Как уже известно Microsoft закрыли Skype и обмениваться файлами стало негде. По этому в этой статье мы разберём функционал нашего сервиса Tuna туннели и как с его помощью можно легко обмениваться файлами напрямую, без отгрузки их в сторонние сервисы.
Привет, Хабр!
Google, без преувеличения, изменил мир IT, подарив нам Kubernetes – систему, ставшую де-факто стандартом оркестрации контейнеров. И когда выбираешь управляемый Kubernetes от его же создателей, такой как Google Kubernetes Engine (GKE), ожидания, естественно, высоки. Уж кто-кто, а "первоисточник" должен уметь "готовить" свое детище идеально, предоставляя не только удобство, но и прозрачные, глубоко интегрированные и безопасные решения "из коробки". Особенно когда речь заходит о такой фундаментальной вещи, как сетевое взаимодействие и его безопасность.
GKE предлагает два режима работы кластеров: routes-based и VPC-native. Именно VPC-native кластеры позиционируются Google как обеспечивающие более тесную интеграцию с сетью VPC. Как утверждает Google, одно из преимуществ таких кластеров заключается в том, что IP-адреса подов (pods) нативно маршрутизируемы внутри сети VPC кластера и других сетей VPC, подключенных к ней через VPC Network Peering (подробнее см. документацию GKE по IP-алиасам и VPC-native кластерам). Это вселяет уверенность, что возможности VPC, включая мощный механизм GCP Firewall, будут доступны и для наших подов так же легко и нативно, как для обычных виртуальных машин.
Однако, погружаясь в детали настройки контроля сетевого доступа для подов к ресурсам внутри VPC, но внешним по отношению к самому Kubernetes (например, к базам данных Cloud SQL или другим бэкендам), начинаешь сталкиваться с нюансами. Нюансами, которые заставляют усомниться в "бесшовности" этой интеграции. Эта статья – не попытка принизить достижения Google или GKE. Скорее, это повод для всех нас, инженеров, задуматься о тех важных деталях реализации, которые часто остаются "под капотом". Повод погрузиться глубже, понять, как все устроено на самом деле, и какие компромиссы или сложности скрываются за маркетинговыми лозунгами. Ведь чем сложнее архитектура безопасности, тем выше вероятность ошибки конфигурации, особенно если ее компоненты и их взаимодействие не до конца понятны. Если даже у такого гиганта, как Google, в его флагманском продукте для Kubernetes есть подобные неочевидные моменты, то нам, инженерам, работающим с этими системами ежедневно, тем более важно понимать все тонкости для обеспечения надежности и безопасности наших собственных окружений.
VMmanager — это платформа для управления виртуальной инфраструктурой, которая позволяет не просто разворачивать отдельные виртуальные серверы, но и создавать целые пулы виртуальных машин и контейнеров с полной изоляцией от физического оборудования.
Платформа решает ключевые задачи виртуализации --- быстрое создание, масштабирование и миграция ВМ, создание отказоустойчивой виртуальной инфраструктуры и обеспечение непрерывной работы развернутых сервисов и приложений, предоставление изолированных сред, выдача IaaS и SaaS.
Безусловно, сценариев использования VMmanager намного больше, однако сегодня речь пойдет о виртуальных сетях на базе VxLAN — технологии, которая обеспечивает создание виртуальных сред, изолированных друг от друга и физического оборудования.
В этой статье мы разберем, какие задачи и сценарии помогает решать VxLAN, как работают виртуальные сети в VMmanager, и подробно расскажем об особенностях настройки.
Всем привет! Меня зовут я сам прихожу Денис Вдовин, я системный архитектор в отделе мультисервисных (пакетных) сетей компании РТК-Сервис, и мне бы хотелось рассказать одну историю, которая началась с салата еще в зимние каникулы. В ней в разных пропорциях смешались ISIS, QoS, загадочный PTPv2, распределение Пуассона, теория массового обслуживания и LTE TDD, отчего она показалась мне крайне интересна и достойна публикации отдельной статьей.
Сей трактат, направленный на решение конкретной прикладной проблемы, будет довольно длинным и с каждым листом А4 сложность для понимания будет нарастать. Затрагиваются, казалось бы, совсем далекие друг от друга галактики, поэтому если вы где-то не смогли уследить за руками факира — это норма. Главное, что в конце вас ждет награда - мы научимся вычислять джиттер на обычном калькуляторе по графикам из Заббикса. Поехали!
На собеседованиях часто задают знаменитый вопрос, узнаваемость которому по большей части дал facebook*: «Что происходит после того, как вы вводите URL сайта в адресную строку браузера и нажимаете Enter?». Несмотря на кажущуюся простоту, этот вопрос покрывает широкий спектр тем – DNS, TCP/IP, HTTP, и даже работу браузера. Разработчики разных уровней иногда теряются в деталях ответа. Понимание этого процесса важно для инженеров – оно показывает, как взаимодействуют между собой различные сетевые протоколы и уровни. Ниже мы шаг за шагом рассмотрим, как данные проходят через каждый слой сетевого стека, и проиллюстрируем это примерами.
Работаем с Haproxy, маршрутизация по GeoIP и ограничения, настройка mTLS для защиты сервисов, выгрузка метрик в Prometheus. Настройка панели 3X-UI для работы с Unix Socket и персональный DNS over HTTPS.
Привет Habr, всем максимально доброго дня!!!
После первой статьи прошло... чуть больше времени, чем рассчитывал, и вот решил продолжить тему медленных протоколов: сегодня LACP. Хотел рассмотреть его подробно, но получилось как-то уж совсем подробно, так что, как это говорилось в далеком 2005м, извените за многабукаф.
С самого начала, давайте вспомним самую важную картинку из прошлой статьи, а точнее - схему работы агрегированного канала.
Если для общения по SNMP со своими «железками» вы начинаете поиск не в документации бренда а ищете mib файлы для нее, эта статья не для вас.
Ну а если слова SNMP, Net‑SNMP, snmpwalk, snmpget вам уже встречались, но открыв любой «*.mib» вы предпочитаете его закрыть и обратиться к какому либо из mib browsers — вам стоит это почитать.
Привет, Хабр! Меня зовут Анастасия Беднова, я тестирую базовые станции мобильных сетей 4G в YADRO. В команде мы применяем разные подходы, сегодня хочу рассказать о практике «пирамида тестирования» на примере фичи Circuit Switched Fallback. Рассмотрим уровни, в которых участвуют команды тестирования, без учета Unit- и Component-тестов.
Статья будет полезна тем, кто хочет узнать о разработке и тестировании многокомпонентных решений в телекоме. К тому же подход можно применить и к другим модульным системам с внешними зависимостями.
В этой статье мы разберём основные недостатки Istio в сравнении с Cilium Service Mesh, чтобы даже начинающий разработчик мог понять, в чём разница и почему некоторые команды выбирают Cilium вместо Istio.
Привет, Хабр! Меня зовут Никита Николайчук, я – ведущий инженер по сетевым технологиям. В 2025 году далеко не все компании могут позволить себе Cisco Nexus или Huawei Cloud Engine. При этом я пока еще не встречал статьи, которые бы описывали особенности внедрения и эксплуатации vPC (которая MLAG) пары российских вендоров. И начать хочется с Eltex. Безусловно, вы можете найти инструкции от вендора (достаточно подробные и понятные), однако в этой статье я постараюсь показать особенности реализации (или не реализации) некоторых наиболее популярных фич, к которым мы так привыкли, эксплуатируя Cisco и Huawei. Данная статья в некотором смысле представляет собой сравнительную таблицу для трех вендоров, при этом акцент сделан на логику работы и архитектуру коммутаторов Eltex MES (просто потому что про Cisco и Huawei сказали все и всё).
XTLS/Xray-core - инструмент для обхода цензуры с открытым исходным кодом. Он хорошо известен в Китае своими новыми и практичными концептуальными технологиями, а также создателем RPRX, который однажды исчез и, как считалось, сбежал. К таким технологиям относятся VLESS, XTLS-Vision, XUDP... О какой-то из них вы точно слышали или использовали.
С момента как в Китае началось внедрение новой системы цензурирование: белый список SNI (Server name indication), все инструменты обхода на основе TLS до появления REALITY и ShadowTLS, подключаемые напрямую или через транзит или CDN, стали недоступны.
Ранее широкое внимание привлек инструмент обхода ShadowTLS. Однако в то время ShadowTLS все еще находился в версии v1 с неполной кодовой базой и слабой устойчивостью к цензуре. Позже в Reality появилась возможность обходить цензуру на основе белого списка SNI, и он был интегрирован со зрелым инструментом обхода Xray-core.
Так как же REALITY обходит эту цензурную стратегию? Как понять ее детали с технической точки зрения? Эти два вопроса будут в центре внимания этой статьи. Интерпретируя исходный код REALITY, мы разберемся с конкретной реализацией REALITY для читателей.
Что такое белый список SNI? В чем связь между SNI и TLS?
Вы, возможно, знаете, что широко используемый протокол безопасности прикладного уровня, основа HTTPS, протокол TLS, имеет свой собственный «процесс рукопожатия» при инициировании соединения.
TLS был «гибридной системой шифрования» с момента разработки его первой версии. Это означает, что TLS использует как асимметричные, так и симметричные алгоритмы шифрования. Симметричные алгоритмы шифрования требуют, чтобы обе стороны имели абсолютно одинаковый ключ, а накладные расходы на шифрование и дешифрование низкие. В то время как асимметричное шифрование требует только обмена открытым ключом в своих соответствующих парах ключей, но требует проверки того, что открытый ключ не был заменен или подделан при обмене ключами, что привело к появлению механизма цифрового сертификата. Кроме того, накладные расходы на асимметричное шифрование и дешифрование высоки. Поэтому TLS использует асимметричное шифрование для передачи ключа, используемого для симметричного шифрования, и для того, чтобы обменять открытый ключ, используемый для асимметричного шифрования, родился механизм рукопожатия TLS.
Мы в RDP знаем о сетевых технологиях всё и даже больше. А потому решили поделиться с читателями Хабра небольшим путеводителем по сетевым терминам. Уверены, что он пригодится тем, кто хочет узнать больше о тонкостях этой сферы.
Итак, часть первая...
AI Networking – ИИ-ускорение сети. Совокупность алгоритмов и методик машинного обучения для анализа данных, обнаружения сценариев и принятия решений для усовершенствования производительности, безопасности и эффективности.
Частная сеть 5G – выделенная мобильная сеть, развёрнутая внутри частной среды и управляемая внутри неё: это может быть университетский кампус, отель или стадион. В отличие от общественных сетей 5G, которыми могут пользоваться все, частные сети 5G ограничены для использования в рамках конкретной компании или организации. Несмотря на значительные преимущества технологии, Частная сеть 5G требует значительных инвестиций в развитие и поддержку.
Network slicing – технология, которая помогает эффективно использовать беспроводную сеть, чтобы настроить виртуальную сеть 5G под пользовательские нужды.
Open RAN (ORan) – инициатива по разработке и построению радиосетей 5G с помощью программно-определяемых технологий и универсальных, независимых от поставщика программных средств.
Beamforming (технология формирования луча) – это технология, с помощью которой беспроводной сигнал направляется на конкретное принимающее устройство вместо того чтобы распространяться в разных направлениях с помощью антенны передачи. Полученное подключение характеризуется высокой скоростью и надёжностью.
В 2024 году некоторые эксперты считали, что Intel находится на пороге краха из-за утраты былых позиций на рынке процессоров. И действительно, акции компании потеряли более половины своей стоимости за прошлый год. Однако, несмотря на сложности, компания продолжает инвестировать в новые направления. В феврале 2025 года Intel представила новые сетевые адаптеры серии E830, работающие на скоростях до 200 Гбит/с и шине PCIe 5.0. И это лишь часть масштабной стратегии компании по укреплению позиций в сетевой инфраструктуре.
Разбираемся, как Intel строит собственную экосистему сетевых решений — от адаптеров до процессоров с интегрированным Ethernet. Поговорим о том, где Intel преуспевает, а где пока отстает от NVIDIA и Broadcom и какие шаги компания предпринимает, чтобы изменить баланс сил на рынке.
Медленная работа сети — проблема, с которой сталкиваются многие специалисты. В отличие от очевидных обрывов связи, «тормоза» зачастую трудно диагностировать, и найти их причину может быть не так просто. В этой статье мы разберем механизмы, лежащие в основе одного из таких случаев — повторной передачи пакетов в TCP-сети. Вы узнаете, как работает этот процесс, какие инструменты можно использовать для диагностики, а также как на практике выявлять и устранять проблемы с производительностью сети, связанные с потерей пакетов.
В данной статье хочу поделиться собственным опытом по настройке всем хорошо известных технологий для маршрутизации трафика до всяких разных ресурсов. Тут не будет подробного описания принципов их работы, на просторах Хабра есть масса статей на эту тематику. Я черпал вдохновение именно оттуда, от себя лично добавить ничего не могу.
Сегодня же хочется сосредоточиться больше на практической реализации с добавлением некоторых фич, которые помогут немного упростить процесс деплоя и переноса сервера, распространения конфигурации на клиенты, минимизируя ручной труд.
Небольшой дисклеймер: В статье нет настройки клиентов под Linux и Android, ибо не пользуюсь. Вот здесь есть хорошие примеры, да и подписка, о которой я расскажу, здорово унифицирует этот процесс. Да и для iOS ограничусь лишь самым базовым.
Лично я познакомился с новым поколением прокси‑серверов из материалов многоуважаемого пользователя MiraclePtr. Например, эта статья послужит отличной иллюстрацией, что такое XTLS и Shadowsocks, о которых пойдет речь ниже.
18 апреля 2025 года. Обычное утро. Почта спокойна, ничего подозрительного. Среди напоминаний о просроченной подписке и очередном пуше от GitHub оказывается письмо от Хабра:
«Сообщаем вам, что на ваш материал на сайте Habr.com было наложено ограничение доступа для пользователей из определённой страны...»
