Příspěvky

121

Hardware / Re:Malý externí USB box pro 2× NVMe SSD s možností RAID1

« kdy: 11. 06. 2021, 23:14:14 »

Tak třeba zkuste říct, co řešíte za situaci. Vždycky to tu dopadá stejně, když někdo nepopíše problém, ale domáhá se jen potvrzení svého, často mylného úsudku.

Realita je taková, že NVMe RAID řadiče prakticky neexistují, ty, co jsou, trpí problémy a obor se zaměřuje na SAS. Tudíž ani v USB boxu to nebude o nic lepší. Nedává to ani moc technický smysl, aby USB box měl vlastní PCIe sběrnici.

Co se týče poznámky o zálohách. RAID není technologie pro zálohování a archivaci, ale pro zvýšení dostupnosti živých dat. V pracovním cyklu nebývá moc problematické mít data synchronizovaná a zálohovaná klidně denně. Ztráta dat za jeden den práce sice zamrzí, ale nezničí to kariéru.

122

Hardware / Re:Malý externí USB box pro 2× NVMe SSD s možností RAID1

« kdy: 11. 06. 2021, 14:41:32 »

A jakou chcete víc informaci, že NVMe se na RAID nepoužívá, protože to není vhodné?

Viz prvni post. Racte popatrit svym veleodbornym okem.

nu dobrá, tak tu čekejte na timeout, než k tomu dojdete empiricky. Snažil jsem se Vám ušetřit čas.

123

Hardware / Re:Malý externí USB box pro 2× NVMe SSD s možností RAID1

« kdy: 11. 06. 2021, 14:24:41 »

Prijmete ode me prosim podobne uzitecnou informaci: log(89635,23) = 4,9524787372

A jakou chcete víc informaci, že NVMe se na RAID nepoužívá, protože to není vhodné?

124

Hardware / Re:Malý externí USB box pro 2× NVMe SSD s možností RAID1

« kdy: 11. 06. 2021, 14:14:28 »

Bylo by ale proste fajn mit na krabicce dve svetylka barevne indikujici stav jednotlivych disku - tak jak to maji (nektere) podobne krabicky se sata disky. PRAVE PROTO, aby se mohl vcas vymenit vadny/odchazejici disk.

Ano, od toho slouží RAID a proto se do RAID dávají SAS, případně SATA SSD disky.
NVMe je z hlediska RAID okrajová, složitě roubovatelná a složitě roubovaná věc.
Díky RAID operacím nepředstavuje SAS nevýhodu, to, co řeší NVMe odedře to řadič a jeho cache.

125

Hardware / Re:Malý externí USB box pro 2× NVMe SSD s možností RAID1

« kdy: 11. 06. 2021, 13:26:14 »

A ted ja: proc myslite, ze je tak velmi pravdepodobne, ze disky odejdou oba zaroven? Ocekavate debila uzivatele nebo zasah bleskem?

Často se tak děje. Někdy to má společnou příčinu - např. ve zdroji napájení (nemusí to být zrovna blesk), nebo v poruše chlazení (odejde ventilátor). Jindy je to příčina a důsledek. Jeden disk odejde a druhý převezme zvýšenou zátěž - a protože jsou podobně staré, tak už to taky neunese. A třetí důvod je, že tam může být skrytý problém. Dokud RAID funguje, nemusí na čtení některých oblastí dojít dlouhou dobu - a to zjistíte, až když při havárii jiného disku musí dávat data.

Výrazná singalizace je fajn v případě SOHO užití. Tam se obvykle pravidelně neověřuje, že signalizace (třeba přes SNMP trap, nebo e-mailovou notifikaci) funguje. A tak se o hávarii uživatel dozví, až když odejde poslední nutný disky.

126

Hardware / Re:Malý externí USB box pro 2× NVMe SSD s možností RAID1

« kdy: 10. 06. 2021, 21:49:00 »

O rychlosti RAIDu bych pak pomlcel, jestli to vam nejede wire-speed, tak to bude rukama.

Pošlete mi tip na nějaký NVMe RAID řadič, rád se přiučím a využiju to.
Viděl jsem takové, které podporují PCIe bifurcation, ale doporučují stejně raději SAS proti NVMe.

127

Hardware / Re:Malý externí USB box pro 2× NVMe SSD s možností RAID1

« kdy: 10. 06. 2021, 19:41:55 »

Pochybuji, že něco takového bude. Pro externí použití a RAID se víc hodí SAS nebo SATA. SAS je pro RAID (pro někoho překvapivě) rychlejší, než NVMe. Takový RAID řadič totiž musí vytvořit vlastní PCIe sběrnici, což je složitější a pomalejší, než mít SAS.

NVMe má smysl právě a pouze tam, kde využijete přímou PCIe linku z CPU až na zařízení.

128

Software / Re:Veeam Backup dotazy

« kdy: 10. 06. 2021, 14:39:36 »

ad 2) Diferenciální backup nedává moc smysl, princip Veeamu je v tom, že využívá CBT - Changed Block Tracking, což je z principu inkrementální.

ad 3) Podle toho, co tím myslíte. Veeam umí Syntetic Full Backup, který interně supluje plný image. Je to ale volba pro správnou práci s úložištěm (zatížení vs. spolehlivost), z pohledu uživatele to nemá jiný, než právě tento přínos.

129

Sítě / Re:IPv6 + firewall a identifikace klientů

« kdy: 10. 06. 2021, 11:24:36 »

Namazat si máslo na chleba POSTARU NOŽEM?

Problém je, že za ty roky už ani nevíte, co je pecen chleba, protože jste si zvykl konzumovat pečivo tvarované do tvaru úhlové výseče z rotačního hyperboloidu, a nevíte, co je nůž, protože jste si zvykl ten chleba rozlamovat rukama a namáčet do rozpuštěného másla.

Naopak je potřeba se vrátit k tomu pecnu a noži. Kdybyste nezapomněl, jak je jednoduché nechat vytvarovat pecen, nemusel byste dál rozehřívat to máslo. Těžko přesvědčíte ostatní, že je skvělý způsob přidělovat nespolehlivě IPv4 adresy (může kdokoliv podvrhnout, změnit, může něco selhat) a na základě tohoto nespolehlivého údaje filtrovat na firewallu. Bývalo by stačilo se už kdysi dávno naučit používat VLAN i na IPv4 (ať už ručně, nebo pomocí 802.1X), protože to řeší ta primární rizika. Dnes byste nemusel složitě obhajovat filtrování podle IP adres.

Když vystoupím z příměru, tak se můžeme zamyslet nad původní otázkou. Ta zmiňovala ověření na L2 (zmínka o MAC). Pokud tedy hned jako premisu pokládáte zabezpečení na L2 úrovni, musíte nejprve vyřešit toto, než se dostanete k L3. L2 můžete zabezpečit pomocí identifikace MAC. To jste odmítl hned v dotazu. Pak už zbývá jedině VLAN. Tu můžete přiřadit ručně na switchi, nebo u WiFi odděleným SSID. Nebo ji můžete přidělovat po ověření - a k tomu slouží 802.1X. Tolik tedy k požadovanému ověření na úrovni L2.

Pokud máte vyřešenou otázku ověření L2, tak pak přichází otázka toho, jestli stále ještě potřebujete pravidla pro L3. Možná ano, možná ne - to se bude lišit od situace. Pro jednoduché zadání, které jste popsal, už podle mě nejsou potřeba pravidla L3, protože se dají odlišit jen tím, o jakou VLAN jde. Tím pádem odpadá vůbec úvaha o potřebě znát IP adresu.

Pokud byste chtěl IP adresu řešit v pravidlech také, tak se nabízí pevné přiřazení, nebo DHCPv6. Pro filtrování provozu směrem ven to ale není moc účelné. Kdokoliv sedící u interního zařízení může IP adresu podvrhnout (narozdíl od VLAN, kterou 802.1X pohlídá). Takže takové zabezpečení je poměrně k prdu, spíš bych to nenazýval zabezpečením, jako spíš jakousi nevynutitelnou sanitizací provozu.

Jestli to shrnu, tak jste asi blbě položil dotaz. Ptáte se na něco, co vlastně nepotřebujete / nechcete. Většina odpovědí se totiž moc neliší pro IPv4 / IPv6. Považuji za schizoidní uvažovat o tom, že MAC adresa se může změnit (být podvržena) a neuvažovat o tom, že tím lépe se může změnit (být podvržena) i IP adresa. Za schizoidní na kvadrát považuju dělat tak advanced věc, jako filtrovat odchozí provoz, když všechno ostatní popsané je na vodě.

Taková diskuse je zbytečná, jako je zbytečná diskuse o tom, jak z Trabanta vymáčknout 200 km/h. Určitě by šlo dát jiný motor a vše vyztužit, ale nikomu to nedává smysl, aby nad takovým Vaším hobby plezírem dál uvažoval.

130

Sítě / Re:IPv6 + firewall a identifikace klientů

« kdy: 09. 06. 2021, 10:37:19 »

Normální člověk nepotřebuje tiskárně omezovat provoz ven, a když už, tak si na to koupí za pár stovek switch a šoupne to do jiné VLAN.

Čímž jsme se dostali k řešení srovnatelnému s ověřením na úrovni MAC.
Jelikož jste sám správně popsal, že to je na prd, tak v přidělením správné VLAN pomůže 802.1X, což je ta odpověď.

131

Sítě / Re:IPv6 + firewall a identifikace klientů

« kdy: 09. 06. 2021, 10:25:15 »

blááábláááblááá

To jako si má každá domácnost postavit svůj Rádius, když chce tiskárně zakázat přístup na net úplně a zakázat navazování spojení z vnějšku? Nezlobte se, ale pochybuji o vaší příčetnosti.
Nechci se hádat, jen vás prosím, ocením, pokud už nebudete reagovat na moje příspěvky.
Děkuji.

Normální člověk nepotřebuje tiskárně omezovat provoz ven, a když už, tak si na to koupí za pár stovek switch a šoupne to do jiné VLAN.

132

Sítě / Re:IPv6 + firewall a identifikace klientů

« kdy: 09. 06. 2021, 00:14:22 »

takže spousta zoufalců to začala považovat za metriku zabezpečení.

To si mám jako postavit Radius server?
Já chápu, že nejlepší nástroj na operování je kybernůž, ale chci si jen vymáčknout beďara.
Nechci implementovat Radius, byla by to hovadina, totální kravina.

Požadavek je opravdu triviální - podobně jako na IPv4, chci řídit přístup klientů do internetu.
Aktuálně mi stačí nastavit na DHCP rezervace a pro dané adresy nastavit pár snadných pravidel.

Toho samého můžete docílit vypnutím SLAAC a přidělováním adres přes DHCPv6.
Trochu (větší) problém je, že někteří výrobci se rozhodli DHCPv6 ignorovat - např. celý Android.

Rozchodit Radius není raketová věda a posune to z principu blbé řešení do normálu.
Jestli máte v síti Windows Server / AD, je to hotové za 15 minut i s vypitým kafem.

Neznám ale use case, takže možná by se dalo vůbec najít lepší řešení na danou situaci. Vím jen to, že chcete filtrovat provoz podle identifikace, ale vlastně nevím proč (už zde se může nabízet třeba lepší řešení, než filtrování provozu), nevím pro kolik klientů, kolik je různých sad pravidel atd.

133

Sítě / Re:IPv6 + firewall a identifikace klientů

« kdy: 08. 06. 2021, 22:49:16 »

Třeba 802.1X nebo proxy s ověřením.
Chtít identifikovat na L2/L3 úrovni z IP nebo MAC adresy je kravina.
Kravina to byla odjakživa, ale MAC a IPv4 k tomu sváděly, takže spousta zoufalců to začala považovat za metriku zabezpečení.

134

Studium a uplatnění / Re:Senior administrátor - hodinová sazba

« kdy: 08. 06. 2021, 17:20:22 »

predpokladam, ze se tu nenajde "admin v cechach" ktery ma 20x8x2000=320000

Ocituju sám sebe z Vaší citace

Cena klesá s garancí množství práce, s pravidelným a smysluplným rozložením práce, se zajištěnou zastupitelností ze strany zadavatele (jeden admin v týmu), ...

...asi bych tedy ještě dodal, že cena klesá s nižší schopností číst, či porozumět textu.

135

Studium a uplatnění / Re:Senior administrátor - hodinová sazba

« kdy: 08. 06. 2021, 16:14:59 »

Jde o zkušenosti a rozsah a rozložení práce.

Dobrý administrátor má široké znalosti a jeho cena je daná zkušeností a tím, že neudělá jen to, co je po něm v prvním plánu požadováno, ale uvidí i rizika v budoucnosti. Takový si říká i 2000 Kč / hod.

Cena jde dolů, pokud zná jen jeden systém (třeba jen linux), nezná celé síťování (od L2 až po L7 prvky), neumí se orientovat v instrumentaci (scripty apod.), neumí dokumentovat a inventarizovat, neumí dodržovat industry standardy, neumí vyčíslit náklady (zřízení, provoz, zálohování, obnova HW, obnova SW). Pak cena klesá třeba i pod 500 Kč / hod.

Na některých pracech nerozeznáte rozdíl ve výsledku mezi adminem za 400 Kč a za 2000 Kč. Na některých je rozdíl takový, že může násobně převýšit rozdíl v ceně práce.

Cena klesá s garancí množství práce, s pravidelným a smysluplným rozložením práce, se zajištěnou zastupitelností ze strany zadavatele (jeden admin v týmu), ...

Faktorů je opravdu hodně a rozpětí velké na to, aby se dalo na otázku smysluplně odpovědět.