Příspěvky

241

/dev/null / Re:Je to plnohodnotná veřejná adresa?

« kdy: 16. 04. 2021, 23:04:49 »

Podle mne je „veřejná IP adresa“ cokoli, co umožňuje na úrovni IP protokolu (konkrétně IPv4) zpřístupnit zákazníkem požadovanou službu.

Ano, to je logika zájezdových prodavačů hrnců. Problém je, že takový ISP to označuje (inzeruje) slovy, která žádná omezení nezmiňují, nenaznačují. To je šmejdská praktika, stejně jako (snad už někdejší) označování rychlostí linek pomocí maximální rychlosti, když nemá s realitou nic společného.

Nemusí jedna technologie pokrývat všechny požadavky zákazníků, ale pokud umí pokrýt alespoň některé, splňuje tu definici.

Některé splňuje i sdílená IP adresa s rozhozenými porty, některé splní i reverzní HTTP proxy. Za pár let mi budete vysvětlovat, že je to v pořádku, protože se zjistilo, že to 90 % stačí.

242

/dev/null / Re:Je to plnohodnotná veřejná adresa?

« kdy: 16. 04. 2021, 22:53:08 »

Myslel jsem samozřejmě ty konkrétní služby, které potřebuje používat uživatel.

Uživatel nepotřebuje žádné konkrétní služby, chce vlastní pevnou IP adresu. To ISP chce, povětšinou ze své vlastní lenosti, neschopnosti, neumětelství, poskytovat jen některé služby a sebeukájí se tím, že ví, které to jsou. Zatímco uživatelé pak brousí fóra a hledají workaroundy, aby jim to fungovalo. Nakonec jim to třeba funguje, ale je to z vynucené situace a z nouze ctnost.

Už jsem výše vysvětloval, že veřejná IPv4 adresa použitelná pro všechny myslitelné účely, je akorát taková, která je přidělena jako PI a je routována jako součást minimálně C sítě. U čehokoli menšího vždy narazíte na nějaká omezení a pro některé účely to bude nevhodné.

Jenže to už jdete dál, než co znamená "IP adresa". Pokud by někdo vyžadoval toto, bude hledat vlastní veřejnou směrovanou síť.

Jedna routovaná IPv4 adresa očekává od cílového zařízení, že bude umět buď používat dvě IPv4 adresy na jednom rozhraní, nebo bude umět mimo standardy komunikovat i s branou, která je mimo jeho síť. Jedna routovaná IPv4 adresa očekává od cílového zařízení, že bude umět pracovat i se sítěmi menšími než je C. Jedna routovaná IPv4 adresa znamená nastavovat reverzní DNS záznam proprietární komunikací s ISP (pokud vůbec ISP umožní reverzní záznam nastavit), nemůžu si jej spravovat standardně na svém DNS serveru. Stačí vám to, nebo potřebujete ještě další omezení, která se vztahují k tomu, co jste až dosud měl za neomezené?

Toto už taháte z paty. ISP to může řešit pomocí point to point, může přidělit /30 síť, může přidělovat adresy klidně z větší sítě (/22, /21...) - to už jsou jeho volby, jak splnit proklamaci. Plést do toho dávno zrušené členění tříd sítí, nebo perverzní DNS záznamy je jen mlha. S ISP budete o reverzních záznamech jednat i při NATU 1:1, i při směrování jakékoliv jiné sítě, než je /8, /16 a /24.

Podstatou celého je přinejmenším doručit IP adresu na rozhraní k zákazníkovi. Ano, i tak se mohou vyskytnout nějaké problémy, ale je tím splněno to, co je inzerováno. Bude to fungovat vždy lépe, než NAT 1:1.

243

Server / Re:MariaDB vs Postgres vs SQL Server

« kdy: 16. 04. 2021, 22:06:24 »

Nepovaužuji se za velkého odborníka, ale pokud jste s plannerem v PostgreSQL nespokojený, s MariaDB budete zoufalý. Optimalizovat query nad dva, tři joiny je pro MariaDB stále ještě neřešitelný problém. Nicméně, chtělo by to rozebrat spíš na konkrétní situaci, než takto obecně. Je možné, že nevolíte správnou strukturu dotazů a query planneru nedáváte dobrou možnost pro sestavení správného plánu.

244

/dev/null / Re:Je to plnohodnotná veřejná adresa?

« kdy: 16. 04. 2021, 22:03:01 »

Ne, moje argumenty by na NAT 1:N nešly aplikovat. Uživatel si pořizuje veřejnou IP adresu pro to, aby některé služby provozované v jeho síti byly dostupné z internetu. To s NATem 1:N bez portforwardingu nepůjde, protože bez nějakých hackovacích technik se z internetu třeba na HTTPS server za NATem 1:N nepřipojíte. Přes NAT 1:1 se tam připojíte.

Vy říkáte, že NAT 1:1 implikuje dostupnost služeb zvenčí dovnitř. Ale pokud se budeme držet Vaší logiky, kdy říkáte, že "veřejná IP adresa" neimplikuje směrovanou adresu, tak proč jste se rozhodl, že to implikuje vůbec něco? ...právě proto kolega Logik použil trefně reductio ad absurdum.

245

/dev/null / Re:Je to plnohodnotná veřejná adresa?

« kdy: 16. 04. 2021, 20:20:58 »

@Logik

Ono by ve skutečnosti šlo celou Filipovu logiku obrátit. Pokud vychází z toho, že si uživatel dokáže poradit s NATEM 1:1, pak by jistě pro takového uživatele nebylo nijak zavádějící to v nabídce označovat jako NAT 1:1 a ne jako "veřejná IP adresa".

Nevím, co tak blbne, protože v jiných oblastech je FJ docela radikální ochránce spotřebitele a liberál, ale jakmile se jedná o nějakou internetovou technologii, předvádí obrat o 180 stupňů.

246

/dev/null / Re:Je to plnohodnotná veřejná adresa?

« kdy: 16. 04. 2021, 14:03:16 »

Ve skutečnosti většina uživatelů potřebuje veřejnou IPv4 adresu jenom proto, aby na ní mohli na jednom nebo několika portech vystavit TCP nebo UDP server. Ten server nic speciálního podporovat nemusí.

To je stejný kec, jako když ISP tvrdí (tvdili), že maximální uváděnou rychlost uživatelé stejně nepotřebují.

O neumějí nebo nepodporují tu vůbec nebyla řeč. Oni to nenabízí v ceníku. Kdyby to někdo opravdu potřeboval, tak mu to nacení. Jenže on se většinou nikdo takový nenašel, protože většině uživatelů NAT 1:1 stačí. A pokud někdo potřeboval routovanou adresu nebo celou síť, dostane ji. Někdy za stejnou cenu, jako ten NAT 1:1, někdy dráž.

K tomu dvě poznámky. Malí ISP si honí trika, jak všechno umějí a plní požadavky klientů, ale ve skutečnosti, když o něco takového požádáte, tak z Vás akorát dělají debila, že všem přeci stačí NAT 1:1. Nezažil jsem to jednou. Za druhé, pokud je v ceníku napsaný široký termín "veřejná IP adresa", zákazníka ani nenapadne se dál ptát. A díky tomu sebestřední adminové u ISP setrvale žijí v dojmu, že 99 % uživatelů to stačí, protože se k nim prostě ten feedback nedostane.

Uživatelé pak tvoří narovnáváky na ohejbáky, aby si s takovým IP-invalidou poradili. Oni by třeba i rádi používali IPsec, pořádné VPN, ..., jenže když jsou s tím pak problémy, tak ze zoufalosti raději zvolí OpenVPN, která je sice zoufalá, ale prostřelí i přes ještě zoufalejšího ISP.

247

/dev/null / Re:Je to plnohodnotná veřejná adresa?

« kdy: 16. 04. 2021, 11:06:15 »

A vy jste se náhodným výběrem rozhodl, že na škále od portforwardingu  po PI blok adres je jediná správná veřejná IP adresa zrovna ta routovaná. Že to nestačí na některá použití vyžadující veřejnou IP adresu vám vůbec nevadí, prostě jste na té škále bodl prst někam doprostřed a teď do krve hájíte, že je to jediná správná volba a všechno ostatní je klamání.

Není to náhodný výběr, je to první (nejmenší) služba, která se dá považovat za přidělenou veřejnou IP adresu, kdy systém vidí přesně tu adresu, která se používá. Vše nižší už je jen překlad nebo forwarding a vyžaduje po napojených službách, aby to podporovaly. V opačném případě by nevyžadovaly veřejnou IP adresu (bylo by to mimo rámec požadavků).

Hájíte neobhajitelné. Hájíte neschopné látače sítí, kteří neumějí, nebo v minulosti se rozhodli nepodporovat takovou triviální službu. Fajn, nikdo je nemůže nutit, je to věc nabídky a poptávky a cenotvorby. Pak se ale nemají tvářit, že umějí něco, co neumějí. Je to stejná prasárna, jak uvádění nereálných maximálních rychlostí, liší se to jen v tom, že rychlost řeší víc lidí, než pevnou veřejnou IP adresu.

248

/dev/null / Re:Je to plnohodnotná veřejná adresa?

« kdy: 15. 04. 2021, 22:06:09 »

S veřejnou IP adresou je to tak, že existují služby, které ji vyžadují.

Ne, tak to není. „Vyžadovat veřejnou IP adresu“ je nicneříkající nesmysl. Psal jsem vám opakovaně, že vedle pojmu „veřejná IP adresa“ musíte také říct, co s ní. Ale to vy stále ignorujete. Stejně jako je rozdíl letět Boeingem 747, vlastnit ho, opravovat ho, pilotovat ho… Stejně tak je rozdíl, jestli je provoz na IPv4 adresu routován, NATován, jestli je ta IP adresa z bloku, který máte přidělen od RIPE, nebo jestli ta IP adresa patří ISP.

Pokud poletím na dovolenou, je poměrně jasné, co se Boeingem 747 rozumí. Dokonce jsou lidé, pro které to může být argument ke koupi. (Manželka chce k moři, manžel chce letět 747kou).

Pokud provoz směrujete, 100 % takových služeb s tím bude fungovat.

S výjimkou služeb, které očekávají, že mají IP adresu a k ní síť, ve které je také brána a IP adresa pro broadcast. Tam najednou budete potřebovat přidělit /30.

Jenže vy jste si z mnoha různých způsobů využití veřejné IPv4 adresy vybral jeden, a bůhvíproč trváte na tom, že je ten jediný správný.

To už se bavíte o přidělené síti. Nicméně i tam, kde Vám ISP slíbí přidělenou síť, tak se očekává, že bude na Vašem rozhraní (tj. na první zdířce, kam si můžete připojit vlastní zařízení). Pokud je koncové zařízení od ISP a není ve správě uživatele, pak musí být síť až na vnitřním interface.

Asi bude stačit 90 %, ale 10 % tím prostě a jednoduše klamete.

Je to úplně stejné klamání, jako když v obchodě bude napsáno „jablka zelená“ a vy budete tvrdit, že je to klamání, protože jsou to Granny Smith a vy si pod zeleným jablkem představujete Golden Delicious.

Jenže Vy tvrdíte opak. V inzerátu je napsáno "zelené jablko Granny Smith" a místo toho dodáte zelené jablko Golden Delicious. A jako dodavatel pak tvrdíte, že jste dodržel přeci to zelené jablko.

249

/dev/null / Re:Je to plnohodnotná veřejná adresa?

« kdy: 15. 04. 2021, 21:29:48 »

@Filip

Máte to nějaké pokroucené. Překvapuje mě to, protože když se bavíme o jiných oborech, než je IT, tak mi přijdou Vaše postoje poměrně rozumné. Jakmile se však dotkneme něčeho kolem internetu, najednou jako byste stál na straně vyčůraných gaunerů. Nerozumím tomu.

Ale můžeme to vzít polopaticky. Když jdu koupit auto, můžu si klimatizaci koupit nebo nekoupit. Pokud tam je, tak očekávám, že v létě auto vychladí, ačkoliv se to nikde nepíše. Pokud by chladila jen do 20 st. C venkovní teploty, je to důvod k reklamaci - a nic na tom nezmění, že budete tvrdit, že 90 % obyvatelů severských zemí je s Vaším řešením spokojeno. Když si objednáte autorádio, očekáváte, že ho uslyšíte i při zapnutém motoru, ačkoliv ani toto se nikde nepíše.

S veřejnou IP adresou je to tak, že existují služby, které ji vyžadují. Pokud provoz směrujete, 100 % takových služeb s tím bude fungovat. Pokud užijete NAT 1:1, tak určité procento s tím bude mít problém. Neposkytujete plnohodnotnou variantu, ale jakousi omezenou. Asi bude stačit 90 %, ale 10 % tím prostě a jednoduše klamete. Už jen tím, že ztratí čas než si vyjasní, že je to jakási ne úplně plnohodnotná náhražka. Za protiprávní se nerozumí jen stav, kdy reálně někoho uvedete do omylu. Už jen inzerce (nabídka), která takový dojem budí, je považována za klamnou.

Zajímavé je, že se shodujeme na tom, že většině lidí NAT stačí, i na tom, že k tomu vedou ekonomické důvody (levnější služby). Co se Vám zdá nevýhodného pro zákazníky, kdyby ISP uváděli rovnou i omezení, která jejich služby mají? Možná to zákazníkům nepomůže úplně, ale určitě jim to neuškodí. Současný stav, a to, co obhajujete, je výhodné jen pro ISP (aby zákazník neuměl jednoduše rozeznat, který ISP to pytlíkuje, a který umí).

250

/dev/null / Re:Je to plnohodnotná veřejná adresa?

« kdy: 15. 04. 2021, 16:39:40 »

@Milan Cagap

Tento postup nefunguje v praxi dobře. Zákazník je laik. Objedná od dodavatele nějaký systém, a dodavatel vyžaduje veřejnou IP adresu. Zákazník kontaktuje ISP a ten prohlásí, že to umí. Zákazník udělá vše, co bylo v jeho moci. Dodavatele systému nenapadlo, že když požaduje dodat veřejnou IP adresu, že bude mít připravenou privátní a na ní NAT 1:1. Z pohledu dodavatele je to privátní adresa s překladem 1:1 na veřejnou.

V tu chvíli je zákazník v háji, protože >>dodanou<< veřejnou IP adresu opravdu nemá. Od ISP pak uslyší spoustu vysvětlení, že on to za veřejnou IP adresu považuje.

Další problémy vznikají (bylo už diskutováno taky výše), že často neprocházejí všechny protokoly, a někdy se do provozu pletou i NAT helpery, které provoz i v NAT 1:1 upravují.

Celé je to o tom, že veřejná IP adresa je široký pojem, a pokud umožňuje vícero výkladů, má být povinnost ISP tu skutečnost nezakrývat. Neukrývat ji někde zakopanou v obchodních podmínkách, ale sdělit ji jasně a rovnou. Aby i laik nebo poučený laik uměl aspoň rozpoznat rozdíl a uměl říct: můj ISP to nabízí / můj ISP to nenabízí.

251

Hardware / Re:Podezřele levné EEC DDR3 paměti - kompatibilita

« kdy: 15. 04. 2021, 15:50:40 »

(těch 600,- člověka už nezabije.)

No, když čtu, že 20 EUR za dopravu je drahé...

Doprava z Aliexpressu je 0 až 30 Kč.
Ale teď je divná doba, nejsou procesory, nejsou grafiky a těch levných 16 GB modulů tam teď taky není tolik jako dřív.

Já to myslel tak, že těžko asi vysvětlíte tazateli, že si má nakoupit nějaké moduly navíc, když dopravné za 20 EUR hodnotí jako drahé.

252

Hardware / Re:Podezřele levné EEC DDR3 paměti - kompatibilita

« kdy: 15. 04. 2021, 15:46:56 »

(těch 600,- člověka už nezabije.)

No, když čtu, že 20 EUR za dopravu je drahé...

253

Hardware / Re:Podezřele levné EEC DDR3 paměti - kompatibilita

« kdy: 15. 04. 2021, 13:53:51 »

Standardni postup je pouzit pameti doporucene vyrobcem:

Výrobci pamětí mívají i své konfigurátory, kde ručí za to, že paměť bude kompatibilní s žádaným systémem (deskou). To taky funguje dobře a najde se tím víc výrobců, než doporučuje výrobce desky. Někdy je to ale za cenu zpomalení (funguje, ale ne v ideálním rytmu) - to už pak chce studovat víc konkrétní specifikaci.

254

Sítě / Re:10G switch Mikrotik?

« kdy: 14. 04. 2021, 22:03:54 »

Tak nabizi se prirozene reseni takove, ze kdyz uz mate v serveru nejakou 10G nic, napr. X520-DA2, tak ma dva porty.. takze lze jeden pouzivat pro nejaky systemovy zaklad (storage, hypervisor), a druhej pak na aplikacni / sitove urovni a pro VM.

To Vám ale nepomůže, pokud to svedete do switche, který v kritických chvílích sám nestíhá vnímat ani svoji vlastní existenci, natož prioritizovat.

255

Sítě / Re:10G switch Mikrotik?

« kdy: 14. 04. 2021, 21:54:10 »

Tohle pidi zarizeni je o rad schopnejsi nez vase nocni mura...

Možná. Podle specifikací je to ale při packet lossu 0,1 % (není málo), a latence není specifikovaná vůbec.
Zrovna pro Ceph bych to raději ověřil, tam to může být dost nepříjemné. (U SQL taky, ale to si s tím poradí, prostě pojede pomalejš).

Mimochodem, cpát do stejného switche storage a běžný provoz bych si troufl tak nějak u high endu, na laciných technologiích bych to z principu oddělil.