@freebsd_ru
Dmitry25.09.2018
11:33:11
11:33:11
пишут длайвера для своих недожелезок
Lev25.09.2018
12:06:25
12:06:25
Слушайте, а у кого-нибудь есть проверенный конфиг strongswan'а с минимально необходимым но достаточноым для современных клиентов набором механизмов авторизации? А то там такое разнообразие конфигов, что глаза разбегаются.
Andrey25.09.2018
12:32:19
12:32:19
Lev25.09.2018
12:32:40
12:32:40
проще всего использовать ipsec.conf
Да. И что туда писать? Там одних EAP'ов 10 штук. Какие нужны в реальном мире, а какие нет?GoogleAndrey25.09.2018
12:35:56
12:35:56
https://genneko.github.io/playing-with-bsd/networking/freebsd-vti-ipsec/
Andrey25.09.2018
12:37:18
12:37:18
на самом деле для использования if_ipsec надо использовать auto=route, и нужно запатчить ядро+strongswan маленькими патчиками
но в целом, пример конфига достаточно прост и работоспособен
Dmitry25.09.2018
12:37:41
12:37:41
Roman25.09.2018
12:38:43
12:38:43
городить туннели и обработчики пакетов разной конфигурации
например какие? и проблема ng в том, что он медленный.
Andrey25.09.2018
12:39:45
12:39:45
no feed troll
Lev25.09.2018
12:39:58
12:39:58
https://genneko.github.io/playing-with-bsd/networking/freebsd-vti-ipsec/
А если для Android и iOS? Между двумя BSD я бы и без IKE сделал вообще, на том самом if_ipsec :-)Andrey25.09.2018
12:40:56
12:40:56
А если для Android и iOS? Между двумя BSD я бы и без IKE сделал вообще, на том самом if_ipsec :-)
я не пробовал, но люди настраивают и работает, что со strongswan, что с ракуномDmitry25.09.2018
12:41:02
12:41:02
с каких это пор netgraph медленный ?
Andrey25.09.2018
12:41:17
12:41:17
всегда так было
Lev25.09.2018
12:41:51
12:41:51
я не пробовал, но люди настраивают и работает, что со strongswan, что с ракуном
Да. Всё так. Настраивают и работает. Я вот и пытаюсь у опытных спросить — как именно настраивают, потому что доки найденные в интернете друг дургу портиворечат, а живым людям тут я двоеряю больше :-)GoogleRoman25.09.2018
12:42:28
12:42:28
Слушайте, а у кого-нибудь есть проверенный конфиг strongswan'а с минимально необходимым но достаточноым для современных клиентов набором механизмов авторизации? А то там такое разнообразие конфигов, что глаза разбегаются.
у меня )) но у меня чисто для road warrior в котором сервер показывает сертификат, а клиент - логин+парольLev25.09.2018
12:42:55
12:42:55
у меня )) но у меня чисто для road warrior в котором сервер показывает сертификат, а клиент - логин+пароль
Вот, давай! Мне и надо, просто что бы с разными клиентами работало и лишнего не былоAndrey25.09.2018
12:44:06
12:44:06
у нас просто разные скорости :)
мне приходится работать с 10-ками и 100-ми гигабит и нетграф для этого непригоден полностью
Dmitry25.09.2018
12:44:57
12:44:57
его ж вроде еще в девятке перевели на rwlock
Andrey25.09.2018
12:45:14
12:45:14
рволок это прошлый век и основной тормоз стека
Roman25.09.2018
12:45:24
12:45:24
Вот, давай! Мне и надо, просто что бы с разными клиентами работало и лишнего не было
https://paste.ubuntu.com/p/dCRJ8RYQ4S/
El Mariachi25.09.2018
12:46:12
12:46:12
джинсы подворачивать и лодыжки оголять
Lev25.09.2018
12:46:13
12:46:13
мне приходится работать с 10-ками и 100-ми гигабит и нетграф для этого непригоден полностью
Мне кажется, на скоростях 10+ никакая гибкая конструкция без JIT'а не будет годиться.Andrey25.09.2018
12:46:33
12:46:33
оно нисколько не скалируется на количество ядер, даже если ты используешь только rlock, на многих ядрах ты получишь такой контеншен, что ни о какой производительности речи нет.
Roman25.09.2018
12:46:59
12:46:59
Andrey25.09.2018
12:47:03
12:47:03
сейчас модно ConcurrencyKit
Andrey25.09.2018
12:47:16
12:47:16
RCU защищено патентами
GoogleLev25.09.2018
12:47:46
12:47:46
В общем-то single producer single consumer queue без локов — это очень просто уже
Дальше пихаем каждую ноду в свой тред
Ну или делаем M:N
M:N лучше на большом количестве нод, но сложенее, скедулер будет нужен под это
Dmitry25.09.2018
12:48:30
12:48:30
не получится. принцип netgraph как раз именно взаимодействие нод
Lev25.09.2018
12:48:39
12:48:39
В общем-то, понятно что делать
Dmitry25.09.2018
12:48:49
12:48:49
а при переходе пакета из ноды в ноду как раз rwlock и торчит
Lev25.09.2018
12:48:53
12:48:53
не получится. принцип netgraph как раз именно взаимодействие нод
Так они и будут взаимодейтсовать. Через очереди сообщений без локовЛоки будут нужны только для сна на пустой/полной очереди
Это ОЧЕНЬ быстро.
Andrey25.09.2018
12:49:33
12:49:33
Lev25.09.2018
12:49:38
12:49:38
А пока у нас steady state и всё качает локов не будт
Dmitry25.09.2018
12:50:27
12:50:27
смысл в том, что пакет идет от хука к хуку, и при передаче пакета, нужно убедиться что хук соседней ноды существует, и соседняя нода не "мертвая"
Lev25.09.2018
12:50:31
12:50:31
(если что, я писал такую систему в юзерленде, и оно отлично получается, если у нас нет циклов, т.е. есть DAG. Если есть циклы начинаются проблемы)
Dmitry25.09.2018
12:51:31
12:51:31
и во время этой проверки нужно заблокировать изменения самой структуры netgraph
Lev25.09.2018
12:51:37
12:51:37
смысл в том, что пакет идет от хука к хуку, и при передаче пакета, нужно убедиться что хук соседней ноды существует, и соседняя нода не "мертвая"
Да-да-да. И что? Можно класть в очередь без локов. И доставать без локов. Только с одним CAS'ом на операцию. Если чоередь переполнилась — вот тут мы берём лок. Что бы уснуть. Если партнёр умер то мы можем поспать до таймаута и уже тогда делать дорогие едйствия по выявлению живостии во время этой проверки нужно заблокировать изменения самой структуры netgraph
И это делется CAS'ом.Не, без CAS'ов и атомиков мы не обйодёмя. но без локов в обещем случае, когда всё стабильно —вполне.
GoogleLev25.09.2018
12:52:40
12:52:40
А slow path будет с локами. Только если мы всё настроили и качаем 10 гигабит, то локи не нужны.
Я могу сразу предсказать где будет следующий затык: аллокация и деаллокация буферов.
Roman25.09.2018
12:53:01
12:53:01
https://genneko.github.io/playing-with-bsd/networking/freebsd-vti-ipsec/
имхо, vti в большинстве случаев не надо, только человеку хочется всяких igp внутри туннеляLev25.09.2018
12:53:06
12:53:06
Т.е. подсистема памяти
Она и сейчас-то сосёт если ZFS с сетью подрались (т.е. торрент в 256 потоков качаем на 100 мегабит — и привет, система колом стоит, сетевой стек висит в локах на памяти)
Roman25.09.2018
12:53:45
12:53:45
Я могу сразу предсказать где будет следующий затык: аллокация и деаллокация буферов.
аллокации - это вообще performance killer =(Andrey25.09.2018
12:54:23
12:54:23
на словах всё выгляди тпросто, на деле нужно пару человеколет чтобы весь нетграф переделать и довести до пригодного в прод вида
Dmitry25.09.2018
12:54:43
12:54:43
я предлагал переписать весь netgrap с одним большим локом, который отвечает именно за изменение структуры. т.е. весь netgraph лочится один раз, а пакеты внутри бегают уже без локов
Andrey25.09.2018
12:55:26
12:55:26
сейчас в ядре есть CK, и EBR на его основе. Приступай, если есть желание :)
Lev25.09.2018
12:55:38
12:55:38
на словах всё выгляди тпросто, на деле нужно пару человеколет чтобы весь нетграф переделать и довести до пригодного в прод вида
Yep. С этим я спорить не буду. Особенно внутри ядра.AdminERROR: S client not available
Dmitry25.09.2018
12:56:00
12:56:00
сейчас в ядре есть CK, и EBR на его основе. Приступай, если есть желание :)
желание есть, навыков нетуAndrey25.09.2018
12:56:27
12:56:27
причем epoch(9) предлогает вполне понятное и простое KPI
Lev25.09.2018
12:56:36
12:56:36
желание есть, навыков нету
А у меня сил нет. Даже свои мелочи по году доделать не могу в последнее время. Что уж за такую глыбу взяться параллельно основной работе…Andrey25.09.2018
12:56:54
12:56:54
для реализации lockless fastpath + определение живости через epoch
как тут справедливо замечали, если нет цели, то смысла браться нет. Если цель есть, но нет мотивации, тоже смысла нет.
Roman25.09.2018
12:57:42
12:57:42
сейчас в ядре есть CK, и EBR на его основе. Приступай, если есть желание :)
спасибо за CK/EBR. ушел просвещатьсякак тут справедливо замечали, если нет цели, то смысла браться нет. Если цель есть, но нет мотивации, тоже смысла нет.
помимо цели еще и финансирование должно быть )Lev25.09.2018
12:57:59
12:57:59
Вот и упираемся в то, чего не хватает FreeBSD — ДЕНЕГ :-) На такую работу я бы пошёл. Да никто не заплатит
Andrey25.09.2018
12:58:12
12:58:12
напиши в ff
GoogleAndrey25.09.2018
12:58:35
12:58:35
распиши как ты всё сделаешь клёво, и устройся в ff
Andrey25.09.2018
12:58:45
12:58:45
почему фоундейшен же гранты даёт
Andrey25.09.2018
12:59:13
12:59:13
ещё думаю полезной фичей для фри была бы нормальная реализация SMB
Roman25.09.2018
12:59:20
12:59:20
для реализации lockless fastpath + определение живости через epoch
а какой практический смысл может быть?Andrey25.09.2018
12:59:24
12:59:24
к zfs к примеру
Dmitry25.09.2018
12:59:44
12:59:44
к zfs прикрутить aesni не мешало бы
Andrey25.09.2018
13:01:04
13:01:04
а какой практический смысл может быть?
повысить производительность систем, которые активно используют нетграфLev25.09.2018
13:02:15
13:02:15
ещё думаю полезной фичей для фри была бы нормальная реализация SMB
В смысле, что бы без samba? Вот это точно неподъёмная работа совершенно. повторить все их титанические усилия.Andrey25.09.2018
13:02:45
13:02:45
ну чтоб можно было как в соляре взять и расшарить датасет по smb
у нас просто сейчас даже mount_smbfs говорят не работает с современными виндами
Dmitry25.09.2018
13:03:34
13:03:34
zfs умеет контрольные суммы sha256, новые процы тоже умеют sha256
Roman25.09.2018
13:03:39
13:03:39
повысить производительность систем, которые активно используют нетграф
это понятно, но нужны какие-то кейсы кроме того же mpd5. сейчас во многих случаях сильно проще взять dpdk, чем воевать с ng =/Andrey25.09.2018
13:03:52
13:03:52
именно
поэтому эта работа заведомо обречена на провал, т.к. никому не нужна
проще сразу взять готове решения на dpdk и допилить их
Dmitry25.09.2018
13:04:55
13:04:55
ну на mpd5 до сих пор куча народа сидит
Andrey25.09.2018
13:05:36
13:05:36
эта куча постоянно жалуется на паники в netgraph, и даже это некому исправить
Roman25.09.2018
13:05:52
13:05:52
ну на mpd5 до сих пор куча народа сидит
это не показатель. ну вот совсем. возможности у ng большие, но по факту используется только для ppp/pptp/l2tp и всё.Lev25.09.2018
13:06:48
13:06:48
ну чтоб можно было как в соляре взять и расшарить датасет по smb
У нас и по NFS-то толком нельзя, мой патч отклонилиAndrey25.09.2018
13:07:06
13:07:06
NFS'ом у нас занимается один дедушка Рик
Lev25.09.2018
13:07:22
13:07:22
NFS'ом у нас занимается один дедушка Рик
Ну, у меня был патч. Я могу пожаловаться тут, в чём проблема
Открыть в Telegram