ОколоITшный дыбр #71
... Один заказчик пытается сделать у себя автоматизацию получения сообщений из некоего нашего сервиса. И вроде там дело-то плёвое: схватить Nginx-ом заранее оговоренный POST-запрос, засунуть его чем-нибудь в условную Kafka / Rabbit / Redis по вкусу, потом спокойно обработать приложением. Только вот по спецификациям некоего регулятора между HTTP-клиентом и сервером обязательно должен быть mTLS (mutual TLS) и обязательно с NIST P-256 сертификатами.
Всё. Для заказчика это стало непреодолимым препятствием. Пилят уже полгода, запилить никак не могут. Вдобавок, они зачем-то потащили в решение Kubernetes с Nginx Ingress и ***тся с ним в разных интересных позах. Сейчас мудохаются с тем, что оно почему-то не принимает клиентский TLS-сертификат с отлупом 403 Forbidden.
Вот и спрашивается, нахера им там впёрся Kubernetes, когда "за глаза" хватило бы просто маленькой виртуалки с Nginx-ом? Вопрос риторический. Потому что могут!
... У другого заказчика с периодичностью раз в неделю полностью падает техническая площадка. Её строили когда-то очень давно и получилось не самым удачным образом, потому что на тот момент ни у кого не было понимания как оно должно работать и какие неприятности в принципе могут вылезти при увеличении нагрузки. А главная причина заключается в том, что они пропускают весь трафик, в том числе и внутренний, через Juniper SRX, который играет роль своеобразного "Router-on-the-Stick". И этот самый "Stick" примерно двухгигабитный. При увеличении нагрузки он "затыкается", приложения огребают Packet Loss до некоей очень нужной им для работы железки, после чего радостно падают.
Я им предложил разные варианты решения. Но руЙководитель там не имеет даже следовых количеств железа с углеродом в тестикулах. Поэтому вместо того чтобы взять и устранить причины, они ведут "журнал аварий". Я с них просто уссываюсь всякий раз.
... Третий заказчик потребовал установить на все виртуалки антивирус. Учитывая, что речь идет про Россию, конечно же это будет касперский. У них дисковая подсистема и так на ладан дышит, приложения постоянно варнингами сыпят на тему Disk Latency, бэкапы баз данных по 9-11 часов делаются. Ага, давайте туда ещё и касперыча "до кучи" воткнём, конечно! Если сервер перегружен и не отвечает на запросы, его и не взломать. Всё логично, чёрт побери! Как я раньше не догадался?
... Четвертый заказчик тоже потребовал установить антивирус. Прям блин массовое умопомрачение какое-то. Но этот не из России, поэтому захотел Akamai Guardicore. Вы что-нибудь про такой слышали? И я не слышал. Причем, помимо рекламного bullshit-а никакой внятной инфы по нему мне найти не удалось.
Ну ладно, хозяин - барин. Кто я такой чтобы спорить? Инсталлировали. Дальше выяснилось, что его агент не умеет работать через NAT. Ну либо их "бизапасники" криворукие, не знаю. Из-за этого пришлось пересмотреть схему включения в сеть и добавить в виртуалку ещё один адаптер. На следующий день приложения сказали "ба-а-а, да у вас поменялся hardware id", лицензия превратились в тыкву, сервис с треском рухнул. Браво! Апплодирую стоя. Добезопасились.
... Но что я всё о грустном? Вот прошло четыре года, и дед Сергеич узнал, что оказывается в Juniper SRX можно вешать правила Firewall-а на lo-интерфейс, причем они будут срабатывать на любой ingress и egress трафик, а не только для того IPшника, который присвоен этому lo-интерфейсу. На горизонте замаячила возможность делать нормальный source routing для сервисов на самом маршрутизаторе. Но всё равно это надо проверять и проверять на практике.
Только после каждого подхода к этому индокитайскому чуду я всё больше и больше убеждаюсь, что годятся эти SRX-ы максимум на роль очень дорогого домашнего роутера. Никогда не знаешь что за прикол он выкинет в следующий раз. Поэтому если компания не уровня какого-нибудь "Вконтакте", то проще маршрутизировать тупо Linux-машиной и не ***ть никому мозг. Cильно надёжнее и предсказуемее будет. А если там миллионы пакеты в секунду, то искать серьезное решение, а не эту картонную коробку с надписью "Juniper". Насчет MX-ов не знаю, не щупал. Но SRX-ы это точно просто какое-то странное недоразумение.
... Влетел в очередные грабли. Между двумя моими техническими площадками перестал работать IPSec. Причем, первая фаза (IKE) нормально устанавливается, всё согласуется, но ни ESP, ни UDP:4500 не проходят. Обе площадки в Нерезиновске, но на разных операторах, связь между ними через M9-IX. Единственное что приходит в голову - опять эти ср**ые ТСПУ, но никто не сознаётся. А я уже всё перепробовал. Перевесил тоннель с PI-адресов на PA, всё заработало. Как всегда, НЁХ она и есть НЁХ.
... И да, говорят, Роскомпозор забанил CloudFlare. У Муртазина от этого некисло бомбит. А по мне так, наконец-то этот РКН хоть что-то полезное сделал. Давно уже пора с этих б***ских облаков спуститься на твёрдую землю. Мож народ наконец-то научится свои собственные сервера нормально настраивать и софт оптимизировать. Хотя, в свете вышеупомянутого, сильно вряд ли...
Всем вменяемых адекватных заказчиков и хороших недорогих маршрутизаторов.