NZ
В лабе, EVE-NG например
Спасибо, имеется ввиду https://www.eve-ng.net? Гляну.
Size: a a a
2020 October 17
SM
вот этот слайд, кстати, очень толковый - один из мутных кусочков в районе NDP и назначения адресов
Первый раз вижу L флаг 😳
BL
А зря, полезный. Правда его сделали недостаточно "сильным" в RFC и в реализациях могут быть брожения влево/вправо, но в общем и целом, в корп сети стоит подумать об его отключении
NZ
варианта не катить сразу на 100 серверов нет?
Пока склоняюсь к этому, да. После обновления каждого хост или небольшой группы запускать какие-нибудь автотесты на доступность сервисов из вне, например. Автоматическая проверка на рост кол-ва ошибок на балансерах. Детектить изменения метрик, которые сведетельствуют о проблеме. Проблемы которые возникают, если отваливается часть сети.
BL
Пока склоняюсь к этому, да. После обновления каждого хост или небольшой группы запускать какие-нибудь автотесты на доступность сервисов из вне, например. Автоматическая проверка на рост кол-ва ошибок на балансерах. Детектить изменения метрик, которые сведетельствуют о проблеме. Проблемы которые возникают, если отваливается часть сети.
а как детектируются фейлы, когда связность ломается изза сломанного инторнета вааще? Звучит как будто сейчас мониторинга нет или в него никто не смотрит
SM
А зря, полезный. Правда его сделали недостаточно "сильным" в RFC и в реализациях могут быть брожения влево/вправо, но в общем и целом, в корп сети стоит подумать об его отключении
" If you use flag L you will say to the host that receives that RA that other devices with the same prefix are on the same subnet. To make it simpler, you will tell them to speak between them using only switch (L2) and not to send every message to the router and then from the router to another host on the same subnet."
Выглядит так, что отключать его не стоит?
Выглядит так, что отключать его не стоит?
NZ
batfish, ansible, синхронный накат с 1 источника? предеплой/стейджинг
ansible обновляет конфигурацию.
batfish кидали тоже, я его изучаю.
Со стейджингом сложнее, т.к. точную копию прода постоянно поддерживать хз как. Да и стейдж всегда несколько отличается от прода.
batfish кидали тоже, я его изучаю.
Со стейджингом сложнее, т.к. точную копию прода постоянно поддерживать хз как. Да и стейдж всегда несколько отличается от прода.
BL
" If you use flag L you will say to the host that receives that RA that other devices with the same prefix are on the same subnet. To make it simpler, you will tell them to speak between them using only switch (L2) and not to send every message to the router and then from the router to another host on the same subnet."
Выглядит так, что отключать его не стоит?
Выглядит так, что отключать его не стоит?
Если мы говорим про безопасность, то в корп сети общение между станциями в пределах L2 лучше избегать
BL
Роутер отфильтрует и перешлет нужное
NZ
а как детектируются фейлы, когда связность ломается изза сломанного инторнета вааще? Звучит как будто сейчас мониторинга нет или в него никто не смотрит
Связность сломалась, алерты прилетели, да. Заметили быстро. Но толку от от алертов, если прод уже лежит. Задача предотвратить.
SM
Роутер отфильтрует и перешлет нужное
Vlan-per-user тогда уж 👍
BL
Связность сломалась, алерты прилетели, да. Заметили быстро. Но толку от от алертов, если прод уже лежит. Задача предотвратить.
а туннели эти - они в единственном экземпляре? Бекапа нет?
BL
Vlan-per-user тогда уж 👍
Можно vlan per switch и port isolation
BL
Иначе мы сейчас про брасы в корп сети начнем говорить с qinq
NZ
а туннели эти - они в единственном экземпляре? Бекапа нет?
Тунели каждый с каждым. Сервера соеденены в Mesh сеть. Это не тунели между регионами или офисами, которые можно как-то задублировать.
BL
а меш - это же история про то, когда у каждой ноды обычно более 1 линка и если один сдох, есть второй.
A
Спасибо, имеется ввиду https://www.eve-ng.net? Гляну.
Да, про версия умеет в докеры и прочее
NZ
а меш - это же история про то, когда у каждой ноды обычно более 1 линка и если один сдох, есть второй.
Так выглядит. https://habrastorage.org/getpro/habr/post_images/f83/850/cfe/f83850cfe52ec5526efb2d3c866db46b.gif
Каждый с каждым. Может не верно выразился. Плоская такая одноранговая сеть просто.
Каждый с каждым. Может не верно выразился. Плоская такая одноранговая сеть просто.
BL
Стало еще непонятнее. Вот выкатился неправильный конфиг на первый сервер. Очевидно, это сломало какие-то линки и даже возможно целиком связность до этого сервера. Загорелся мониторинг, алерты, вот это все. Пофиг мороз, катим на остальные 99? Или как?
BL
Я уж не говорю, что перед выкаткой в прод стоит посмотреть на дифф конфигов и придти в сознание предварительно