Когда я изучал экономику производства в ВУЗе, нас учили что для расширенного вопроизводства (важно!) необходима рентабельность производства не ниже 100%. Иначе без вложений в НИОКР производство загнется в следующем или через один цикле.
Это не просто производство, но и разработка. В тексте указано как запросто можно в два раза пролететь на новом виде товара. Так что не нужно измерять по аналогии с торговлей семечками.
Ну почему - на али полно mini-ITX плат на Intel 100: 2 M.2 nvme, пассивное охлаждение. Добавить аккуратный корпус и БП по вкусу - и прям газмпром! В смысле сбычи мечт.
Насчет CF не соглашусь. Сильно зависит от профиля клиентского трафика. Не всегда понимает корректно профиль легитимного трафика и потом не может корректно детектить атаки. Ну и дорого. Очень.
А вам не жалко людей, которые на всяких letcode тренируются для трудоустройства, вместо того, чтобы умные книги читать и развиваться профессионально? Просто это разные задачи: знать язык и получить сертификат (развиваться профессионально и натаскиваться на прохождение интервью).
надо понимать,что тот уровень доступности, который есть из коробки в клауде, onprem стоит очень дорого
Иногда он просто не нужен. А цена on-prem реально в 5 (пять!) раз ниже cloud. А еще можно прогружать свой on-prem на 100% и спайки докупать в клауде. Тут вообще эффект просто поразительный.
Сделайте систему логирования. Без нее - никуда. На основании логов можно определать baseline и сигнатуры, строить правила защиты и рисовать красивые графики для менеджмента. Ну и алерты потом прикрутите - сами понимать будете когда атака началась и что за атака.
После того как построите сигнатуру своего легитимного трафика, попросите своих ISP настроить ACL с их стороны - таким образом закроете вопрос атак L2-3 (DNS & NTP amplifications etc)
Тут самое интересное: готовьте свою аналитику на основе п.1. Вам нужно детектировать девиации трафика (отклонения от baseline) и решать что с этим делать. Это, конечно самое сложное: с одной стороны вы должны отсечь максимум паразитного трафика, с другой - не допустить false positives. Хорошее решение - не дропать клиента, а загонять его на JS challenge.
Дальше проще: есть detector (п.3), есть периметр сети, где происходит блокировка. Постоянно работает процесс: детектирование атаки -> определяем её вектор -> генерируем action -> применяем его к блокиратору -> goto start. Блокиратор, естественно, должен быть как можно ближе к источнику атаки. Тут возможны варианты с honey pot etc.
Конечно, это очень общее описание. Ситуация зависит от внешних каналов, числа POPs, величины production traffic etc. Ну и вариантов реализации, конечно, великое множество.
Бескрайние поля и луга есть много где. Но мало где есть не обрабатываемые постоянно химией поля. Пчелы, почему то, до смерти этого не любят. Оптимальное место - лес у реки.
Почему лучше переходить на коммерческие СУБД вместо использования базовой PostgreSQL?
Опенсорсное ПО может включать вредоносные закладки: скрытые политические сообщения, «бомбы замедленного действия», «жучки» и другие опасные элементы.
Уязвимости открытого ПО быстро становятся общеизвестными, и как только информация об уязвимости распространяется, возникает срочная необходимость ее устранения.
И это пишет "Менеджер по развитию решений СУБД". Я даже не знаю как это назвать.. Просто слов нет.
Слабо верится, что open source найдет применение в системах, связанных с производством, финансами или другими ключевыми отраслевыми операциями.
И хорошо, что верится слабо. Про Linux, nginx и Postgres автор не слышал. Но разве это важно, когда верится, хоть и слабо?
Фильтрация трафика и жирные интернет-каналы сейчас стоят копейки. Не раскрыт самый важный вопрос: как распознать suspicious и malicious трафик?
Используйте анти-DDoS фильтры, которые анализируют трафик в реальном времени и блокируют подозрительные запросы.
Какие "анти-DDoS фильтры" можно использовать для детектирования распределенной атаки из 10K атакеров если каждый атакер посылает 30 запросов в минуту на легитимные URL, пробивая кэш и не превышаю лимит легитимных пользователей?
Включите все доступные защитные механизмы, WAF и сетевые брандмауэры
Прямо представил: стоит такой WAF и просто место в стойке занимает. Началась атака - рраз и рубильником его "включили".
Статья - туфта. Не дает обзор проблем и методов решения, не раскрывает перечень практических решений.
Просто перевод frontend endpoint за L7 cloud LB избавляет вас сразу от всех проблем связанных с volumetric attack, DNS & NTP amplifications etc.
Так работает почти во всем мире. Уплата НДФЛ - это обязанность ФЛ. Да и как еще можно сделать, если вы имеете множество источников дохода? Я на основном рабочем месте раз в год заполняю форму, в которой указываю что у меня это место получения дохода единственное. Больше вопросов у меня не возникает. Те из коллег, кто имеет более одного места, получают раз в году из налоговой требование доплатить разницу, если перешли в другую сетку ( у нас тоже прогрессивная шкала). Так что ничего считать не нужно - все будет посчитано налоговой. Если чел совсем тупой или ленивый - к его услугам есть (или будут) online калькуляторы.
У x86 есть преимущество с кодовой базой - не все приложения собраны для ARM. Вот кто бы показал реальное энергопотребление N100 ноды (единственный, по моему, конкурент ARM SBC)? Orange PI 5 (8 cores, 16GB ram, SDcard) потребляет в пике 20ватт, в простое - меньше 10.
Cоветую рассмотреть NUTANIX. HCI из коробки. В т.ч. встроенный cross-cluster backup (горячей миграции VMs на другой кластер в CE версии нет). Сразу получаете CFS с необходимым replication factor (типа Ceph, но круче, с экспортом как NFS ) NUTANIX безусловный лидер среди HCI систем. CE версию можно попробовать на одной ноде, а можно развернуть кластер из 4 нод - полнофункциональный, но с ограничением числа нод. Я админил больше 10 NUTANIX кластеров в течение 4 лет (CE и Enterprise) и по моему мнению это самая удобная система виртуализации. Eсть TF provider, мы реализовали гибридный k8s cluster: используем on-prem nodes по максимуму, спайки добираем в cloud.
Прошел этот путь два года назад. Пришел к таким же выводам. И даже использовал похожий OPI. Только Zero LTS - его выпуск и поддержка гарантированы производителем в течение длительного времени. Вы повторили допущенные мной ошибки: - Ethernet кабель не вытащить в шкафу, т.к. язычок RJ45 внизу. OPI перевернуть нужно. Это выснилось только после выхода первой партии. - В выбранной вами плате Ethernet подключен не нативно, а через USB. Очень грустно работает. Отваливается. Ни разу не примышленное решение. - Интерфейсов мало. Подход ваш понятен, но на практике очень часто нужна пара 485, 1-wire и несколько IO. Для малых универсальных, как вы сами пишете, проектов. Если добавлять сюда внешний исполнительный модуль, то вылетаем из ценовой группы. Это можно было добавить легко и даже с опторазвязкой. - Её не увидел на вашей плате. Опторазвязку. Извините, без этого ни о каком промприменении говорить не приходится. - Про системный софт вы не написали. А там вопросов много нужно решить: обеспечить сохранность данных аварийном пропадании питания, гарантировать загрузку из резервного раздела при повреждении основного, обновление на лету и т.п.
А так - идея годная. Можно занять нишу самодельщиков. Платформа для HA и IOB - для домашней автоматизации. Этакая ардуино на стероидах. Может даже сделать проект OpenSource и продавать железо, а софт оставит на поддержке сообщества.
И это правильно! Возьмите и сами замерьте. Или хотя бы рассчитайте. Это не не сложно. И сравните с нормативом для жилых, рабочих помещений или операционных комнат (я не знаю где вам нужны очки - вы не написали). Это тоже все в публичном доступе.
Плюс подумайте как влияет форма светильника, диаграмма направленности источников света, высота его подвеса и тип рассеивателя на световой поток.
8) Видна разница между человеком, который всю жизнь привык бороться с государством, которое его норовит нахитрить и человеком, который благодарен государству, которое позволило ему дорасти до возможности платить миллионные налоги.
Это верно, но только вы пожалуйста Бердское шоссе с американским хайвеем не путайте? 50 км там, и 50 км в Штатах - это разные совсем 50 км. Как по времени, так и по безопасности.
Я именно это и написал. Более того, большинство решений на рынке - это дедупликация на уровне блочных устройств, а не файлов. По причине того, что размер блока сильно меньше размера среднего файла, то вероятность коллизии так же значительно уменьшается. Если не ошибаюсь, только Windows Servers предлагает дедуп на уровне файлов. И как они решают с коллизиями я не знаю. Нужно очень хорошо понимать профиль своих данных перед принятием решения о применении дедупликации
Когда я изучал экономику производства в ВУЗе, нас учили что для расширенного вопроизводства (важно!) необходима рентабельность производства не ниже 100%. Иначе без вложений в НИОКР производство загнется в следующем или через один цикле.
Это не просто производство, но и разработка. В тексте указано как запросто можно в два раза пролететь на новом виде товара.
Так что не нужно измерять по аналогии с торговлей семечками.
Ну почему - на али полно mini-ITX плат на Intel 100: 2 M.2 nvme, пассивное охлаждение.
Добавить аккуратный корпус и БП по вкусу - и прям газмпром! В смысле сбычи мечт.
Насчет CF не соглашусь. Сильно зависит от профиля клиентского трафика. Не всегда понимает корректно профиль легитимного трафика и потом не может корректно детектить атаки. Ну и дорого. Очень.
А вам не жалко людей, которые на всяких letcode тренируются для трудоустройства, вместо того, чтобы умные книги читать и развиваться профессионально?
Просто это разные задачи: знать язык и получить сертификат (развиваться профессионально и натаскиваться на прохождение интервью).
Иногда он просто не нужен. А цена on-prem реально в 5 (пять!) раз ниже cloud.
А еще можно прогружать свой on-prem на 100% и спайки докупать в клауде. Тут вообще эффект просто поразительный.
https://pq.hosting/help/instructions/94-udaljaem-dublikaty-libreoffice-calc.html
Сделайте систему логирования. Без нее - никуда. На основании логов можно определать baseline и сигнатуры, строить правила защиты и рисовать красивые графики для менеджмента. Ну и алерты потом прикрутите - сами понимать будете когда атака началась и что за атака.
После того как построите сигнатуру своего легитимного трафика, попросите своих ISP настроить ACL с их стороны - таким образом закроете вопрос атак L2-3 (DNS & NTP amplifications etc)
Тут самое интересное: готовьте свою аналитику на основе п.1. Вам нужно детектировать девиации трафика (отклонения от baseline) и решать что с этим делать. Это, конечно самое сложное: с одной стороны вы должны отсечь максимум паразитного трафика, с другой - не допустить false positives. Хорошее решение - не дропать клиента, а загонять его на JS challenge.
Дальше проще: есть detector (п.3), есть периметр сети, где происходит блокировка. Постоянно работает процесс: детектирование атаки -> определяем её вектор -> генерируем action -> применяем его к блокиратору -> goto start. Блокиратор, естественно, должен быть как можно ближе к источнику атаки. Тут возможны варианты с honey pot etc.
Конечно, это очень общее описание. Ситуация зависит от внешних каналов, числа POPs, величины production traffic etc. Ну и вариантов реализации, конечно, великое множество.
Ничего подобного - парсер получит то, что разрешено отдавать ботам, если вообще что-то разрешено. 2024 год сейчас. Без Bot protection никуда..
Бескрайние поля и луга есть много где. Но мало где есть не обрабатываемые постоянно химией поля. Пчелы, почему то, до смерти этого не любят.
Оптимальное место - лес у реки.
И это пишет "Менеджер по развитию решений СУБД".
Я даже не знаю как это назвать.. Просто слов нет.
И хорошо, что верится слабо. Про Linux, nginx и Postgres автор не слышал. Но разве это важно, когда верится, хоть и слабо?
Фильтрация трафика и жирные интернет-каналы сейчас стоят копейки.
Не раскрыт самый важный вопрос: как распознать suspicious и malicious трафик?
Какие "анти-DDoS фильтры" можно использовать для детектирования распределенной атаки из 10K атакеров если каждый атакер посылает 30 запросов в минуту на легитимные URL, пробивая кэш и не превышаю лимит легитимных пользователей?
Прямо представил: стоит такой WAF и просто место в стойке занимает. Началась атака - рраз и рубильником его "включили".
Статья - туфта. Не дает обзор проблем и методов решения, не раскрывает перечень практических решений.
Просто перевод frontend endpoint за L7 cloud LB избавляет вас сразу от всех проблем связанных с volumetric attack, DNS & NTP amplifications etc.
Так работает почти во всем мире. Уплата НДФЛ - это обязанность ФЛ. Да и как еще можно сделать, если вы имеете множество источников дохода?
Я на основном рабочем месте раз в год заполняю форму, в которой указываю что у меня это место получения дохода единственное. Больше вопросов у меня не возникает. Те из коллег, кто имеет более одного места, получают раз в году из налоговой требование доплатить разницу, если перешли в другую сетку ( у нас тоже прогрессивная шкала).
Так что ничего считать не нужно - все будет посчитано налоговой. Если чел совсем тупой или ленивый - к его услугам есть (или будут) online калькуляторы.
У x86 есть преимущество с кодовой базой - не все приложения собраны для ARM.
Вот кто бы показал реальное энергопотребление N100 ноды (единственный, по моему, конкурент ARM SBC)?
Orange PI 5 (8 cores, 16GB ram, SDcard) потребляет в пике 20ватт, в простое - меньше 10.
Cоветую рассмотреть NUTANIX. HCI из коробки. В т.ч. встроенный cross-cluster backup (горячей миграции VMs на другой кластер в CE версии нет).
Сразу получаете CFS с необходимым replication factor (типа Ceph, но круче, с экспортом как NFS )
NUTANIX безусловный лидер среди HCI систем. CE версию можно попробовать на одной ноде, а можно развернуть кластер из 4 нод - полнофункциональный, но с ограничением числа нод.
Я админил больше 10 NUTANIX кластеров в течение 4 лет (CE и Enterprise) и по моему мнению это самая удобная система виртуализации.
Eсть TF provider, мы реализовали гибридный k8s cluster: используем on-prem nodes по максимуму, спайки добираем в cloud.
Не могу добавить плюс (из за кармы), но точнее выразить моё отношение вряд ли смогу.
> это не должно поколебить вас - тоже в коллекцию.
Прошел этот путь два года назад.
Пришел к таким же выводам. И даже использовал похожий OPI. Только Zero LTS - его выпуск и поддержка гарантированы производителем в течение длительного времени.
Вы повторили допущенные мной ошибки:
- Ethernet кабель не вытащить в шкафу, т.к. язычок RJ45 внизу. OPI перевернуть нужно. Это выснилось только после выхода первой партии.
- В выбранной вами плате Ethernet подключен не нативно, а через USB. Очень грустно работает. Отваливается. Ни разу не примышленное решение.
- Интерфейсов мало. Подход ваш понятен, но на практике очень часто нужна пара 485, 1-wire и несколько IO. Для малых универсальных, как вы сами пишете, проектов. Если добавлять сюда внешний исполнительный модуль, то вылетаем из ценовой группы. Это можно было добавить легко и даже с опторазвязкой.
- Её не увидел на вашей плате. Опторазвязку. Извините, без этого ни о каком промприменении говорить не приходится.
- Про системный софт вы не написали. А там вопросов много нужно решить: обеспечить сохранность данных аварийном пропадании питания, гарантировать загрузку из резервного раздела при повреждении основного, обновление на лету и т.п.
А так - идея годная. Можно занять нишу самодельщиков. Платформа для HA и IOB - для домашней автоматизации. Этакая ардуино на стероидах.
Может даже сделать проект OpenSource и продавать железо, а софт оставит на поддержке сообщества.
И это правильно!
Возьмите и сами замерьте. Или хотя бы рассчитайте. Это не не сложно.
И сравните с нормативом для жилых, рабочих помещений или операционных комнат (я не знаю где вам нужны очки - вы не написали). Это тоже все в публичном доступе.
Плюс подумайте как влияет форма светильника, диаграмма направленности источников света, высота его подвеса и тип рассеивателя на световой поток.
8)
Видна разница между человеком, который всю жизнь привык бороться с государством, которое его норовит нахитрить и человеком, который благодарен государству, которое позволило ему дорасти до возможности платить миллионные налоги.
Это верно, но только вы пожалуйста Бердское шоссе с американским хайвеем не путайте?
50 км там, и 50 км в Штатах - это разные совсем 50 км. Как по времени, так и по безопасности.
Я именно это и написал.
Более того, большинство решений на рынке - это дедупликация на уровне блочных устройств, а не файлов. По причине того, что размер блока сильно меньше размера среднего файла, то вероятность коллизии так же значительно уменьшается.
Если не ошибаюсь, только Windows Servers предлагает дедуп на уровне файлов. И как они решают с коллизиями я не знаю.
Нужно очень хорошо понимать профиль своих данных перед принятием решения о применении дедупликации