• Яндекс внедряет RPKI
    0
    Александр — mitradir, про какой из Яндекс речь в статье?

    4 других Яндекс даже не подписали свои маршруты:


    При этом у всех 5 Яндекс один и тот же mntner, что намекает на единое управление. Но контакты не всегда едины.

    Сейчас мы включили проверку маршрутной информации на стыках с точками обмена трафика и приватными пирингами.

    Яндекс принимает от Яндекс по приватному пирингу невалидный маршрут?
  • PDU и все-все-все: распределение питания в стойке
    0
    Как вы относитесь к такому подключению с сошедшей изоляцией

    Является ли это нарушением регламентов/нормативов элекробезопасности или ЦОД?
    (4е фото в вашем посте)
  • Как сервис-провайдер делал свой Service Desk
    0
    Интерфейс постоянно бросается в глаза кусками Redmine. Это вдохновление, или ядро его?
  • Яндекс открывает Облако. Архитектура новой платформы
    +2
    Вопрос был шире. Яндекс сообщает, что использует свое облако под собственные проекты: «питается своей собачьей едой». Не думаю, что каждому проекту в Яндекс разрешено тратить ресурсы на изобретение и поддержку своего способа шифрования каналов между ЦОД: это затраты не только на уровнях модели OSI. Это или является частью IaaS, или не является.
    По-моему, если клиент не доверяет поставщику, то он не пользуется IaaS этого поставщика, т.к. он не доверяет не только каналам, но и ПО, firmware, «железу» и сотрудникам поставщика услуг. Не вижу ничего плохого, чтобы к красивым картинкам про много сотен гигабит между ЦОДами добавить слова про то, зашифрован трафик, или нет: это поможет заказчику построить свою модель рисков.
    Уход же от темы ИБ на about:cloud, в статье и даже комментариях вызывает лишь большее недоверие.
    Надеюсь, обещания и планы будут выполнены, маркетинг снимет с вопросов ИБ табу.
  • Яндекс открывает Облако. Архитектура новой платформы
    0
    Мне только учтонить: в т.ч. ожидается развернутая статья про регулирование в области связи по российскому законодательству? Очень смущает продажа трафика и отсутствие лицензий в договоре-оферте на сайте.
  • Яндекс открывает Облако. Архитектура новой платформы
    +3
    Вопросы по информационной безопасности:
    1. Судя по вашему описанию, у вас на compute используется GNU/Linux, KVM, QEMU. Но ни в одной презентации не затронуты вопросы обновления этих популярных составлящющих частей, хотя бы от «уязвимостей с логотипами». Можете описать пожалуйста теущее состояние (в т.ч. про «уязвимости» в CPU) и подход к обновлениям?
    2. Вы сообщате, что на выбор пользователю доступно 3 ЦОДа и возможность IP связности между облаками в них. Шифруется ли трафик по сети Яндекс между ЦОДами, если да, то как? Во время шума о PRISM был разговор о том, что ЦОДы ИТ гигинтов США безопасные, но не транспорт между ними, где трафик и уходит на анализ.


    Вопросы российской реальности:
    1. Является ли ООО «Яндекс.Облако», с которым заключается договор об оказании услуг и который продает, судя по тарифам, исходящий интернет-трафик, оператором связи и есть ли у него лицензии в области связи? Если нет, то на каком основании продается интернет-трафик?
  • Как мы строили S3 хранилище DataLine. Эксперименты, тестирование и немного о бегемотах
    0
    SSH из интернета на продуктив технологически обязателен для работы S3, или это тестовый стенд (IP со схемы)?

    % nmap -p 22 92.242.47.232/29
    Nmap scan report for 92.242.47.233
    Host is up (0.043s latency).

    PORT STATE SERVICE
    22/tcp closed ssh

    Nmap scan report for 92.242.47.234
    Host is up (0.041s latency).

    PORT STATE SERVICE
    22/tcp open ssh

    Nmap scan report for 92.242.47.235
    Host is up (0.042s latency).

    PORT STATE SERVICE
    22/tcp open ssh

    Nmap scan report for 92.242.47.236
    Host is up (0.050s latency).

    PORT STATE SERVICE
    22/tcp open ssh

    Nmap scan report for 92.242.47.237
    Host is up (0.051s latency).

    PORT STATE SERVICE
    22/tcp open ssh

  • Введение в DPDK: архитектура и принцип работы
    +1
  • Миграция в облако. Простые шаги для повышения эффективности бизнеса
    0
    Проходя мимо:

    % host -t a ruvds.com
    ruvds.com has address 193.124.0.4
    
    % host 193.124.0.4
    4.0.124.193.in-addr.arpa domain name pointer ptr.5x00.com.
    
    % curl 5x00.com
    <html><head><title>Object moved</title></head><body>
    <h2>Object moved to <a href="https://ultravds.com/">here</a>.</h2>
    </body></html>
    

    ruvds и ultravds — одно и тоже?
  • Современная классика — браузер Vivaldi 1.0
    0
    Прошу извинить, если уже поднимался вопрос, но зачем при старте произходит попытка отрезолвить на вид рандомные DNS имена:
    wireshark




    ОС: GNU/Linux.
    search lan в /etc/resolv.conf
  • ЦОД без «меди»
    0
    Эта первая инсталляция такого решения в РФ.

    Первая инсталляция по какому критерию
    1. кроссивровка на MTP
    2. у вашего поставщика СКС
    3. у вас

    ?

    Если вы имели в виду пункт 1, то заранее огорчу: это не первая инсталляция в России.
  • NETCONF. Начало
    0
    Никак нет, самописная статья.
  • IPv6 — это весело, часть 2
    +3
    Простите, RFC6296: IPv6-to-IPv6 Network Prefix Translation

    RFC6296 — IPv6-to-IPv6 Network Prefix Translation or NPTv6 (http://www.ietf.org/rfc/rfc6296.txt) define a methodology to allow for the use of a Global Unicast Address (GUA) on the «outside» of an NPTv6 gateway and another GUA (http://www.ietf.org/rfc/rfc3587.txt) or Unique Local Address (ULA — www.ietf.org/rfc/rfc4193.txt) on the «inside» of the NPTv6 gateway.

    via cisco.com
  • «Идеальный шторм» и как это лечится
    0
    1. Тогда и MetaFabric от Juniper, если о VCS от Brocade. Мухи с мухами, котлеты с котлетами. А к TRILL подходит SPB, который вы отчего-то игнорируете.

    2. «Разграничение на L3» взаимоисключает «TRILL позволяет… объединять распределенные дата-центры в единую L2-сеть».

    OTV + FabricPath — прошлый век, сейчас в моде (в том числе и у Cisco) EVPN, а OTV переведут на VXLAN, чтобы был, как EVPN.

    Возможно, ваш пост не о том, как бывает, а о том, как вы сделали. Но тогда я не понимаю, к чему отсылки к QFabric и TRILL, объединяющий датацентры, соединенные по L3.
  • Инженерное устройство дата-центра уровня TIER III, стоящего на четырех магистральных линиях
    0
    Если не секрет, расскажите пожалуйста, почему в ядро Avaya, используете ли SPB?

    На фото голубые коннекторы в коммутатор — это Panduit Push-Pull. Изящное решение.
  • «Идеальный шторм» и как это лечится
    0
    TRILL – общепринятый стандарт, у которого быстро появились вендорские варианты: FabricPath от Cisco (который используем мы) и QFabric от Juniper.

    Почему вы считаете QFabric вариантом TRILL? Начните с того, что QFabric это не протокол.
    FabricPath — это предстандарт TRILL — проприетарное решение Cisco, несовместимое с TRILL и в следующем поколениее линейке Nexus (9К) его просто нет.

    Еще TRILL позволяет… объединять распределенные дата-центры в единую L2-сеть

    Первый же флуд (или ваш шторм) полетит в соседний ЦОД. Не делайте так. Инженеры Cisco не рекомендуют делать DCI на FabricPath.

    А как же SPB? Простой, открытый протокол. Не требует специальных ASIC, в отлшичии от TRILL.
  • Что не договаривают сервисы по защите от DDoS или почему защита не работает
    0
    (я не из Qrator)

    Простите, но, по-моему, вы вцепились в один нюанс защиты от DDoS. Например, flx упомянул атаки типа Infrastructure. Почему вы не пишите, что абсолютно все защитники от DDoS не доводят до вас, что вам необходимо проверить, не открыт ли, например, SNMP на бордерах ваших аплинков? Допустим, вы закрыли всё с помощью firewall, ваши аплинки блэкхолят весь неправильный трафик, но в один момент на их бордерах возрастает CPU до 100%, они теряют пиры и ваш ресурс лежит от DDoS. А SNMP это только капля в море возможных нюансов.

    В сети можно найти фото двух сторон банковских карт. На сайте вашего любимого банка в разделе «как легко и быстро получить карту с доставкой» написано про опасности размещения фото карты в социальных сетях?

    В сети можно найти много открытых сетевых жестких дисков на public IP. Производители дисков не договаривают?

    Список «недоговариваний» можно продолжать очень долго и не только про Интернет.

    В защиту именно Qrator хочу сказать, что они (по-моему, единственные в стране) бесплатно и часто делятся своей статистикой по DDoS, что помогает правильно готовиться к атакам.
  • Яндекс.Метро следит за тобой
  • How-to: Как строится инфраструктура хостинг-провайдера
    0
    Сертифицировали ли вы ваш биллинг по законам РФ?
  • Фотоэкскурсия в ЦОД «DataPro Тверь», Часть 1
    +1
    Для увеличения надежности можно было бы использовать маршрутизаторы и коммутаторы не одного производителя, а двух разных, чтобы программный баг не положил задублированное одинаковое оборудование.
  • Arista. Знакомство
    0
    EOS от Arista можно запустить в, например, VirtualBox и хотя бы познакомиться с CLI. У Cumulus пока такого нет и они не говорят, будет ли.
    Функционал у Cumulus ограничен, правда. Достаточно взглянуть на документацию, которая доступна после регистрации.
    В ОС важна не только сама ОС, но и взаимодействие с железом. Один и тот же Broadcom можно запрограммировать по разному, или запрограммировать «плохо». Наличие оборудования на разных чипах (Broadcom, Intel и т.д.) ведет к увеличению различия в связке ОС-железо. Например, на Broadcom Cumulus будет хорошо работать, а на Intel распределят внутреннюю shared память на чипе не так и будет хуже.

    Cumulus в России не может предложить поддержку уровня Cisco или Juniper: никаких русскоязычных инженеров или follow the sun. Поддержку железа вы покупаете у производителя железа, поддержку ОС у производителя ОС. При небольших объемах, когда нельзя себе позволить менять коммутаторы, как умершие харды в RAID, это может вызвать проблемы.

    Не все так просто. нужно считать бюджет, думать о поддержке и эксплуатации и очень тщательно тестировать.
  • Arista. Знакомство
    0
    То, что использует Яндекс на сети, всегда покрыто слухами. До меня же доходили слухи, что там используют и bare metal.

    Я тоже слежу за названными компаниями. У Cumulus нет полного цикла производства свитчей, как у Arista. Они предлагает несколько производителей bare-metal коммутаторов на выбор, которые, по сути, основаны на reference design от производителя ASIC. Их ОС основана на Debian, а для привычной настройки предлагается linux shell. Dinesh Dutt из Cumulus тоже участвовал в написании стандарта для VXLAN. Подход новый: отдельно покупается железо, отдельно ОС на железо.

    Pica8 больше нацелены на OpenFlow, а не на «стандартный» CLI.

    CloudFlare хвалит Pluribus.

    К сожалению, на текущем месте работы я не могу уже близко познакомиться с bare-metal коммутаторами, а в Яндекс сетевые администраторы пока не требуются. Я не знаю (и Яндекс тоже не знает), кто еще в России способен вести разработки и внедрение на столь новом подходе и в больших масштабах. Просить у Accton тестовые коммутаторы под мои личные интересы мне стыдно.

    Если у вас есть опыт — напишите пожалуйста. Думаю, не только мне будет интересно почитать.
  • Arista. Знакомство
    0
    Спасибо! Я попробую посмотреть после регистрации на досуге.
  • Arista. Знакомство
    0
    Соглашусь, что рассказывать про то, что сделал сам, получается лучше. И соглашусь, что у Cisco по сравнению с любыми вендорами, очень много документации. Но есть ли подобные многочасовые передачи про устройство Nexus 9K и чтобы там был упор на бродкомовскую ASIC и Cisco ACI?
  • Arista. Знакомство
    0
    Мне не удалось вспомнить про маркетинг против IOS в общении, в материалах вендора. Субъективно, мне кажется, что маркетинг направлен на подчеркивание «мы рассказываем как можно больше о внутреннем устройстве железа». Мне даже кажется, что по этому пути совсем недавно пошли и другие вендоры: Cisco подчеркивает, какой ASIC в Nexus 9K, Juniper подробно рассказывает, какое железо в QFX, но при этом там не Juniper ONE, bare-metal лезут из окоп.
  • Arista. Знакомство
    0
    Мне не хотелось обижать IOS. Она взята как пример организации CLI, который знаком, думаю, большинству. Extreme называет подобное «Legacy CLI», но это менее наглядно, чем «как IOS».
  • Arista. Знакомство
    0
    Александр, к сожалению, мне о них известно только то, что они есть. В этом топике не обзорено ни одной модельки. Железки правда хорошие и мне захотелось написать общий обзор. Может, кого-то вдохновит написать следующие серии.
  • Arista. Знакомство
    0
    В схеме с ECMP свитчи имеют дело именно с пакетами. DirectFlow или OpenFlow могут иметь дело с пакетами. Можно написать и внедрить в EOS свое приложение, которое будет иметь дело с пакетами. ASIC позволяет это сделать, почему бы тогда и не иметь forwarding capacity.
  • Дата-центр OST на ул. Боровая
    0
    Соглашусь. Еще можно вспомнить, что скорость IP трафика меньше скорости интерфейсов (плата за заголовки фреймов). Мне это напоминает общение с представителями Huawei: своими догадками и фантазиями я рассказываю, как их оборудование работает (возможно).
    Хочется услышать ответ от первоисточника.
  • Дата-центр OST на ул. Боровая
    0
    Полоса не должна делиться на 10 ровно. Хочу яснее представить вашу сеть и связность. Если 75 — это не покупаемая полоса (что емеет смысл, так как редкие атаки и резервное копирование могут проходить бесплатно для вас при тарификации burstable), то это очень похоже на физическую полосу включений. Набирать 75 гигабитными портами дорого, неэффективно и просто скучно. Правильнее 75 сделать из 7 «десяток» и 5 гигабит. Но и 5 гигабит надежнее и правильнее с точки зрения трафика заменить на одну «десятку». Число 8 изящно делятся на 2 и можно сделать резервирование по платам, или коробкам, или трассам и так далее. В этом я и вижу странность 75 гигабит.
  • Дата-центр OST на ул. Боровая
    +7

    В двух ЦОД ваших коллег в комнаты поддержки так же стеснительно отодвигая плитку потолка входят кабеля :)

    Клиентам дата-центра будет доступна интернет-полоса суммарной пропускной способностью 75 Гбит/с

    «Будет» или «доступна»?

    Полагаю, при вашей суммарной утилизации (по всем ЦОД) до 18-20 Гбит/с вы не покупаете полосу 75, так как в этом нет смысла. Странное число 75: на 10 ровно не делится.
  • Опыт использования MNP в России или как я номер от оператора к оператору переносил
    0
    Я не знаю тонкостей, но беглый поиск в любимом поисковике выдает несколько вариантов, а так же принцип работы на пальцах:

    Еще сложнее обстоит ситуация, когда звонок абоненту, воспользовавшемуся MNP, придет не от сотового оператора. Например, вызов могут совершить из сети фиксированной связи, оператор которой не установил SFR-систему, или от зарубежного оператора или роуминг-партнера, который вообще не в курсе российских особенностей MNP.

    В этой связи сотовым операторам разрешили заняться пропуском трафика от других сетей (соответствующие поправки правительство приняло на этой недели). При вышеописанной схеме звонок пойдет к «оператору-донору», который определит, в какой сети сейчас обслуживается данный абонент, и перенаправит туда вызов. После этого «оператор-донор» выставит счет за пропуск трафика оператору, инициировавшему вызов.

    С удовольтсвием почитаю рассказы, как работают звонки с зарубежных операторов на перенесенный номер (sprat пишет, что skype пока не работает) и как будет работать и сколько стоить междугородний и международный роуминг. Оператор-донор должен же возместить себе свои расходы за пропуск трафика между перенесенным номер и оператором-реципиентом.
  • Опыт использования MNP в России или как я номер от оператора к оператору переносил
    +2
    Переносить номера между регионами (например, Уфа-Москва) нельзя.
  • MNP — что имеем на сегодняшний день?
    +1
    Я часто встречаю людей за 40, которые сидят на тарифах пятилетней или даже десятилетней давности (которые были дороже и которые операторы уже «оптимизировали»). Им не хочется разбираться в новых тарифах, для них это очень далеко. Разбираться в переводе номера, в том, что в 2 часа ночи нужно будет сменить SIM, а еще 6 часов могут быть перебои, возможно, им тоже не захочется.

    А вот привлекать новых активных, «молодых», клиентов путем переманивания от конкурентов ОпСоСам, возможно, как раз и захочется. Т.е. для новых абонентов плюшки могут остаться, а старым еще что-нибудь «оптимизируют».
  • Дата-центр NORD на Коровинском шоссе
    0
    Я думаю, когда на одном из двух вводов работать нельзя по причине, например, нагрузки, то это значит, что резерва по лучам нет: выход из строя одного всегда влечет за собой вывод другого.

    Я не критикую ваши ДЦ и опыт, просто хочу понять смысл.
  • Дата-центр NORD на Коровинском шоссе
    0
    что если с городской электросетью совсем апокалипсис и второй луч прикажет долго жить?

    Когда откажет второй луч, то переходить на батарейки, а с них на ДГУ. Иначе, зачем вам 2 луча?

    Я думаю, что тут нужно смотреть на вероятность, что чаще происходит:
    1. последовательное отключение 2 вводов
    2. отключение только одного ввода.

    А насчет RETN-IX? Очень интересный термин.
  • Дата-центр NORD на Коровинском шоссе
    0
    Это список IX, на которых присутствует RETN, но это не «точка обмена трафиком».
  • Дата-центр NORD на Коровинском шоссе
    0
    Что такое RETN-IX? Если верить Google, то это сочетание символов встречается только при упоминании вас.

    Электроэнергия от городской сети в NORD подается по двум независимым лучам, т.е электроснабжение дата-центра зарезервировано по схеме 2N. Если происходит сбой хотя бы на одном луче, то дата-центр автоматически переходит на энергоснабжение с помощью 9 дизель-генераторных установок (ДГУ). Пока ДГУ включаются в работу, электроснабжение в дата-центре осуществляется с помощью источников бесперебойного питания (ИБП).

    2 независимых луча не резервируют друг друга, поэтому при сбое хотя бы одного луча переходите на ДГУ?
  • Атака канального уровня ARP-spoofing и как защитить коммутатор Cisco
    0
    Если появится гирлянда свитчей, то и это не спасет.
  • Лето, отпуск, asterisk или сам себе VoIP оператор
    0
    Дико извиняюсь, может, чего не знаю, но зачем вы генерите ta.key, если tls-auth в конфигах не видно?