А еще есть режим, когда ноды одного кластера сами друг друга распечатывают.
Вот это интересно.
Нашел схематичное объяснение как устроено распечатывание в блоге вашего продукта.
Только непонятно как это реализовано технически. Полагаю, на сервере, рядом с Stronghold или в самом Stronghold, например в плагине, есть код, который дискаверит узлы кластера и если они в unseal режиме распечатывает их (`vault operator unseal`). И еще не совсем понятно как происходит discovery узлов. Я догадываюсь как это сделать для raft storage backend (просто `vault operator raft list-peers`), а вот для других storage, наверное, придется дополнительно узлы где-то публиковать
Подскажите как у вас организованы процессы доставки unseal ключей ответственным сотрудникам, ротация ключей и распечатка хранилища?
1) Я так понимаю при разворачивании нового vault есть процесс, который каждую из 5-ти частей Шамира шифрует соответствующим открытым ключом "ответственного" и отправляет результат, условно, на почту "ответственного". Так?
2) Чтобы провести ротацию unseal ключей или распечатать хранилище, по прежнему, должна собраться группа из "ответственных" людей?
3) Используете ли вы Auto unseal или что-то подобное?
Я хочу чтобы xbox шел через Турцию. Зачем искать mac xbox, прописывать какие-то неявные правила, когда я могу подключить xbox к "Турецкой" точке доступа? Кажется, проще некуда
Интересно получается, RB4011iGS+5HacQ2HnD-IN в 10 раз быстрее mAP lite на шифровании, в 10 раз производительнее cpu, в 10 раз дороже и ~ в 30 раз тяжелее ;)
Вы плохо читали. 100 профилей это просто загруженный конфиг. Из них только несколько VPN активны. И они не грузят проц. Утилизация проца в 100% когда либо идет реальная работа, т.е. шифруется трафик на 30Mbps, либо когда идет активная запись/чтение конфигурации RouterOS. Именно последняя ситуация является аномалией
цена - скорее всего обошелся бы раза в 2-3 дороже, а если устройство классом выше и современнее - в 5+ раз
и самое главное, я не знаю его возможностей, и как следствие сможет ли оно без прошивки на dd-wrt/openwrt смочь поднять несколько AP с маршрутами через WG? И можно ли их вообще прошить на dd-wrt/openwrt? И будет ли оно потом стабильно работать на этих прошивка?
Задача была пустить трафик конкретного устройства через конкретную страну. Выбирать рандомную страну или страну в зависимости от доступности/ширины канала, такой задачи не стояло
В статье про k8s не упомянул, но у нас изначально была позиция, что dns, как самый базовый компонент инфраструктуры, должен быть максимально самодостаточен - независим от других компонент, которым он, по определению, нужен, чтобы не создавать "проблему курицы и яйца".
А так, если это оправдано, то "dns2" можно и в k8s затащить, главное - чтобы это был "другой" dns
У нас было "очень просто", и в статье написано к чему это привело. Сделали сложнее. Да, процедура деплоя статичных зон стала занимать больше времени, но взамен получили:
Нельзя одной кнопкой мыши удалить десятки тысяч записей
Горизонтальное масштабирование и отказоустойчивость
Возможность проводить регламентные работы на любом компоненте сервиса dns прозрачно для потребителя
Возможность обкатать новую конфигурацию конфигурацию в Stage на реальных данных
Спасибо.
Вот это интересно.
Нашел схематичное объяснение как устроено распечатывание в блоге вашего продукта.
Только непонятно как это реализовано технически. Полагаю, на сервере, рядом с Stronghold или в самом Stronghold, например в плагине, есть код, который дискаверит узлы кластера и если они в unseal режиме распечатывает их (`vault operator unseal`). И еще не совсем понятно как происходит discovery узлов. Я догадываюсь как это сделать для raft storage backend (просто `vault operator raft list-peers`), а вот для других storage, наверное, придется дополнительно узлы где-то публиковать
fix comment
Спасибо за статью.
Умно, познавательно.
Подскажите как у вас организованы процессы доставки unseal ключей ответственным сотрудникам, ротация ключей и распечатка хранилища?
1) Я так понимаю при разворачивании нового vault есть процесс, который каждую из 5-ти частей Шамира шифрует соответствующим открытым ключом "ответственного" и отправляет результат, условно, на почту "ответственного". Так?
2) Чтобы провести ротацию unseal ключей или распечатать хранилище, по прежнему, должна собраться группа из "ответственных" людей?
3) Используете ли вы Auto unseal или что-то подобное?
Цитата из статьи:
Про производительность ни слова
Можно уточнить в чем экономия времени запрограммировать функционал в статье на RouterOS против OpenWRT?
Я хочу чтобы xbox шел через Турцию. Зачем искать mac xbox, прописывать какие-то неявные правила, когда я могу подключить xbox к "Турецкой" точке доступа? Кажется, проще некуда
Интересно получается, RB4011iGS+5HacQ2HnD-IN в 10 раз быстрее mAP lite на шифровании, в 10 раз производительнее cpu, в 10 раз дороже и ~ в 30 раз тяжелее ;)
Вы плохо читали. 100 профилей это просто загруженный конфиг. Из них только несколько VPN активны. И они не грузят проц. Утилизация проца в 100% когда либо идет реальная работа, т.е. шифруется трафик на 30Mbps, либо когда идет активная запись/чтение конфигурации RouterOS. Именно последняя ситуация является аномалией
Что-то подобное попадалось в интернетах. Правда позже покупки mAP lite.
Есть даже очень похожие девайсы по размерам и железу. Например https://www.gl-inet.com/products/gl-ar300m/
Минусы для меня следующие:
долгое время доставки (из штатов или европы)
цена - скорее всего обошелся бы раза в 2-3 дороже, а если устройство классом выше и современнее - в 5+ раз
и самое главное, я не знаю его возможностей, и как следствие сможет ли оно без прошивки на dd-wrt/openwrt смочь поднять несколько AP с маршрутами через WG? И можно ли их вообще прошить на dd-wrt/openwrt? И будет ли оно потом стабильно работать на этих прошивка?
Да, данная статья больше про менеджмент, чем про "обойти любые блокировки"
Задача была пустить трафик конкретного устройства через конкретную страну. Выбирать рандомную страну или страну в зависимости от доступности/ширины канала, такой задачи не стояло
Обязательно воспользуюсь Mail Merge когда он появится в RouterOS!
Так бы и сделал, если бы мне нужен был роутер для дома
Что за модель, интересно?
Не каждый wifi роутер такой функцией обладает. Мне нужно было универсальное решение
Решаем проблемы по мере их появления
Не совсем понял. По geoip определять в какой стране ты находишься и автоматически переключать VPN в любой другой стране?
Или речь про сегментацию, т.е. на один ресурс из инетернета идти через один VPN, на другой - через второй VPN?
Таких задач не стояло
MikroWorld AP как раз по такому приципу и работает. Только там не firewall, а марштуризация
Конечно. Все получилось
В статье про k8s не упомянул, но у нас изначально была позиция, что dns, как самый базовый компонент инфраструктуры, должен быть максимально самодостаточен - независим от других компонент, которым он, по определению, нужен, чтобы не создавать "проблему курицы и яйца".
А так, если это оправдано, то "dns2" можно и в k8s затащить, главное - чтобы это был "другой" dns
Интересно, зачем вам в одной зоне и динамика и статика?
У нас было "очень просто", и в статье написано к чему это привело.
Сделали сложнее. Да, процедура деплоя статичных зон стала занимать больше времени, но взамен получили:
Нельзя одной кнопкой мыши удалить десятки тысяч записей
Горизонтальное масштабирование и отказоустойчивость
Возможность проводить регламентные работы на любом компоненте сервиса dns прозрачно для потребителя
Возможность обкатать новую конфигурацию конфигурацию в Stage на реальных данных