forum.opennet.ru

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Оглавление

Первый стабильный выпуск отказоустойчивой СУБД CockroachDB, opennews (ok), 11-Май-17, (0) [смотреть все]

Задолбали уже, 2 новости про это как всегда не будет , cmp (ok), 12:58 , 11-Май-17, (1) –14 //

Да хрен его знает Если, вон, Байду использует - значит, оно хоть как-то живое, Crazy Alex (ok), 14:03 , 11-Май-17, (3) +2 //

Да надо отдельный стрим делать новостей от британских ученых и разрабов на го, я, cmp (ok), 14:38 , 11-Май-17, (4) –14 //

Во-первых, надо уметь готовить Во-вторых, в промышленном использовании Java и G, F (?), 14:44 , 11-Май-17, (5) +3
а что там в Go с тормозами , Crazy Alex (ok), 16:03 , 11-Май-17, (9)

Не хуже чем у других С - , _ (??), 17:09 , 11-Май-17, (13)

Как страшно жить С Мучайся, Go взлетел и его вокруг будет только больше и боль, _ (??), 17:03 , 11-Май-17, (11) +1

Ага, как и ява, 10 15 лет обещают, что она будет сравнима по скорости с СИ и, cmp (ok), 01:12 , 12-Май-17, (30)

Про жрать меньше памяти - норкоманов не слушай В жабе не ломают совместимость, лютый жабист__ (?), 06:43 , 12-Май-17, (33)

Найдите нормально сишнека и не позорьтесь со своими выводами Хотя нет, позорьте, Аноним (-), 07:25 , 12-Май-17, (34) +3

Нормальный сишник это такая сущность, которая обитает в Астрале, которая может, , лютый жабист__ (?), 07:36 , 12-Май-17, (36) –1

Ваш ограниченное окружение вкупе с правильно мнение -- только мое мнение завед, Аноним (-), 07:45 , 12-Май-17, (38)

IBMовские mainframe-ы исполняют сразу жабу У тебя нету мэйнфрэйма Наверное и н, лютый жабист__ (?), 08:18 , 12-Май-17, (39)

Если джава такая замечательная, то почему она написана на тормозном C Совпаде, Аноним (-), 10:34 , 12-Май-17, (41)

Ява быстрее си, ахахаха, тебя псаки покусала или ты с рождения такой , cmp (ok), 12:16 , 12-Май-17, (45)
Я думаю что он пишет на Си так что у него всегда Java быстрее работает А понять, Аноним (-), 13:30 , 12-Май-17, (50) +3
Пока ты будешь на своём анси си реализовывать хэшмэп, я 50 раз закончу всю прогу, лютый жабист__ (?), 20:04 , 12-Май-17, (56)
Как там говорится, слив защитан Причем тут скорость разработки и скорость ЯП Н, Аноним (-), 21:42 , 12-Май-17, (60) +4
Ты действительно думаешь что это честное сравнение Ты либо глуn, либо Берешь, Аноним (-), 21:55 , 12-Май-17, (61) +1
Это моя проблема, что в core java есть много плюшек, которых у вас нет Назвался, лютый жабист__ (?), 08:22 , 13-Май-17, (67) –1
Ты всегда берешь кассандру без постановки задачи И как связано взятие чего-т, Аноним (-), 13:01 , 14-Май-17, (72) +1
Да есть готовые, полно, но на 10к элементов они показывают худшие результаты по , cmp (ok), 07:13 , 13-Май-17, (65)
8 прохладны твои былины, бро , лютый жабист__ (?), 08:24 , 13-Май-17, (68) –2
Никто не спорит, что при грамотной писанине на Си программа будет быстрее и памя, Адепт Анонима (?), 20:44 , 12-Май-17, (57)
Да, все вроде бы верно, но время Java проходит По инерции еще будет держаться в, Аноним (-), 22:00 , 12-Май-17, (62)
Выйграть битву не значит выйграть войну Построение больших систем требует компле, Адепт Анонима (?), 00:12 , 13-Май-17, (63)
Прочел вас и вспомнил AT T которая считала рынок и свое положение непоколебимым , Аноним (-), 08:12 , 13-Май-17, (66)
Хотя вы не указали что-то конкретное, я уважаю ваше мнение и думаю, что оно впол, Адепт Анонима (?), 23:52 , 13-Май-17, (71)

У меня программирование - домашнее хобби, в итоге Сто раз читал книги по Jave -, Ydro (?), 13:47 , 13-Май-17, (69) –1

Сбегай за пивом и Подавай ужин - это не программирование , Led (ok), 22:47 , 13-Май-17, (70) –1

Кто-то никогда не поймет разницы между небольшим драйвером с одним потоком коман, Вареник (?), 16:29 , 12-Май-17, (51) –1

В реальном мире программные продукты пишут ради денег Java позволяет получить д, диванный аналитик (?), 11:08 , 12-Май-17, (43)

А еще воруют, убивают и насилуют в реальном мире, причем кое-где тоже за деньги , cmp (ok), 12:34 , 12-Май-17, (48)

Поэтому насильники-профессионалы предпочитают средненький но практичный Глок эпи, Вареник (?), 16:32 , 12-Май-17, (52) –1

профессионалы это кто например армия тупил в сирии, которые сами себя убивают , cmp (ok), 17:44 , 12-Май-17, (54)

Единственное мое знакомство с этой компанией произошло, когда с рабочего компа м, БорБор (?), 22:56 , 11-Май-17, (28) –3 //

Яндекс использует Прувы не дам, самому сорока на хвосте принесла Но той сороке, funny.falcon (?), 06:39 , 12-Май-17, (32)
Яндекс по среавнению с Байду маленькая пупырка , Zver (??), 15:09 , 14-Май-17, (75) –1

Согласен нужно давно все переписать на JavaScript , Аноним (-), 21:01 , 11-Май-17, (19) +2 //

На Typescript , Аноним (-), 21:26 , 11-Май-17, (25) –1

Ну, для дураков, наверное, встроенное шифрование - это хорошо, но вообще-то - ко, Crazy Alex (ok), 14:01 , 11-Май-17, (2) +1 //

Оно во всех БД нынче есть Не хочешь - не включай, но как фича нужно, чтобы для , F (?), 14:46 , 11-Май-17, (6) –1 //

Ну разве что для сравнения но это какой-то странный аргумент Скорее поверю, , Crazy Alex (ok), 16:02 , 11-Май-17, (8) –1 //

датацентр с суммарным out больше 10G, например внутреннего, что характерно, бай, пох (?), 17:03 , 11-Май-17, (12) –1

э ну и завернуть в шифрованный канал только то, что нужно защищать, нет Не о, Crazy Alex (ok), 17:42 , 11-Май-17, (14)

Вы еще скажите, что QR-коды и вебсервак, собственный su, cron, calendar, netcat,, Аноним (-), 18:08 , 11-Май-17, (15)

Серьезная как раз не должна , Аноним (-), 19:09 , 11-Май-17, (16) +1

А systemd шуточная получается Надо же , Аноним (-), 21:05 , 11-Май-17, (21)

Не знаю, но systemd точно от клоунов QR-код в систему инициализаци ахаха, рж, Аноним (-), 21:28 , 11-Май-17, (26)

А я это так и говорил Причём всё это безумие отлично отражает безумие в самом к, Crazy Alex (ok), 22:03 , 11-Май-17, (27)

Не учи -- не научатся Все давно придумано IPSec А шифрование в БД сделано для, Аноним (-), 07:29 , 12-Май-17, (35) –1

ну вот покажите мне датацентр, работающий на ipsec - для начала а что, отлично, пох (?), 12:17 , 12-Май-17, (46) –1

Чей ДЦ Гугла Вы про что Гугл может и строит свои ДЦ Крупный провайдеры строя, Аноним (-), 21:26 , 12-Май-17, (58)

s 1000 до 50000 тыс запросов 1000 до 50000 запросов Да, всего 50 тыс запросов , Аноним (-), 21:34 , 12-Май-17, (59)
дорогой админ локалхоста, вынужден сообщить тебе страшное датацентры бывают не , пох (?), 00:11 , 15-Май-17, (78) –1

Ты бы почитал про MPLS Тебе чтоли все разжевывать надо Если что, то я имел вви, Аноним (-), 21:34 , 15-Май-17, (85)

спасибо, поржал , пох (?), 16:08 , 17-Май-17, (86) –1

Раньше гугля и не обязывал внутренний свой трафик между серверами шифровать Пока, qsdg (ok), 21:21 , 11-Май-17, (22) –1

И что, что прослушивали У них там пароли в открытом виде чтоли передавались Ил, Аноним (-), 07:36 , 12-Май-17, (37)

Вы не поняли Внутренний трафик гугла это, например, репликация БД всяких серв, qsdg (ok), 08:32 , 12-Май-17, (40)

они сейчас шифруют _собственную_ n 10G опту между площадками - без всяких между, пох (?), 12:20 , 12-Май-17, (47) –1

Вот именно Пусть NSA покупают украденную у пользователей всего мира инфу, а не , Вареник (?), 16:36 , 12-Май-17, (53)

Название, конечно, доставляет Такое, buggy -D, xm (ok), 15:41 , 11-Май-17, (7) +1 //

Тараканы и жуки в не очень родственных отношениях, Anonim (??), 19:48 , 11-Май-17, (17) //

Да и в холодных странах с тараканами легко справлялись -- уходили зимой ночевать, qsdg (ok), 21:22 , 11-Май-17, (23) –1

Каждый считает своим долгом в первый стабильный релиз добавить слова отказоусто, Аноним (-), 16:43 , 11-Май-17, (10) //

Почему каждый Это неправда , Аноним (-), 21:04 , 11-Май-17, (20) +1
Но, к их чести, они сперва проконсультировались с Aphyr почти год назад https , qsdg (ok), 21:24 , 11-Май-17, (24) +1
не каждый понимает, что в данном случае решали именно задачу отказозащиты - для , пох (?), 12:55 , 12-Май-17, (49) –2

люди подскажите чем вы пользуетесь для хранения пусть просто key-value, но гаран, anonymous (??), 17:53 , 12-Май-17, (55) //

осспадя - да nosql-ей - мильен с тыщами, не монгой единой кто что осилил, тем и , нах (?), 15:30 , 14-Май-17, (76) –1 //

Да вот как раз позиционируется как strongly-consistent ACID И я не про НоСКУЛ, , Zver (??), 15:52 , 14-Май-17, (77) –2 //

я нарочно подчеркнул - надежность _хранения_ То есть она strongly от разваливан, пох (?), 00:33 , 15-Май-17, (79) –1

Соответствие ACID подразумевает сохранность данных после завершения транзакции , Zver (??), 04:35 , 15-Май-17, (80) –1

При этом надо учитывать, что документ в Монге это аналог слепленных в РДБМС jo, лютый жабист__ (?), 07:49 , 15-Май-17, (81) –1

скорее аналог ненормализованной таблицы Если бы этим все и ограничивалось, монг, пох (?), 09:06 , 15-Май-17, (82) –1

я делал такие костыли поверх SQL и даже свою сетевую файловую систему писал, но , anonymous (??), 10:05 , 15-Май-17, (83) //

при таком раскладе я бы скачал китайский код, и начал его читать - не в плане ка, пох (?), 12:14 , 15-Май-17, (84) –1

Прощай Монга и MySQL Как оно вообще Кто-нибудь тестировал, использовал Действ, Zver (??), 15:01 , 14-Май-17, (73) –2

Сообщения [Сортировка по времени | RSS]

6. "Первый стабильный выпуск отказоустойчивой СУБД CockroachDB" –1 +/–

Сообщение от F (?), 11-Май-17, 14:46

> Ну, для дураков, наверное, встроенное шифрование - это хорошо, но вообще-то -
> комбайн. Это разные уровни и они должны реализовываться независимо. А здесь
> - прибили гвоздями к SSL...
Оно во всех БД нынче есть. Не хочешь - не включай, но как фича нужно, чтобы для сравнения выглядеть хорошо на фоне остальных.
Даром что MySQL с CockroachDB никак не сравнить в принципе. Но когда надо будет ноды запускать там, откуда даже ВПН тянуть не хочется, то может и пригодиться.

Ответить | Правка | Наверх | Cообщить модератору

8. "Первый стабильный выпуск отказоустойчивой СУБД CockroachDB" –1 +/–

Сообщение от Crazy Alex (ok), 11-Май-17, 16:02

Ну разве что для сравнения... но это какой-то странный аргумент. Скорее поверю, что это сделано для "упрощения развёртывания" или чего-то подобного, т.е. в расчёте на не особо компетентного и не требовательного пользователя.
А что за ноды такие, на которых может крутиться база, откуда VPN тянуть не хочется?

Ответить | Правка | Наверх | Cообщить модератору

12. "Первый стабильный выпуск отказоустойчивой СУБД CockroachDB" –1 +/–

Сообщение от пох (?), 11-Май-17, 17:03

> А что за ноды такие, на которых может крутиться база, откуда VPN тянуть не хочется?
датацентр с суммарным out больше 10G, например (внутреннего, что характерно, байдового траффика. ничего такого особенного)
то есть там есть "vpn", на самом деле, но если вам послышалось слово "шифрование" - вы плохо понимаете суть этой аббревиатуры.
Гугль, конечно, для аналогичной цели поставил несколько шкафов, в каждом ДЦ, да, но это даже для гугля немножко недешево получилось.
При том что большая часть этого траффика заведомо не нуждается в шифровании, это мусор, который в конечном итоге и так в интернет отдастся.

Ответить | Правка | Наверх | Cообщить модератору

14. "Первый стабильный выпуск отказоустойчивой СУБД CockroachDB" +/–

Сообщение от Crazy Alex (ok), 11-Май-17, 17:42

э... ну и завернуть в шифрованный канал только то, что нужно защищать, нет? Не обязательно ж VPN держать только на уровне ДЦ-ДЦ, можно и более детально, тем более со всеми нынешними паппетами и прочими.
Ну хоть убей - шифрование трафика - это не то, чем БД должна заниматься.

Ответить | Правка | Наверх | Cообщить модератору

15. "Первый стабильный выпуск отказоустойчивой СУБД CockroachDB" +/–

Сообщение от Аноним (-), 11-Май-17, 18:08

> Ну хоть убей - шифрование трафика - это не то, чем БД
> должна заниматься.
Вы еще скажите, что QR-коды и вебсервак, собственный su, cron, calendar, netcat, dnscache -- это не то, что должна иметь любая серьезна система инициализации o_O

Ответить | Правка | Наверх | Cообщить модератору

16. "Первый стабильный выпуск отказоустойчивой СУБД CockroachDB" +1 +/–

Сообщение от Аноним (-), 11-Май-17, 19:09

Серьезная как раз не должна.

Ответить | Правка | Наверх | Cообщить модератору

21. "Первый стабильный выпуск отказоустойчивой СУБД CockroachDB" +/–

Сообщение от Аноним (-), 11-Май-17, 21:05

А systemd шуточная получается? Надо же.

Ответить | Правка | Наверх | Cообщить модератору

26. "Первый стабильный выпуск отказоустойчивой СУБД CockroachDB" +/–

Сообщение от Аноним (-), 11-Май-17, 21:28

Не знаю, но systemd точно от клоунов. QR-код в систему инициализаци))) ахаха, ржунимагу

Ответить | Правка | Наверх | Cообщить модератору

27. "Первый стабильный выпуск отказоустойчивой СУБД CockroachDB" +/–

Сообщение от Crazy Alex (ok), 11-Май-17, 22:03

А я это так и говорил. Причём всё это безумие отлично отражает безумие в самом коде. С нетерпением жду, когда эту хрень всерьёз копнут насчёт дыр - их там будет, не сейчас, так позже - код к поддержке не особо пригоден.

Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

35. "Первый стабильный выпуск отказоустойчивой СУБД CockroachDB" –1 +/–

Сообщение от Аноним (-), 12-Май-17, 07:29

>шифрование трафика - это не то, чем БД должна заниматься
Не учи -- не научатся. Все давно придумано: IPSec. А шифрование в БД сделано для тех, кто не умеет в шифрование и лишь слышал о нем (и если бд этого не умеет, значит, по _их_ мнению бд фуфло ^_^).

Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

46. "Первый стабильный выпуск отказоустойчивой СУБД CockroachDB" –1 +/–

Сообщение от пох (?), 12-Май-17, 12:17

> Не учи -- не научатся. Все давно придумано: IPSec.
ну вот покажите мне датацентр, работающий на ipsec - для начала.
(а что, отличное ж место - нужен именно transport mode, который, в принципе, просто и легко встраивается в существующие структуры)
для продолжения - подумайте, сколько ресурсов оно сожрет, когда на другом конце такой же датацентр, а не твой локалхост. В любом варианте - хоть в виде гуглешкафа на терминации, хоть в виде ручного строительства туннелей к серверам БД с каждой ноды, которой в теории может что-то там понадобиться - включая генерацию сертификатов (ну или раздачу и своевременную замену кучи psk) и отслеживание, чтобы вся эта мега-архитектура внезапно не развалилась (или не поломали то, с чего как раз и раздается).
А в базе байды, тупо, помимо прочего, данные юзеров, которые в общем-то нехорошо светить всему миру.
Ну и еще - шифрование в БД позволяет не изобретать свой велосипед с аутентификацией (в mysql ее пару раз, помнится, ломали), и не гонять пароли открытым текстом//тупо доверять хосту по айпишнику, если что-то не изобрелось. Пейсатели таз банных редко бывают хорошими криптографами, увы. А вот прикрутить готовую ssl - если не заморачиваться сложными ходами - может каждый студент. И оно таки будет лучше защищено, чем вышеописанная студенческая поделка, и работать надежнее, чем еще выше описанный ипсековый спагетти-монстр.
Ну а если в базе у вас access_log ненужно-хоста - то никто и не заставляет использовать шифрование вовсе.

Ответить | Правка | Наверх | Cообщить модератору

58. "Первый стабильный выпуск отказоустойчивой СУБД CockroachDB" +/–

Сообщение от Аноним (-), 12-Май-17, 21:26

>ну вот покажите мне датацентр, работающий на ipsec - для начала.
Чей ДЦ? Гугла? Вы про что? Гугл может и строит свои ДЦ. Крупный провайдеры строят свои ДЦ. Те, кто умеют в ДЦ могут обойтись MPLS (да-да, ой, сколько оно жрет ресурсов! ути-пути).
>для продолжения - подумайте, сколько ресурсов оно сожрет
Глянь статистику от haproxy. Возьмите статистику от Intel. Средняя температура от 1000 до 50000 тыс. запросов HTTPS в секунду. Последняя цифра на 56 (пятьдесят шесть) ядер на 3ГГц.
Теперь подели эти цифры на кол-во сервисов, которым нужен SSL. А теперь сопоставь с 1-м каналом IPSec на все нужды. Ты математику в школе не прогуливал?
>Ну и еще - шифрование в БД позволяет не изобретать свой велосипед с аутентификацией (в mysql ее пару раз, помнится, ломали)
Ну, все понеслось. Причем тут аутентификация? Кстати, ломали и Oracle DB, если что. Только в БД это ближе к простой авторизации, которая никак не связана с защитой данных. Она нужна для ограничения доступа и прав (что бы левый человек чего что-нибудь под этой учеткой не прочитал аль не записал лишнего). И все.
Сама же аутентификация может быть выполнена на уровне тупого сетевого фильтра (iptables, ipfw, pf). Потому что между ДЦ трафик гоняется от сервера к сервера, а не от пользователя к серверу, где в таком случае аутентификация играет намного большую роль (можно прижать за яйца в случае чего).
>А вот прикрутить готовую ssl - если не заморачиваться сложными ходами - может каждый студент.
Криптография не для студентов. Это отдельная ОГРОМНАЯ область, где от незнания вся безопасность летит к чертям.
Ну, вы продолжайте объяснять как студенты бороздят закаулки криптографии, как они делают _действительно_ секурные вещи и т.п. Очень интересно читать на ночь подобные сказки.

Ответить | Правка | Наверх | Cообщить модератору

59. "Первый стабильный выпуск отказоустойчивой СУБД CockroachDB" +/–

Сообщение от Аноним (-), 12-Май-17, 21:34

>1000 до 50000 тыс. запросов
s/1000 до 50000 тыс. запросов/1000 до 50000 запросов/
Да, всего 50 тыс. запросов в секунду.

Ответить | Правка | Наверх | Cообщить модератору

78. "Первый стабильный выпуск отказоустойчивой СУБД CockroachDB" –1 +/–

Сообщение от пох (?), 15-Май-17, 00:11

>>ну вот покажите мне датацентр, работающий на ipsec - для начала.
> Чей ДЦ? Гугла? Вы про что?
дорогой админ локалхоста, вынужден сообщить тебе страшное: датацентры бывают не только у гугля, и их необязательно строить самому, можно арендовать кусочек чужого, как почти все и делают. Что, как ни странно, вовсе не привело пока к практике внутри арендованных рядов стоек полностью переходить на ipsec. Хотя, в целом, это как раз вполне реализуемо (правда, можно поймать феерический п-ц, если оно вдруг развалится тоже глобально), когда и инфраструктура под твоим контролем вся, и железки все в одной куче.
А вот арендовать кусочек чужой шифровалки канала между датацентрами - это довольно дорого, ненадежно, и неудобно. Поэтому в большинстве случаев траффик гуляет совершенно нешифрованным, в предположении что залетный горе-хакер ниасилит выделить в терабайтах мусора хоть что-то ценное, а местным инженерам не до того. Но что-то ценное неплохо бы прикрыть end2end, оно так обычно проще, чем глобальные решения (когда развалится - у тебя хотя бы останется управление).
> Те, кто умеют в ДЦ могут обойтись MPLS
о, оно слышало про mpls. А теперь расскажи, чего ж это гугль-то не обходится, и запихнул свои mpls'ы внуть шифрованного канала, ась? Вот тупые, да?
> Глянь статистику от haproxy. Возьмите статистику от Intel.
мне совершенно неинтересна средняя температура по больнице. Я спрашивал, как вы себе видите - в ядрах там, в шкафах или как, банальную такую коробку а-ля гугль, шифрующую траффик через вшивенький одиночный 10G - предположим, что он у нас не для красоты, а заполнен процентов на 45. У меня вот их нынче к примеру пара на ДЦ, а мы вовсе не гугль, и вообще застряли в развитии - предполагалось, что их будет штук по восемь. Спецификации соответствующих железок в общем-то существуют в открытом доступе. Правда, моя личная встреча с реальностью в виде таких железок, окончилась некоторым, гхм, фиаско, на потоках на два порядка поменьше - не все что пишут в красивых буклетах, достижимо на деле.
> Ну, все понеслось. Причем тут аутентификация?
потому что это - одна из немногих вещей в тазе банных, которые надо прятать от досужего любопытства, даже если внутри там ровно то, что все равно в том или ином виде отдается в веб всем желающим.
> Сама же аутентификация может быть выполнена на уровне тупого сетевого фильтра
> (iptables, ipfw, pf)
угу, на каждом сервере, и смотри, ничего не перепутай. Админы локалхостов такие затейники... Помнится, над столом dba'шников у нас висела "простая и наглядная схема связей реплик" - здорово напоминающая паутину.
>> А вот прикрутить готовую ssl - если не заморачиваться сложными ходами - может каждый
>> студент.
> Криптография не для студентов
любой достаточно аккуратный студент справится с использованием _готовой_ и правильно сделанной криптографической библиотеки. Особенно, если не будет делать слишком сложных конструкций.
А вот изобретения велосипедов с квадратными колесами - типа замены аутентификации файрволом - верный признак вечного недоучки.
Как и попытка оценивать статистикой хапроксей и прочего _смотрящего_вовне_ хлама реальные объемы (реальный такой пример одной сравнительно небольшой веб-лавочки - на ~150мегабит внешнего траффика cross-DC через арендованные линки - то есть как раз такого, который неплохо бы пошифровать - получалось где-то под 500 - при том что его старались, разумеется, держать минимальным, и из-за цены канала, и из-за rtt, большая часть внутреннего обмена происходила внутри своей стойки.)
Ничего не хочу знать о том, что происходит внутри какого-нибудь факбука, не говоря уже про байду.

Ответить | Правка | К родителю #58 | Наверх | Cообщить модератору

85. "Первый стабильный выпуск отказоустойчивой СУБД CockroachDB" +/–

Сообщение от Аноним (-), 15-Май-17, 21:34

>А теперь расскажи, чего ж это гугль-то не обходится, и запихнул свои mpls'ы внуть шифрованного канала, ась? Вот тупые, да?
Ты бы почитал про MPLS. Тебе чтоли все разжевывать надо? Если что, то я имел ввиду MPLS/VPN. Да, там уже само по себе встроен шифрованный канал. Нужен ли в таком случае IPSec дело десятое, т.к. _мало_ кто сможет приобрести _свой_ канал от точки А до точки Б.
Что касается гугла, то они могут воротить такие вещи, которые тебе и не снились. И у них нет вообще вопроса о том, сколько и что жрет. Вообще-то есть, ибо стоимость электро-энергии у них в первой тройке затрат. Ну, куда уж тебе или мне думать о таких "мелочах". Электричество ж дешевое. Когда у тебя максимум 1000 железок.

Ответить | Правка | Наверх | Cообщить модератору

86. "Первый стабильный выпуск отказоустойчивой СУБД CockroachDB" –1 +/–

Сообщение от пох (?), 17-Май-17, 16:08

> Ты бы почитал про MPLS.
спасибо, поржал.

Ответить | Правка | Наверх | Cообщить модератору

22. "Первый стабильный выпуск отказоустойчивой СУБД CockroachDB" –1 +/–

Сообщение от qsdg (ok), 11-Май-17, 21:21

Раньше гугля и не обязывал внутренний свой трафик между серверами шифровать.
Пока NSA не спалилось, что оно прослушивало их внутренний трафик на международных каналах. С тех пор в срочном порядке всех обязали включить флаг шифрования для внутренних RPC.

Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

37. "Первый стабильный выпуск отказоустойчивой СУБД CockroachDB" +/–

Сообщение от Аноним (-), 12-Май-17, 07:36

>прослушивало их внутренний трафик
И что, что прослушивали? У них там пароли в открытом виде чтоли передавались? Или письма ген. дира? Ну, тогда это проблема не БД, а безопасников, которые все проморгали.

Ответить | Правка | Наверх | Cообщить модератору

40. "Первый стабильный выпуск отказоустойчивой СУБД CockroachDB" +/–

Сообщение от qsdg (ok), 12-Май-17, 08:32

> И что, что прослушивали? У них там пароли в открытом виде чтоли
> передавались? Или письма ген. дира? Ну, тогда это проблема не БД,
> а безопасников, которые все проморгали.
Вы не поняли. "Внутренний трафик гугла" это, например, репликация БД всяких сервисов типа GMail между датацентрами. А по GMail многие ген. диры передают свои пароли.
Гуглите по "snowden leaks".

Ответить | Правка | Наверх | Cообщить модератору

47. "Первый стабильный выпуск отказоустойчивой СУБД CockroachDB" –1 +/–

Сообщение от пох (?), 12-Май-17, 12:20

> Раньше гугля и не обязывал внутренний свой трафик между серверами шифровать.
они сейчас шифруют _собственную_ n*10G опту между площадками - без всяких "международных каналов". На случай, если все же кто-то поставил в колодце непредусмотренный сплиттер.
Поскольку если NSA сумеет обойтись без их помощи с дешифровкой - кредитов под 0% не дадут.

Ответить | Правка | К родителю #22 | Наверх | Cообщить модератору

53. "Первый стабильный выпуск отказоустойчивой СУБД CockroachDB" +/–

Сообщение от Вареник (?), 12-Май-17, 16:36

> Поскольку если NSA сумеет обойтись без их помощи с дешифровкой - кредитов
> под 0% не дадут.
Вот именно. Пусть NSA покупают украденную у пользователей всего мира инфу, а не тупо тырят )))

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру


	6. "Первый стабильный выпуск отказоустойчивой СУБД CockroachDB"	–1 +/–
	Сообщение от F (?), 11-Май-17, 14:46
	> Ну, для дураков, наверное, встроенное шифрование - это хорошо, но вообще-то - > комбайн. Это разные уровни и они должны реализовываться независимо. А здесь > - прибили гвоздями к SSL... Оно во всех БД нынче есть. Не хочешь - не включай, но как фича нужно, чтобы для сравнения выглядеть хорошо на фоне остальных. Даром что MySQL с CockroachDB никак не сравнить в принципе. Но когда надо будет ноды запускать там, откуда даже ВПН тянуть не хочется, то может и пригодиться.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "Первый стабильный выпуск отказоустойчивой СУБД CockroachDB"	–1 +/–
	Сообщение от Crazy Alex (ok), 11-Май-17, 16:02
	Ну разве что для сравнения... но это какой-то странный аргумент. Скорее поверю, что это сделано для "упрощения развёртывания" или чего-то подобного, т.е. в расчёте на не особо компетентного и не требовательного пользователя. А что за ноды такие, на которых может крутиться база, откуда VPN тянуть не хочется?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	12. "Первый стабильный выпуск отказоустойчивой СУБД CockroachDB"	–1 +/–
	Сообщение от пох (?), 11-Май-17, 17:03
	> А что за ноды такие, на которых может крутиться база, откуда VPN тянуть не хочется? датацентр с суммарным out больше 10G, например (внутреннего, что характерно, байдового траффика. ничего такого особенного) то есть там есть "vpn", на самом деле, но если вам послышалось слово "шифрование" - вы плохо понимаете суть этой аббревиатуры. Гугль, конечно, для аналогичной цели поставил несколько шкафов, в каждом ДЦ, да, но это даже для гугля немножко недешево получилось. При том что большая часть этого траффика заведомо не нуждается в шифровании, это мусор, который в конечном итоге и так в интернет отдастся.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	14. "Первый стабильный выпуск отказоустойчивой СУБД CockroachDB"	+/–
	Сообщение от Crazy Alex (ok), 11-Май-17, 17:42
	э... ну и завернуть в шифрованный канал только то, что нужно защищать, нет? Не обязательно ж VPN держать только на уровне ДЦ-ДЦ, можно и более детально, тем более со всеми нынешними паппетами и прочими. Ну хоть убей - шифрование трафика - это не то, чем БД должна заниматься.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	15. "Первый стабильный выпуск отказоустойчивой СУБД CockroachDB"	+/–
	Сообщение от Аноним (-), 11-Май-17, 18:08
	> Ну хоть убей - шифрование трафика - это не то, чем БД > должна заниматься. Вы еще скажите, что QR-коды и вебсервак, собственный su, cron, calendar, netcat, dnscache -- это не то, что должна иметь любая серьезна система инициализации o_O
	Ответить \| Правка \| Наверх \| Cообщить модератору


	16. "Первый стабильный выпуск отказоустойчивой СУБД CockroachDB"	+1 +/–
	Сообщение от Аноним (-), 11-Май-17, 19:09
	Серьезная как раз не должна.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	21. "Первый стабильный выпуск отказоустойчивой СУБД CockroachDB"	+/–
	Сообщение от Аноним (-), 11-Май-17, 21:05
	А systemd шуточная получается? Надо же.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	26. "Первый стабильный выпуск отказоустойчивой СУБД CockroachDB"	+/–
	Сообщение от Аноним (-), 11-Май-17, 21:28
	Не знаю, но systemd точно от клоунов. QR-код в систему инициализаци))) ахаха, ржунимагу
	Ответить \| Правка \| Наверх \| Cообщить модератору


	27. "Первый стабильный выпуск отказоустойчивой СУБД CockroachDB"	+/–
	Сообщение от Crazy Alex (ok), 11-Май-17, 22:03
	А я это так и говорил. Причём всё это безумие отлично отражает безумие в самом коде. С нетерпением жду, когда эту хрень всерьёз копнут насчёт дыр - их там будет, не сейчас, так позже - код к поддержке не особо пригоден.
	Ответить \| Правка \| К родителю #15 \| Наверх \| Cообщить модератору


	35. "Первый стабильный выпуск отказоустойчивой СУБД CockroachDB"	–1 +/–
	Сообщение от Аноним (-), 12-Май-17, 07:29
	>шифрование трафика - это не то, чем БД должна заниматься Не учи -- не научатся. Все давно придумано: IPSec. А шифрование в БД сделано для тех, кто не умеет в шифрование и лишь слышал о нем (и если бд этого не умеет, значит, по _их_ мнению бд фуфло ^_^).
	Ответить \| Правка \| К родителю #14 \| Наверх \| Cообщить модератору


	46. "Первый стабильный выпуск отказоустойчивой СУБД CockroachDB"	–1 +/–
	Сообщение от пох (?), 12-Май-17, 12:17
	> Не учи -- не научатся. Все давно придумано: IPSec. ну вот покажите мне датацентр, работающий на ipsec - для начала. (а что, отличное ж место - нужен именно transport mode, который, в принципе, просто и легко встраивается в существующие структуры) для продолжения - подумайте, сколько ресурсов оно сожрет, когда на другом конце такой же датацентр, а не твой локалхост. В любом варианте - хоть в виде гуглешкафа на терминации, хоть в виде ручного строительства туннелей к серверам БД с каждой ноды, которой в теории может что-то там понадобиться - включая генерацию сертификатов (ну или раздачу и своевременную замену кучи psk) и отслеживание, чтобы вся эта мега-архитектура внезапно не развалилась (или не поломали то, с чего как раз и раздается). А в базе байды, тупо, помимо прочего, данные юзеров, которые в общем-то нехорошо светить всему миру. Ну и еще - шифрование в БД позволяет не изобретать свой велосипед с аутентификацией (в mysql ее пару раз, помнится, ломали), и не гонять пароли открытым текстом//тупо доверять хосту по айпишнику, если что-то не изобрелось. Пейсатели таз банных редко бывают хорошими криптографами, увы. А вот прикрутить готовую ssl - если не заморачиваться сложными ходами - может каждый студент. И оно таки будет лучше защищено, чем вышеописанная студенческая поделка, и работать надежнее, чем еще выше описанный ипсековый спагетти-монстр. Ну а если в базе у вас access_log ненужно-хоста - то никто и не заставляет использовать шифрование вовсе.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	58. "Первый стабильный выпуск отказоустойчивой СУБД CockroachDB"	+/–
	Сообщение от Аноним (-), 12-Май-17, 21:26
	>ну вот покажите мне датацентр, работающий на ipsec - для начала. Чей ДЦ? Гугла? Вы про что? Гугл может и строит свои ДЦ. Крупный провайдеры строят свои ДЦ. Те, кто умеют в ДЦ могут обойтись MPLS (да-да, ой, сколько оно жрет ресурсов! ути-пути). >для продолжения - подумайте, сколько ресурсов оно сожрет Глянь статистику от haproxy. Возьмите статистику от Intel. Средняя температура от 1000 до 50000 тыс. запросов HTTPS в секунду. Последняя цифра на 56 (пятьдесят шесть) ядер на 3ГГц. Теперь подели эти цифры на кол-во сервисов, которым нужен SSL. А теперь сопоставь с 1-м каналом IPSec на все нужды. Ты математику в школе не прогуливал? >Ну и еще - шифрование в БД позволяет не изобретать свой велосипед с аутентификацией (в mysql ее пару раз, помнится, ломали) Ну, все понеслось. Причем тут аутентификация? Кстати, ломали и Oracle DB, если что. Только в БД это ближе к простой авторизации, которая никак не связана с защитой данных. Она нужна для ограничения доступа и прав (что бы левый человек чего что-нибудь под этой учеткой не прочитал аль не записал лишнего). И все. Сама же аутентификация может быть выполнена на уровне тупого сетевого фильтра (iptables, ipfw, pf). Потому что между ДЦ трафик гоняется от сервера к сервера, а не от пользователя к серверу, где в таком случае аутентификация играет намного большую роль (можно прижать за яйца в случае чего). >А вот прикрутить готовую ssl - если не заморачиваться сложными ходами - может каждый студент. Криптография не для студентов. Это отдельная ОГРОМНАЯ область, где от незнания вся безопасность летит к чертям. Ну, вы продолжайте объяснять как студенты бороздят закаулки криптографии, как они делают _действительно_ секурные вещи и т.п. Очень интересно читать на ночь подобные сказки.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	59. "Первый стабильный выпуск отказоустойчивой СУБД CockroachDB"	+/–
	Сообщение от Аноним (-), 12-Май-17, 21:34
	>1000 до 50000 тыс. запросов s/1000 до 50000 тыс. запросов/1000 до 50000 запросов/ Да, всего 50 тыс. запросов в секунду.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	78. "Первый стабильный выпуск отказоустойчивой СУБД CockroachDB"	–1 +/–
	Сообщение от пох (?), 15-Май-17, 00:11
	>>ну вот покажите мне датацентр, работающий на ipsec - для начала. > Чей ДЦ? Гугла? Вы про что? дорогой админ локалхоста, вынужден сообщить тебе страшное: датацентры бывают не только у гугля, и их необязательно строить самому, можно арендовать кусочек чужого, как почти все и делают. Что, как ни странно, вовсе не привело пока к практике внутри арендованных рядов стоек полностью переходить на ipsec. Хотя, в целом, это как раз вполне реализуемо (правда, можно поймать феерический п-ц, если оно вдруг развалится тоже глобально), когда и инфраструктура под твоим контролем вся, и железки все в одной куче. А вот арендовать кусочек чужой шифровалки канала между датацентрами - это довольно дорого, ненадежно, и неудобно. Поэтому в большинстве случаев траффик гуляет совершенно нешифрованным, в предположении что залетный горе-хакер ниасилит выделить в терабайтах мусора хоть что-то ценное, а местным инженерам не до того. Но что-то ценное неплохо бы прикрыть end2end, оно так обычно проще, чем глобальные решения (когда развалится - у тебя хотя бы останется управление). > Те, кто умеют в ДЦ могут обойтись MPLS о, оно слышало про mpls. А теперь расскажи, чего ж это гугль-то не обходится, и запихнул свои mpls'ы внуть шифрованного канала, ась? Вот тупые, да? > Глянь статистику от haproxy. Возьмите статистику от Intel. мне совершенно неинтересна средняя температура по больнице. Я спрашивал, как вы себе видите - в ядрах там, в шкафах или как, банальную такую коробку а-ля гугль, шифрующую траффик через вшивенький одиночный 10G - предположим, что он у нас не для красоты, а заполнен процентов на 45. У меня вот их нынче к примеру пара на ДЦ, а мы вовсе не гугль, и вообще застряли в развитии - предполагалось, что их будет штук по восемь. Спецификации соответствующих железок в общем-то существуют в открытом доступе. Правда, моя личная встреча с реальностью в виде таких железок, окончилась некоторым, гхм, фиаско, на потоках на два порядка поменьше - не все что пишут в красивых буклетах, достижимо на деле. > Ну, все понеслось. Причем тут аутентификация? потому что это - одна из немногих вещей в тазе банных, которые надо прятать от досужего любопытства, даже если внутри там ровно то, что все равно в том или ином виде отдается в веб всем желающим. > Сама же аутентификация может быть выполнена на уровне тупого сетевого фильтра > (iptables, ipfw, pf) угу, на каждом сервере, и смотри, ничего не перепутай. Админы локалхостов такие затейники... Помнится, над столом dba'шников у нас висела "простая и наглядная схема связей реплик" - здорово напоминающая паутину. >> А вот прикрутить готовую ssl - если не заморачиваться сложными ходами - может каждый >> студент. > Криптография не для студентов любой достаточно аккуратный студент справится с использованием _готовой_ и правильно сделанной криптографической библиотеки. Особенно, если не будет делать слишком сложных конструкций. А вот изобретения велосипедов с квадратными колесами - типа замены аутентификации файрволом - верный признак вечного недоучки. Как и попытка оценивать статистикой хапроксей и прочего _смотрящего_вовне_ хлама реальные объемы (реальный такой пример одной сравнительно небольшой веб-лавочки - на ~150мегабит внешнего траффика cross-DC через арендованные линки - то есть как раз такого, который неплохо бы пошифровать - получалось где-то под 500 - при том что его старались, разумеется, держать минимальным, и из-за цены канала, и из-за rtt, большая часть внутреннего обмена происходила внутри своей стойки.) Ничего не хочу знать о том, что происходит внутри какого-нибудь факбука, не говоря уже про байду.
	Ответить \| Правка \| К родителю #58 \| Наверх \| Cообщить модератору


	85. "Первый стабильный выпуск отказоустойчивой СУБД CockroachDB"	+/–
	Сообщение от Аноним (-), 15-Май-17, 21:34
	>А теперь расскажи, чего ж это гугль-то не обходится, и запихнул свои mpls'ы внуть шифрованного канала, ась? Вот тупые, да? Ты бы почитал про MPLS. Тебе чтоли все разжевывать надо? Если что, то я имел ввиду MPLS/VPN. Да, там уже само по себе встроен шифрованный канал. Нужен ли в таком случае IPSec дело десятое, т.к. _мало_ кто сможет приобрести _свой_ канал от точки А до точки Б. Что касается гугла, то они могут воротить такие вещи, которые тебе и не снились. И у них нет вообще вопроса о том, сколько и что жрет. Вообще-то есть, ибо стоимость электро-энергии у них в первой тройке затрат. Ну, куда уж тебе или мне думать о таких "мелочах". Электричество ж дешевое. Когда у тебя максимум 1000 железок.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	86. "Первый стабильный выпуск отказоустойчивой СУБД CockroachDB"	–1 +/–
	Сообщение от пох (?), 17-Май-17, 16:08
	> Ты бы почитал про MPLS. спасибо, поржал.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	22. "Первый стабильный выпуск отказоустойчивой СУБД CockroachDB"	–1 +/–
	Сообщение от qsdg (ok), 11-Май-17, 21:21
	Раньше гугля и не обязывал внутренний свой трафик между серверами шифровать. Пока NSA не спалилось, что оно прослушивало их внутренний трафик на международных каналах. С тех пор в срочном порядке всех обязали включить флаг шифрования для внутренних RPC.
	Ответить \| Правка \| К родителю #12 \| Наверх \| Cообщить модератору


	37. "Первый стабильный выпуск отказоустойчивой СУБД CockroachDB"	+/–
	Сообщение от Аноним (-), 12-Май-17, 07:36
	>прослушивало их внутренний трафик И что, что прослушивали? У них там пароли в открытом виде чтоли передавались? Или письма ген. дира? Ну, тогда это проблема не БД, а безопасников, которые все проморгали.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	40. "Первый стабильный выпуск отказоустойчивой СУБД CockroachDB"	+/–
	Сообщение от qsdg (ok), 12-Май-17, 08:32
	> И что, что прослушивали? У них там пароли в открытом виде чтоли > передавались? Или письма ген. дира? Ну, тогда это проблема не БД, > а безопасников, которые все проморгали. Вы не поняли. "Внутренний трафик гугла" это, например, репликация БД всяких сервисов типа GMail между датацентрами. А по GMail многие ген. диры передают свои пароли. Гуглите по "snowden leaks".
	Ответить \| Правка \| Наверх \| Cообщить модератору


	47. "Первый стабильный выпуск отказоустойчивой СУБД CockroachDB"	–1 +/–
	Сообщение от пох (?), 12-Май-17, 12:20
	> Раньше гугля и не обязывал внутренний свой трафик между серверами шифровать. они сейчас шифруют _собственную_ n*10G опту между площадками - без всяких "международных каналов". На случай, если все же кто-то поставил в колодце непредусмотренный сплиттер. Поскольку если NSA сумеет обойтись без их помощи с дешифровкой - кредитов под 0% не дадут.
	Ответить \| Правка \| К родителю #22 \| Наверх \| Cообщить модератору


	53. "Первый стабильный выпуск отказоустойчивой СУБД CockroachDB"	+/–
	Сообщение от Вареник (?), 12-Май-17, 16:36
	> Поскольку если NSA сумеет обойтись без их помощи с дешифровкой - кредитов > под 0% не дадут. Вот именно. Пусть NSA покупают украденную у пользователей всего мира инфу, а не тупо тырят )))
	Ответить \| Правка \| Наверх \| Cообщить модератору