FreeBSD + Нosting

Serguei E. Leontiev написал(а) к Dmitry Tochansky в Apr 15 00:30:18 по местному времени:

From: "Serguei E. Leontiev" <leo@sai.msu.ru>

Привет Дмитрий,

От 19 апреля 2015 г., 17:14:04 в fido7.ru.unix.bsd ты писал:
DT>>> Какие проблемы возникают?
AK>> банальные - непопулярная платформа, регулярно ломающая
AK>> совместимость сама с собой, неудобство автоматической
AK>> установки и сопровождения, отсутствие коммерческого
AK>> интереса у разработчиков хостинг-платформ как результат.
DT> С непопулярностью платформы получается замкнутый круг.
DT> Платформа не популярная - нет разработчиков, нет разработчиков
DT> - платформа непоплуярная. :)

Проблема больше не в том, что не популярная, а в том, что популярность
пока снижается, вместо того, что бы расти. Например, CPanel и ISP
Manager, как я понимаю, прекратили поддержку FreeBSD, так что уже менее
половины панелей управления дружат с FreeBSD.

DT> Можешь привести пример "регулярной
DT> поломки совместимости" в рамаках одной мажорной версии?

Как показывает опыт, со всеми случается, с Open Source чаще, и с разными
Linux, и с FreeBSD. Но, на моей памяти, самый злобный случай был FreeBSD
лет 10 назад, когда они поменяли библиотеку, без изменения её номера
версии, вот гады.

Другой случай, для меня менее злобный, а по кому-то, быть может, сильно
ударило. FreeBSD 8.3 -> 8.4 изменение в make: заменили модификаторы
подстановки переменных :L и :U на :tl и :tu.

DT> в том, ни в другом случае, ОС не накладывает каких-то
DT> ограничений и не имеет очевидных различий для конечного
DT> потребителя. Я верно понял посыл, что в первую очередь FreeBSD
DT> неудобна не столько для потребителя, сколько для владельца
DT> хостинга? Dmitry

И на Amazon в суд подать, за то что не предоставляет инстансов с FreeBSD.

--
Успехов, Сергей Леонтьев. E-mail: lse@CryptoPro.ru


--- ifmail v.2.15dev5.4

Alex Korchmar написал(а) к Dmitry Tochansky в Apr 15 09:13:37 по местному времени:

From: Alex Korchmar <noreply@linux.e-moe.ru>

Dmitry Tochansky <Dmitry.Tochansky@f1111.n5030.z2.fidonet.org> wrote:

AK>> банальные - непопулярная платформа, регулярно ломающая совместимость
AK>> сама с собой, неудобство автоматической установки и сопровождения,
AK>> отсутствие коммерческого интереса у разработчиков хостинг-платформ как
AK>> результат.
DT> С непопулярностью платформы получается замкнутый круг. Платформа не популярная
DT> - нет разработчиков, нет разработчиков - платформа непоплуярная. :)
да.

DT> Можешь привести пример "регулярной поломки совместимости" в рамаках одной
DT> мажорной версии? Ключевых слов для гугля будет достаточно.
ты правда собираешься в рамках одной мажорной версии создать платформу,
с ней работать, а после выхода x.3 - обанкротиться?

Впрочем, pkg у нас случился вполне в пределах жизни одной версии. И на
еще одну говнопанель стало таки меньше - см ISP pro. Ниасилили.

DT> Все те два-три хостера, услугами которых я пользовался, имели свои
DT> собственные самописные биллинг и панель управления.
дай угадаю - они были карликовыми, и панель ничем толком не управляла?

(ну либо наоборот - монстры типа амазон и DO могут держать собственные команды
разработчиков. Тем более, что продают нечто нестандартное. Кстати, под какую
систему разработчиков больше? Учитывая что тебе надо не одного гения, а
большую команду дятлов, долбить по клавиатурам надо много ;-)

AK>> И рано или поздно ты нарвешься на клиента, у которого в требованиях
AK>> написано "LAMP и точка". И можешь хоть до посинения объяснять ему, что
AK>> у тебя все то же самое, только лучше - денег он заплатит тому, кто
AK>> предоставит что написано.
DT> А можно чуть подробнее с этого места. Это как раз та техническая сторона,
да это последнее, что тебя должно было волновать. Первое - что у тебя и так
бизнес на грани фола с окупаемостью пятнадцать лет, а ты еще готов добавить
ему совершенно перпендикулярное направление, требующее отдельных специалистов
в количестве сильно больше одной штуки, которые тоже получают немаленькую
зарплату. И зачем?

DT> которая и интересовала. Возможно, я мало знаю о внутреннем устройстве
DT> современного виртуального хостинга, отсюда и непонимание тонкостей. Подавляющая
DT> часть сайтов, насколько я понимаю, это стандартные CMS
не-а. Они в лимиты виртуальных хостингов не влезают, а платить больше ни одна
сволочь не хочет. Традиционное письмо в саппорт - "у меня инсталл не инсталл".
Поэтому подавляющее большинство говносайтов, которые именно на шаред, не на
vps, это какое-то самописное уг.
И разбираться, почему оно в линупс работает, у тебя не работает - под вопли
клиента что "да я его взял с *хост, двадцать лет проработало, перенес к
тебе - а у тебя ашамбе ешельбе пешамбе шайтанама, верни деньги и процент
гони" - оно вот тебе надо?

DT> интернет-магазином. Ни в том, ни в другом случае, ОС не накладывает
DT> каких-то ограничений и не имеет очевидных различий для конечного
DT> потребителя.
за исключением стапиццот путей, прибитых гвоздиком в каком-нибудь config.php,
который, опять же, редактировали десять лет назад и уже давно забыли, где
закопан тот, кто умел его редактировать.

DT> Я верно понял посыл, что в первую очередь FreeBSD неудобна не столько для
DT> потребителя, сколько для владельца хостинга?
естественно, потребителю-то какая в жопу разница? Он и слов-то таких не знает.
Но буковки сравнить - умеет. И если у него в документации "Linups/shitOS7" -
то он будет с тебя требовать именно ее. То что оно бы и в ней не завелось без
напильника - его не колебет.


> Alex
P.S. ну и из серии "приятные мелочи":
CONFLICTS= php53-5 php54-5* php56-5* php5-5
- это, как ты догадываешься, lang/phpчтото.
Мало того что это придется чинить, так еще и всю жизнь следить, чтобы оно
ненароком не пооверрайдилось апстримом.

--- ifmail v.2.15dev5.4

Sergey Anohin написал(а) к Alex Korchmar в Apr 15 10:56:27 по местному времени:

Нello Alex* *Korchmar
AK> Мало того что это пpидется чинить, так еще и всю жизнь следить, чтобы
AK> оно ненаpоком не поовеppайдилось апстpимом.

Мы все о минусах, а плюсы?

ZFS вpоде как она пpиватизиpована под лицензию бсд тепеpь?
MPD5 вpоде как умеет на уpав тысячи туннелей деpжать
pf не юзал, но нахваливают
ipfw по сpавнению с иптаблес это куда более пpосто и понятно, с таблицами
вpоде тоже pаботает лучше, могу ошибаться

А еще есть плюхи?

Bye, Alex Korchmar, 20 апpеля 15
--- FIPS/IP <build 01.14>

Alex Korchmar написал(а) к Sergey Anohin в Apr 15 14:23:18 по местному времени:

From: Alex Korchmar <noreply@linux.e-moe.ru>

Sergey Anohin <Sergey.Anohin@p1.f10.n5034.z2.fidonet.org> wrote:

SA>>> ZFS вpоде как она пpиватизиpована под лицензию бсд тепеpь?
AK>> зачем на шаpедхостинге - zfs ?
SA> Ну допустим не пpо шаpедхостинг:
SA> масштабиpуемость, отказоустойчивость, надежность?
абсолютно не. К тому же надежность - это точно не про zfs.

SA> Ну это общий плюс.
для меня это к примеру общий минус, но вопрос был про хостинг.

SA> Не помню пpимеp, но было такое что пpостую опеpацию в iptables пpиходится
SA> делать чеpез зад кучей pулесов на целую стpаницу, пpи том что в ipfw
значит не надо ее вообще делать, и решать все проблемы как гвоздь.

SA> ipfw пpост в понимании и логичен
пока у тебя полтора десятка правил умещаются на экране.
После диверта, контроля ipsec'а, антиспуфинга и нескольких интерфейсов с
разными задачами - оно совершенно перестает быть таким простым и логичным.

SA> нету всякого г-на типа prerouting nat mangle.
ну если изоляция роутинга, ната и собственно пакетной фильтрации это "всякое
говно" то говорить с подобными "мастерами" мне не о чем и незачем.
Это означает что ты не умеешь настраивать ни ipfw, ни iptables. Так, слышал
звон и настроил на целом одном хосте, никому нафиг не впершемся.


> Alex

--- ifmail v.2.15dev5.4

Vova Uralsky написал(а) к Alex Korchmar в Apr 15 10:43:54 по местному времени:

Нello Alex!

21 Apr 15 09:41, Alex Korchmar wrote to Vova Uralsky:

AK>>> То есть и одного не довелось, судя по непониманию разницы между
AK>>> cloud и шаредхостингом.
VU>> Это примерно как "братцы, подскажите, что лучше, модем или интернет?"
VU>> Cloud, вроде как, инфраструктура управления ресурсами. Запускаешь ты
VU>> на них
AK> повторяю - я спрашивал о личном опыте, и сомневаюсь что ты работаешь
AK> на амазон.

не, на этих кровососов не работаю. И не рвусь :-D

AK> cloud не инфраструктура для управления ресурсами, ага. cloud это
AK> инфраструктура
AK> для отвязки сервиса от конкретной железки, и нужна она совсем для
AK> других целей.
AK> Ибо немного небесплатна.

Ты бы хоть статью в википедии почитал бы чтоли....

VU>> Никогда не слышал чтобы исходящий траффик ids/ipsили?
AK> на шаредхосте? Не, не слышал. Не догадываешься, почему?
AK> Вот именно по этой причине про личный опыт и спрашивал. Чтобы понять,
AK> на
AK> каком уровне собеседник понимает происходящее. Получается что
AK> околонулевом.

У меня, вот, тоже складывается впечатление что мой собеседник просто тролль. Вот снова, поскипал всё про zfs, оставил только флэйм.

VU>> Не в курсе, зачем? Ждешь
VU>> пока тебе ЯВебмастер скажет что у тебя на сайте ифрэйм с вирусом?
AK> так не у меня, а у юзера. Мне не жалко, он свои $5 в месяц заплатил.
AK> Пока мне отдел Р или как там оно теперь, не скажет чего нехорошего,
AK> пусть себе висит.
AK> А он не скажет, потому что им не до вирусов, им за державу обидно.

Правильно, на $5 купил, на $5 получил. Какие там вирусы.

VU>> И вообще, на php можно навалять фантастические вещи. ;-)
AK> можно, только на шаредхосте они как правило не работают, с его
AK> лимитами и

Точно, за $5 никто ничего другого и не ожидает. Хотя, там где ТУПОЗ заведётся, можно многое наворотить.

AK> порезанным php. Или сразу кладут сайтик целиком, и недовебмастер
AK> бежит
AK> с воплями в техподдержку.

И сайтики такие ищем мы глазками? Таджиков нанимаете?

AK>>> чему? ips'ы собирать из говна и палок?
VU>> Видимо, iptables стал конфеткой ;-)
AK> для непонятливых разжевываю: iptables никогда не был ips'ом. Это
AK> хороший,
AK> удобный пакетный фильтр с элементами stateful firewall, имеющий
AK> небольшое
AK> количество известных проблем, но не более того.

Это мы уже слышали, и степень субъективности уже уловили.

AK> Проблема фряхи - что ни pf, ни ipfw не являются ни хорошим, ни тем
AK> более
AK> удобным пакетным фильтром, а являются окаменелым мамонтовым говном,

Это тоже малообъективно.

AK> кое-как допиленным до полупригодной работы с кучей кривых подпорок,
AK> лишь
AK> частично работоспособных, включая уродливые хелперы в userspace, и
AK> имеющие
AK> чудовищное количество проблем в любых неожиданных местах. В лучшем

Голословное утверждение.

AK> случае - пять лет назад Гроссбейн открыл тикет, и он до сих пор
AK> висит в статусе "unassigned".

:-D Я тоже как-то разок-другой, что с того?

AK>>> и? Удали мне пятое правило из пяти тыщ, добавленых внутрь anchor?
VU>> А теперь расскажи, зачем ты нафигачил пять тыщ правил? Тебе про
AK> потому что могу.

Система виновата в том что позволила тебе прострелить себе ногу?

VU>> таблицы никто не рассказал?
AK> а теперь начнем с начала - таблицы - нужны только тем, у кого
AK> несчастные
AK> пять тыщ правил внезапно вызывают баттхерт. Поэтому крайне глупо
AK> считать
AK> даже полное отсутствие этой ненужной фигни ужасным недостатком
AK> файрвола.

Я как раз с этого начал, расскажите, как правильно зафильтровать стотыщ одиночных адресов iptablesами, чтобы проседало не сильнее чем на pf?

AK> А оно в линупсе таки даже присутствует, правда, низачем в большинстве
AK> случаев ненужное.

AK> A anchor - это просто уродливая замена skipto, делающая уже и так
AK> неудобную
AK> вещь совсем неудобной. До кучи в нем еще и выйти из середины обратно
AK> на
AK> предыдущий уровень нельзя, ибо ничего кроме quick не осилено.

Это дело вкуса. Кому как удобнее, кому-то надо прямой как палка рулесет, кому-то иерархические структуры.

AK>>> О том как траблшутить этот тяжелый бред, лучше уж даже спрашивать не
AK>>> буду.
VU>> О, да! Траблшутитьт iptables, этож сплошное удовольствие!
AK> я никогда не занимался траблшутингом iptables в том смысле, в котором

Я так понимаю, Бог миловал. ;-)

AK> это
AK> приходилось делать с ipfw/pf - когда тратишь по нескольку часов,
AK> чтобы
AK> разобраться в поломавшейся сложной конфигурации. Потому что там этого
AK> не то
AK> что совсем невозможно добиться, но надо в таком случае не
AK> траблшутить,

Я, конечно, отморозок, наверное, но мне удобно собранное pflogd прочитать в wireshark и там анализировать, привык, видимо.

AK> а iptables -F и переделать нормально. Благо это редко занимает больше
AK> пятнадцати минут даже в сложных случаях, с QUEUE и нетривиальными
AK> хелперами,
AK> которые нельзя вызывать как попало. Но на практике даже такого не
AK> приходилось - людям все же не свойственно делать заведомую херню в
AK> случаях,
AK> где система изначально помогает ее не делать.
AK> То есть любые, доселе попадавшиеся мне iptables, сделанные совершенно
AK> разными людьми или вовсе не человеками, в совершенно разных системах,
AK> чинились за пару минут.

:-D :-D :-D

VU>> О! Вижу проблески разума! Вопрос, где кончается LAN и начинается
VU>> Internet? Ответ, там где бесконечный бесплатныей канал упирается в
VU>> дорогой.
AK> э... ты в каком веке живешь-то?
AK> Каналы у массхостера обычно почти бесконечные и в целом - бесплатные
AK> (там узкое
AK> место случается раньше, чем дойдет до бордера в принципе). И проблемы
AK> у него
AK> всегда с in, а не с out.

Угумс, типа скорости порта в свитче, как не удивительно, добиться отключения этого порта не так сложно. Возвращаясь к вопросу... То есть где мы QoSить будем всё-таки не так важно?

VU>> Честно говоря, охотничьи рассказы про Золотоглавую меня уже некоторое
VU>> время перестали удивлять.
AK> у вас там в Питере ТАКАЯ жопа? Нет, чего - правда? Я-то полагал что в

Ой, я и не знаю, как там в Питере, не был там уже лет 15.

AK> Москве
AK> подходы к таким вещам устарели лет на десять кроме некоторых
AK> отдельных
AK> оазисов, но у тебя, похоже, не десять, все двадцать. Понятно, почему
AK> тебя
AK> устраивает пакетный фильтр двадцатилетней тухлости, ага. Непонятно,

Возможно это станет для тебя разрывом контекста, но есть горячие головы, использующие pf+CARP+pfsync, вполне успешно и на протяжении многих лет. Правда покачто видел только на базе OpenBSD.

AK> кто и
AK> зачем в такой жопе размещает сайты.

Размещай в Москве

AK>>> Смысл, простите? У тебя и так ресурс ограничен хуже некуда.
VU>> Процессоры нынче дёшевы и быстры. А вот WAN'а и IO хватает невсегда.
AK> ааааа!!!!

Что, процессоры дорогие и медленные? ;-)

VU>> P.S. Соберу говнороутер на линуксе, когда туда портанут zfs, pf и
VU>> mpd. ;-)
AK> а я вот может соберу хостинг на фре, когда оттуда наконец выкинут mpd
AK> с pf и
AK> прочее мамонтово говно, и заодно ipsec с туннелями починят до хоть
AK> более-менее рабочего вида.

Точно, собери ipsec хостинг. Вот все удивятся!

AK> А пока приходится осторожно присматриваться к линуксному порту zfs.
AK> Ибо толку от стораджа с полурабочей сетью не просматривается, а
AK> шансов что

Сам полсети отломал?

AK> ее кто-то приведет в более-менее современный вид - ноль. Все дружно
AK> ринулись переписывать pkg и догонять и перегонять линупс в его самых
AK> дурацких особенностях. Причем с примерно твоим уровнем понимания как
AK> они
AK> на самом деле используются в реальной жизни.

Как опыт показывает, реальность жизни у всех примерно одинаковая, только восприятие разное.

Из свежих впечатлений. Как ты думаешь, насколько практично сделать хостинг на базе 1ВМ блэйдцентра с нетаповским iscsi storage и с gpfs поверх? Хотя, это скорее портал, где отдельные клиенты управляют собственными инстансами апача, имея возможность ходить к общей базе данных, css'ам, js'ам, платёжным сервисам идр ипр. Бэкап, архив, 24х7. Для тебя такие хостеры, видимо, будут идиотами, не понимающими как правильно строить. Ты для них будешь идиотом, который не в состоянии понять зачем это сделано так, и не иначе.

Regards,
Vova

--- Msged/BSD 6.2.0

Eugene Grosbein написал(а) к Alex Korchmar в Apr 15 19:28:24 по местному времени:

21 апр 2015, вторник, в 13:23 NOVT, Alex Korchmar написал(а):

AK> После диверта, контроля ipsec'а, антиспуфинга и нескольких интерфейсов с
AK> разными задачами - оно совершенно перестает быть таким простым и логичным.

И вовсе он не перестает быть простым и логичным.
Нужно просто в большинстве случаев смотреть не в ipfw show,
а в исходный код с правилами и в лог рестарта на предмет ошибок
синтаксиса. А в show смотреть имеет смысл в совсем небольшом количестве
случаев, большая часть которых - поглядеть счетчики на правиле.
И то лучше добавить отладочное правило count log и смотреть
в /var/log/security.

Надо понимать, что ipfw это ассемблер, и читать лучше исходник.
При этом ipfw как ассемблер достаточно мощен и позволяет
скриптовать проблемно-ориентированные высокоуровневые обертки.

Eugene
--
Смотри, но не смей трогать
--- slrn/1.0.1 (FreeBSD)

Vova Uralsky написал(а) к Alex Korchmar в Apr 15 14:00:04 по местному времени:

Нello Alex!

21 Apr 15 14:23, Alex Korchmar wrote to Sergey Anohin:

SA>>>> ZFS вpоде как она пpиватизиpована под лицензию бсд тепеpь?
AK>>> зачем на шаpедхостинге - zfs ?
SA>> Ну допустим не пpо шаpедхостинг:
SA>> масштабиpуемость, отказоустойчивость, надежность?
AK> абсолютно не. К тому же надежность - это точно не про zfs.

Ох уж эти сказочки, ох уж эти сказочники....

Regards,
Vova

--- Msged/BSD 6.2.0

Alex Korchmar написал(а) к Vova Uralsky в Apr 15 16:12:52 по местному времени:

From: Alex Korchmar <noreply@linux.e-moe.ru>

Vova Uralsky <Vova.Uralsky@f257.n5030.z2.fidonet.org> wrote:

VU>>> Это примерно как "братцы, подскажите, что лучше, модем или интернет?"
VU>>> Cloud, вроде как, инфраструктура управления ресурсами. Запускаешь ты
VU>>> на них
AK>> повторяю - я спрашивал о личном опыте, и сомневаюсь что ты работаешь
AK>> на амазон.
VU> не, на этих кровососов не работаю. И не рвусь :-D
зря - там по крайней мере некоторые решения должны быть интересными. Но
как раз не те что интересны для shared.

VU> Ты бы хоть статью в википедии почитал бы чтоли....
читал, спасибо - например, что луна состоит из зеленого сыра. До сих пор
можно почитать, если history поднять.

VU> Вот снова, поскипал всё про zfs, оставил только флэйм.
потому что нет никаких zfs на шаредах, это твои фантазии.

AK>> можно, только на шаредхосте они как правило не работают, с его
AK>> лимитами и
VU> Точно, за $5 никто ничего другого и не ожидает. Хотя, там где ТУПОЗ
VU> заведётся,
там обычно программист есть, хоть какой, поэтому от таких сайтов было меньше
всего проблем. Максимум - позвонит в саппорт и попросит поднять лимиты на
пол-часика, чтоб хотя бы инсталл отработал.
Еще через месяц они звонят менеджеру и уходят на vps. Или не звонят,
а просто перестают платить и исчезают в тумане.

AK>> порезанным php. Или сразу кладут сайтик целиком, и недовебмастер
AK>> бежит с воплями в техподдержку.
VU> И сайтики такие ищем мы глазками? Таджиков нанимаете?
я ж говорю, ты не в теме, абсолютно.
Сайтики такие никто вообще не ищет - приходит их владелец и жалобно просит
починить. Ну или сам чинит, если умеет, тогда просит поменять пароль.

AK>>>> и? Удали мне пятое правило из пяти тыщ, добавленых внутрь anchor?
VU>>> А теперь расскажи, зачем ты нафигачил пять тыщ правил? Тебе про
AK>> потому что могу.
VU> Система виновата в том что позволила тебе прострелить себе ногу?
система виновата в том что она - говно, и простые вещи в ней приходится делать
через жопу.
В нормальной системе это вовсе не выстрел в ногу, а вполне доступное действие,
ни к каким ужасам не приводящее и гланды через задницу вырезать там просто
не надо. Но ты с упорством дятла рассказываешь мне что невозможность залезть
самому себе в задницу это ужасный недостаток системы, напрочь не дающий
удалить гланды.

VU> Я как раз с этого начал, расскажите, как правильно зафильтровать стотыщ
VU> одиночных адресов iptablesами, чтобы проседало не сильнее чем на pf?
понятия не имею - ты так и не привел use case.

VU> Это дело вкуса. Кому как удобнее, кому-то надо прямой как палка рулесет,
VU> кому-то иерархические структуры.
iptables позволяет сделать "прямой как палка", если совсем сдуреть или
правил пятнадцать штук. И позволяет не делать, если задача чуть посложнее.
А у тебя - только якорь в жопе, непонятно, какую проблему решающий. А
чтобы это все починить нужен, о б-же, вайршарк. Собственный файрвол чинить
вайршарком, вот это достижение, воистину.

VU>>> О, да! Траблшутитьт iptables, этож сплошное удовольствие!
AK>> я никогда не занимался траблшутингом iptables в том смысле, в котором
VU> Я так понимаю, Бог миловал. ;-)
нет, разработчики миловали, думавшие головой и в рамках технологий 21-го
века, а не 19го. До этого были такие же точно уродливые конструкции - но
они кончились в 2000м году, а не начались.

VU> Я, конечно, отморозок, наверное, но мне удобно собранное pflogd прочитать в
VU> wireshark и там анализировать, привык, видимо.
привык, видимо, к тривиальным конфигам и тривиальным задачам. Зато есть
сто тыщ непонятно зачем нужных записей в плоской чудо-таблице. А, ну да,
еще ips из говна и палок.

AK>> чинились за пару минут.
VU> :-D :-D :-D
признак дурачины?
Или, скорее, человека не в теме, но считающего себя чрезвычайно крутым
специалистом во всем.

VU> Угумс, типа скорости порта в свитче,
повторяю последний раз для самых глупеньких: у массхостера с этим портом
проблема на in - и никогда на out.

VU> этого порта не так сложно. Возвращаясь к вопросу... То есть где мы QoSить
VU> будем всё-таки не так важно?
за полной ненужностью.

VU> Ой, я и не знаю, как там в Питере, не был там уже лет 15.
ну я ж не знаю где та жопа в которой для хостера вообще интересно, сколько
стоит статыщная доля процента канала, потребляемая одним юзером.

VU> Возможно это станет для тебя разрывом контекста, но есть горячие головы,
VU> использующие pf+CARP+pfsync, вполне успешно и на протяжении многих лет.
скорее тормозные головы. Эта уродливая конструкция проигрывает линупсу что-то
вдвое после долгого тюнинга, танцев с граблями, нескольких патчей, сданных
майнтейнерам, играм с версиями драйвера от яндекса, от херяндекса и от
интела и т д. Линупс при этом искаробки.

VU> Правда покачто видел только на базе OpenBSD.
мухахаха. То есть системы, у которой сетевой стек вообще хромой на все четыре
лапы, драйвера каменного века и сплошные мегалоки в ядре?

VU> Размещай в Москве
уж лучше так, чем там где хостер не может себе канал позволить, и вынужден
изобретать чудоqosы из говна и палок.

AK>>>> Смысл, простите? У тебя и так ресурс ограничен хуже некуда.
VU>>> Процессоры нынче дёшевы и быстры. А вот WAN'а и IO хватает невсегда.
AK>> ааааа!!!!
VU> Что, процессоры дорогие и медленные? ;-)
ничего, просто оппонент попался феерически не в теме.

AK>> прочее мамонтово говно, и заодно ipsec с туннелями починят до хоть
AK>> более-менее рабочего вида.
VU> Точно, собери ipsec хостинг. Вот все удивятся!
ну я ж говорю - на тебя время терять - бестолку. Никто не удивится,
вот беда-то. Из инженеров крупных хостеров, во всяком случае.

VU> Как опыт показывает, реальность жизни у всех примерно одинаковая, только
VU> восприятие разное.
да нет, ты же сам признался, что хостинг за деньги не твоя специальность.
А судя по твоим утверждениям - явно даже близко его никогда не видел. Поскольку
что ни фраза, то перл.

VU> Из свежих впечатлений. Как ты думаешь, насколько практично
VU> сделать хостинг на базе 1ВМ блэйдцентра с нетаповским iscsi
VU> storage и с gpfs поверх? Хотя, это
думаю это бред. даже не буду спрашивать, сколько лет назад и на какой
помойке нашли это 1ВеЭм, учитывая что IBMовский отдел серверов - банкрот,
а все производство продано ленове уже года полтора, что-ли, как.
Кажется даже вместе с полками. Впрочем, они слова доброго не стоили, зато
стоили невменяемых денег.

VU> скорее портал, где отдельные клиенты управляют собственными
VU> инстансами апача, имея возможность ходить к общей базе данных,
то есть не хостинг просто ни разу. Какой-то псевдооблачный говносервис,
судя по всему - карликовый, раз использует какие-то блейды. Зато на ips
денег уже не хватило, ога.
Кстати, что будешь делать если этот блейдцентнер навернется?

VU> Для тебя такие хостеры, видимо, будут идиотами, не
хостерами они не будут, это точно.

VU> понимающими как правильно строить. Ты для них будешь идиотом,
VU> который не в состоянии понять зачем это сделано так, и не иначе.
я как раз в состоянии понять, и даже примерно догадаться что это такое.
К массовым хостингам отношения никакого. На действительно массовые
виртуальные сервера похоже только на первый взгляд, потому что там
не бывает никакого ебеме, там берут ценой и легкостью замены деталек.


> Alex

--- ifmail v.2.15dev5.4

Alex Korchmar написал(а) к Eugene Grosbein в Apr 15 16:23:53 по местному времени:

From: Alex Korchmar <noreply@linux.e-moe.ru>

Eugene Grosbein <Eugene.Grosbein@f1.n5006.z2.fidonet.org> wrote:

AK>> После диверта, контроля ipsec'а, антиспуфинга и нескольких интерфейсов с
AK>> разными задачами - оно совершенно перестает быть таким простым и логичным.
EG> И вовсе он не перестает быть простым и логичным.
EG> Нужно просто в большинстве случаев смотреть не в ipfw show,
EG> а в исходный код с правилами и в лог рестарта на предмет ошибок
и чем он от show в лучшую сторону отличается? В том хоть счетчики есть.

Ошибку синтаксиса я как-нибудь уж замечу сразу.

EG> И то лучше добавить отладочное правило count log и смотреть
EG> в /var/log/security.
ну, на фоне варианта с wireshark и pflog, я уже не удивляюсь, что ЭТО
могут считать хорошим стилем.

EG> Надо понимать, что ipfw это ассемблер, и читать лучше исходник.
а исходник на чем, простите? Пачка неопрятных шелловских скриптов?
тогда понятно...

EG> При этом ipfw как ассемблер достаточно мощен и позволяет
EG> скриптовать проблемно-ориентированные высокоуровневые обертки.
ужаснах. То есть у тебя там целая куча скриптов, генерящих непонятное
нечто, что уже невозможно просто посмотреть, и надо разбирать сами скрипты?

Ну так вот разница с нормальным иерархическим файрволом в том, что когда
я натыкаюсь на iptables, сгенеренные непонятными мне роботами (их бывает,
в основном, разумеется, предназначены для горе-админов умеющих только
мышь свою верную кликать) - я не трачу ни секунды времени на их изучение,
а просто выключаю робота навсегда - он не нужен там, где у тебя не
"ассемблер", а вполне человекочитаемый код.
Даже если он изначально сгенерен невменяемым роботом.


> Alex

--- ifmail v.2.15dev5.4

Vova Uralsky написал(а) к Alex Korchmar в Apr 15 16:10:54 по местному времени:

Нello Alex!

21 Apr 15 16:12, Alex Korchmar wrote to Vova Uralsky:

VU>>>> Это примерно как "братцы, подскажите, что лучше, модем или
VU>>>> интернет?" Cloud, вроде как, инфраструктура управления ресурсами.
VU>>>> Запускаешь ты на них
AK>>> повторяю - я спрашивал о личном опыте, и сомневаюсь что ты работаешь
AK>>> на амазон.
VU>> не, на этих кровососов не работаю. И не рвусь :-D
AK> зря - там по крайней мере некоторые решения должны быть интересными.
AK> как раз не те что интересны для shared.

У тебя, как я погляжу, очень узконаправленные представления о том, что этим самым shared является, а что нет.

VU>> Ты бы хоть статью в википедии почитал бы чтоли....
AK> читал, спасибо - например, что луна состоит из зеленого сыра. До сих
AK> пор
AK> можно почитать, если history поднять.
VU>> Вот снова, поскипал всё про zfs, оставил только флэйм.
AK> потому что нет никаких zfs на шаредах, это твои фантазии.

Совершенно верно, речь-то именно об этом! Речь о возможных плюсах. Я даже знаю, где некоторые из них искать, но эти области не укладываются в твои представления, о чём ты нам тут уже несколько раз рассказал.

AK>>> можно, только на шаредхосте они как правило не работают, с его
AK>>> лимитами и
VU>> Точно, за $5 никто ничего другого и не ожидает. Хотя, там где ТУПОЗ
VU>> заведётся,
AK> там обычно программист есть, хоть какой, поэтому от таких сайтов было
AK> меньше
AK> всего проблем. Максимум - позвонит в саппорт и попросит поднять
AK> лимиты на
AK> пол-часика, чтоб хотя бы инсталл отработал.
AK> Еще через месяц они звонят менеджеру и уходят на vps. Или не звонят,
AK> а просто перестают платить и исчезают в тумане.

... приходят к идиотам с менее узколобым взглядом на бизнес? ;-)

AK>>> порезанным php. Или сразу кладут сайтик целиком, и недовебмастер
AK>>> бежит с воплями в техподдержку.
VU>> И сайтики такие ищем мы глазками? Таджиков нанимаете?
AK> я ж говорю, ты не в теме, абсолютно.
AK> Сайтики такие никто вообще не ищет - приходит их владелец и жалобно
AK> просит
AK> починить. Ну или сам чинит, если умеет, тогда просит поменять пароль.

Тебе не приходилось наблюдать как твой shared-хостинг пытается кого-то ломануть или просто обменивается каким-то невразумительным траффиком? Или Вашему shared-хостеру на такое наплевать? А что пароль, лежит распечатанный на A4 в конверте в сейфе уже третий год.

AK>>>>> и? Удали мне пятое правило из пяти тыщ, добавленых внутрь anchor?
VU>>>> А теперь расскажи, зачем ты нафигачил пять тыщ правил? Тебе про
AK>>> потому что могу.
VU>> Система виновата в том что позволила тебе прострелить себе ногу?
AK> система виновата в том что она - говно

И что тут ещё обсуждать?

VU>> Я как раз с этого начал, расскажите, как правильно зафильтровать
VU>> стотыщ одиночных адресов iptablesами, чтобы проседало не сильнее чем
VU>> на pf?
AK> понятия не имею - ты так и не привел use case.

Да, понимаю... Я не привёл юзкейс укладывающийся в твоё понятие о shared hosting. Виноват! Больше не повторится!

VU>> Это дело вкуса. Кому как удобнее, кому-то надо прямой как палка
VU>> рулесет, кому-то иерархические структуры.
AK> iptables позволяет сделать "прямой как палка", если совсем сдуреть
AK> или
AK> правил пятнадцать штук. И позволяет не делать, если задача чуть
AK> посложнее.
AK> А у тебя - только якорь в жопе, непонятно, какую проблему решающий. А
AK> чтобы это все починить нужен, о б-же, вайршарк. Собственный файрвол
AK> чинить
AK> вайршарком, вот это достижение, воистину.

Простите, тов. старшина, так точно, отставить, вольно, разойдись.

VU>>>> О, да! Траблшутитьт iptables, этож сплошное удовольствие!
AK>>> я никогда не занимался траблшутингом iptables в том смысле, в
AK>>> котором
VU>> Я так понимаю, Бог миловал. ;-)
AK> нет, разработчики миловали, думавшие головой и в рамках технологий
AK> 21-го
AK> века, а не 19го. До этого были такие же точно уродливые конструкции -
AK> но они кончились в 2000м году, а не начались.

Везунчик.

VU>> Я, конечно, отморозок, наверное, но мне удобно собранное pflogd
VU>> прочитать в wireshark и там анализировать, привык, видимо.
AK> привык, видимо, к тривиальным конфигам и тривиальным задачам. Зато

И как одно сязано с другим? Телепат?

AK> есть
AK> сто тыщ непонятно зачем нужных записей в плоской чудо-таблице. А, ну
AK> да, еще ips из говна и палок.

Ты же отказался слушать, назвал всё говном, бредом, чем-то там ещё? Про ids, между прочим, я тебе ни разу не сказал, на базе чего он построен, а кого он адресами кормит, вопрос уж совсем второстепенный. Это может быть хоть ASA, хоть Juniper SSG, хоть (о ужос) iptables. Так что, насчёт палок, это всё твои домыслы.

AK>>> чинились за пару минут.
VU>> :-D :-D :-D
AK> признак дурачины?
AK> Или, скорее, человека не в теме, но считающего себя чрезвычайно
AK> крутым специалистом во всем.

Извини, когда я слышу словосочитание "чинились за пару минут", у меня это неминуемо вызывает смех. Я всегда улыбаюсь, когда встречаю хвастуна.

VU>> Угумс, типа скорости порта в свитче,
AK> повторяю последний раз для самых глупеньких: у массхостера с этим
AK> портом
AK> проблема на in - и никогда на out.
VU>> этого порта не так сложно. Возвращаясь к вопросу... То есть где мы
VU>> QoSить будем всё-таки не так важно?
AK> за полной ненужностью.

Да, я понял уже, в вашем специальном случае QoS ненужен. Поскольку я всё-таки не телепат, но я попробую догадаться, в тех $5/mon, которые вы берёте, видимо нету никаких SLA? Угадал? Померла, так померла?

VU>> Ой, я и не знаю, как там в Питере, не был там уже лет 15.
AK> ну я ж не знаю где та жопа в которой для хостера вообще интересно,
AK> сколько
AK> стоит статыщная доля процента канала, потребляемая одним юзером.

Если вы делите ваш канал на 10 миллионов договоров, собирая на этом $50.000.000 в месяц, то да. Респект и уважуха. Какую ширину канала порекомендуете?

VU>> Как опыт показывает, реальность жизни у всех примерно одинаковая,
VU>> только восприятие разное.
AK> да нет, ты же сам признался, что хостинг за деньги не твоя
AK> специальность.
AK> А судя по твоим утверждениям - явно даже близко его никогда не видел.
AK> Поскольку что ни фраза, то перл.

Не, таких масштабов как ты описываешь, точно не видел. Похоже, в Москве засели настоящие мужики. Судя по твоим описаниям, есть как минимум пара контор в Золотоглавой, каждая из которых оборачивает как минимум $600.000.000 в год, две, видимо, как минимум $1.200.000.000. Если прикинуть по западным меркам, там легко могут работать около 20.000 человек, по российским, все 100.000. И ты там, похоже, главный по всему. При этом всё это хозяйство -- только shared hosting. Поскольку мало кто может сравниться с этими двумя, кто в них не работал, и знать не может, что такое shared hosting в принципе. Все осталные -- унылое говно (c) AK.

VU>> Из свежих впечатлений. Как ты думаешь, насколько практично
VU>> сделать хостинг на базе 1ВМ блэйдцентра с нетаповским iscsi
VU>> storage и с gpfs поверх? Хотя, это
AK> думаю это бред. даже не буду спрашивать, сколько лет назад и на какой
AK> помойке нашли это 1ВеЭм, учитывая что IBMовский отдел серверов -
AK> банкрот,
AK> а все производство продано ленове уже года полтора, что-ли, как.
AK> Кажется даже вместе с полками. Впрочем, они слова доброго не стоили,
AK> зато стоили невменяемых денег.

Вот и я говорю, ты настолько крут, что тебе и так всё ясно. "это бред", "на какой помойке", "они слова доброго не стоили", "невменяемых денег", "псевдооблачный говносервис ... карликовый", "какие-то блейды", "денег не хватило".

VU>> скорее портал, где отдельные клиенты управляют собственными
VU>> инстансами апача, имея возможность ходить к общей базе данных,
AK> то есть не хостинг просто ни разу. Какой-то псевдооблачный
AK> говносервис,
AK> судя по всему - карликовый, раз использует какие-то блейды. Зато на
AK> ips денег уже не хватило, ога.

С чего ты взял про ips? Я с ними познакомился вчера, ни про какой ips речи не было. Только про gpfs. Тоже на s кончается. Телепалочка сбоит?

AK> Кстати, что будешь делать если этот блейдцентнер навернется?

Если позовут, буду чинить. Не позовут, я никогда об этом не узнаю.

VU>> Для тебя такие хостеры, видимо, будут идиотами, не
AK> хостерами они не будут, это точно.

А, ну да, определение уже дано, "псевдооблачный говносервис ... карликовый".

VU>> понимающими как правильно строить. Ты для них будешь идиотом,
VU>> который не в состоянии понять зачем это сделано так, и не иначе.
AK> я как раз в состоянии понять, и даже примерно догадаться что это
AK> такое.
AK> К массовым хостингам отношения никакого. На действительно массовые
AK> виртуальные сервера похоже только на первый взгляд, потому что там
AK> не бывает никакого ебеме, там берут ценой и легкостью замены деталек.

Да, этим до ваших миллиардов явно далеко, это, скорее, эксклюзивный хостинг с налётом vintage. ;-)

Regards,
Vova

--- Msged/BSD 6.2.0