Статичный hello world можно и больше отдать)

Если не изменяет память, тот же nginx из коробки, 1м отдает без тюнинга) На rootconf или где говорили

Но сейчас ddosеры умнее, они не будут статику дергать и найдут то, что генерит тяжелые запросы)

Если у чуваков есть большой ботнет, то и на это ума/денег хватит

да ну а пруф можно?

недавно было в статье про то почему netfilter на bpf переделывают: https://cilium.io/static/bpfilter_performance-85849c12cb9c051c9534710e3c6da493-84ad3.png

недавно было в статье про то почему netfilter на bpf переделывают: https://cilium.io/static/bpfilter_performance-85849c12cb9c051c9534710e3c6da493-84ad3.png

Это траффик? Просто обычный живой или фаер

Это траффик? Просто обычный живой или фаер

поищи оригинал, но это к вопросу было о том, сколько может обработать фаервол, емнип на 1 ядре даже

понятное дело не на атоме или микро инстансе у хостера

недавно было в статье про то почему netfilter на bpf переделывают: https://cilium.io/static/bpfilter_performance-85849c12cb9c051c9534710e3c6da493-84ad3.png

ну вот да, даже тут 10mpps

блин, а вот нормально что docker-container торчит в мир на 10010 порту?

недавно было в статье про то почему netfilter на bpf переделывают: https://cilium.io/static/bpfilter_performance-85849c12cb9c051c9534710e3c6da493-84ad3.png

речь была не про bfp а про нетфильт, вещи разные. Я говорил про бенч текущего

блин, а вот нормально что docker-container торчит в мир на 10010 порту?

с 18.06 - нормально

речь была не про bfp а про нетфильт, вещи разные. Я говорил про бенч текущего

на графике вот про то что даже iptables 10M pps варит

с 18.06 - нормально

а для чего это? не могу найти инфу

это же прикрывать надо, я так понимаю

о, нашел инфу, спс

For Kubernetes 1.10: streaming server still needs to listen on an interface accessible by the apiserver, but the port doesn't necessarily need to be fixed. We initially set it fixed 10010 because it is easier for users to set firewall rule, and other CRI container runtimes are doing so.

нууу, я даже не знаю что сказаьт

с 18.06 - нормально

http://www.opennet.ru/opennews/art.shtml?num=49094 - не факт)))

пойду закрою ка я это фаерволом, а то срамота какая то

на графике вот про то что даже iptables 10M pps варит

там про железо не слово, не известно на какой машине был запущен тест

For Kubernetes 1.10: streaming server still needs to listen on an interface accessible by the apiserver, but the port doesn't necessarily need to be fixed. We initially set it fixed 10010 because it is easier for users to set firewall rule, and other CRI container runtimes are doing so.

ага, это оно

там про железо не слово, не известно на какой машине был запущен тест

было в оригинальной статье, но понятно что на мощном железе

Ok; did some research and port 10010 the cri stream server port (containerd 1.1.x and up provides cri support to run kubernetes). The cri plugin can be disabled by setting disabled_plugins = ["cri"] in the containerd configuration file;

было в оригинальной статье, но понятно что на мощном железе

я нашел оригинал который делали французы там как раз нет ни слова про железо, разговор был про одно ядро и прочее.... я собственно подтверждение именно этих слов просил, еще в 2011 году мы переваривали траффик 10г на сервер

я нашел оригинал который делали французы там как раз нет ни слова про железо, разговор был про одно ядро и прочее.... я собственно подтверждение именно этих слов просил, еще в 2011 году мы переваривали траффик 10г на сервер

можешь автору статьи написать )

Ok; did some research and port 10010 the cri stream server port (containerd 1.1.x and up provides cri support to run kubernetes). The cri plugin can be disabled by setting disabled_plugins = ["cri"] in the containerd configuration file;

они патч завезут дабы по дефолту выключено было. плюс запросы на порту без аутентификации не сделаешь

можешь автору статьи написать )

да это понятно ) но хоть как-то слова должны быть подкреплены хоть чем-то)))

я нашел оригинал который делали французы там как раз нет ни слова про железо, разговор был про одно ядро и прочее.... я собственно подтверждение именно этих слов просил, еще в 2011 году мы переваривали траффик 10г на сервер

берем ipfw-netmap и радуемся.

да это понятно ) но хоть как-то слова должны быть подкреплены хоть чем-то)))

я если честно не понимаю о чем ты )

график есть? есть. Ну железа нет, предположи что самое крутое какое нашли по производительности одного треда

график есть? есть. Ну железа нет, предположи что самое крутое какое нашли по производительности одного треда

речь была >Это может машина с одним ядром отфильтровать так если говорят может то где графики доказывающие это

берем ipfw-netmap и радуемся.

так есть пруфы то?

речь была >Это может машина с одним ядром отфильтровать так если говорят может то где графики доказывающие это

график выше есть

график выше есть

этот график не имеет отношения к "Это может машина с одним ядром отфильтровать" разве не так?

этот график не имеет отношения к "Это может машина с одним ядром отфильтровать" разве не так?

а почему не имеет?

а почему не имеет?

потому что, чтобы отверждать что может с одним ядром отфильровать, то есть на машине только ОДНО ядро в инфографике должно это хотябы как то отражено, на оригинальной статье просто говориться что может, может и хорошо. Только этот график никак нельзя наложить на машину с одним ядром, можно таким же образом взять к примеру топовый инстанс и на него натравить бенчмар, график будет прекрасным

Народ, кто курит пром, насколько я понял, там авторизация сервер-клиент по токену не предусмотрена. Как решается этот вопрос, дабы кто угодно не тащил метрики? Firewall или есть встроенные механизмы?

Народ, кто курит пром, насколько я понял, там авторизация сервер-клиент по токену не предусмотрена. Как решается этот вопрос, дабы кто угодно не тащил метрики? Firewall или есть встроенные механизмы?

nginx перед промом?

Я про клиент говорю) С сервером примерно ясно)

Но экспортер же тоже открывает порт

фаервол + можно указать бинд адресс

потому что, чтобы отверждать что может с одним ядром отфильровать, то есть на машине только ОДНО ядро в инфографике должно это хотябы как то отражено, на оригинальной статье просто говориться что может, может и хорошо. Только этот график никак нельзя наложить на машину с одним ядром, можно таким же образом взять к примеру топовый инстанс и на него натравить бенчмар, график будет прекрасным

https://www.stableit.ru/2015/03/linux-netmap-ipfw.html

потому что, чтобы отверждать что может с одним ядром отфильровать, то есть на машине только ОДНО ядро в инфографике должно это хотябы как то отражено, на оригинальной статье просто говориться что может, может и хорошо. Только этот график никак нельзя наложить на машину с одним ядром, можно таким же образом взять к примеру топовый инстанс и на него натравить бенчмар, график будет прекрасным

но если что, я фильтровал больше

IPFW на lo0nix’е? ?

потому что, чтобы отверждать что может с одним ядром отфильровать, то есть на машине только ОДНО ядро в инфографике должно это хотябы как то отражено, на оригинальной статье просто говориться что может, может и хорошо. Только этот график никак нельзя наложить на машину с одним ядром, можно таким же образом взять к примеру топовый инстанс и на него натравить бенчмар, график будет прекрасным

ну ты волен написать автору вопрос про это

но если что, я фильтровал больше

шутите причем тут это то?

ну ты волен написать автору вопрос про это

написал :)

IPFW на lo0nix’е? ?

а в чем проблема, если он процессом в юзерленде?

зачем?)

шутите причем тут это то?

мы вроде про фильтрацию, нет? )

*tables’ов всяких вагоны

мы вроде про фильтрацию, нет? )

мы про iptables не?

ну и как бонус Как я уже обращал внимание, процесс kipfw выедает одно ядро полностью и это будет (если уже не является) причиной провалов в трафике, потому что он не успевает отбрабатывать весь проходящий трафик корректно. Что с этим делать? Нужно делать патчи для kipfw для параллельной обработки либо попробовать запустить число инстансов kipfw по числу аппаратных очередей на сетевой карте. Таким образом в самом худшем случае на каждый процессор выйдет нагрузка не более чем 14/4=3.5Mpps на ядро, что в принципе разумная цифра.

продакшен решение ну ну

мы про iptables не?

нет. хотя на свежих ядрах может и iptables справится где-то в ingress hook

ну и как бонус Как я уже обращал внимание, процесс kipfw выедает одно ядро полностью и это будет (если уже не является) причиной провалов в трафике, потому что он не успевает отбрабатывать весь проходящий трафик корректно. Что с этим делать? Нужно делать патчи для kipfw для параллельной обработки либо попробовать запустить число инстансов kipfw по числу аппаратных очередей на сетевой карте. Таким образом в самом худшем случае на каждый процессор выйдет нагрузка не более чем 14/4=3.5Mpps на ядро, что в принципе разумная цифра.

и?

нет. хотя на свежих ядрах может и iptables справится где-то в ingress hook

ipfw причем тут?

и?

то есть ничего не смущает?

исходный тезис.

Это может машина с одним ядром отфильтровать

ipfw причем тут?

какая разница чем фильтровать в рамках хоста?

стоп стоп стоп, разговор был про стандартные средства!

стандартен фюрер

ERROR: S client not available

а тут уже кусок фаера фряхи прикрутилось откуда-то на машине с 4 ядрами)))

потом еще окажится джунипер 10ка еще)))

какая разница чем фильтровать в рамках хоста?

разница что то что вы прислали это не разу не продакшен решение, поддерживать кастомщину это еще то решение

стоп стоп стоп, разговор был про стандартные средства!

nftables - стандартные средства?

nftables - стандартные средства?

пока еще нет

пока еще нет

Уже да. Но не во всех дистрах внедрено

Уже да. Но не во всех дистрах внедрено

пока еще две системы рядом живут, и есть трансляция в nftables, как заменит тогда можно уже сказать стандарт

пока еще две системы рядом живут, и есть трансляция в nftables, как заменит тогда можно уже сказать стандарт

Ну, так переписывать древнее никто не будет. Эта трансляция еще на 5-10 лет. Пока старые скрипты не отомрут

Ну, так переписывать древнее никто не будет. Эта трансляция еще на 5-10 лет. Пока старые скрипты не отомрут

может и быстрее, еще от разрабов дистрибутивов зависит тоже

дистрибутивы ваш рулсет перепишут что ли?

дистрибутивы ваш рулсет перепишут что ли?

Рулсет вообще не причём, речь не про рулсеты

@Roman_Kuchuk будет жить. Поприветствуем!

@Civiloid ты вроде спрашивал за ssh-agent в tmux’е? У меня это на tcsh организовано (bash не юзаю) setenv USERID `id -u` if ($?prompt) then set sshagentcount = `ps x | grep -c ssh-agent` if !($sshagentcount > 1 ) then eval `ssh-agent -c` else setenv SSH_AGENT_PID `pgrep -u $USERID ssh-agent` @ sshagentsocknum = $SSH_AGENT_PID - 1 setenv SSH_AUTH_SOCK `find /tmp -maxdepth 2 -name agent.$sshagentsocknum |& grep -v "Permission denied"` endif

@Civiloid ты вроде спрашивал за ssh-agent в tmux’е? У меня это на tcsh организовано (bash не юзаю) setenv USERID `id -u` if ($?prompt) then set sshagentcount = `ps x | grep -c ssh-agent` if !($sshagentcount > 1 ) then eval `ssh-agent -c` else setenv SSH_AGENT_PID `pgrep -u $USERID ssh-agent` @ sshagentsocknum = $SSH_AGENT_PID - 1 setenv SSH_AUTH_SOCK `find /tmp -maxdepth 2 -name agent.$sshagentsocknum |& grep -v "Permission denied"` endif

я

это для мака?

под bash там ssh-agent -s вместо … -c

потому что похоже что нет

на bsd/mac пашет

ок, спс гистану

раньше было eval ssh-agent && ssh-add ~/.ssh/id_rsa && ssh ….. - оно текло

и в tmux’е не работало, да)

$ ssh -A -t remotehost tmux $ ssh-add -l | wc -l 2работает

@Civiloid ты вроде спрашивал за ssh-agent в tmux’е? У меня это на tcsh организовано (bash не юзаю) setenv USERID `id -u` if ($?prompt) then set sshagentcount = `ps x | grep -c ssh-agent` if !($sshagentcount > 1 ) then eval `ssh-agent -c` else setenv SSH_AGENT_PID `pgrep -u $USERID ssh-agent` @ sshagentsocknum = $SSH_AGENT_PID - 1 setenv SSH_AUTH_SOCK `find /tmp -maxdepth 2 -name agent.$sshagentsocknum |& grep -v "Permission denied"` endif

Не я

народ, а кто юзает ambari (hortonworks) может кто сталкивался с ситуацией потери амбари без бекапов, без ничего если накатить заново и добавить сервисы он может подхватить все нормально?

а амбари разве не хранит в мускуле ничего?

он хранит там конфигурацию стека

он хранит там конфигурацию стека

если по новой накатить он убьет сервисы уже живущие?

в частности namenode

он хранит там конфигурацию стека

ага, ее

в частности namenode

скорее всего он захочет привести конфигурацию к той что у него проинитится и накатит изменения

так он и мускул локально держал => там все умерло