Извините, не собираюсь делать вид, почему "суверенный" должен сразу означать, что мы должны с нуля пересоздавать протоколы и делать свою маршрутизацию, плюс мне казалось, что в заголовке очень явно написал, что в статье будет разобрано - о маршрутизации ни слово.
По поводу Reticulum - это очень интересно, но непонятно, как это будет работать в рамках закона КоАП РФ 13.4.
Читал, и, если честно, не ожидал, что кто-то всерьёз будет воспринимать это как гайд, даже в статье в кавычки поместил. Ну если действительно интересно, то это уже вопрос отдельной статьи, я этим не занимался и просто хотел показать, что это далеко не просто (даже в далёком 2011 году и зарубежом)
Так а в чём разница с тем, чтобы запускать контейнер на основе образа? В том, что вы не знаете, на основе какого образа он собран? Соберите сами, зачем повторять плохое, да ещё и основывать на нём своё оправдание? Нужна безопасность - контролируйте весь процесс от и до. Заметьте, я не говорю, что вы обязаны пользоваться докер контейнерами, но вот что я не понимаю, почему мне говорят, что я обязан не использовать докер образы?
Часто при установке приложения на бареметалл предлагается запустить скрипт из Интернета, чтобы стянуть заранее собранный бинарник. Всё простое - это всегда менее безопасное и стабильное, вопрос выбора каждого.
Как docker образы можно собрать с нуля, так и бинарники можно скомпилить самостоятельно и поставить, и наоборот, и то и другое можно взять готовое и установить
Так спрашиваете у меня, как будто я лично рецензирую этот "белый список") Эх, если бы у меня была такая власть...
Насчёт того, что Cloud.ru будет в этом белом списке я уверен потому, что вряд ли можно не внести хостера, у которого крутится ГигаЧат, Сбербанк и которым пользуются другие крупные российские компании. Но опять же, ещё нет уверенности, что этот "белый список" будет, делим шкуру неубитого медведя.
Свою же сеть можно строить где угодно, не обязательно на мощностях Cloud.ru, но так как я очень не хотел описывать ещё и построение хоумлабы и статья выпущена в корпоративном блоге, то предложение, конечно, воспользоваться услугами облачного провайдера
Если говорить про белый список, то практически со 100% вероятностью Cloud.ru там будет
А если говорить про "суверенность" и независимость, то расписанная мной схема возможна только в том случае, если вы отказываетесь от провайдера и сами им становитесь. Хоть я и привёл ссылку на гайд, как стать настоящим провайдером в РФ, думаю, есть ещё один путь - это сделать свою локальную сеть с соседями и это тоже можно назвать "суверенным" решением, в нём вы сами и провайдер, и УЦ, и DNS
Смысл был в том, чтобы другие люди тоже могли им пользоваться (ведь какой может быть суверенный Интернет без пользователей), как, например, мы все пользуемся Lets Encrypt. Конечно, в статье CA не торчит в интернет (так как это туториал и мне показалось это совсем лишним), но сразу может быть CA, для того чтобы потом это можно было открыть для всех желающих. По поводу constraints - согласен, это упущение, можно улучшить
Бонус за внимательность! Карта, на самом деле, очень старая, на скрине в статье там в топах yahoo.com и live.com, но основной смысл статьи, надеюсь, всё равно передаёт и показывает наглядно
По тем местам, где различается: 1. andyshinn/dsnmasq:2.83 и traefik:v3.5 - это разные образы (читайте - разные приложения). Разные они потому, что каждый файл - это описание отдельного приложения 2. В traefik в volume прокидывается /var/run/docker.sock, чтобы приложение traefik могло настраивать доступы через сеть (как nginx, apache и т.д.) к другим приложениям 3. environments, labels и command - это разные опции. environments - переменные окружения, labels - метки контейнера (именно их использует traefik при настройки и именно поэтому ему нужен /var/run/docker.sock), command - это команда, которая запускается в контейнере
Думаю, здесь можно даже попробовать закинуть статью в какую-нибудь LLM и прямо ваш вопрос ей задать, чтобы получить быстрый ответ, ну а вообще все эти конфиги - это основа Docker и Docker Compose, копайте в эту сторону
Полностью согласен! Под критической ситуацией имелось ввиду, например, отзыв сертификатов от зарубежных УЦ (это же и есть официальная причина, почему надо ставить сертификаты Минцифры)
Стараемся улучшать качество наших сервисов! Тут я скорее делюсь своим личным опытом, а не корпоративным - эти эксперименты мало имеют отношения к развёрнутому облачному сервису, но в любом случае было бы здорово, если бы вы рассказали, что мы можем улучшить, быть может я смогу помочь в улучшении определённого сервиса
Вставлю свои 5 копеек. Сам пользуюсь Nextcloud года этак 3 и почти всем доволен. Он бывает тормозной и в принципе выглядит немного устаревше, но это реально решение всё в одном. Мне кажется основная фишка что у тебя и хранение файлов, и контакты (с синхронизацией со всеми устройствами, конечно), и календарь (так же с синхронизацией), и музыкальный плеер, и даже почтовый клиент
По поводу бинарного поиска - меня ночью разбуди и попроси его написать - напишу. Не потому что я его на работе по 5 раз на дню реализую, а потому что помню в чём смысл, да и вообще в реальной жизни (не на работе) очень часто использую. А так конечно да, можно забыть и само определение, если хочется проверить, как шевелятся мозги - надо давать неизвестные задачи
У меня нет уверенности не в том, что он есть, а в том, что он будет и причём глобально по всей стране
Извините, не собираюсь делать вид, почему "суверенный" должен сразу означать, что мы должны с нуля пересоздавать протоколы и делать свою маршрутизацию, плюс мне казалось, что в заголовке очень явно написал, что в статье будет разобрано - о маршрутизации ни слово.
По поводу Reticulum - это очень интересно, но непонятно, как это будет работать в рамках закона КоАП РФ 13.4.
Читал, и, если честно, не ожидал, что кто-то всерьёз будет воспринимать это как гайд, даже в статье в кавычки поместил. Ну если действительно интересно, то это уже вопрос отдельной статьи, я этим не занимался и просто хотел показать, что это далеко не просто (даже в далёком 2011 году и зарубежом)
Так а в чём разница с тем, чтобы запускать контейнер на основе образа? В том, что вы не знаете, на основе какого образа он собран? Соберите сами, зачем повторять плохое, да ещё и основывать на нём своё оправдание? Нужна безопасность - контролируйте весь процесс от и до. Заметьте, я не говорю, что вы обязаны пользоваться докер контейнерами, но вот что я не понимаю, почему мне говорят, что я обязан не использовать докер образы?
Часто при установке приложения на бареметалл предлагается запустить скрипт из Интернета, чтобы стянуть заранее собранный бинарник. Всё простое - это всегда менее безопасное и стабильное, вопрос выбора каждого.
Как docker образы можно собрать с нуля, так и бинарники можно скомпилить самостоятельно и поставить, и наоборот, и то и другое можно взять готовое и установить
Так спрашиваете у меня, как будто я лично рецензирую этот "белый список") Эх, если бы у меня была такая власть...
Насчёт того, что Cloud.ru будет в этом белом списке я уверен потому, что вряд ли можно не внести хостера, у которого крутится ГигаЧат, Сбербанк и которым пользуются другие крупные российские компании. Но опять же, ещё нет уверенности, что этот "белый список" будет, делим шкуру неубитого медведя.
Свою же сеть можно строить где угодно, не обязательно на мощностях Cloud.ru, но так как я очень не хотел описывать ещё и построение хоумлабы и статья выпущена в корпоративном блоге, то предложение, конечно, воспользоваться услугами облачного провайдера
Если говорить про белый список, то практически со 100% вероятностью Cloud.ru там будет
А если говорить про "суверенность" и независимость, то расписанная мной схема возможна только в том случае, если вы отказываетесь от провайдера и сами им становитесь. Хоть я и привёл ссылку на гайд, как стать настоящим провайдером в РФ, думаю, есть ещё один путь - это сделать свою локальную сеть с соседями и это тоже можно назвать "суверенным" решением, в нём вы сами и провайдер, и УЦ, и DNS
Смысл был в том, чтобы другие люди тоже могли им пользоваться (ведь какой может быть суверенный Интернет без пользователей), как, например, мы все пользуемся Lets Encrypt. Конечно, в статье CA не торчит в интернет (так как это туториал и мне показалось это совсем лишним), но сразу может быть CA, для того чтобы потом это можно было открыть для всех желающих. По поводу constraints - согласен, это упущение, можно улучшить
Бонус за внимательность! Карта, на самом деле, очень старая, на скрине в статье там в топах yahoo.com и live.com, но основной смысл статьи, надеюсь, всё равно передаёт и показывает наглядно
По тем местам, где различается:
1. andyshinn/dsnmasq:2.83 и traefik:v3.5 - это разные образы (читайте - разные приложения). Разные они потому, что каждый файл - это описание отдельного приложения
2. В traefik в volume прокидывается /var/run/docker.sock, чтобы приложение traefik могло настраивать доступы через сеть (как nginx, apache и т.д.) к другим приложениям
3. environments, labels и command - это разные опции. environments - переменные окружения, labels - метки контейнера (именно их использует traefik при настройки и именно поэтому ему нужен /var/run/docker.sock), command - это команда, которая запускается в контейнере
Думаю, здесь можно даже попробовать закинуть статью в какую-нибудь LLM и прямо ваш вопрос ей задать, чтобы получить быстрый ответ, ну а вообще все эти конфиги - это основа Docker и Docker Compose, копайте в эту сторону
Полностью согласен! Под критической ситуацией имелось ввиду, например, отзыв сертификатов от зарубежных УЦ (это же и есть официальная причина, почему надо ставить сертификаты Минцифры)
Стараемся улучшать качество наших сервисов! Тут я скорее делюсь своим личным опытом, а не корпоративным - эти эксперименты мало имеют отношения к развёрнутому облачному сервису, но в любом случае было бы здорово, если бы вы рассказали, что мы можем улучшить, быть может я смогу помочь в улучшении определённого сервиса
Проверю сегодня, может быть действительно лишний шаг, спасибо!
А почему не стоит держать УЦ у себя на сервере?
Вставлю свои 5 копеек. Сам пользуюсь Nextcloud года этак 3 и почти всем доволен. Он бывает тормозной и в принципе выглядит немного устаревше, но это реально решение всё в одном. Мне кажется основная фишка что у тебя и хранение файлов, и контакты (с синхронизацией со всеми устройствами, конечно), и календарь (так же с синхронизацией), и музыкальный плеер, и даже почтовый клиент
Гитхаб здесь - скорее способ "дистрибьюции", а не хранения кода
Проблема вряд ли в eval, а скорее в последних двух пунктах
По поводу бинарного поиска - меня ночью разбуди и попроси его написать - напишу. Не потому что я его на работе по 5 раз на дню реализую, а потому что помню в чём смысл, да и вообще в реальной жизни (не на работе) очень часто использую. А так конечно да, можно забыть и само определение, если хочется проверить, как шевелятся мозги - надо давать неизвестные задачи
А есть примерны применения подобной атаки? Возможно, те самые модифицированные телефоны или другие устройства, которые такое делают?
(удалил)