Split VPN удобен пользователям, но является потенциальной дырой в корпоративной сети. Вернее дырами, по числу пользователей, домашние ПК которых не так хорошо защищены, как корпоративные. Во многих крупных компаниях запрещен политиками ИБ.
Нужно, чтобы на интерфейсе EC2 инстанса-шлюза был назначен один из нескольких выданных Eastic IP. Остальные — непосредственно на ВМ в домашней лабе. И трафик на них маршрутизировался через туннель и шлюз в EC2.
В статье кейс с серой сеткой и серыми IP в лабе. Elastic IP выдаются поштучно, а не сегментом. NAT не подходит. Есть софт, который требует именно public IP.
Вот поддержу. Не только на ceph бюджет можно посчитать. На той же VMware HCI с vSAN All Flash все вполне считаемо. Не классическая СХД, но уже ближе к Enterprise.
А главное порог входа низкий и ценник адекватный без необходимости закупаться на 3PiB для получения нормального дисконта.
С Huawei и другими вендорами классических СХД конский ценник на накопители и ещё более конский на последующий Update. При том, что не под каждый проект массив в полной набивке нужен, получается крайне неудобно…
Вроде как можно несколько интерфейсов и несколько IP на одном интерфейсе. Интересует, возможно ли реализовать схему, когда EC2 маршрутизирует через 1 Elastic IP трафик на остальные во внутреннюю сеть через VPN туннель?
Marketing bullshit. VPN за месяцы. Проблемы удаленного доступа на 50% технические и на 50% лицензионные, если организация сидит на Windows OS и императив не пиратить
Все достаточно просто с Windows Server.
1) Лицензируется физический хост
2) Следуя первому пункту инфраструктуру хостинга лицензирует провайдер, как владелец физического оборудования
3) Использование Windows Server для услуг хостинга регулируется MS SPLA, в том числе порядок отчётности провайдера перед MS.
4) Провайдер самостоятельно определяет политику работы (и тарифы) с конечными потребителями, но обязан доносить EULA MS до потребителей
Итого, согласно политикам MS вы не можете перетащить корп лицензии на не выделенное исключительно для вашей компании оборудование. Лицензирование в разделяемой инфраструктуре обеспечивает хостер
Где можно почитать про эффективность защитных щитков? Они в принципе работают? В больнице от прямого кашля на врача еще понятно, как защитная мера. А вот в городе?
Не настолько хорошо разбираюсь в лазерах. Мысль была в том, что в условном городе может быть достаточно большое количество гравировальных лазеров, которые популярны для магазинов / студий сувенирки. Но я не уверен, что у них мощность 40Вт и размер поля позволят делать модель, как по ссылке.
Промышленные лазеры значительно более редкий и более дорогой зверь.
UPD: По модели не понятно, зачем круглые вырезы на внутренней полоске? Съемный щиток с отдельной полоской крепления, а не цельное полотно, так понимаю как раз для меньшего рабочего поля?
Скажем так — на сети для офисных ПК в нормальной организации правила навешены. Как и на остальные сети. МСЭ тут без разницы, физически вы за компом сидите или через VPN. А вот дырки во вне в случае с VPN потенциально появляются, причем пропорционально числу сотрудников. И если они из дома сидят это еще пол беды. А если из общественных сетей?
Текущая практика служб информационной безопасности в средних и крупных компания заключается в том, чтобы разрешать вход в корп сеть через VPN только с доверенных устройств. Например, корпоративных ноутбуков, которые могут быть не у всех сотрудников. Подключение домашнего ПК — это дыра, кто знает что на нем сидит и в какие ещё сети торчит.
Касательно SIP чем не устраивает проброс аудио и видео в RDP сессии с офисного ПК? Если там софтфон, а не аппарат, то проблем на первый взгляд не вижу. Но VoIP не мой конёк. Поделитесь
Проблема в том, что вирусной инфекцией так или иначе должна переболеть существенная часть населения. Карантин — одна из мер смягчения, а не тотального устранения заболевания. И лучше, если переболеет часть популяции с наименьшим уровнем риска. А не все разом выйдут на улицы без иммунитета. У вируса летальность снижается в процессе эволюции.
После сидения месяц дома даже здорового человека ССС и тонус будут явно не в лучшем виде. Выше риски.
Кроме того, не все профессии, в отличии от ИТ, могут зарабатывать и пропитаться не выходя из дома. И не у всех есть финансовая подушка. Что будет со здоровьем этих людей без нормального питания? Что они будут делать, чтобы достать еду?
Гостевой Windows Server лицензируется по физическому хосту. Если на хост не назначены лицензии Microsoft в необходимом количестве, то гость Windows Server вы не имеете права использовать.
Multitenant Hosting Rights for Windows 10
Customers who buy Windows Per User licenses through Microsoft Volume Licensing will need to engage with an Authorized QMTH Partner to make use of their multitenant hosting rights for Windows 10 to host their Windows virtual machines on third-party multitenant hardware.
In addition, a customer who buys qualifying Windows 10 subscriptions with virtualization use rights via Microsoft Cloud Agreement subscription will need to engage with an Authorized QMTH Partner to make use of their multitenant hosting rights for Windows 10.
Customers do not need to engage an Authorized QMTH Partner for the following scenarios for qualifying Windows 10 products:
• Microsoft Azure environment
• Customers with on-premise dedicated use rights
"Он хотел бы на своих серверах, где уже стоял Ubuntu 18.04, запускать виртуальные машины с Windows под KVM."
"Он хотел раскочегарить qemu на своих Ubuntu серверах, чтобы избежать закупок дорогих серверных лицензий Windows Server"
Я вас поздравляю — нарушает правила лицензирования Microsoft. Чтобы иметь право использовать Windows Server в гостевой системе должен быть корректно отлицензирован хост. И не важно, какой гипервизор используется…
Тогда как-то шоколадно выходит. 2x2,5 = 5% с аренды двух поменьше. Что отбивает 2,7% ипотеки. Все бы так сидели и сдавали триплексы. Ну или налоги, страховки, простои сжирают 1- 2,7/5 = 46% рентного дохода.
Split VPN удобен пользователям, но является потенциальной дырой в корпоративной сети. Вернее дырами, по числу пользователей, домашние ПК которых не так хорошо защищены, как корпоративные. Во многих крупных компаниях запрещен политиками ИБ.
В статье кейс с серой сеткой и серыми IP в лабе. Elastic IP выдаются поштучно, а не сегментом. NAT не подходит. Есть софт, который требует именно public IP.
Куда копать? Роутинг и aliasы на интерфейсы во внутреннем виртуальном кластере?
Вот поддержу. Не только на ceph бюджет можно посчитать. На той же VMware HCI с vSAN All Flash все вполне считаемо. Не классическая СХД, но уже ближе к Enterprise.
А главное порог входа низкий и ценник адекватный без необходимости закупаться на 3PiB для получения нормального дисконта.
С Huawei и другими вендорами классических СХД конский ценник на накопители и ещё более конский на последующий Update. При том, что не под каждый проект массив в полной набивке нужен, получается крайне неудобно…
Вроде как можно несколько интерфейсов и несколько IP на одном интерфейсе. Интересует, возможно ли реализовать схему, когда EC2 маршрутизирует через 1 Elastic IP трафик на остальные во внутреннюю сеть через VPN туннель?
Marketing bullshit. VPN за месяцы. Проблемы удаленного доступа на 50% технические и на 50% лицензионные, если организация сидит на Windows OS и императив не пиратить
Все достаточно просто с Windows Server.
1) Лицензируется физический хост
2) Следуя первому пункту инфраструктуру хостинга лицензирует провайдер, как владелец физического оборудования
3) Использование Windows Server для услуг хостинга регулируется MS SPLA, в том числе порядок отчётности провайдера перед MS.
4) Провайдер самостоятельно определяет политику работы (и тарифы) с конечными потребителями, но обязан доносить EULA MS до потребителей
Итого, согласно политикам MS вы не можете перетащить корп лицензии на не выделенное исключительно для вашей компании оборудование. Лицензирование в разделяемой инфраструктуре обеспечивает хостер
Промышленные лазеры значительно более редкий и более дорогой зверь.
UPD: По модели не понятно, зачем круглые вырезы на внутренней полоске? Съемный щиток с отдельной полоской крепления, а не цельное полотно, так понимаю как раз для меньшего рабочего поля?
У лазерщиков уточните, думаю они могут быстро и точно резать по макету
Модели угроз на гипотетических «если» и строятся.
Для VPN нужен один порт. Для предложенного автором в статье варианта — два. Разница не драматическая.
Текущая практика служб информационной безопасности в средних и крупных компания заключается в том, чтобы разрешать вход в корп сеть через VPN только с доверенных устройств. Например, корпоративных ноутбуков, которые могут быть не у всех сотрудников. Подключение домашнего ПК — это дыра, кто знает что на нем сидит и в какие ещё сети торчит.
Касательно SIP чем не устраивает проброс аудио и видео в RDP сессии с офисного ПК? Если там софтфон, а не аппарат, то проблем на первый взгляд не вижу. Но VoIP не мой конёк. Поделитесь
Проблема в том, что вирусной инфекцией так или иначе должна переболеть существенная часть населения. Карантин — одна из мер смягчения, а не тотального устранения заболевания. И лучше, если переболеет часть популяции с наименьшим уровнем риска. А не все разом выйдут на улицы без иммунитета. У вируса летальность снижается в процессе эволюции.
После сидения месяц дома даже здорового человека ССС и тонус будут явно не в лучшем виде. Выше риски.
Кроме того, не все профессии, в отличии от ИТ, могут зарабатывать и пропитаться не выходя из дома. И не у всех есть финансовая подушка. Что будет со здоровьем этих людей без нормального питания? Что они будут делать, чтобы достать еду?
Customers who buy Windows Per User licenses through Microsoft Volume Licensing will need to engage with an Authorized QMTH Partner to make use of their multitenant hosting rights for Windows 10 to host their Windows virtual machines on third-party multitenant hardware.
In addition, a customer who buys qualifying Windows 10 subscriptions with virtualization use rights via Microsoft Cloud Agreement subscription will need to engage with an Authorized QMTH Partner to make use of their multitenant hosting rights for Windows 10.
Customers do not need to engage an Authorized QMTH Partner for the following scenarios for qualifying Windows 10 products:
• Microsoft Azure environment
• Customers with on-premise dedicated use rights
www.microsoft.com/en-us/CloudandHosting/licensing_sca.aspx
Все сложнее. Multitenant Hosting десктопной Windows требует отдельной авторизации от Microsoft. В России я только РТК знаю с такой
"Он хотел бы на своих серверах, где уже стоял Ubuntu 18.04, запускать виртуальные машины с Windows под KVM."
"Он хотел раскочегарить qemu на своих Ubuntu серверах, чтобы избежать закупок дорогих серверных лицензий Windows Server"
Я вас поздравляю — нарушает правила лицензирования Microsoft. Чтобы иметь право использовать Windows Server в гостевой системе должен быть корректно отлицензирован хост. И не важно, какой гипервизор используется…
housepriceindex.ca/#chart_change=qc_montreal
Рост недвижки 5,6% Y/Y на горизонте 20 лет…