С точки зрения SRE, люди вообще очень сложны в оперировании: документации нет, разработка велась по принципу «тяп-ляп и в продакшн». Багрепорты разработчик игнорирует, исходников не предоставил, фиксы приходится делать для каждого инстанса отдельно и вручную. Архитектура монолитная, интерфейсы между компонентами не специфицированы, замена глючных блоков в рантайме — вообще сплошная боль.
Установить нужный софт не всегда просто. У одного разработчика стоит gentoo, у другого нестабильная ubuntu, в продакшне стабильный debian. Потом оказывается, что у одного версия библиотеки слишком старая, у другого поменялись пути, у дебиане вообще в дистрибутиве её нет. В случае контейнеров все работают в идентичном окружении.
Когда используете чужие репозитории, привязывайтесь к конкретной версии. Периодически, когда вы явно этого захотите, можете передвигать версию на более свежую, тестировать всё, и если ок, то коммитить изменения Dockerfile.
В kubernetes на каждой машине висит специальный прокси-сервер (по функциям аналог haproxy), который сам отслеживает изменения конфигурации через etcd и моментально меняет адреса бэкендов, если они поменялись.
Вы открываете и пересохраняете файл зоны из PHP-скрипта, так? Если два скрипта будут писать в один файл, это может кончиться плохо. Если один читает, когда второй в процессе записи, это ещё вариант сбоя. Если два прочитали, сделали изменения (каждый своё) и записали вместе, то может кто-то один «победить», затерев изменения другого и т.д. Проблем разных может быть много.
Покажите код, как вы это делаете. Я его поревьюю и скажу, если вы чего делаете не так.
Блокировку в php-скрипте не забыли, чтобы два клиента, одновременно обратившиеся к скрипту, не мешали друг другу? Что будет, если сервер упадёт? Адреса у всех клиентов обновляться не будут? Это всё вещи, которые в dyndns продуманы и учтены.
Почитал интернеты. Оказывается, есть классная штука — ipset. Но ее надо явно использовать. Если просто добавлять правило в iptables на каждый адрес, то будет тормозить при большом числе правил.
Дело не в том, сколько они весят. А в том, что на каждый входящий пакет машине придётся делать перебор миллиона записей в таблице iptables.
Чтобы отправить пакет с поддельным IP-адресом, контролировать машины не надо. ru.wikipedia.org/wiki/IP-%D1%81%D0%BF%D1%83%D1%84%D0%B8%D0%BD%D0%B3
А что будет в случае спуфинга? Если злоумышленник отправит по 10 SYN-пакетов с мульона разных адресов? У вас в iptables миллион правил окажется? Похоже на прекрасную атаку.
С одним уточнением. Если вы компания, у которой много операционных расходов, и доход меньше миллиона в месяц не окупает даже минимальные затраты. Тогда да, надо несколько миллионов на раскрутку.
Если вы — это два разработчика, то вас устроит и меньший доход. Значит достаточно меньше пользователей. А чем меньше вам их надо, тем дешевле каждый из них обойдётся.
Условно — первую тысячу пользователей вы берете бесплатно. Ещё пять тысяч — по рублю за регистрацию, дальше дороже. Если вам нужны миллионы сотни тысяч регистраций, то такое количество уже по рыночной цене придётся доставать.
Принцип работы Row Hammer известен уже давно, но не было рабочих эксплойтов, позволяющих направленно портить биты, чтобы какой-то профит поиметь. Атака от Google — это рабочий рут-эксплойт. Он направлен именно на линукс, на его систему управления памятью.
Большая часть времени проводится в нормальных регулируемых креслах за нормальными большими мониторами. Ситуаций, когда полезны красивые комнаты и/или ноут на пузе, в основном две: «все достали, не дают сосредоточиться» и, наоборот, «пойдём куда-нибудь, чтобы поговорить и не мешать другим».
insert into prices(entry, price) values ('втулка', 100), ('гайка', 50), ('хреновина', 300),… on duplicate key update price=values(price)
Если упираетесь в производительность диска, то не поможет, конечно. А если в обмен между приложением и базой, то поможет.
Частоты соседних полутонов отличаются в корень 12 степени из 2 раз. Полная октава (12 полутонов) — это как раз изменение частоты в 2 раза. Ля первой октавы — 440 герц.
А можно пояснить чайнику — если кто-то зарабатывает деньги на бирже, то кто-то другой их теряет. Т.е. суть игры заключается в том, чтобы оказаться хитрее/умнее/быстрее/информированнее других игроков. По идее, это должно приводить к оттоку аутсайдеров (кому охота постоянно терять деньги?), переходу других участников в аутсайдеры, и в результате к схлопыванию всей системы. Почему такого не происходит?
Когда используете чужие репозитории, привязывайтесь к конкретной версии. Периодически, когда вы явно этого захотите, можете передвигать версию на более свежую, тестировать всё, и если ок, то коммитить изменения Dockerfile.
Покажите код, как вы это делаете. Я его поревьюю и скажу, если вы чего делаете не так.
Чтобы отправить пакет с поддельным IP-адресом, контролировать машины не надо. ru.wikipedia.org/wiki/IP-%D1%81%D0%BF%D1%83%D1%84%D0%B8%D0%BD%D0%B3
Если вы — это два разработчика, то вас устроит и меньший доход. Значит достаточно меньше пользователей. А чем меньше вам их надо, тем дешевле каждый из них обойдётся.
Условно — первую тысячу пользователей вы берете бесплатно. Ещё пять тысяч — по рублю за регистрацию, дальше дороже. Если вам нужны миллионы сотни тысяч регистраций, то такое количество уже по рыночной цене придётся доставать.
Сорри за троллинг. Статья, на самом деле, интересная.
Если упираетесь в производительность диска, то не поможет, конечно. А если в обмен между приложением и базой, то поможет.