Сетевые технологии *

Привет, Хабр!

В этой статье разберём важнейший механизм защиты от перегрузок и DoS-атак в NGINX — лимиты.

Эта статья не источник для споров и не личный опыт автора, а база для обмена мнениями. Кто знает, может именно в комментариях «Хабра» родится истина о том, как настроить работу ЦОДов в космосе.

Привет, Хабр! Меня зовут Глеб Когтев, я руководитель команды VPC Host Components, которая занимается разработкой виртуальной облачной сети для MWS Cloud Platform. C этой статьёй мне помогал Юрий Кондратов — SRE в команде Kubernetes Operations, Research & Engineering (KORE). 

Сегодня поговорим об устройстве сети в Kubernetes-кластере, немного о нашем подходе к обеспечению связности сервисов и чем нам был полезен Multus CNI. Статья будет полезна тем, кто использует Kubernetes в своих задачах и хочет разобраться в устройстве сети, а ещё во взаимодействии компонентов K8s с контейнерами.

Как гласит народная пословица: «Переезд — это как половина пожара». Но все еще сложнее, если переезжает ИТ-оборудование, работающее в режиме онлайн. Меня зовут Юрий Десятниченко, я главный инженер в РТК-Сервис и сегодня я расскажу вам о том, как мы перевозили коммутационные полки «Ростелекома» в минимальные ночные окна. Под катом — подробный рассказ о том, как мы готовились к этому проекту, где нашли дополнительные ресурсы и как умудрились сделать все за месяц. 

Всем привет, меня зовут Батр Альчинов, я сетевой архитектор в OXYGEN Data centers & clouds. В этой статье рассказываю о том, как мы искали и нашли виртуальный маршрутизатор в реалиях нашего времени. Если вы в поисках импортозамещенного маршрутизатора для облачных сервисов – эта статья для вас.

Сегодня мы заходим на сайты, пользуемся приложениями, скачиваем данные — всё это через протокол HTTP. Он стал стандартом более 30 лет назад и до сих пор остаётся основой Всемирной паутины. Но он не идеален. Централизация, уязвимости к цензуре, проблемы масштабируемости подталкивают разработчиков к поиску альтернатив. Одной из самых известных идей стала технология IPFS. Эта идея обещает создать новый, децентрализованный интернет, где информация будет жить дольше, быть доступнее и устойчивее. Но непонятно, готовы ли мы к такому переходу? И действительно ли IPFS может заменить HTTP?

Что делать и куда бежать, если тебе нужно построить сеть на несколько ЦОД, с L2 связностью между площадками, отказоустойчивостью и масштабированием. В этой статье предлагаю рассмотреть некоторые из возможных подходов к организации больших сетей с использованием VXLAN/EVPN.

Современные компании всё чаще сталкиваются с необходимостью интеграции IP-телефонии и CRM-систем для улучшения управления клиентскими коммуникациями. Такая интеграция позволяет автоматизировать ключевые процессы, минимизировать человеческий фактор и ускорить обработку обращений.

Модуль интеграции Itgrix надежный инструмент интеграции IP-телефонии Asterisk и CRM-систем для оперативной работы со звонками.

С его помощью вы получите полный контроль над телефонными коммуникациями, сохраните гибкость настройки вашего оборудования и интегрируете данные в удобную CRM-систему для повышения эффективности продаж и клиентского сервиса.

Привет, Хабр! Я Алиса Горяйнова, отвечаю в РТК-Сервис за развитие сотрудников, и я расскажу, как мы в компании решили непростую задачу оценки и развития инженерных талантов на практике. Зачем все это нам было нужно и почему мы создали собственную методологию оценки инженеров строительно-монтажных работ, я рассказывала вот в этом посте. Но успешный запуск проекта такой же важный этап, как и подготовка.

Итак, представьте: у вас распределенная команда из 170 полевых инженеров в 57 регионах по всей России. Если вам интересно, как превратить техническую экспертизу в измеримые метрики и построить культуру обмена знаниями в большой географически распределенной команде — добро пожаловать под кат!

Не так давно мы выпустили новую версию open source xFlow-коллектора и анализатора xenoeye. Это неплохой повод попиариться. тем более что xFlow-коллекторами/анализаторами часто пользуются для анализа, мониторинга и борьбы с DoS/DDoS атаками, это сейчас очень актуально.

Если совсем коротко - анализатор собирает xFlow (Netflow и некоторые родственные протоколы типа Jflow, IPFIX, sFlow), распределяет их по объектам мониторинга, экспортирует информацию в СУБД (в текущей версии PostgreSQL), и может быстро реагировать на всплески трафика выше порогов для детекции DoS/DDoS атак с помощью скользящих средних.

Информацию из СУБД можно визуализировать разными способами - генерировать статические картинки и отчеты или показывать красивое в Grafana.
Реагировать на всплески можно тоже по-разному - отправлять сообщения в мессенджер, писать данные об аномалиях в БД, анонсировать BGP Flowspec для подавления атак.

Спойлер: ни одна из описанных ниже концепций не является фантастикой. Все они — логическое продолжение уже происходящих процессов.

• Как настраивать сети: определения, типовые схемы, особенности
• Как настраивать сети: выделенный и облачный серверы

Итак, если мы решили создать сайт с котиками и хотим, чтобы он был масштабируемым и надёжным, какие шаги нужно предпринять для обеспечения его отказоустойчивости?

На этот философский вопрос я тут и рассуждаю, но сначала - вспомним немножко, что же это такое — сети дата-центров?

Как уже известно Microsoft закрыли Skype и обмениваться файлами стало негде. По этому в этой статье мы разберём функционал нашего сервиса Tuna туннели и как с его помощью можно легко обмениваться файлами напрямую, без отгрузки их в сторонние сервисы.

Привет, Хабр!

Google, без преувеличения, изменил мир IT, подарив нам Kubernetes – систему, ставшую де-факто стандартом оркестрации контейнеров. И когда выбираешь управляемый Kubernetes от его же создателей, такой как Google Kubernetes Engine (GKE), ожидания, естественно, высоки. Уж кто-кто, а "первоисточник" должен уметь "готовить" свое детище идеально, предоставляя не только удобство, но и прозрачные, глубоко интегрированные и безопасные решения "из коробки". Особенно когда речь заходит о такой фундаментальной вещи, как сетевое взаимодействие и его безопасность.

GKE предлагает два режима работы кластеров: routes-based и VPC-native. Именно VPC-native кластеры позиционируются Google как обеспечивающие более тесную интеграцию с сетью VPC. Как утверждает Google, одно из преимуществ таких кластеров заключается в том, что IP-адреса подов (pods) нативно маршрутизируемы внутри сети VPC кластера и других сетей VPC, подключенных к ней через VPC Network Peering (подробнее см. документацию GKE по IP-алиасам и VPC-native кластерам). Это вселяет уверенность, что возможности VPC, включая мощный механизм GCP Firewall, будут доступны и для наших подов так же легко и нативно, как для обычных виртуальных машин.

Однако, погружаясь в детали настройки контроля сетевого доступа для подов к ресурсам внутри VPC, но внешним по отношению к самому Kubernetes (например, к базам данных Cloud SQL или другим бэкендам), начинаешь сталкиваться с нюансами. Нюансами, которые заставляют усомниться в "бесшовности" этой интеграции. Эта статья – не попытка принизить достижения Google или GKE. Скорее, это повод для всех нас, инженеров, задуматься о тех важных деталях реализации, которые часто остаются "под капотом". Повод погрузиться глубже, понять, как все устроено на самом деле, и какие компромиссы или сложности скрываются за маркетинговыми лозунгами. Ведь чем сложнее архитектура безопасности, тем выше вероятность ошибки конфигурации, особенно если ее компоненты и их взаимодействие не до конца понятны. Если даже у такого гиганта, как Google, в его флагманском продукте для Kubernetes есть подобные неочевидные моменты, то нам, инженерам, работающим с этими системами ежедневно, тем более важно понимать все тонкости для обеспечения надежности и безопасности наших собственных окружений.

VMmanager — это платформа для управления виртуальной инфраструктурой, которая позволяет не просто разворачивать отдельные виртуальные серверы, но и создавать целые пулы виртуальных машин и контейнеров с полной изоляцией от физического оборудования.

Платформа решает ключевые задачи виртуализации --- быстрое создание, масштабирование и миграция ВМ, создание отказоустойчивой виртуальной инфраструктуры и обеспечение непрерывной работы развернутых сервисов и приложений, предоставление изолированных сред, выдача IaaS и SaaS.

Безусловно, сценариев использования VMmanager намного больше, однако сегодня речь пойдет о виртуальных сетях на базе VxLAN — технологии, которая обеспечивает создание виртуальных сред, изолированных друг от друга и физического оборудования.

В этой статье мы разберем, какие задачи и сценарии помогает решать VxLAN, как работают виртуальные сети в VMmanager, и подробно расскажем об особенностях настройки.

Всем привет! Меня зовут я сам прихожу Денис Вдовин, я системный архитектор в отделе мультисервисных (пакетных) сетей компании РТК-Сервис, и мне бы хотелось рассказать одну историю, которая началась с салата еще в зимние каникулы. В ней в разных пропорциях смешались ISIS, QoS, загадочный PTPv2, распределение Пуассона, теория массового обслуживания и LTE TDD, отчего она показалась мне крайне интересна и достойна публикации отдельной статьей.

Сей трактат, направленный на решение конкретной прикладной проблемы, будет довольно длинным и с каждым листом А4 сложность для понимания будет нарастать. Затрагиваются, казалось бы, совсем далекие друг от друга галактики, поэтому если вы где-то не смогли уследить за руками факира — это норма. Главное, что в конце вас ждет награда - мы научимся вычислять джиттер на обычном калькуляторе по графикам из Заббикса. Поехали!

На собеседованиях часто задают знаменитый вопрос, узнаваемость которому по большей части дал facebook*: «Что происходит после того, как вы вводите URL сайта в адресную строку браузера и нажимаете Enter?». Несмотря на кажущуюся простоту, этот вопрос покрывает широкий спектр тем – DNS, TCP/IP, HTTP, и даже работу браузера. Разработчики разных уровней иногда теряются в деталях ответа. Понимание этого процесса важно для инженеров – оно показывает, как взаимодействуют между собой различные сетевые протоколы и уровни. Ниже мы шаг за шагом рассмотрим, как данные проходят через каждый слой сетевого стека, и проиллюстрируем это примерами.

Работаем с Haproxy, маршрутизация по GeoIP и ограничения, настройка mTLS для защиты сервисов, выгрузка метрик в Prometheus. Настройка панели 3X-UI для работы с Unix Socket и персональный DNS over HTTPS.