и офигел

Это ж RHEL, там на момент запуска всё древнее мамонтов.

вмварь это ж гипервизор который сам встаёт на железо Да, в каком-то плане чёрный ящик Но он своими радостями торчит только в management сеть И если там что и не очень свежее - пёс с ним Виртуалки свежи и лицом наружу они

Контрол-плейн ты ж тоже в инет не выставляешь у железа

А потом опять дыра в интеле с выходом из гипервизора...

гипервизор в пространстве пользователя ? и в ядре ни строчки кода ?

Суть безопасности в том чтобы взлом чего-то одного не раскрывал всю сеть наружу.

Тогда надо резать патчи :)

Угу, и будет мартовская винда.

если во фре я знаю, поддерживает ли устройство на хост машине DMAR, поддерживает ли чипсет IOMMU и т.п., то esxi - это черный ящик

гипервизор в пространстве пользователя ? и в ядре ни строчки кода ?

В пространстве ядра

если во фре я знаю, поддерживает ли устройство на хост машине DMAR, поддерживает ли чипсет IOMMU и т.п., то esxi - это черный ящик

Ну так меня компромисс между безопасностью и удобством устраивает

вот те, кто хвалятся, что пробрасывают внутрь гостевой машины аудио и юсб

Пока что

знают, что такое DMAR,

Не не Я не пробрасываю

чем VT-d отличается от VT-x

Я про сервера

У меня для этого qemu.

Кучка нджинксов, радиусы

Заббикс в отдельной виртуалке

тем более

хост машина должна быть под контролем

я тебе самый простой пример приведу

Она недоступна из инета

Вообще

на хост машине неверно определился источник времени

что будет с гостевой машиной ?

У меня гости сами время синхронизируют

эээ

аппаратный источник времени

Да :)

Умеешь выключать синхру во время vMotion?

Бесплатная есхи Никакого вмотион

man timecounters

man eventtimers

man callout

или ты гостевым машинам время раздаешь от внешнего источника ?

и рядом у тебя стоит Juniper, который раздает PTP ?

В esxi кстати странным образом урезан resolve'r, при указании ему доменного имени оно его один раз резолвит и запоминает первый адрес, нельзя сделать round-robin.

я имею ввиду, что сама esxi стаится поверх какой-то убунты

да не ставится она поверх ос, это гипервизор

где ssh и ssl не обновлялись годами

ssh вырублен в дефолте, багфиксы какие-то прилетают регулярно

для freebsd, bhyve - это тоже гипервизор

Помню у меня источника времени не было ни в одном дц, только винда и линукс в вмвари, так я сами хосты и сделал первым уровнем, а все отальные машины с них время брали. На каждый esxi хост один адрес из ntppool, два соседа и один хост из второго дц.

чем VT-d отличается от VT-x

а как у вас c SRIOV?

ага, мои слова про DMAR - это пустой звук.

чем DMAR от SRIOV отличается знаешь ?

ну я странное получил на вмвари, но я правда с шашкой на голо 6.5 в продакт покатил

не смог одновременно в карты получить PF + VF

DMAR, DMAR, DMAR

гугл зобанил

плюс, сколько таблиц DMAR поддерживает твоя сетевуха ?

ах да, там же крутой гипервизор

плюс, сколько таблиц DMAR поддерживает твоя сетевуха ?

intel 82599

норм сетевая

там проблема была не в том что совсем не работает

а транки ходили странно

VF работали

антег или 1 влан явно прописанный работали

https://www.kernel.org/doc/Documentation/Intel-IOMMU.txt

грубо говоря

ERROR: S client not available

поддержка DMAR - это дополнительная микросхема на железке (сетевухе, звуковухе и т.п.)

позволяет "виртуализировать" порты ввода вывода

но

в 90% случаев, там всего одна таблица виртуализации

производители считается, что достаточно дать полный доступ к устройству со всего одной виртуальной машины

но некоторые железки поддерживают несколько таких таблиц,

например интеловские 10G сетевухи, и т.п.

если ты не знаешь, что у тебя за железо стоит, и как оно "подхватилось" операционкой

то можешь хоть десяток esxi поставить. от этого оно лучше не заработает

железо точно поддерживает

что платформа, что плата

я столкнулся с проблемами прохождения тэгированного трафика

с PF

VF внутри вм работают нормально

а вот PF - vSwatch - vmxnet3/e1000 (vm) - уже прблемы с приемом тэгов, причем на внешний свич маки летят

как докажешь, что железо поддерживает ?

acpidump -t ?

hw.dmar.match_verbose=1

кстати, ради прикола. на моей рабочей машине с интеловской материнкой, единственное устройство, не поддерживающее DMAR, оказалось интеловский же USB 3.0 контроллер

как докажешь, что железо поддерживает ?

HCL

а кто тут у нас понимает в програмизьдме? а вот cpu_set* в cpp коде это линуксизм и во фре надо cpuset*? так было всегда или что то новенькое?

а что луше для шлюза - freebsd или centos?

OpenBSD

а что луше для шлюза - freebsd или centos?

Без орешника

а что луше для шлюза - freebsd или centos?

ios xe/junos kamailio тож ничо так

Я бы сначала спросил - куда. Там может офис большой компании, а может гараж с 1 пк...

а что луше для шлюза - freebsd или centos?

Наверное все же лучше то, что ты лучше всего знаешь, как настраивать.... Вот если вообще опыта нет - тогда сложнее ) Все зависит от решаемых задач - где то хватит FreeBSD/Linux, где то можно Микротик воткнуть, где то нужно будет FortiNet покупать....

А я кстати недавно с gmirror на zfs переежал на одной машинке, но я тогда еще и efi засунул и root on zfs. чисто чтобы было. с gmirror дл 8 версии все просто было, а после 8 вроде как только разделы синхронизировать а не диски

это не про версию, а про mbr vs gpt, вероятно

а что луше для шлюза - freebsd или centos?

посмотреи в сторону https://opnsense.org/

а кто тут у нас понимает в програмизьдме? а вот cpu_set* в cpp коде это линуксизм и во фре надо cpuset*? так было всегда или что то новенькое?

Всегда, причем все 1 в 1 совместимо кроме этого underscore, чинится в портах обычно банальным sed'ом Такое чувство что какая-то сволочь специально сделала несовместимо