С душою...

Типичный ☺️ Сисадмин

MemOps 😃

Приватный DNS-сервис DNS0.EU закрылся, так как ему просто не хватило ресурсов

Вообще всего за два года существования DNS0.EU успел серьёзно себя зарекомендовать на рынке приватных DNS-сервисов. Он предлагал полное отсутствие логов, сквозное шифрование и работал на 62 серверах в 27 локациях. DNS0.EU блокировал фишинговые и вредоносные домены, предлагал фильтры родительского контроля и защиту от рекламы.

Сервис dns0.eu больше не работает. Мы хотели бы продолжить его поддержку, но это оказалось невозможным с точки зрения времени и ресурсов.

Как альтернативу пользователям предлагают перейти либо на DNS4EU, либо на NextDNS, основатели которого помогали создавать сам DNS0.EU. Оба сервиса предлагают схожий функционал, но вопрос в том, сколько же они продержатся.

Как это часто бывает, за бесплатным обычно стоит чей-то энтузиазм, который рано или поздно заканчивается.

Типичный 🥸 Сисадмин

HP удаляет документацию для продуктов, которые они больше не поддерживают. Это подло 🤬

Вот почему у каждого уважающего себя админа есть папка со старыми драйверами и манами ПДФками.

Типичный 🥸 Сисадмин

Легендарная хрень. Первый раз вижу утечку CMOS-батарейки.
#предложка

З.Ы. Шанс выпадения из моба 0.0001%.

Типичный 🥸 Сисадмин

Пользователя Gentoo легко узнать. Он единственный, кто радуется, когда после обновления ядра отвалился Wi-Fi, потому что наконец-то будет чем заняться.

Linux / Линукс 🥸

Когда сэкономил на оригинальных модулях и купил SFP с Алика с небольшим производственным допуском 😶

Типичный 🥸 Сисадмин

Когда не нужно смотреть на индикаторы, чтобы понять, какой именно диск в массиве сдох.
#предложка

Типичный ⚰️ Сисадмин

😮 Как Synology дал заднюю.

Все, кто в этом году присматривался к новым NAS от Synology, наверняка столкнулись с их крайне неприятной новой политикой. Компания решила, что пора прекращать вольницу, и в свежих моделях вроде DS925+ или DS1825+ заблокировала нормальную работу сторонних жестких дисков. При установке любого HDD от Seagate или WD система начинала сыпать предупреждениями и работала с урезанной функциональностью, подталкивая к покупке родных дисков Synology, которые стоили в полтора-два раза дороже.

Но рынок штука упрямая, и пользователи голосовать деньгими умеют. План по принудительной продаже своего железа с треском провалился: продажи новых моделей NAS резко упали, а профильные форумы бомбили праведным гневом. В итоге Synology пришлось тихонько дать заднюю. В свежем обновлении DSM 7.3 блокировку молча убрали 😂

Теперь сторонние диски и SSD снова работают как положено, с полным мониторингом, оповещениями и без всяких ограничений. Интересно, на что вообще был расчет? Судя по всему, в Synology решили, что после известных проблем с шифровальщиками у QNAP пользователи стали более лояльными и стерпят всё. Но попытка прогруть провалилась, да еще и осадочек остался.

В очередной раз оказалось, что тихая забастовка кошельком довольно эффективное решение 🥳

Типичный 🥸 Сисадмин

Ктулху проснулся и требует больше оптоволокна.

🥸 @montajniklvs

Amazon наконец выкатил детальный разбор недавнего падения половины интернетов из-за`us-east-1`, и это чтиво для настоящих ценителей каскадных сбоев. Корень зла, как оказалось, в автоматике, управляющей DNS-записями для DynamoDB.

Чтобы понять механику сбоя, нужно вникнуть в их архитектуру. У них есть два независимых компонента: DNS Planner, который мониторит балансировщики и создает планы обновления DNS, и DNS Enactor, который эти планы применяет через Route 53. Для надежности в каждой зоне доступности работает свой независимый Enactor (или применяющий компонент). Все началось с того, что один Enactor столкнулся с аномально высокими задержками и завис, пытаясь применить старый план. В это время Planner продолжал генерировать новые, более свежие планы. Другой, более быстрый Enactor, подхватил свежий план, быстро его применил и запустил процедуру очистки. В рамках этой очистки он удалил тот самый старый план, с которым все еще возился первый, зависший Enactor. И ровно в этот момент первый Enactor наконец завершил свою затянувшуюся работу и применил свой, уже удаленный из системы, план. В итоге для регионального эндпоинта dynamodb.us-east-1.amazonaws.com была создана пустая DNS-запись, а система вошла в неконсистентное состояние, заблокировав дальнейшие автоматические обновления.

Дальше начался каскадный ад. Внутренний сервис EC2 под названием DropletWorkflow Manager (DWFM), отвечающий за управление жизненным циклом физических серверов, критически зависит от DynamoDB. Когда DNS отвалился, DWFM перестал продлевать временную блокировку (leases) на физические хосты. После того, как DNS для DynamoDB подняли вручную, DWFM попытался пересоздать аренду для всего парка EC2 в регионе одновременно. Это вызвало состояние, которое инженеры Amazon назвали congestive collapse, типа "застойный коллапс", когда система захлебнулась в собственном потоке задач на восстановление, и ее пришлось реанимировать вручную, выборочно перезапуская хосты.

Этот коллапс вызвал огромную очередь на обновление сетевых конфигураций в Network Manager, из-за чего новые инстансы EC2 запускались без сети. Это, в свою очередь, привело к хаосу в Network Load Balancer: хелсчеки новых инстансов проваливались, NLB выкидывал их из ротации, потом сеть поднималась, хелсчек проходил, NLB возвращал их обратно. Эта постоянная чехарда вызвала деградацию самого сервиса хелсчеков. Ну а дальше по цепочке посыпались Lambda, ECS, EKS, Fargate и все остальные, кто зависит от нормальной работы EC2.

В итоге система, созданная для предотвращения сбоя, вызвала сбой. Система, созданная для восстановления после сбоя, рухнула от нагрузки во время восстановления. Вот вам и отказоустойчивость 🎩

Типичный 🥸 Сисадмин

Когда списали оборудование и тебе выпал легендарный дроп 🎩

Типичный 🥸 Сисадмин

Ваш TCP/IP-стек скоро попросит Госуслуги 👨‍🔬

Подвезли немаловажный анонс из Госдумы, который стоит нашего внимания. Зампред комитета по информполитике Андрей Свинцов заявил, что в течение ближайших 3-5 лет россиян ждет полная деанонимизация в сети. Формулировка такая: доступ в интернет будет предоставляться только после идентификации через специализированный идентификатор, который подтвердит личность и возраст. В качестве аналогии приводится система Госуслуг.

В голове крутятся размышления о том, как это вообще может работать на уровне железа и протоколов. Это выглядит как фундаментальное изменение архитектуры доступа. Операторов связи, скорее всего, обяжут интегрироваться с единой системой идентификации (привет, ЕСИА) и проверять каждый сеанс связи. На уровне DPI трафик будет маркироваться меткой конкретной личности. По сути, это попытка встроить паспортные данные чуть ли не в заголовок TCP-пакета.

Конечно, основная масса пользователей, для которых интернет это лента с котиками\мемчиками и новости, этого перехода даже не заметит. Это те самые люди с вечным аргументом "мне нечего скрывать". Но для любого технически грамотного человека, да и просто для того, кому некомфортно, когда ему постоянно заглядывают через плечо, это станет точкой невозврата. Это неизбежно породит вторую, теневую сеть, где расцветут peer-to-peer каналы, I2P и новые, еще более хитрые методы обхода, а на торрентах появятся "Госуслуги-Keygen" 😬

Типичный 🥸 Сисадмин