В первой части мы разобрались как заставить работать GNS3 под MacOS. Ну а в этой мы пройдем путь от создания простейшей сети до построения сегментированной инфраструктуры с политиками безопасности. Вы освоите не только базу, но и понимать логику построения безопасных и масштабируемых сетевых решений. Ну и в конце мы должны получить вот такую схемку.
В этой статье мы настроим проводную сетевую аутентификацию 802.1x в РЕД ОС 8 с использованием certmonger, cepces, nmcli и инфраструктурой Microsoft PKI и NPS. Инструкция применима и к другим RHEL-based дистрибутивам.
Предполагается, что инфраструктура PKI и 802.1x уже развернута для рабочих станций Windows, и наша цель добиться такого же результата для рабочих станций Linux.
Реализация состоит из двух частей:
- автоматизация запроса сертификата рабочей станции из Microsoft Certification Authority (CA)
- настройка Network Policy Server (NPS) и Network Manager для аутентификации Linux клиентов
Представьте: вы работаете в крупной компании с федеральной сетью. У вас более 300 баз данных Microsoft SQL Server, сотни тысяч объектов — таблиц, процедур, функций, триггеров. Значительная часть бизнес-логики реализована с использованием cross-database references и распределённых запросов через linked servers, что создаёт сложные зависимости между объектами на разных базах и даже серверах.
А теперь представьте, что все изменения в схему вносятся напрямую в production — через SSMS, без версионирования, без ревью, без возможности отката.
Звучит как кошмар? Но именно так работала наша команда более 10 лет.
«Так исторически сложилось» — и это было нормой. Такой подход неизбежно порождал инциденты: от локальных нарушений целостности данных до масштабных простоев, напрямую влияющих на выручку и репутацию компании.
Мы поняли: нужно внедрять CI/CD. Но главная проблема оказалась не в технологиях — а в людях.
Для меня tmux - это не просто терминальный мультиплексор, это центр моей консоли: чтобы я не намеревался сделать - открытие новой панели будет моей стартовой точкой, особенно когда дело касается Kubernetes.
И вот однажды, в момент очередного использования kubectl config current-context появилась идея - "а не научить ли tmux показывать мой контекст?"
Так появился небольшой tmux-плагинчик, а так же сама эта статья, в которой я покажу и расскажу как это просто - написать плагин для tmux, надеюсь будет увлекательно.
Добрый день!
В предыдущей статье я описал нечасто используемую, но очень полезную возможность симулятора GNS3 – «горизональное масштабирование», позволяющую для симуляции использовать ресурсы не одной-единственной (как в EVE-NG/PNETLAB) виртуалки, а сразу нескольких (распределяя между всеми ними узлы из топологии). Однако, возможность использовать множество ресурсов не освобождает от платы за их использование. И чем больше ресурсов используется – тем выше эта плата. Плюс, даже относительно мощного подручного сервера не всегда может хватить на симуляцию всей требуемой топологии.
Следующий способ "утрамбовать" топологию в ограниченные ресурсы - использовать менее прожорливые образы сетевых узлов. В частности, для IOS-XRv такой заменой является его контейнерная версия IOS-XRd, требующая вместо 4 vCPU и 16-20 GB RAM всего 1 vCPU и 2 GB RAM (для версии control-plane). Также, по ощущениям, в среде GNS3 контейнерная версия работает быстрее и стабильнее исходной.
В этой статье подробно рассматривается установка контейнера IOS-XRd control-plane на сетевой симулятор GNS3 и связанные с этим "подводные камни" и нюансы.
Продакшен редко падает красиво: обычно это тихая ошибка в конфиге, незаметный регресс в CI/CD, слепая зона в метриках — и внезапно уже расследование инцидента с вопросом «а где была безопасность?». В этом дайджесте собрали образовательные материалы на практичные темы на стыке инфраструктуры и ИБ: Kubernetes и multi-tenancy, observability, DevSecOps, SOC, пентест и реверс — включая бесплатные демо-уроки и курсы, где вы будете разбирать это руками, а не на уровне лозунгов.
Если верить вакансиям, DevOps — это человек-оркестр: он пишет пайплайны, чинит Kubernetes, настраивает облака, знает Linux на уровне ядра, умеет в безопасность, автоматизацию, мониторинг и, на всякий случай, может заменить бэкендера, когда тот ушёл в отпуск. Желательно за зарплату джуна и с готовностью выходить на алерты в три часа ночи. Реальность, к счастью, чуть менее драматична. Но и чуть более сложна, чем рассказывают на вводных курсах (привет тем, кто решился вкатится по быстрому). В этой статье разберёмся, кто такой DevOps на самом деле, почему от него действительно ждут «всего и сразу» и где заканчивается адекватное ожидание, и начинается фантазия работодателя.
Закон Мура, который обещал нам удвоение мощности каждые два года, оказался не вечным. Прямо сейчас мы наблюдаем за тем, как покорение производителями процессоров каждого следующего нанометра стоит все дороже, а прироста дает все меньше. Из-за этого почти половина операционных расходов дата-центров уходит на оплату электроэнергии. И это притом, что земля тоже не дешевеет, а площади под строительство новых ЦОД выкупаются везде и в любом состоянии. А масштабироваться в таких условиях, сами понимаете, весьма и весьма проблематично. Но бизнесу-то это не объяснишь. Значит, надо экономить. И, по возможности, там, где это делать проще всего.
Angie — современный веб-сервер, созданный бывшими разработчиками nginx с открытым исходным кодом (лицензия BSD).
Он сочетает проверенную архитектуру nginx с новыми возможностями:
Признавать уязвимости в Enterprise-продукте непросто. Но на той стадии развития, когда среди его пользователей крупные организации, которым важны требования регуляторов и риски, внутренних проверок и пен-тестов становится уже недостаточно. Участие в bugbounty — это показатель зрелости продукта и для рынка, и для самого разработчика.
Багбаунти (bug bounty) — это программа денежных вознаграждений за найденные уязвимости. В ноябре 2024 года мы в команде Orion soft запустили такую программу для нашей платформы виртуализации zVirt на площадке Standoff Bug Bounty.
Сегодня я расскажу о нашем опыте bugbounty, расскажу, какие уязвимости были найдены в ходе тестирования и как мы их исправляли.
10 лет назад мы запустили проект под названием dapp. Сегодня он известен как werf. За это время — тысячи коммитов, сотни релизов, переход на Go, Helm, CNCF, Nelm…
Собрали всю историю в одной статье — от первого Ruby-скрипта до экосистемы Open Source-инструментов.
Цель статьи: Показать на практическом примере, как использовать один Load Balancer для приёма TLS-соединений и маршрутизации бинарного трафика к разным backend‑приложениям с терминацией (расшифровкой) TLS на Gateway — например, к Redis и другим TCP‑сервисам.
Как это работает:
Недавно, перебирая хлам скопившийся на пыльных антресолях, я обнаружил старенький MacBook 2,1 (A1181) образца 2008 года выпуска. Этот MacBook мне на день рождения, который состоялся более 15-ти лет назад, подарила супруга. Большим ценителем яблочной продукции я так и не стал, но некоторое время использовал эту машинку в качестве второй — для чтения почты или просмотра ютуба, брал с собой в туристические поездки. Мне нравился дизайн корпуса и клавиатуры этой машинки, местами даже где-то меня привлекала операционная система MacOS X являющаяся родственником FreeBSD. Но сейчас не об этом. В те времена вычислительная техника персонального применения стремительно устаревала — появлялись процессоры с всё большим числом ядер и большей тактовой частотой, состоялся полный переход от 32-битных архитектур к 64-х битным и т. д. Всё это сильно расслабило разработчиков и, как следствие, требования софта к железу выросли просто непомерно. Таким образом, данная машинка очень быстро «морально устарела». Я пару раз проводил апгрейд — сначала добавил немного SDRAM, потом заменил HDD на SSD, несколько раз апгрейдил MacOS X. Но к 2012 году машинка всё равно стала мало пригодной для работы и отправилась на антресоли.
Две недели назад этот MacBook попался мне на глаза. Я включил его и обнаружил, что MacOS X прекрасно загружается и даже подключается к WiFi, только вот в Safari все сертификаты давно протухли и ни один Web сайт не открывается. Но тут меня посетила совершенно здравая мысль - почему бы не оживить эту машинку установкой на неё современной ОС, такой как например FreeBSD ? К тому же появился повод — одна из моих дочерей доросла до своего компьютера, а покупать ей сейчас новый ноут для посещение «учи.ру» меня, откровенно говоря, «жаба душит». Короче, я быстренько заказал новую АКБ на известном китайском маркетплейсе и принялся изучать вопрос «как пропатчить KDE MacBook для FreeBSD».
В данной статье я расскажу о некоторых особенностях яблочных ноутбуков мало знакомых даже опытным маководам, о тонкостях установки FreeBSD, о проблеме под названием UEFI, о баге в ядре ОС FreeBSD с которым я столкнулся и помог зафиксить, о прекращении поддержки DRM-KMOD драйверов в 32-х битной ветке ОС FreeBSD и о том, как мне все же удалось портировать их для FreeBSD 14.3-RELEASE/i386. И еще о некоторых мелочах, знание о которых необходимы для того, чтобы сделать ОС FreeBSD пригодной для эксплуатации на этом стареньком MacBook-е, и чтобы Ваш кислотно-щелочной баланс всегда оставался в полном порядкеTM.
Когда заходит речь о запуске виртуальных машин в Kubernetes через KubeVirt, первый вопрос, который возникает у инженеров: «А какой там оверхед?» Давайте разберём этот вопрос детально, рассмотрев каждую подсистему отдельно: вычисления, хранилище и сеть.
Статья основана на обсуждении в профессиональном сообществе.
У каждого системного администратора должен быть набор программных решений для практически любой ситуации — некая серверная аптечка первой помощи. В статье собрал базовый минимум ПО для «лечения» основных болезней серверов на Linux и Windows.
Разбираем, что такое PNETLab, как он работает и чем отличается от других сетевых эмуляторов. Простое объяснение для инженеров, администраторов и студентов.
В этой статье я расскажу о настройке домашней рендер-фермы для 3D-редактора Blender. В основе нашей фермы будет Flamenco — открытый кроссплатформенный фреймворк для мониторинга и управления рендер-задачами.
Фреймворк состоит из трёх компонентов:
Всем привет!
Однажды администратор одного из внутренних сайтов предприятия попросил прописать TXT запись для получения Let's Encrypt сертификата, поскольку сайт не доступен снаружи и, нет возможности настроить проверку HTTP-01. Через три месяца попросил прописать еще раз, для продления, потом появился второй такой сайт, и, стало очевидно, что процесс пора автоматизировать. Уже перед публикацией нашлась отличная статья с полезными комментариями, автору понадобилась та же проверка DNS-01 и стандарт RFC 2136 для автоматизации выпуска wildcard сертификата
Так, что, предлагаю краткую “шпаргалку с заменой по Ctrl+H”, для тех, кто использует сервер DNS сервер bind и хочет делегировать выпуск/проверку Let`s Encrypt сертификатов для внутренних сайтов сторонним подразделениям.
Стандартный мониторинг часто пропускает «тихих убийц» — запросы, которые по отдельности кажутся нормальными, но в сумме создают аномальную нагрузку на СУБД. В итоге система живет в хрупкой идиллии до первого аврала.
В статье — описание универсального способа контроля качества кода и нагрузки на базу без выделенного DBA. Пошагово разберем поиск неоптимальных запросов с помощью pgBadger на живом кейсе.
С переходом на Wayland (и даже на некоторые новые freerdp под x11) столкнулся с проблемой, что нельзя развернуть RDP-сессию на несколько мониторов.
Сам разрабочик например RDP-клиента Remmina говорит, что все дело в Wayland, а на стороне Remmina ничего сделать нельзя. В комментариях народ ищет обходные пути, возвращается на X11 или пытается использоваться xfreerdp (к которому тоже есть вопросики).
После некоторого шаманства выяснилось, что в sway (под Wayland) всё же можно сделать рабочий multimonitor для некоторых клиентов.