Виртуализация *

Посвящается 15 лет развитию СПО в России.

Для Лиги Лени: все очень плохо, хотя это смотря для кого

2007: Компания «РБК-Центр» (Армада) объявлена победителем конкурса на заключение гос. контракта по созданию пакета свободного программного обеспечения и пилотному апробированию этого пакета программ в образовательных учреждениях. Соисполнителями объявлены ALT Linux, Linux Ink.

17.03.2008 Мининформсвязи опубликовало Концепцию развития разработки и использования свободного ПО в России

13 сентября 2010 Глава «Ростехнологий» Сергей Чемезов доложил президенту России Дмитрию Медведеву, что национальная программная платформа уже создается на базе ПО компании «Альт Линукс».

Можно сказать, что последние 15-20 лет каждый второй год шел под знаком импортозамещения, исключая те, что шли как годы победы Linux на десктопе. Но есть, как говорится, нюанс.

Привет, Хабр!

Пришло время продолжить сагу об импортозамещении и российской виртуализации. И сегодня я буду разбирать по винтикам РЕД Виртуализацию. В опросе он занял почетное второе место, посмотрим, оправдает ли решение надежды проголосовавших за него читателей.

Microsoft Defender постоянно сканирует пакеты iso-образа Kali Linux, помечает как вредоносные и дублирует угрозы в журнале событий

Дисклеймер: статья предназначена для ребят, которые только учатся на инфобез и могут наступить на те же грабли, что и я. И предназначена для того, чтобы немного облегчить им жизнь.)

Предисловие: не так давно, проходя курс по кибербезопасности мне понадобилось скачать iso-файл с Kali Linux для виртуальной машины.

Но после неосмотрительного проведения полного сканирования системы встроенным антивирусом Windows, произошло кое-что неприятное. Microsoft Defender добрался до моего жесткого диска, где лежал iso-файл Kali Linux, взяв его в оборот, начал выдавать целый ворох угроз в журнале событий, требуя предпринять какие-нибудь действия: поместить угрозы в карантин, удалить их или разрешить на устройстве...

После ухода из России компании VMware и других крупнейших мировых поставщиков решений виртуализации и облачной инфраструктуры, появилась срочная задача найти альтернативу привычным инструментам. В процессе поиска команда Linx исследовала одно из доступных на российском рынке  решений ― программно-аппаратную платформу виртуализации SharxBase. Делимся своими впечатлениями.

Для начала нужно определиться: а зачем это кому-то нужно? В интернете существует такое мнение: "Мне скрывать и бояться нечего, на моем компьютере брать нечего". Это суждение ложное. На любом устройстве, подключенном к сети Интернет, всегда есть что-то, что может использовать злоумышленник. Например, вашу цифровую личность, ваши платежные данные, ваши аккаунты от различных сервисов. Например, у меня один раз украли аккаунт доставки роллов, и с него по непонятной причине заказывали роллы. Никаких бонусных баллов там не было, но факт остается фактом.

Ваш компьютер могут использовать в качестве прокси-сервера для совершения преступлений. Если вы поинтересуетесь в интернете о покупке прокси, то увидите множество так называемых "пакетных" предложений. Это когда за определенную сумму вам дают сразу тысячи прокси. Все это — скомпрометированные машины людей, которые думали, что у них нечего брать. Реальные IPV4 обычно стоят от 1 доллара за штуку в месяц.

Помимо того, что интернет будет работать медленнее, ваш IP-адрес могут занести в различные спам-базы. При заходе на любые сайты, в том числе на Google, будет вылазить капча, и это в лучшем случае. В худшем случае с IP-адреса, зарегистрированного на вас, могут совершить преступление. Как думаете, куда пойдет товарищ майор? К неизвестному злоумышленнику, использующему цепочки прокси или VPN, или к человеку, на чьи паспортные данные оформлен договор с провайдером?

Это вторая часть о том, как “подружить отечественный VDI и TrueConf”. В предыдущей части мы уже стали мастером по владению Astra Linux.

В этой части мы вновь установим Linux, но уже в гостевую ВМ, настроим Брест, Termidesk и TrueConf Server. И наконец посмотрим, как работает видеосвязь в VDI.

Продолжаем изучать Sangfor — азиатскую альтернативу популярным продуктам HCl (Hyper Converged Infrastructure), которые недавно покинули российский рынок.

В этот раз расскажу и покажу все основные моменты развертывания кластера, а также как добавить лицензию, подключить внешнюю СХД и настроить aSAN.

Возникла задача запускать графические приложения в полностью изолированной среде: как от Интернета, так и от файловой системы «хозяйской» ОС. В моём случае это был Matlab. Пишут, что в последних версиях он стал шибко «умным»: сам без спроса постоянно лезет в сеть и чем-то там постоянно обменивается со своими серверами. Однако использовать для поставленной задачи виртуальную гостевую машину / аппаратную виртуализацию (наподобие VirtualBox) — это, ИМХО, «too much». Docker подошел бы гораздо лучше, т.к. он использует то же ядро ОС и не требует эмуляции / виртуализации ввода-вывода, что существенно экономит ресурсы. Однако Docker «из коробки» не предназначен для запуска GUI-приложений. Что ж, попробуем это исправить и запустить таки Matlab внутри Docker-контейнера с полной поддержкой «иксов» и GUI.

В этой статье представлен список инструментов Linux и функционала Kubernetes, регулирующих безопасность контейнеров. Статья имеет описательный характер для базового понимания настроек безопасности, а также для систематизации полезных инструментов и полей спецификации k8s для этих целей. Статья основана на книгах, представленных в главе «Литература».

Безопасность контейнеров в Linux

Основной особенностью контейнеров является изоляция процессов средствами Linux. При этом, приложения в контейнере делят общее ядро операционной системы с другими приложениями. Какие же ограничения применяют контейнеры? 

Контейнеры должны контролировать права процесса, доступ к ресурсам хоста и доступ к другим файлам файловой системы. Разберемся со всем по порядку.

Ограничения прав процесса 

Можно настроить очень простое разграничение доступа для процесса: наличие или отсутствие прав root.

Также можно разрешить запускать некоторые процессы с привилегиями root обычному пользователю, повесив файлу флаг Setuid (если владелец файла -  пользователь root). Setuid позволяет вызвать процесс от имени владельца, а не от имени запускающего пользователя.

Обычно флаг setuid (+s) используют вспомогательные программы для назначения capabilities - возможностей, для которых требуются повышенные привилегии.

Это небезопасно, например, можно задать бит +s для bash-скрипта и через него под привилегиями root выполнить любое содержимое этого скрипта. Но это более правильный вариант, чем давать исполняемому файлу полные права админа. 

“Я отечественный … вы отечественные, компания отечественная…” © Отечественный Никита.

Компаниям приходится тратить немалую сумму, чтобы поддерживать парк оборудования в офисе. Цены на ноутбучную конфигурацию с 4 CPU, 8 Gb RAM и 256 Gb SSD стартуют от 27 тыс. рублей. Для небольшой компании с сотней сотрудников на обновление старых устройств уйдет более 2,5 млн. Конечно, здесь не учтены типы занятости: дизайнер, маркетолог, оператор, разработчик, техподдержка. Добавим к этому дополнительные мониторы, стойки к ним и гарнитуры — цена, думаю, будет превышать 10 млн. рублей. А если учесть параллельный импорт и курс рубля? Мне становится не по себе.

Решить данную проблему может инфраструктура виртуальных рабочих столов (VDI). К тому же, она еще хорошо вписывается в тренд перехода на удаленную работу.

Возможно, у вас была мысль запустить собственную услугу Infrastructure as a Service (IaaS) либо разместить свои проекты на Kubernetes, но не платить за managed-услуги, или ваш проект — это и есть self-managed Kubernetes. У full-stack-разработчика и предпринимателя Нейта Бакареффа эти желания сошлись воедино.

Он решил научиться развертывать собственный кластер на виртуальных выделенных серверах, о чем и рассказал в своем блоге. Эта статья является переводом его материала.

Публикуем новую статью из цикла про начало работы с гиперконвергентной платформой виртуализации vStack. В предыдущих материалах мы рассмотрели установку первого и последнего узлов. Руководитель проекта vStack Евгений Гаврилов в режиме реального времени демонстрирует формирование кластера после установки всех его узлов.

Продолжаем демонстрацию установки платформы виртуализации vStack вместе с Евгением Гавриловым, руководителем проекта vStack. В прошлом материале мы рассказывали об установке одного из узлов кластера vStack версии 2.1.3, а в этот раз мы продемонстрируем процесс инсталляции седьмого узла семиузлового кластера.

Разработка процессора и вообще программируемых микросхем — процесс сложный и длительный. От старта проектирования до получения первых образцов в кремнии проходит больше года. При этом ПО желательно писать и отлаживать параллельно процессу производства, чтобы оптимизировать сроки выхода продукта. Но как это делать, если «железо» еще не на руках или оно есть в очень ограниченном количестве, а нужно многим? 

Спойлер: делать имитацию. О том, какие подходы существуют и как выжать из них максимум эффективности для имитации сложных многоядерных систем, рассказали инженеры-программисты отдела разработки системного ПО YADRO Светлана Бурлака и Александр Солдатов.

Привет, Хабр! Меня зовут Михаил Терехин, я начальник ИТ‑отдела в ООО «РСХБ‑Финансовые консультации» — дочерней компании Россельхозбанка. Сегодня поделюсь с вами ощущениями от использования отечественной системы виртуализации РОСПЛАТФОРМА и тем, как мы переводили на нее нашу компанию.

В современных серверах устанавливается очень большой объем памяти. Иногда модули памяти ломаются и при ошибке сервер перезагружается. Если повезет, то умный системный контроллер подсветит неисправный модуль памяти, но может и не подсветить, тогда нужно искать, переустанавливая модули. Ситуация с перезагрузками сервера повторяется редко, но каждый раз это очень больно для бизнес-критичных приложений.

Для диагностики модулей есть хорошая программа memtest86+, но если памяти у нас 1ТБ, то полное тестирование растягивается на несколько дней, а бизнес не может так долго ждать.

Как же быть? В этой публикации я поделюсь опытом тестирования памяти сервера Gigabyte R292-4S0 с СУБД на Enteprice Linux 8 (EL8) и 1 ТБ памяти двумя методами:

С EFI загрузкой memtest86+ v7;

С автоматизированным созданием сотни libvirt-KVM виртуальных машин с memtest86+ внутри.

Запуск memtest внутри виртуальной машины... "Фу...", - скажут некоторые. И будут неправы. Почему?

Все больше российских компаний внедряют у себя виртуальные рабочие столы, и тому есть несколько причин. Во-первых, это обеспечивает высокую степень непрерывности и гибкости бизнеса. Во-вторых, с помощью виртуальных рабочих столов гораздо проще управлять инфраструктурой и поддерживать рабочие места, что снижает затраты. И, конечно же, виртуальные рабочие столы повышают информационную безопасность, что очень важно в наше время.

Так как многие западные вендоры ушли с российского рынка, сейчас самое время обратить внимание на отечественные продукты. Мы тестируем и интегрируем самые популярные из них, попутно делясь своим опытом. Одно из решений, про которые хотелось бы рассказать – Space VDI от ООО «ДАКОМ М». Space VDI предоставляет все необходимые инструменты для создания и управления виртуальными рабочими столами, обеспечивая высокую эффективность и безопасность, и может стать отличным решением для тех, кто хочет перейти на новый уровень IT-инфраструктуры. Подробнее – в статье.

Продолжаем рассказывать о возможностях гиперконвергентной платформы виртуализации vStack. В первом видео об установке узлов Евгений Гаврилов, руководитель проекта vStack, демонстрирует, как установить один узел кластера vStack.