Lev
26.10.2018
08:38:31
Andrey
26.10.2018
08:43:59
А чем централизация тебе вредит, если что они нынче её только повышают, загоняя всех на "истино безопасные" ресолверы
Lev
26.10.2018
08:46:39
Теперь мы верим cloudfare? Ага-ага.
Google
Lev
26.10.2018
08:47:17
Один Сайт (фейсбук) Один Ресолвер (Клаудфаре) Один ээээ…
Если ты не платишь за услугу, то ты — товар
Andrey
26.10.2018
08:49:50
тут возникает неприятный момент, вот со всей этой "безопасностью" просто необходимо кому то верить
Vespertilio
26.10.2018
08:50:44
если будет подпись то верить можно всем
Roman
26.10.2018
08:53:03
Lev
26.10.2018
08:53:31
И про связь ключей для ESNI с DNS'ом
Где это костыли с обеих сторон
Roman
26.10.2018
08:53:57
есть куда более забавная перспектива, когда quic стандартизируют и можно будет DoH гонять поверх quic
Lev
26.10.2018
08:54:14
А уж это будет вообще гуглопиздец, как HTTP/2
Andrey
26.10.2018
08:55:30
Lev
26.10.2018
08:57:11
Я понимаю, что без ядерной войны с этим ничего не сделать — я достаточно старый что бы понимать важность обратной совместимости, я сам на x86 сижу, чо уж там.
Но смотреть на это грустно с инженерной точки зрения.
Потому что если подойти с умом — ну, можно сделать стек протоколов, который будет решать все накопившиеся с 1992 года (а с учётом DNS с 1987), при этом будет верефицирован с криптографической точки зрения и его исходный код будет занимать раз в 100 (если не в 1000) меньше кода, чем сейчас . Но, увы, увы.
Google
Artem
26.10.2018
08:57:37
Wureguard держит кто в проде?
Andrey
26.10.2018
08:59:32
вчерась же страдали тут
Lev
26.10.2018
09:00:37
Andrey
26.10.2018
09:01:37
помечтать, это да, это за всегда приятно
Lev
26.10.2018
09:02:13
Особенно в пятницу
Artem
26.10.2018
09:02:35
У меня все работает на луниксе с первого раза.
На BSD не проверял пока
Lev
26.10.2018
09:05:48
Roman
26.10.2018
09:06:12
Lev
26.10.2018
09:06:50
Roman
26.10.2018
09:07:47
потому проще взять старый добрый ipsec
там хотя бы аппаратное шифрование
Lev
26.10.2018
09:09:04
Т.е. рассказы про то, какие они быстрые — ну може. на микроконтроллерах и быстрые, а сейчас аппаратный аес на любом телефоне есть
Roman
26.10.2018
09:13:36
Artem
26.10.2018
09:14:50
Google
Lev
26.10.2018
09:15:03
У них на сайте бенч обратное говорит )
ну, понимаешь, совсем честное сравнение мне не провести, потому что ядерной реализации у нас пока нет. Но я сравнивал на одном железе aes-256-gcm и chacha20-poly1305 в openssl и там всё было совершенно однозначно.
Artem
26.10.2018
09:18:12
Понял, спасибо!
Lev
26.10.2018
09:18:56
Может на трёхгигагерцовом зионе с avx2 будет по другому, а когда железка послабее — аппаратное ускорение заруливает
померять на своём железе - дело 5 минут
Но, да, повозившись с айписеком, я понимаю привлекательность вайргарда
Artem
26.10.2018
09:21:37
Ггг, я об этом же
Lev
26.10.2018
09:23:46
но, увы, пока он эффективен только на линуксе. В юзерленде он точно не лучше опенвпна
все скоростные приемущества съест граница ядро-юзерленд
Roman
26.10.2018
09:27:36
да простите меня за лексику
Lev
26.10.2018
09:28:51
хм, как бы мне померять pps, кстати...
А что за фигня с top -SH?
CPU: 0.0% user, 0.0% nice, 50.0% system, 0.0% interrupt, 50.0% idle
PID USERNAME PRI NICE SIZE RES STATE C TIME WCPU COMMAND
10 root 155 ki31 0 256K RUN 1 750:33 99.63% idle{idle: cpu1}
3179 lev 20 0 13M 3724K CPU1 1 0:00 0.17% top
0 root -76 - 0 2816K - 1 0:27 0.08% kernel{if_config_tqg_0}
11 root -60 - 0 1664K WAIT 1 0:22 0.07% intr{swi4: clock (0)}
3169 lev 20 0 17M 7740K select 1 0:00 0.02% sshd
Где тот системнй процесс или тред, что жрёт одно ядро (там их всего 2)?!
Это когда роутится UDP. Когда TCP Всё хорошо — видны заняты делом треды сетевой карты
Пойду в current@ писать
И вообще при роутинге UDP, даже если 100500 потоков, НЕИЗВЕСТНО ЧТО жрёт одно ядро. А при TCP — видно, что жрёт, и жрутся оба ядра.
Andrey
26.10.2018
09:57:48
роутингу в общем случае пофиг что он роутит, TCP или UDP. Это важно только сетевой карте, т.к. она может на разные очереди положить пакет в зависимости от того как хеш посчитает
Lev
26.10.2018
09:59:35
Загадка
Google
Lev
26.10.2018
10:00:06
Особенно мне нравится как вообще не в списке потоков ни одного который бы жрал процссор, но процессор сожран
И когда пакеты больше кушают оба ядра, а когда маленькие — одно, даже если используется много портов
Andrey
26.10.2018
10:01:22
top -HSIzts1
у меня вот такой alias
Lev
26.10.2018
10:01:39
я только -HS
Ща этот попробую
Andrey
26.10.2018
10:01:55
там видно какой irq будет жрать
Lev
26.10.2018
10:03:11
там видно какой irq будет жрать
а нифига
CPU: 0.4% user, 0.0% nice, 50.0% system, 0.0% interrupt, 49.6% idle
Mem: 4164K Active, 15M Inact, 198M Wired, 20M Buf, 3716M Free
Swap:
PID USERNAME PRI NICE SIZE RES STATE C TIME WCPU COMMAND
0 root -76 - 0 2816K - 1 0:08 0.29% kernel{if_io_tqg_1}
0 root -76 - 0 2816K - 1 0:28 0.08% kernel{if_config_tqg_0}
11 root -60 - 0 1664K WAIT 1 0:22 0.08% intr{swi4: clock (0)}
3169 lev 20 0 17M 7740K select 1 0:00 0.02% sshd
698 root 20 0 18M 18M select 1 0:03 0.01% ntpd{ntpd}
6 root -16 - 0 128K - 1 0:02 0.01% rand_harvestq
1629 mailnull 20 0 15M 6056K nanslp 1 0:00 0.01% dma
16 root -16 - 0 384K psleep 1 0:02 0.00% pagedaemon{dom0}
18 root -16 - 0 384K qsleep 1 0:01 0.00% bufdaemon{bufdaemon}
14 root -68 - 0 3200K - 1 0:00 0.00% usb{usbus0}
19 root 16 - 0 128K syncer 1 0:01 0.00% syncer
14 root -68 - 0 3200K - 1 0:00 0.00% usb{usbus1}
795 root -16 - 0 128K nfscl 1 0:00 0.00% nfscl
14 root -68 - 0 3200K - 1 0:00 0.00% usb{usbus3}
14 root -68 - 0 3200K - 1 0:00 0.00% usb{usbus2}
754 root 52 0 10M 2696K rpcsvc 1 0:00 0.00% nfscbd{nfscbd: master}
20 root -16 - 0 128K vlruwt 1 0:00 0.00% vnlru
16 root -16 - 0 384K umarcl 1 0:00 0.00% pagedaemon{uma}
18 root -16 - 0 384K - 1 0:00 0.00% bufdaemon{bufspacedaemon-1}
18 root -16 - 0 384K - 1 0:00 0.00% bufdaemon{bufspacedaemon-0}
А вот толсыте пакеты и вытягивается wire speed:
CPU: 0.0% user, 0.0% nice, 28.3% system, 0.0% interrupt, 71.7% idle
Mem: 4136K Active, 15M Inact, 198M Wired, 20M Buf, 3716M Free
Swap:
PID USERNAME PRI NICE SIZE RES STATE C TIME WCPU COMMAND
0 root -76 - 0 2816K CPU0 0 4:44 47.99% kernel{if_io_tqg_0}
11 root -60 - 0 1664K WAIT 1 0:22 0.10% intr{swi4: clock (0)}
0 root -76 - 0 2816K - 1 0:28 0.09% kernel{if_config_tqg_0}
3169 lev 20 0 17M 7740K select 1 0:00 0.02% sshd
6 root -16 - 0 128K - 0 0:02 0.01% rand_harvestq
Всё видно, куда ушло
Andrey
26.10.2018
10:05:29
http://paste.org.ru/?gnr16x
Lev
26.10.2018
10:06:22
Может в карренте сломали?
Там же переделывали top
На 11.2 У менять есть intr
а тут — нет
Andrey
26.10.2018
10:10:59
кстати при своих тестах не пробовал крутить kern.random.harvest? )
оно может заметно влиять
Lev
26.10.2018
10:13:20
не, не пробовал!
Точнеее тут есть intr, но только clock...
Так. А сейчас показывает
0 root -76 - 0 2816K CPU0 0 5:59 69.33% kernel{if_io_tqg_0}
Бред какой-то. А. Понял. А если хоть чуть-чуть не полностью ядро занято, то это видно
Google
Lev
26.10.2018
10:37:02
Andrey
26.10.2018
10:37:19
ну вон Оливер 351 использует
Lev
26.10.2018
10:38:01
убрать INTERRUP, NET_NG и NET_ETHER...
попробую
Не, пофиг на PPS
А от чего у интела зависит раскладка по потокам? От маков только, от айпишников и портов нет?
Andrey
26.10.2018
11:14:30
обычно как раз от адресов и портов зависит
поэтому и придумали GRE over UDP, чтобы можно было раскладывать удобнее трафик
вне зависимости от того какая карта
Lev
26.10.2018
11:38:14
тогда странно что 32 потока udp на 32 порта разных (но пара хостов одна) грузит одно ядро
Andrey
26.10.2018
11:38:45
может у тебя одна очередь :)
Lev
26.10.2018
11:46:46
Не, ну очередей — как ядер, 2
dev.em.0.queue_rx_1.rx_irq: 0
dev.em.0.queue_rx_0.rx_irq: 0
dev.em.0.queue_tx_1.tx_irq: 0
dev.em.0.queue_tx_0.tx_irq: 0
Vadim
26.10.2018
12:23:17
Я понимаю, что без ядерной войны с этим ничего не сделать — я достаточно старый что бы понимать важность обратной совместимости, я сам на x86 сижу, чо уж там.
Но смотреть на это грустно с инженерной точки зрения.
Потому что если подойти с умом — ну, можно сделать стек протоколов, который будет решать все накопившиеся с 1992 года (а с учётом DNS с 1987), при этом будет верефицирован с криптографической точки зрения и его исходный код будет занимать раз в 100 (если не в 1000) меньше кода, чем сейчас . Но, увы, увы.
не переживай, это более реально ) хотя, конечно, угасать веб будет еще десятилетия после перелома
Lev
26.10.2018
12:24:34
не переживай, это более реально ) хотя, конечно, угасать веб будет еще десятилетия после перелома
Ну посмотри на x86. ВСЕ знают, что он — говно. Intel тоже знает, они не идиоты. Они делают ИДЕАЛЬНЫЕ RISC-ядра, а потом сверху бахают x86 декодер, трансалятор и прочую ересь, которая есть и транзисторы и производительность. Думаешь, они, с инженерной точки зрения, рады это сделать?
Сомневаюсь
Но делают. Потому что иначе никто не купит даже у Intel
Вот так и тут.
Vadim
26.10.2018
12:25:21
ничо-ничо, вот свалим капитализм
и эта проблема станет решаема
но, впрочем, с этим лучше в другой канальчик пойти :)
Lev
26.10.2018
12:26:12