Oracle Cloud IPv6

Victor Sudakov написал(а) к Anton Gorlov в Aug 21 19:49:42 по местному времени:

Dear Anton,

18 Aug 21 12:11, you wrote to Alexey Vissarionov:
AV>>>> Ептъ... неужели заткнули красивую дырку? Надо будет проверить.
AG>>> Честно не скажу.. нет докера под руками. Просто попадалось что
AG>>> там научились в бриджи. Но вангую что научились в бриджи и
AG>>> добавили ещё дырок по пути.
AV>> Дыркер без дырок не бывает.

AG> Точно!

AG>>> Ну не для безопасности изоляций все эти докеры. +- чрут на
AG>>> стероидах
AV>> Вообще-то unshare() дополняет chroot(), а не заменяет его.

AG> А там тупо unshare под капотом? Я просто не лазил в потроха докера.

И не надо. Докера как такового скоро нигде не будет, в т.ч. из K8s его убирают или даже уже убрали. От него остаётся только формат контейнера, а запускать те контейнеры будет не докер. https://opencontainers.org/

AG> А так единственное, что вижу от докера - если нужно зоопарк всякого
AG> хлама запустить аля помойку с "минимальным" оверхедом по ресурсам. Но
AG> явно не место ему там,куда его массово пихают.

Уже и не пихают особо.

Victor Sudakov, VAS4-RIPE, VAS47-RIPN
--- GoldED+/BSD 1.1.5-b20170303-b20170303

Victor Sudakov написал(а) к Dmitry Protasoff в Aug 21 19:57:18 по местному времени:

Dear Dmitry,

18 Aug 21 14:27, you wrote to me:

DP>>> Бывает! У меня даже нода так живет.

VS>> Вах! А чего в docker-compose.yml надо написать по поводу
VS>> networks,

DP> Вот из гугла:

DP> services:
DP> test:
DP> networks:
DP> test-network:
DP> ipv6_address: 2001:db8::a:855a

DP> networks:
DP> test-network:
DP> driver: bridge
DP> enable_ipv6: true
DP> ipam:
DP> driver: default
DP> config:
DP> - subnet: 2001:db8::a:855a/64

Спасибо, завтра будет время - попробую.

Victor Sudakov, VAS4-RIPE, VAS47-RIPN
--- GoldED+/BSD 1.1.5-b20170303-b20170303

Alexey Vissarionov написал(а) к Anton Gorlov в Aug 21 16:54:00 по местному времени:

Доброго времени суток, Anton!
18 Aug 2021 12:11:06, ты -> мне:

AG>>> Ну не для безопасности изоляций все эти докеры. +- чрут на
AG>>> стероидах
AV>> Вообще-то unshare() дополняет chroot(), а не заменяет его.
AG> А там тупо unshare под капотом? Я просто не лазил в потроха докера.

А что, так много вариантов? Либо unshare(), либо clone() - только вторым пользоваться чуть менее удобно.

AG>>> и ложное ощущение защищённости.
AV>> В принципе контейнеризацию можно сделать безопасной, и у того же
AV>> OpenVZ это неплохо получилось. Но потом они стали двигаться куда-то
AV>> совсем не туда, и в результате просрали перспективное направление.
AG> Увы да. Openvz был "вкусным" и удобным инструментом. Но Увы..просрали
AG> полимеры.

Реанимировать еще можно, но проще сохранить маленький кусочек (как раз тот, который обеспечивал работу с сетью так, чтобы нельзя было вылезти в хост) и попробовать пропихнуть его в апстрим: получится - хорошо, не получится - и похрену, маленький патч можно и своими силами сопровождать.

AG> А так единственное, что вижу от докера - если нужно зоопарк всякого
AG> хлама запустить аля помойку с "минимальным" оверхедом по ресурсам. Но
AG> явно не место ему там,куда его массово пихают.

Получаются довольно крупные "кубики", из которых даже человек, далекий от администрирования, может слепить что-то работающее. Оверхед, конечно, будет преизрядный, но хостеров это полностью устраивает (можно продать больше ресурсов, чем фактически нужно), а пользователи реально готовы платить за "облачные решения", "оркестрацию" и другие модные слова, так что все довольны.

AG>>> если от него нельзя избавиться,
AV>> Мелкую приблуду можно и в хешере запустить :-)
AV>> Который, кстати, защищен намного лучше: там нет настоящего root.
AG> Да. Кстати в lxc вроде нанастоящий рут тоже имеется.

Да ты его сам себе от усера можешь сделать: unshare -m -p -U -f -r sh
Если что, команда входит в util-linux :-)

AG>>> но не для безопасности между "контейнерами".
AV>> Настоящие контейнеры были только в OpenVZ, а до того что-то похожее
AV>> пытались реализовать (относительно успешно) в солярисовских зонах.
AG> Уху. Но их не успел полапать. Видеть видел,но не более

Я еще и Virtual UNIX для бздо видел... даже исходники где-то должны быть сохранены (практической ценности не имеют, просто на поржать).


--
Alexey V. Vissarionov aka Gremlin from Kremlin
gremlin ПРИ gremlin ТЧК ru; +vii-cmiii-ccxxix-lxxix-xlii

... Опыты над мышами подтверждают, что встреча с черной кошкой - плохая примета
--- /bin/vi

Andrey Mundirov написал(а) к Mykhailo Kapitanov в Aug 21 00:54:00 по местному времени:

Здравствуй, Mykhailo!

Ответ на сообщение Mykhailo Kapitanov (2:467/239) к Andrey Mundirov, написанное 18 авг 21 в 13:23:

MK> ==== Cut ====
MK> network:
MK> tunnels:
MK> he-ipv6:
MK> addresses:
MK> - "2001:470:1f0a:8cf::2/64"
MK> - "2001:470:1f0b:8d0:f1d0:2:467:239/64"
MK> local: 10.0.0.2
MK> mode: sit
MK> remote: 216.66.80.30
MK> routes:
MK> - to: "2001:470:1f0a:8cf::1/128"
MK> scope: link
MK> - to: "2000::/3"
MK> on-link: true
MK> via: "2001:470:1f0a:8cf::1"
MK> version: 2
MK> ==== Cut ====

А что это за формат конфига такой? Не редхат, не дебиан, не гента. Какая-то экзотика?


С наилучшими пожеланиями, Andrey

--- GoldED+/LNX 1.1.5-b20161221

Alexey Fayans написал(а) к Andrey Mundirov в Aug 21 01:26:27 по местному времени:

Нello Andrey!

On Thu, 19 Aug 2021 at 00:54 +0300, you wrote to Mykhailo Kapitanov:

AM> А что это за формат конфига такой? Не редхат, не дебиан, не гента.
AM> Какая-то экзотика?

netplan, в современных убунтах по дефолту


... Music Station BBS | https://bbs.bsrealm.net | telnet://bbs.bsrealm.net
--- GoldED+/W32-MSVC 1.1.5-b20180707

Anton Gorlov написал(а) к Andrey Mundirov в Aug 21 11:00:18 по местному времени:

Привет Andrey!

19 авг 21 года (а было тогда 00:54)
Andrey Mundirov в своем письме к Mykhailo Kapitanov писал:


MK>> on-link: true
MK>> via: "2001:470:1f0a:8cf::1"
MK>> version: 2
MK>> ==== Cut ====
AM> А что это за формат конфига такой? Не редхат, не дебиан, не гента.
AM> Какая-то экзотика?

YAML илил какт ам его..


С уважением. Anton aka Stalker

Linux Registered User #386476
[#TEAM:*#] [#Злой СисОп_#] [*Нeavy Metal!*] [*_Усачи]
--- GoldED+/LNX 1.1.5-b20160322

Eugene Grosbein написал(а) к Dmitry Protasoff в Aug 21 15:05:38 по местному времени:

20 авг. 2021, пятница, в 19:51 NOVT, Dmitry Protasoff написал(а):

EG>> А нафик тебе нужна плоская сеть на 2^64 адрес?
DP> А в чем проблема? Какой размер "достаточен"?

Я надеюсь, ты понимаешь, что в реальных сетях ethernet
количество хостов сильно ограничено кучей разных практических
ограничений (типа 8K-32K адресов MAC на свич, но не только)?

Судя по моей практике, плоская сеть на 1024 адреса достаточна
для абсолютного большинства задач, а для почти для всех остальных до 65536.

Использовать биты IP-адреса для энтропии как это делает SLAAC - безумие.

Eugene
--- slrn/1.0.3 (FreeBSD)

Eugene Grosbein написал(а) к Dmitry Protasoff в Aug 21 15:07:27 по местному времени:

20 авг. 2021, пятница, в 19:50 NOVT, Dmitry Protasoff написал(а):

DP>>> Да, замерял. Значительная разница (где-то в два раза возрастает
DP>>> потребление CPU на моих задачах).
EG>> Дьявол в мелочах. В два раза это с 2% до 4%?
DP> Это где-то с 20% до 40%.

Это на какой задаче?

Eugene
--- slrn/1.0.3 (FreeBSD)

Victor Sudakov написал(а) к Dmitry Protasoff в Aug 21 21:39:34 по местному времени:

Dear Dmitry,

20 Aug 21 19:51, you wrote to Eugene Grosbein:

DP>>> Зачем резать /64? Тебе жалко ipv6 адресов, что ли?

EG>> Ровно так же когда-то говорили про IPv4, пространство казалось
EG>> бесконечным.

DP> IPv4 уже в 90е годы не считался бесконечным, а вот ipv6 имеет
DP> достаточный размер, чтобы при нашей жизни и жизни наших детей вопросов
DP> не возникало.

Сейчас принято кому попало давать /48. В глобальном пуле 2000::/3 всего 35 триллионов (2^45=35*10^12) блоков /48. Интересно, как быстро они кончатся.

Триллион - это не так много. Говорят, именно столько бактерий живет на одном человеке, или звезд в Туманности Андромеды.

Victor Sudakov, VAS4-RIPE, VAS47-RIPN
--- GoldED+/BSD 1.1.5-b20170303-b20170303

Victor Sudakov написал(а) к Andrey Mundirov в Aug 21 21:44:08 по местному времени:

Dear Andrey,

19 Aug 21 00:54, you wrote to Mykhailo Kapitanov:

MK>> ==== Cut ====
MK>> network:
MK>> tunnels:
MK>> he-ipv6:
MK>> addresses:
MK>> - "2001:470:1f0a:8cf::2/64"
MK>> - "2001:470:1f0b:8d0:f1d0:2:467:239/64"
MK>> local: 10.0.0.2
MK>> mode: sit
MK>> remote: 216.66.80.30
MK>> routes:
MK>> - to: "2001:470:1f0a:8cf::1/128"
MK>> scope: link
MK>> - to: "2000::/3"
MK>> on-link: true
MK>> via: "2001:470:1f0a:8cf::1"
MK>> version: 2
MK>> ==== Cut ====

AM> А что это за формат конфига такой? Не редхат, не дебиан, не гента.
AM> Какая-то экзотика?

Сейчас везде YAML, я уже привык и почти убедил себя полюбить его.

Victor Sudakov, VAS4-RIPE, VAS47-RIPN
--- GoldED+/BSD 1.1.5-b20170303-b20170303