Глюкодром
... Иногда меня спрашивают почему я не использую доцкер (Docker) в проде и за что очень сильно не люблю его.
Потому что это a kind of containerization. С контейнерами я имел дело ещё со времен OpenVZ, наелся г...на с его "особенностями" и больше не хочу. Вот правда. Лучше я сделаю скромную "честную" вируталочку, поставлю внутри неё специальное cloud-ядро с уменьшенным memory footprint, а на хосте включу KSM (Kernel Samepage Memory) Sharing если сильно жалко оперативки. Чем буду ходить по контейнерным граблям.
Тут пришел ко мне коллега с жалобой, мол, обновил везде доцкер, а на одном хосте сервис, сцуко, все равно недоступен. По симптомам не проходят DNS-запросы изнутри контейнера внаружу. Посмотрел: действительно не проходят. Причем от всех остальных машин эту отличает только наличие второго сетевого интерфейса (multihoming). А и усё. Доцкер в режиме bridge может использовать только один сетевой интерфейс и ниипёт. Причём это у него зашито где-то очень глубоко в кишках, так что никакие упражнения с iproute2 / nftables не помогли.
Вопрос решился изменением типа сети с bridge на host, но куда же делась хвалёная доцкеровская типа изоляция? Ой! М-дя.
... По долгу службы иногда приходится сталкиваться с так называемыми Hardware Security Module (HSM). Это некий ящик, который умеет внутри себя генерировать закрытые ключи шифрования и ни при каких условиях не отдавать их внаружу, а только производит некие вычисления с их участием (шифрование / расшифровка / подпись) по запросу "снаружи". Типа безопасно: можно использовать цифровые ключи, но при этом нельзя их с3.14здить. Попутно они обычно позиционируются в качестве криптоускорителей (якобы производият криптовычисления до хера быстро) и умеют во всякие фичи вида "два притопа три прихлопа" с какими-нибудь железными ключами, пин-кодами, разделением ролей, церемониями, 4-eyes principles и всё вот это.
Я в своей жизни видел-щупал три таких ящика: какой-то очень древний агрегат от КриптоПРО, поделку от Gemalto и ещё одну поделку от Chrysalis. Два последних помимо прочего являются FIPS-сертифицированными (это вам не хухры-мухры) и нонче обзываются Thales, который их всех скупил.
Если с КриптоПРО и так всё понятно (думаю, комментарии излишне), то вот от "типа серьезных" железок я не ожидал такого количества гальюнов. Gemalto вопреки всем FIPS-спецификациям таки позволяет выковырять из неё закрытые ключи при помощи некоей недокументированной особенности (читай, "бага"). Технически оно представляет собой два Linux-компьютера один внутри другого, причем под серьёзной нагрузкой "внутренний" тупо выпадает в корку, от которой помогает только святой Ребутий.
Более современное и вроде как прогрессивное Chrysalis-овское поделие (Thales) за какие-то лютые сотни нефти не сильно далеко ушло. Когда в него загружаешь ключевую пару (открытый + закрытый), никогда заранее не знаешь в каком порядке оно потом отдаст их индентификаторы при запросе. А от этого зависит, **нется ли стандартная PKCS11-библиотека для работы с этими ключами или не **нется. И есть два варианта: либо делать серию приседаний вида "удалить-загрузить открытый ключ" до тех пор, пока ящик не начнет их возвращать в правильном порядке (сначала закрытый, потом открытый). Либо самому переписывать PKCS11-библиотеку. Шо то фигня, шо это фигня. ©
Такое впечатление, что эти HSMы нужны только ради того, чтобы мудаки-бизапасники могли потешить своё самолюбие и поиграть в Джеймсов Бондов, собираясь по двое в специальной комнате чтобы надуть щёки и с умным видом повтыкать железные ключики в панельку этого прибора. Типа, они мир спасают. Как эта вся хрень ведёт себя в проде, традиционно никого не интересует.
... Меня как-то давно фирма отправляла на обучение по обращению со всеми энтими HSM в специальный центр. В одном потоке со мной курс слушали сотрудники "Яндекс.Денег", которые собирались у себя внедрить что-то похожее. А я ещё до семинаров самостоятельно потыкал пальчиками в эти коробочки, заценил весь масштаб 3.14здеца, так что единственная мысль на тот момент у меня была "БегNте!". Не знаю, заиспользовали они их или нет. Если да, то даже интересно как быстро выпилили.
... Линус Торвальдс выкинул из контрибьюторов ядра нескольких российских разработчиков по национальному признаку (вот тут по-русски). В интернетах началось некоторое бурление по этому поводу. И я бы еще хоть как-то понял возню вокруг "Байкалов", но вот чем ему не угодили мантейнеры PATA-драйверов или UFS, совершенно неясно. Похоже, у этого деда тоже кукуха уже отлетела. Хотя 54 года, вроде рано ещё. Что ж, наблюдаем куда всё развернётся.
... Хаски (а может и другие собаки тоже) умеют спать с открытыми глазами. При этом видеть сны, дрыгать лапами и подгавкивать. Со стороны выглядит так, как будто это псина-зомби. Если в этот момент его / её слишком резко разбудить, может испугаться, "сделать крыску" и нарычать спросонья. Смешные животные.
Всем спокойной жизни без контейнеров и спать только с закрытыми глазами.