозитории на github / bitbucket. Полет нормальный.
Закроют Gmail? Ну ок, домен переедет на другой сервис, тем более что я уверен — день-другой на бекап ящика через imapsync у меня точно будет. Репозитории бекапятся сами ввиду своей децентрализованности.
Ну ей богу не вижу смысла в подобном решении
О, уже появляется второй хост.
Стоимость обслуживания подобного решения начинает как-то угрожающе расти, не находите?
При этом надежность все еще далека от того же гугла.
Представьте себе ситуацию — вы в командировке в другом городе, срочно нужен доступ к почте. А дома в это время нет света. Авария серьезная, восстановление займет не один час, упс не дотянул. (вариант с лежачим провайдером даже не рассматриваем, ведь вы наверняка затянули к себе 2-3 аплинка и каким-то образом организовали их failover]) Ваши действия?
> По итогам, было решено осуществить следующие мероприятия:
> 1. Усиленная проверка оптических трансиверов и сетевого оборудования в тестовом окружении;
А вариант поставить «родные» трансиверы на критических узлах не прошел?
> А есть альтернативы? Вы сможете, к примеру, обеспечить работу заливки по PXE без portfast? Нет?
В условиях взаимоисключающих параграфов (portast на потенциально петлеопасных портах+ доступ идиотов к этим портам) вопрос несколько выходит за рамки spanning tree. Более надежным решением тут видится создание топологии беспетельной от природы с использованием Vlan per port например или Private VLAN.
Еще как ненадежный вариант — portfast trunk: When you enable PortFast between two switches, the system will verify there are no loops in the network before bringing the blocking trunk to a forwarding state. — www.cisco.com/en/US/docs/switches/lan/catalyst4000/7.4/configuration/guide/stp_enha.html#wp1019873 — возможно, на некоторых платформах оно действительно will verify there are no loops in the network before
> В документации по portfast'у где-то пишется, что после получения BPDU порт моментально переходит в blocking, а затем проходит через нормальный процесс STP. И кольцо должно возникнуть максимум на 2 секунды
Все правильно. При условии что продавленный арп-штормом control-plane с другой стороны будет в состоянии отправить этот BPDU например. И что этот BPDU не дропнется на перегруженном порту еще до того как он дойдет до процессора. Нигде не написано что максимальное время броадкаст-шторма при включенном portfast на портах и запетлявшей топологии = 2с. Зачем же это додумывать?
У каждой технологии есть границы применимости, соответственно их нужно либо не нарушать, либо не использовать технологию. А если уже странного хочется, то хотябы понимать где костыли стоят.
> Необходимо заранее предусмотреть любые возможные сценарии, ведущие к аварии,
> и? предпринять меры по недопущению как можно большего числа этих аварий.
Надо понимать, в комплекс мер по предотвращению у вас входит игнорирование предупреждений вендора о возможности образования петель при тех телодвижениях что вы совершаете?
> Циска на моей памяти не говорила, что подобный луп может вынести весь L2 сегмент
Циска вроде бы никогда не умалчивала того факта что bridging loop — это то чего стоит избегать любой ценой.
>> «вы включили portfast там где включать его было нельзя»
> Немного неправильный подход. Сеть должна быть отказо- и дуракоустойчивой.
Вы сами отключии защиту от дурака там где этого было делать нельзя. portfast по умолчанию не задействован на всех портах. При его включении в консоли отдает ворнинг с капсом CAUTION. Таким образом вы сняли ремни безопасности, убрали подушку, — и тапку в пол. А потом заявляете что, мол, ездить на машине смертельно опасно…
> У нас на пользовательском аксессе раз в пару месяцев BPDU guard блокирует порты, потому что кто-то умный втыкает торчащий из розетки патч-корд в соседнюю розетку. Суть моего комментария сводится к тому, что не следует полагаться на механизмы STP в этом случае.
Получается, portfast у вас на access портах отключен, раз там bpdu летят?
Взять Nexus 2000 — у них нет никакого storm control. То есть кто-то соединил соседние порты патч-кордом, и минимум кусок сети с большой вероятностью лег.
Если есть вероятность образование петли, то отключать portfast и глушить там stp — преступление против человечества. И рано поздно это даст по голове. Еще раз — should only be enabled on ports connected to a single host. А сдуру можно много чего сломать…
На том BCMSN (SWITCH) что был я этот момент ни разу не игнорировался. Но даже без него понятно, что
%Warning: portfast should only be enabled on ports connected to a single
host. Connecting hubs, concentrators, switches, bridges, etc… to this
interface when portfast is enabled, can cause temporary bridging loops.
Use with CAUTION
при включении оного — не просто так написан.
Отсюда вывод — вы включили portfast там где включать его было нельзя, получив тот самый temporary bridging loop, и дело тут вовсе не в нагрузке…
Если уж так дичайше угорать по кошкам, то отчего бы не вынести нат на какой нибудь pix 515e? Сэкономили бы раз в 8-10, вашу нагрузку эта коробка вполне прожует…
А весь этот угар происходит из-за одного простого факта.
Критерием оценки эффективности работы того же сотрудника СБУ, ГАИ, милиции является количество заведенных им (или под его чутким руководством) админпротоколов / уголовных дел по тем или иным статьям. Мало дел завёл? Значит плохой, негодный работник. Преступники на свободе гуляют, а ты не пойми чем занимаешься. Или увольняем, или работай лучше. Причем, если дело до суда не дошло, или в суде развалилось — значит халтурим, — тщательнее, мол, надо, старательнее. Злодеи ж от ответственности уходят из-за твоего расп… дяйства (а не в сговоре ли ты с ними часом?)
Дальше у сотрудника стоит выбор — либо увольняться, либо работать как им говорят. Большинство выбирают второй вариант. Сначала, может, как-то там совесть еще и вмешивается (и тут же успешно давится посылами типа мне нужны деньги / жизнь такая / кому щас легко? / у меня семья / прочий самооправдательный бред). Потом о ней забывают, и начинают считать такой беспредел нормой жизни. Тем более что его поощряет руководство (обратное же — совсем не поощряет).
Пара-тройка лет — и человек из сотрудника правоохранительных органов запросто превращается в натуральную тварь, с деформированной наглухо психикой, кучей комплексов, чувством вседозволенности, зарплатой из госбюджета и табельным оружием на борту. Некоторая доля сотрудников, кстати, в таком виде на службу после учебы и поступает — а чо, начальству это выгодно — он показатели даст, к гадалке не ходи…
Ну а дальше уж — как сложится. Кто-то умудряется работать без вышеупомянутых побочных эффектов, в целом сохраняя адекватное восприятие реальности (в основном на тех направлениях где «левых» дел сочинять не нужно, настоящих хватает. наркотики, грабежи/убийства, прочее «ня») — этим людям как правило хернёй заниматься некогда, да и незачем. Там все больше по взяточничеству с фигурантов — сроки внушительны, бандиты при деньгах…
Кого-то увольняют (это когда уже вообще клиника, ну или того требует обстановка наверху), кого-то сажают (когда к клинике еще и отбитый нюх прибавляется + навык удача около нуля), а кто-то умудряется пойти на повышение, и, в конечном итоге, становится следующим начальником. Всё, круг замкнулся.
Что с этим делать — сложно сказать… Разогнать плохих, негодных и набрать хороших, годных? А где их взять, например? В Грузии так сделали, определенный эффект, конечно, дало. Но, похоже, такой перформанс надо регулярно проводить, ибо, судя по отзывам, в той же Грузии взятки потихонечку уже опять стали брать… Опять же, если разгонять плохих слишком часто — хорошие могут закончиться. Тогда что?
Одно только понятно — если ничего не делать, — лучше не станет. Либо станет, но эволюция — процесс исключительно не быстрый, увы.
Из того что создавать красивые и удобные интерфейсы должны соответствующие специалисты, вовсе не следует, что этим специалистам стоит столь брутально забивать на фидбеки пользователей, мотивируя это тем что «вы совершенно не понимаете сути, у вас еще привычка не выработалась». Интернет полон негативных отзывах о Unity, и это жжж не спроста.
Я бы вполне понял, если бы текущую версию этой оболочки обьявили неким Tech Preview и попросили ее тестить и слать багрепорты. Но тулить ее в качестве DE по умолчанию, вынося Gnome2 из дистриубтива — это нечто за гранью добра и зла в моей картине мира.
Беглый поиск выдает ряд предложений с совершенно уж детскими ценами, что-то порядка $3-4 за хост, который вполне сгодится для такого проксика. можно даже 2 взять у разных провайдеров для отказоустойчивости если странного хочется ;)
Причем, сохранность информации как таковой тут уже на втором месте (мы же все делаем бекапы, правда?)
А вот доступность этой информации в таком решении вызывает сомнения.
Либо вам вообще не критично — лежит почта или не лежит, но тогда тем более зачем уходить от готового и рабочего решения?
Повторюсь, если вдруг gmail внезапно без обьявления войны закроют — вы перенесете домен на другой аналогичный сервис (уверен, к тому времени он будет и не один) и поднимете почту с бекапа.
Так что я пока вижу больше минусов чем плюсов (кроме абстрактного «забрать данные от корпорации добра».)
Личная почта на своем домене, который пристыкован к Google Apps или Yandex, репозитории на github / bitbucket. Полет нормальный.
Закроют Gmail? Ну ок, домен переедет на другой сервис, тем более что я уверен — день-другой на бекап ящика через imapsync у меня точно будет. Репозитории бекапятся сами ввиду своей децентрализованности.
Ну ей богу не вижу смысла в подобном решении
Стоимость обслуживания подобного решения начинает как-то угрожающе расти, не находите?
При этом надежность все еще далека от того же гугла.
> 1. Усиленная проверка оптических трансиверов и сетевого оборудования в тестовом окружении;
А вариант поставить «родные» трансиверы на критических узлах не прошел?
В условиях взаимоисключающих параграфов (portast на потенциально петлеопасных портах+ доступ идиотов к этим портам) вопрос несколько выходит за рамки spanning tree. Более надежным решением тут видится создание топологии беспетельной от природы с использованием Vlan per port например или Private VLAN.
Еще как ненадежный вариант — portfast trunk: When you enable PortFast between two switches, the system will verify there are no loops in the network before bringing the blocking trunk to a forwarding state. — www.cisco.com/en/US/docs/switches/lan/catalyst4000/7.4/configuration/guide/stp_enha.html#wp1019873 — возможно, на некоторых платформах оно действительно will verify there are no loops in the network before
> В документации по portfast'у где-то пишется, что после получения BPDU порт моментально переходит в blocking, а затем проходит через нормальный процесс STP. И кольцо должно возникнуть максимум на 2 секунды
Все правильно. При условии что продавленный арп-штормом control-plane с другой стороны будет в состоянии отправить этот BPDU например. И что этот BPDU не дропнется на перегруженном порту еще до того как он дойдет до процессора. Нигде не написано что максимальное время броадкаст-шторма при включенном portfast на портах и запетлявшей топологии = 2с. Зачем же это додумывать?
У каждой технологии есть границы применимости, соответственно их нужно либо не нарушать, либо не использовать технологию. А если уже странного хочется, то хотябы понимать где костыли стоят.
> и? предпринять меры по недопущению как можно большего числа этих аварий.
Надо понимать, в комплекс мер по предотвращению у вас входит игнорирование предупреждений вендора о возможности образования петель при тех телодвижениях что вы совершаете?
Циска вроде бы никогда не умалчивала того факта что bridging loop — это то чего стоит избегать любой ценой.
>> «вы включили portfast там где включать его было нельзя»
> Немного неправильный подход. Сеть должна быть отказо- и дуракоустойчивой.
Вы сами отключии защиту от дурака там где этого было делать нельзя. portfast по умолчанию не задействован на всех портах. При его включении в консоли отдает ворнинг с капсом CAUTION. Таким образом вы сняли ремни безопасности, убрали подушку, — и тапку в пол. А потом заявляете что, мол, ездить на машине смертельно опасно…
> У нас на пользовательском аксессе раз в пару месяцев BPDU guard блокирует порты, потому что кто-то умный втыкает торчащий из розетки патч-корд в соседнюю розетку. Суть моего комментария сводится к тому, что не следует полагаться на механизмы STP в этом случае.
Получается, portfast у вас на access портах отключен, раз там bpdu летят?
Взять Nexus 2000 — у них нет никакого storm control. То есть кто-то соединил соседние порты патч-кордом, и минимум кусок сети с большой вероятностью лег.
Если есть вероятность образование петли, то отключать portfast и глушить там stp — преступление против человечества. И рано поздно это даст по голове. Еще раз — should only be enabled on ports connected to a single host. А сдуру можно много чего сломать…
%Warning: portfast should only be enabled on ports connected to a single
host. Connecting hubs, concentrators, switches, bridges, etc… to this
interface when portfast is enabled, can cause temporary bridging loops.
Use with CAUTION
при включении оного — не просто так написан.
Отсюда вывод — вы включили portfast там где включать его было нельзя, получив тот самый temporary bridging loop, и дело тут вовсе не в нагрузке…
Критерием оценки эффективности работы того же сотрудника СБУ, ГАИ, милиции является количество заведенных им (или под его чутким руководством) админпротоколов / уголовных дел по тем или иным статьям. Мало дел завёл? Значит плохой, негодный работник. Преступники на свободе гуляют, а ты не пойми чем занимаешься. Или увольняем, или работай лучше. Причем, если дело до суда не дошло, или в суде развалилось — значит халтурим, — тщательнее, мол, надо, старательнее. Злодеи ж от ответственности уходят из-за твоего расп… дяйства (а не в сговоре ли ты с ними часом?)
Дальше у сотрудника стоит выбор — либо увольняться, либо работать как им говорят. Большинство выбирают второй вариант. Сначала, может, как-то там совесть еще и вмешивается (и тут же успешно давится посылами типа мне нужны деньги / жизнь такая / кому щас легко? / у меня семья / прочий самооправдательный бред). Потом о ней забывают, и начинают считать такой беспредел нормой жизни. Тем более что его поощряет руководство (обратное же — совсем не поощряет).
Пара-тройка лет — и человек из сотрудника правоохранительных органов запросто превращается в натуральную тварь, с деформированной наглухо психикой, кучей комплексов, чувством вседозволенности, зарплатой из госбюджета и табельным оружием на борту. Некоторая доля сотрудников, кстати, в таком виде на службу после учебы и поступает — а чо, начальству это выгодно — он показатели даст, к гадалке не ходи…
Ну а дальше уж — как сложится. Кто-то умудряется работать без вышеупомянутых побочных эффектов, в целом сохраняя адекватное восприятие реальности (в основном на тех направлениях где «левых» дел сочинять не нужно, настоящих хватает. наркотики, грабежи/убийства, прочее «ня») — этим людям как правило хернёй заниматься некогда, да и незачем. Там все больше по взяточничеству с фигурантов — сроки внушительны, бандиты при деньгах…
Кого-то увольняют (это когда уже вообще клиника, ну или того требует обстановка наверху), кого-то сажают (когда к клинике еще и отбитый нюх прибавляется + навык удача около нуля), а кто-то умудряется пойти на повышение, и, в конечном итоге, становится следующим начальником. Всё, круг замкнулся.
Что с этим делать — сложно сказать… Разогнать плохих, негодных и набрать хороших, годных? А где их взять, например? В Грузии так сделали, определенный эффект, конечно, дало. Но, похоже, такой перформанс надо регулярно проводить, ибо, судя по отзывам, в той же Грузии взятки потихонечку уже опять стали брать… Опять же, если разгонять плохих слишком часто — хорошие могут закончиться. Тогда что?
Одно только понятно — если ничего не делать, — лучше не станет. Либо станет, но эволюция — процесс исключительно не быстрый, увы.
Я бы вполне понял, если бы текущую версию этой оболочки обьявили неким Tech Preview и попросили ее тестить и слать багрепорты. Но тулить ее в качестве DE по умолчанию, вынося Gnome2 из дистриубтива — это нечто за гранью добра и зла в моей картине мира.