Ну типа безопасность для ленивых? Типа управлять чем-то централизованным типа Солта сложна?

Эт не говоря уже о выделении /64 сетей для устройств где TCAM может вместить максимум сотни тысяч, а чаще - тысячи или десятки тысяч записей. Атаки с исчерпанием ARP таблиы (neighbor cache)паратном уровне становятся реальностью опять.

"NAT - это не фаервол"

Ага-ага. Вот так и кричат дедушки на каждом углу.

Ну да, сложно и не нужно.
В чем с технической точки зрения преимущество файрвольных правил перед натом?

И там и там нужно следить за соединениями, по ресурсам примерно одно и то же выходит. Плюс, бывают случаи когда тебе нужно спрятать реальный адрес устройства, тут то нат и помогает.

Все эти лозунги про нат не файрвол, про /64 сети (которые, подозреваю, остались в rfc только ради работы красивого EUI-64 SLAAC), вот это оторванные от реальности вещи, которые не решают существующие проблемы, а в основном создают новые)

Поэтому я и не переживаю что DVR + IPv6 не работает)

Вот, кстати, насчет теоретиков сегодня было.
Взялся я, значит, заводить новые гипервизоры и подумал чо бы не попробовать mgmt интерфейс сделать ovs internal интерфейсом в access режиме и уже на него вешать адрес.

Сделал, красиво, просто достаточно. Давай накатывать neutron агенты через openstack-ansible, тут то связь с серверами и пропала.

А почему? А вот почему^

Писатели плейбука, видать, не слышали что вот только-только починили баг в ovs агенте, который делал ровно то же самое, только там агент сам себе обрубал связь с нейтрон сервером, а тут они своим плейбуком ради мнимой безопасности и соответствия best practices рубят вообще весь mgmt трафик в случае если он идет через ovs бридж.

Вот баг)
https://bugs.launchpad.net/neutron/+bug/1840443

Вот поэтому теория эт хорошо, но частенько оказывается что на практике вся эта красота не только не нужна, но иногда еще и вредит.

писатель плейбука - отличное описание должности

синьор помидор девопс энжинир)

Писали сотрудники Ericsson)

YAML-developer

Если у кого-нибудь тут есть вакансии в EU, то дайте мне ссылку, может подамся. Экспертиза: телеком, опенстек, контейнеры, автоматизация/оркестрация. Интересы: опенсорс как продукт, инженерия, архитектура, управление продуктами.

я приплюсую - тоже бы попробовал зааплаится

А YAML девелопером могёшь? :D

@adiantum уверен, у тебя есть в мешке несколько позиций =))

Могу. На безымянном правом пальце уже мозоль от ':', а на левом мизинце от 'Tab'.

ВНЖ EU есть.