Несмотря на то, что большая часть ИТ-индустрии внедряет инфраструктурные решения на базе контейнеров и облачных решений, необходимо понимать и ограничения этих технологий. Традиционно Docker, Linux Containers (LXC) и Rocket (rkt) не являются по-настоящему изолированными, поскольку в своей работе они совместно используют ядро родительской ​​операционной системы. Да, они эффективны с точки зрения ресурсов, но общее количество предполагаемых векторов атаки и потенциальные потери от взлома все еще велики, особенно в случае мультиарендной облачной среды, в которой размещаются контейнеры.



Корень нашей проблемы заключается в слабом разграничении контейнеров в моменте, когда операционная система хоста создает виртуальную область пользователя для каждого из них. Да, были проведены исследования и разработки, направленные на создание настоящих «контейнеров» с полноценной «песочницей». И большинство полученных решений ведут к перестройке границ между контейнерами для усиления их изоляции. В этой статье мы рассмотрим четыре уникальных проекта от IBM, Google, Amazon и OpenStack соответственно, в которых используются разные методы для достижения одной и той же цели: создания надежной изоляции. Так, IBM Nabla разворачивает контейнеры поверх Unikernel, Google gVisor создает специализированное гостевое ядро, Amazon Firecracker использует чрезвычайно легкий гипервизор для приложений песочницы, а OpenStack помещает контейнеры в специализированную виртуальную машину, оптимизированную для инструментов оркестрации.

Новый Windows Terminal, который компания Microsoft анонсировала на MS Build 2019, уже доступен в для скачивания в сторе, сообщается в официальном блоге. Для интересующихся — репозиторий проекта на GitHub.


Terminal — это новое приложение Windows для централизованного доступа к подсистемам PowerShell, Cmd и Linux-ядра в упаковке Windows Subsystem Linux. Последняя стала доступна для сборки Windows Insider build 18917 уже 20 июня.

После не самого впечатляющего анонса нового i9-9900KS на Computex от Intel, многие могли подумать, что компания окончательно сдала позиции и не привезла ничего впечатляющего в отличие от своего прямого конкурента — компании AMD, которая показала линейку процессоров Ryzen третьего поколения. Но вчера, в рамках все той же выставки Computex, компания Intel провела свою вторую презентацию, на которой продемонстрировала публике новое, десятое поколение своих процессоров с шагом 10 нм и кодовым названием Ice Lake (Sunny cove). Представленные Intel наработки с новым техпроцессом предназначены пока исключительно для мобильного сегмента. Также компания показала и двенадцать новых процессоров для рабочих станций и два для ноутбуков из семейства Intel Xeon.



Ice Lake — прямой наследник процессоров Whiskey Lake для мобильных устройств. Основные черты эти процессоров: низкое энергопотребление, малые значения TDP и небольшое, по современным меркам, количество ядер.

Точный модельный ряд презентован не был, но по информации Intel все процессоры Ice Lake будут иметь тепловыделение на уровне от 9, 15 или 28 Вт, обновленное графическое ядро для данного семейства CPU, а также специальный выделенный логический блок Gaussian Neural Accelerator и поддержку векторных целочисленных инструкций DL Boost (Deep Learning Boost) для машинного обучения.

Пока Intel с серьезным выражением лица презентует потребителям оверклокнутый 9900K на 14 нм под видом нового процессора, компания AMD показывает настоящие новинки для пользовательского сегмента. Так, два дня назад, на выставке Computex, общественности были представлены новые процессоры Ryzen трехтысячной серии.



В отличие от конкурентов по цеху, которые стыдливо жуют клей и до сих пор стараются выжать все соки из технологии на базе 14 нм, что выражается в «революционном» приросте в 300 MHz частоты на ядро, AMD «шагают» крайне широко. Вот короткий список вкусных новинок, которые получат потребители с новыми трехтысячными Ryzen на базе Zen 2:

• 7 нм;
• PCI-e 4.0;
• новый чипсет X570;
• обратная совместимость со старыми материнскими платами АM4;
• два «холодных» процессора с TDP 65 Вт для любителей тишины;
• крайне адекватная стоимость.

И все это в продаже уже с 07.07.2019 года. А теперь давайте расскажем подробнее.

Вчера компания Intel представила публике свой новый восьмиядерный процессор (16 потоков) i9-9900KS с тактовой частотой в 5,0 GHz на каждое ядро в режиме Turbo. Режим Turbo в процессорах Intel — это система, которая автоматически поднимает тактовую частоту ядер при увеличении нагрузки на процессор и не является оверклокингом. Базовая частота нового 9900KS составит 4,0 GHz на ядро.



Хотя и цифры базовой и Turbo-частот впечатляют, дела Intel сложно назвать хорошими. Новый i9-9900KS — фактически модификация уже всем привычного i9-9900K — в чем признаются и сами инженеры компании. Новый 9900KS использует практически ту же компоновку и техпроцесс в 14 нм, что и 9900K, а увеличения частоты инженеры смогли добиться благодаря «ряду доработок». Также не было внесено изменений и во встроенную графику: i9-9900KS будет оснащаться тем же Intel UHD 630, что и предшественник.

Как-то так исторически сложилось, что IT-индустрия по любому поводу разбивается на два условных лагеря: которые «за» и которые «против». Причем предмет споров может быть абсолютно произвольным. Какая ОС лучше: Win или Linux? На смартфоне Android или iOS? Хранить все в облаках или заливать на холодные RAID-хранилища и класть винты в сейф? Имеют ли PHP-шники право называться программистами? Эти споры носят, временами, исключительно экзистенциальный характер и не имеют под собой никакой прочей, кроме спортивного интереса, базы.

Так уж получилось, что с появлением контейнеров и всей этой любимой нами кухни с докером и условным k8s начались и споры «за» и «против» использования новых возможностей в различных сферах бэкэнда. (Заранее оговоримся, что хотя чаще всего в данном рассуждении в качестве оркестратора будет указываться Kubernetes, принципиального значения выбор именно этого инструмента не имеет. Вместо него можно подставить любой другой, какой вам кажется наиболее удобным и привычным.)

И, казалось бы, был бы это простой спор о двух сторонах одной медали. Такой же бессмысленный и беспощадный, как извечное противостояние Win vs Linux, в котором адекватные люди вполне себе существуют где-то посередине. Вот только в случае контейнеризации не все так просто. Обычно в таких спорах не бывает правой стороны, но в случае «применять» или «не применять» контейнеры для хранения БД все становится с ног на голову. Потому что в определённом смысле правы и сторонники и противники подобного подхода.

На днях в блоге Elastic появилась запись, в которой сообщается о том, что основные security-функции Elasticsearch, выведенные в open source-пространство более года назад, теперь являются бесплатными для пользователей.

В официальной блогозаписи содержатся «правильные» слова о том, что open source должен быть бесплатным и что владельцы проекта строят свой бизнес на прочих дополнительных функциях, которые предлагаются ими для enterprise-решений. Теперь в базовые сборки версий 6.8.0 и 7.1.0 включены следующие security-функции, ранее доступные только по gold-подписке:

• TLS для шифрованной связи.
• Файл и native-реалм для создания и управления пользовательскими записями.
• Управление доступом пользователей к API и кластеру на базе ролей; допускается многопользовательский доступ к Kibana с использованием Kibana Spaces.

Однако перевод security-функций в бесплатную секцию — это не широкий жест, а попытка создать дистанцию между коммерческим продуктом и его главными болячками.

А они у него есть и серьезные.

На своей ежегодной конференции для разработчиков компания Microsoft сделала сразу несколько достаточно важных презентаций. Мы выбрали две из них.

Первое: в летней сборке 19H2 Windows 10 будет поставляться полноценное Linux-ядро на базе версии 4.19 от 22 октября 2018 года для собственной подсистемы «Linux для Windows» (WSL — Windows Subsystem Linux).

Второе: в будущие энтерпрайз-сборки Chromium-реинкарнации умерщвленного компанией Microsoft Edge будет встроено ядро IE.

Первая новость — важна и полезна для разработчиков, вторая — похожа на плохой анекдот.


Мы встроили в твой Chromium-браузер движок IE, чтобы ты не забывал, что это браузер Edge

Наша компания с 2008 года занимается преимущественно управлением инфраструктурами и круглосуточной технической поддержкой веб-проектов: у нас более 400 клиентов, это порядка 15% электронной коммерции России. Соответственно, на поддержке очень разнообразная архитектура. Если что-то падает, мы обязаны в течение 15 минут это починить. Но чтобы понять, что авария произошла, нужно мониторить проект и реагировать на инциденты. А как это делать?

Я считаю, что в организации правильной системы мониторинга происходит беда. Если бы беды не было, то мой спич состоял из одного тезиса: «Установите, пожалуйста, Prometheus + Grafana и плагины 1, 2, 3». К сожалению, теперь так не работает. И главная проблема заключается в том, что все продолжают верить во что-то такое, что существовало в 2008 году, с точки зрения программных компонентов.

В отношении организации системы мониторинга я рискну сказать, что… проектов с грамотным мониторингом не существует. И ситуация настолько плохая, если что-то упадёт, есть риск, что это останется незамеченным — все ведь уверены, что «всё мониторится».
Возможно, всё мониторится. Но как?

Все мы сталкивались с историей наподобие следующей: работает некий девопс, некий админ, к ним приходит команда разработчиков и говорит — «мы зарелизились, теперь замониторь». Что замониторь? Как это работает?

Ок. Мониторим по старинке. А оно уже изменяется, и выясняется, что ты мониторил сервис А, который стал сервисом B, который взаимодействует с сервисом C. Но команда разработчиков тебе говорит: «Поставь софт, он же должен все замониторить!»

Так что изменилось? — Всё изменилось!

При соблюдении ряда условий, опция фильтра $rewrite, внедренная в AdBlock, AdBlock Plus и uBlock с обновлением 3.2 от 17 июля 2018 года, позволяет выполнять произвольный код на отображаемой пользователю веб-странице, сообщается в блоге armin.dev.

Вот как описывается проблемная функция в самом патчноуте AdBlock:

В этом патче реализована новая опция фильтра $rewrite, которая позволяет авторам списков фильтров предотвращать показ (в основном это касается видео) рекламных объявлений, которые ранее не могли быть заблокированы на ряде веб-сайтов.

Описываемая уязвимость затрагивает все три упомянутых блокировщика рекламы, суммарная аудитория которых превышает 100 млн пользователей. Использовать ее можно для атаки на любой веб-сервис, включая и не ограничиваясь, например, любым из ресурсов Google. Проблема носит повсеместный характер, то есть атака с одинаковой успешностью может быть проведена на любом популярном браузере и не зависит от его версии.

Уязвимость просуществовала почти 9 месяцев и была найдена только сейчас.

В прошлом месяце на NVIDIA GTC 2019 компания NVIDIA представила новое приложение, которое превращает нарисованные пользователем простые цветные шарики в великолепные фотореалистичные изображения.


Приложение построено на технологии генеративно-состязательных сетей (GAN), в основе которой лежит глубинное обучение. Сама NVIDIA называет его GauGAN — это каламбур-отсылка к художнику Полу Гогену. В основе функциональности GauGAN лежит новый алгоритм SPADE.

В этой статье я объясню, как работает этот инженерный шедевр. И чтобы привлечь как можно больше заинтересованных читателей, я постараюсь дать детализированное описание того, как работают свёрточные нейронные сети. Поскольку SPADE — это генеративно-состязательная сеть, я расскажу подробнее и о них. Но если вы уже знакомы с эти термином, вы можете сразу перейти к разделу «Image-to-image трансляция».

Генерация изображений

Давайте начнем разбираться: в большинстве современных приложений глубинного обучения используется нейронный дискриминантный тип (дискриминатор), а SPADE — это генеративная нейронная сеть (генератор).

Мы уже давно привыкли, что крупные IT-компании занимаются не только выпуском продуктов и оказанием услуг, но и активно участвуют в развитии интернет-инфраструктуры. DNS от Google, облачные хранилища и хостинг Amazon, дата-центры Facebook по всему миру — пятнадцать лет назад это казалось слишком амбициозным, а сейчас является нормой, к которой все привыкли.

И вот, четверка крупнейших IT-компаний в лице Amazon, Google, Microsoft и Facebook дошли до того, что начали вкладываться не только в непосредственно дата-центры и серверы, но и в сами магистральные кабели — то есть зашли на территорию, которая традиционно являлась зоной ответственности совершенно иных структур. Причем, судя по выводам в блоге APNIC, упомянутый квартет технологических гигантов замахнулся не просто на наземные сети, а на магистральные трансконтинентальные линии связи, т.е. на всем нам знакомые подводные кабели.



Самое удивительное, что острой необходимости в новых сетях сейчас нет, но компании активно наращивают пропускную способность «про запас». К сожалению, найти внятную статистику о мировой генерации трафика почти невозможно благодаря многочисленным маркетологам, которые оперируют размерностями вида «65 миллионов постов в инстаграме ежедневно» или «N поисковых запросов в Google» вместо прозрачных и понятных техническим специалистам петабайт. Можно осторожно предположить, что ежедневный трафик составляет ≈2,5*10^18 байт или около 2500 петабайт данных.

Вчера, полностью серьезно и без каких-либо шуток-прибауток, компания Cloudflare анонсировала свой новый продукт — VPN-сервис на базе DNS-приложения 1.1.1.1 для мобильных устройств с использованием собственной технологии шифрования Warp. Основной фишкой нового продукта Cloudflare является простота — целевой аудиторией нового сервиса являются условные «мамы» и «друзья», которые не способны самостоятельно купить и настроить классический VPN или не согласны устанавливать прожорливые в плане энергопотребления сторонние приложения от неизвестных команд.



Напомним, ровно год и один день назад — 1 апреля 2018 года — компания запустила свой публичный DNS 1.1.1.1, аудитория которого за прошедший период выросла на 700%. Сейчас 1.1.1.1 борется за внимание публики с уже ставшим классическим DNS от Google по адресу 8.8.8.8. Позже, 11 ноября 2018 года, CloudFlare запустили мобильное приложение 1.1.1.1 для iOS и Android и вот теперь, на его базе запускается и «VPN по кнопке».

Вчера, 26 марта, команда разработчиков браузера Firefox представила новый продукт под названием Firefox Lockbox — менеджер паролей для мобильный устройств. Согласно странице FAQ проекта, сейчас доступна только версия для iOS, но «в ближайшее время появится и вариант для устройств под управлением Android». Возможно, FAQ просто не обновили, потому что в Google Play приложение уже есть и доступно для скачивания. Также для ознакомления можно посмотреть репозиторий проекта на GitHub.

Идея Firefox Lockbox одновременно и проста до банальности, и весьма символична, так как решает очень распространенный пользовательский кейс: извлечение паролей из браузера. Firefox Lockbox — по своей сути, тот же менеджер паролей, что и 1password или KeePass, однако имеет из коробки синхронизацию с одним из популярных браузеров. Приложение позволяет извлекать пользовательские пароли и переносить их в приложение без этапа передачи в открытом виде (если делать выгрузку логинов-паролей руками). Конечно, далеко не все пользователи способны извлечь свои данные, а некоторые даже не подозревают о такой возможности.

Но во всей этой истории есть несколько больших «но»: Lockbox работает только с аккаунтами Firefox, плюс не до конца понятно, кому он нужен и почему Mozilla выпускает моно-приложение для хранения паролей вместо того, чтобы заниматься более важными вещами.

От переводчика: этот текст — перевод записи в личном блоге Михаэля Штапельберга (Michael Stapelberg) видного open source-разработчика (профиль GitHub), который внес значительный вклад в развитие Debian.

---

Этот пост было сложно написать с эмоциональной точки зрения, но я и не ограничился «коротким письмом, потому что у меня не было времени». Пожалуйста, перед прочтением этого текста учтите, что пишу я его с лучшими намерениями и не ставлю себе целью демотивировать или принизить вклад кого-то из разработчиков. Скорее, я хочу объясниться, почему мой уровень разочарования превысил все допустимые значения.

Debian был частью моей жизни на протяжении 10 лет.

Несколько недель назад, на посвященной Debian встрече, проходившей в Цюрихе, я встретился со своими старыми друзьями, которых не видел много лет. Когда я уже ехал домой на велосипеде, меня осенило, что все обсуждаемые нами темы так или иначе сводились к тому, что мы обсуждали с ними в прошлый раз. Мы дискутировали о достоинствах systemd, который вновь привлек внимание участников open source сообщества, затронули тему процессов в Debian. Кульминацией стало обсуждение демократии как таковой и соответствующие теоретические и практические ошибки. Но, на самом деле, это уже чисто швейцарская тема.

Это не обзор прошедшего митапа, я просто хочу объяснить, что побудило меня задуматься о своем текущем отношении к Debian и подходит ли он мне.

Итак, я принял решение, которое должен был принять давно: я сворачиваю свое участие в развитии Debian.

Скандальные, важные и просто очень крутые материалы выходят в СМИ не каждый день, да и со 100% точностью спрогнозировать успешность той или иной статьи не возьмётся ни один редактор. Максимум, чем располагает коллектив — на уровне чутья сказать, «крепкий» материал или же «обычный». Все. Дальше начинается непредсказуемая магия СМИ, благодаря которой статья может выйти в топы поисковой выдачи с десятками ссылок от других изданий или же материал канет в Лету. И вот как раз в случае публикации крутых статей сайты СМИ периодически падают под чудовищным наплывом пользователей, который мы с вами скромно называем «хабраэффектом».

Этим летом жертвой профессионализма собственных авторов стал сайт издания Republic: статьи на тему пенсионной реформы, о школьном образовании и правильном питании в общей сложности собрали аудиторию в несколько миллионов читателей. Публикация каждого упомянутого материала приводила к настолько высоким нагрузкам, что до падения сайта Republic оставалось совсем «вот столечко». Администрация осознала, что надо что-то менять: нужно было изменить структуру проекта таким образом, чтобы он мог живо реагировать на изменение условий работы (в основном, внешней нагрузки), оставаясь полностью работоспособным и доступным для читателей даже в моменты очень резких скачков посещаемости. И отличным бонусом было бы минимальное ручное вмешательство технической команды Republic в такие моменты.

По итогам совместного со специалистами Republic обсуждения различных вариантов реализации озвученных хотелок мы решили перевести сайт издания на Kubernetes*. О том, чего нам всем это стоило, и будет наш сегодняшний рассказ.

*В ходе переезда ни один технический специалист Republic не пострадал

Только вчера мы разбирались, почему медиа твердят о потере Intel доминирующей позиции на рынке и как на компании отразится внедрение Amazon собственного серверного ARM-процессора, как представители технологического гиганта сделали очередной крупный анонс.

Компания Intel представила новую трехмерную архитектуру CPU под названием Foveros. Во второй половине 2019 года технологический гигант планирует поставить на рынок новый тип процессоров с шагом каждого слоя 10 нм и 22 нм соответственно.


Кликабельно

Почему этот анонс от Intel так важен? Производители оборудования и специалисты сферы уже давно говорят о замедлении темпов развития вычислительных средств и несоблюдении Закона Мура в сфере CPU. Одна из причин — использование однослойной архитектуры и постоянное стремление одновременно уменьшить площадь чипа, при этом увеличив количество транзисторов на квадратный миллиметр. При этом переход на трехмерную архитектуру не только решает часть вопросов с дальнейшим увеличением вычислительной мощности, но и открывает нам путь к созданию полноценных чиплетов.

Если вы лениво следите за последними новостями, просматривая заголовки в своей ленте, то в течение последних двух лет вы сталкивались с пассажами примерно такого уровня: «Amazon борется с доминацией Intel и запускает производство своих серверных CPU», «Intel теряет значительную долю рынка», «Amazon отказывается от процессоров Intel», «В разработке находятся серверные ARM-процессоры от Amazon», «Intel переносит потребительский релиз 10 нм CPU» и наконец «Intel представит 7 нм процессор в 2020 году».

Конечно, заголовки эти весьма примерные и если вы не занимаетесь обслуживанием серверов или не арендуете мощности у AWS, то все это вас слабо касается. Ну барахтаются там гиганты между собой, как девицы на вечеринке лупят друг друга мешками, набитыми деньгами, при этом Qualcomm и AMD ведут каждый свою разработку, у NVIDIA какое-то движение с их CUDA, а Apple как обычно тихо в углу жует клей занимается своими делами. А еще создается впечатление, что скоро Intel свергнут, если уже не свергли (до сих пор сидят на 14 нм !), про электовафельницы от AMD перестанут шутить да и вообще, Amazon станет крупным производителем ARM-процессоров. Но все далеко не так, так что давайте разбираться.

Доминация Google в ряде сегментов совокупно с политикой компании стали вызывать так много вопросов в последние годы, что практически на всех тематических форумах и площадках пользователи начали активно делиться своим «Google-free» опытом — информацией о попытках частично или полностью избавиться от сервисов компании в повседневном обиходе.

Дошло вплоть до того, что активист Pieter @levelsio Levels создали целый сайт — nomoregoogle.com, который представляет перечень сервисов компании Google с перечислением достойных, по мнению составителей списка, альтернатив. Цель очевидна — вырваться из экосистемы технологического гиганта, которая, будто черная дыра, засасывает в себя не только пользователей, но даже соседей по цеху (в начале прошлой неделе мы писали о слухах про отказ EdgeHTML, а к концу недели эту информацию официально подтвердили в Microsoft: даже несгибаемые «майки» переходят на Chromium в своем браузере по умолчанию, что пугает).

Около месяца назад мы подготовили большую статью с невыдуманными историями об IT-самозванцах, где рассказали об ушлых ребятах из Азии, которые любыми путями пытались устроиться к нам на удаленную работу. Весь текст был посвящен разного сорта авантюристам — людям, которые чаще всего ничего не смыслили в IT и разработке, но выдавали себя за девелоперов. В той статье мы упоминали, что подобных Остапов на территории СНГ практически нет. Ну как-то не тянет наших соотечественников и людей из ближнего зарубежья пытаться кого-то обмануть таким образом. Но на другом берегу этой истории с самозванцами стоят настоящие разработчики — люди умные, компетентные, опытные, одним словом, хорошие специалисты. И как раз они, чаще всего, формируют вторую сторону медали поднятой нами истории.


Стив поверил в себя, так и ты поверь

Все дальнейшие рассуждения, советы и пояснения строятся на одном простом факте: очень часто при трудоустройстве через Crossover выходцев из СНГ мы сталкиваемся с ситуацией, когда специалист заявляется на позицию с более низкими требованиями по сравнению с его реальной квалификацией. То есть представители русскоязычного IT-сообщества систематически себя недооценивают. И это — массовая проблема.