J
А как публичные облака работать дают людям тогда?)
J
А, ты имел ввиду что без waf и балансировщиков?)
J
Оп!
https://github.com/sapcc/openstack-rate-limit-middleware
Stanley
Stanley
Лимитер на питоне :(
J
Лимитер на питоне :(
Да и чо такого?
Это же не высокопроизводительная фигня. У него задача не от DoS защищать, а именно что ограничивать. А большие объемы бестолковых запросов гасить и до него можно.
J
Уж всяко лучше чем если б это был один большой кусок Golang.
J
Эт ж миддлвейр.
J
А зачем спрашиваешь?)
Я погуглил быстренько, показалось что норм, вот и скинул.
Хорошо если пригодится и если пользоваться будем)
Stanley
Для го нет ничего невозможного
Stanley
На го писать мы не бросим - адын четыре...
Stanley
Но если серьезно - штука полезная. А то есть в больших ентерпраузах любители позапрашивать странное...
J
Но если серьезно - штука полезная. А то есть в больших ентерпраузах любители позапрашивать странное...
Ух, щас как прикрутим тарификацию каждого API запроса!
Создание ВМ рубль, удаление - 10)))
Stanley
Ну это уже через опенстек экспортер можно получать (или либвирт?). А тут идея, как я понимаю, чтобы особо толковые девопсы контролы не положили
J
Ну это уже через опенстек экспортер можно получать (или либвирт?). А тут идея, как я понимаю, чтобы особо толковые девопсы контролы не положили
От как)
Слушай, да, про особо толковых, молодых и озорных я и не подумал)
J
Лови дрифтера, пацаны)
Stanley
Бей его, он не сын директора. :)
J
Ну ты же серьезный человек)
Можно уж пятнашку на самоблок потратить)
Stanley
Я вот тут подумал. Ендпоинты же через випа идут. А что если эти блоки повесить на сам хапрокси?
J
Stanley
API локи. :)
J
А)
J
API локи. :)
Не получится, это ж middleware, говорю. Оно работает не отдельно от сервисов, а как бы часть их.
J
https://github.com/sapcc/openstack-rate-limit-middleware/blob/master/docs/install.md
J
Но так то haproxy отвечать может и должен за грубые рейтлимиты, просто для защиты api, а мидлваре за лимиты тонкие, per project\user, которые не столько для защиты api от перегруза сколько чтоб шаловливые измазанные в кубернетесах и солтстеках ручки не смогли развалить сразу всё)
J
haproxy то тоже не прям дубовый. Там лимиты можно сделать и по URL и по передаваемым в них параметрам.
И скользящее окно и фиксированное. И примеяться лимиты будут не глобально, а к клиенту.
Ну а клиента в стик таблице можно держать например, только по ip адресу, а не по связке ip+порт. Чтоб лимитировался весь трафик с ip, а не каждое соединение с новым сорс портом в отдельности.
Nikolay
Это который? Петлю в овсе сделать в тенантской сети?
Nikolay
Что то от опенстека апи много хотят, у всех свои тараканы в голове, поэтому мидлварь
Nikolay
Так я на фиповой отчудил, сетевики обиделись
Nikolay
Имхо апи и рбак это то что у опенстека пока так себе
Artemy
Блин а это ничего что у ВК опенстековский клиент нормально работает, а он (если кое-кто не в курсе) ходит на API. Которое {соответственнно | естественно} смотрит наружу
NS 🇷🇺
Боишься что кейстон задрочат?)
NS 🇷🇺
IaaS тоже сервис )
NS 🇷🇺
И без апи он не нужен
• _
хм, а можно ссылку? Что-то пропустил
NS 🇷🇺
там вообще больной полет фантазии случился
J
А какие, кстати, есть общеизвестные и актуальные дырки размером с вагон?
Предупреждая шутки, ГУСАРЫ, МОЛЧАТЬ!
Stanley
Я пробовал читать, но у меня случился перелом лобной кости от поднятых вверх бровей. Что за бред они там нагородили? А главное - зачем???
Stanley
То есть, ребята, зачем то, насоздавали all-in-one ВМок с опенстеком, потом отрубили внутренний dnsmasq и прокинули извне, чтобы ВМки тоже получали ИП снаружи (зачем блять???). И потом радостно стали подменять маки и адреса, чтобы... Чтобы, мать вашу, что???
Stanley
Тут как бы сам опенстек вообще не нужен. Сделали бы просто несколько ВМ в овирте и все дела.
Stanley
Нет, серьезно. Я не отрицаю что мега-тупой чел и вообще ничего не понимаю. Но объясните мне, что тут творится???
J
Ну я же про конкретные вещи тебя спрашивал, а ты опять в рассуждения пускаешься)
J
Конечно)
J
А в чем конкретно дыры?)
J
Выходит, ты не про дыры говоришь, а про ошибки конфигурации в первую очередь. Так?
Я то думал узнать про CVE в опенстековских API.
J
Что нельзя?)
J
Ну вот, один из двух CVE серьезный)
Давай еще накидывай)
Stanley
Боря, бери деньги за консультанция по инфобезу. :)
J
Ты так категорично об этом говоришь что впору закрываться ваще)
J
Всё на IPv17, конечо ж?
NS 🇷🇺
а че мешает латки вовремя ставить и пускать апи через какой нить WAF, которое смотрит жопой наружу
J
Почему?
J
Так почему нельзя без даунтайма?
Alexey
покачину (с) мама
J
Почему ограничена?
Вот допустим у меня пять экземпляров сервиса который нужно обновить.
Я поочередно на балансировщике выключаю каждый бекэнд и его обновляю.
J
Потому что пять больше трех)
J
Это пример.
J
Зачем pacemaker и corosync сервисам, которые стейтлесс?
J
Точно так же берем и обновляем.
Все ж так делают.
J
По одному релизу за шаг.
NS 🇷🇺
вы куда-то торопитесь, запустил пиплайн и пусть он там все обновляет
NS 🇷🇺
авс, хетнцнер, ДО и тд и тп нервно ржут в стороне от таких заявлений
J
Любое дело связанное с предоставлением услуг другим людям это риск.
Так рассуждая можно в подвале закрыться со своим микрооблаком и в одного с ним играть. Тогда точно не поломают)
NS 🇷🇺
ВК и РТ тоже хихикают
Stanley
Осталось только пояснить, что WAF это ооооооочень растянутое понятие
Stanley
F5 наше все
Stanley
Или Альто
NS 🇷🇺
товарищ майор не одобряет
Stanley
Отнюдь. Альта продавалась с лицензией ФСБ
Stanley
Касперсикй. :)
Stanley
Скоро и опенстек будет на всех серверах страны.
NS 🇷🇺
он на хрен никому не уперся
J
А чо это за сегмент то?)