Zdá sa, že internet je silná, nezávislá a nezničiteľná štruktúra. Teoreticky je sieť dostatočne silná, aby prežila jadrový výbuch. V skutočnosti môže internet zahodiť jeden malý router. Všetko preto, že internet je hromada rozporov, zraniteľností, chýb a videí o mačkách. Chrbtica internetu, BGP, je plná problémov. Je úžasné, že stále dýcha. Okrem chýb v samotnom internete ho porušujú všetci a rôzne: veľkí poskytovatelia internetu, korporácie, štáty a DDoS útoky. Čo s tým robiť a ako s tým žiť?
Pozná odpoveď Alexey Uchakin () je vedúcim tímu sieťových inžinierov v IQ Option. Jeho hlavnou úlohou je dostupnosť platformy pre používateľov. V prepise Alexejovej správy o Povedzme si niečo o BGP, DDOS útokoch, internetových prepínačoch, chybách poskytovateľov, decentralizácii a prípadoch, keď malý router poslal internet spať. Na záver - pár tipov, ako to všetko prežiť.
Deň, keď sa zlomil internet
Uvediem len niekoľko incidentov, pri ktorých sa prerušila konektivita internetu. Na úplný obraz to bude stačiť.
"Incident AS7007". Prvýkrát sa internet zlomil v apríli 1997. V softvéri jedného smerovača z autonómneho systému 7007 sa vyskytla chyba. V istom momente router oznámil svoju internú smerovaciu tabuľku svojim susedom a poslal polovicu siete do čiernej diery.
„Pakistan proti YouTube“. V roku 2008 sa odvážni chlapíci z Pakistanu rozhodli zablokovať YouTube. Urobili to tak dobre, že polovica sveta zostala bez mačiek.
„Zachytenie predvolieb VISA, MasterCard a Symantec spoločnosťou Rostelecom“. V roku 2017 začal Rostelecom omylom oznamovať predvoľby VISA, MasterCard a Symantec. V dôsledku toho bola finančná prevádzka smerovaná cez kanály riadené poskytovateľom. Únik netrval dlho, no pre finančné spoločnosti bol nepríjemný.
Google vs Japonsko. V auguste 2017 začal Google v niektorých svojich uplinkoch oznamovať predpony hlavných japonských poskytovateľov NTT a KDDI. Premávka bola odoslaná Googlu ako verejná doprava, pravdepodobne omylom. Keďže Google nie je poskytovateľom a nepovoľuje tranzitnú dopravu, značná časť Japonska zostala bez internetu.
„DV LINK zachytil predpony Google, Apple, Facebook, Microsoft“. Aj v roku 2017 ruský poskytovateľ DV LINK z nejakého dôvodu začal oznamovať siete Google, Apple, Facebook, Microsoft a niektorých ďalších významných hráčov.
„eNet z USA zachytil predpony AWS Route53 a MyEtherwallet“. V roku 2018 oznámil poskytovateľ Ohio alebo jeden z jeho klientov siete krypto peňaženiek Amazon Route53 a MyEtherwallet. Útok bol úspešný: aj napriek vlastnoručne podpísanému certifikátu, o ktorom sa používateľovi objavilo varovanie pri vstupe na webovú stránku MyEtherwallet, bolo mnoho peňaženiek ukradnutých a časť kryptomeny bola ukradnutá.
Len v roku 2017 bolo takýchto incidentov viac ako 14 000! Sieť je stále decentralizovaná, takže nie všetko a nie všetci sa pokazia. Existujú však tisíce incidentov, všetky súvisia s protokolom BGP, ktorý poháňa internet.
BGP a jeho problémy
protokol BGP - Border Gateway Protocol, bola prvýkrát popísaná v roku 1989 dvoma inžiniermi z IBM a Cisco Systems na troch „servítkach“ – listoch A4. Títo stále sedí v centrále Cisco Systems v San Franciscu ako pozostatok zo sveta sietí.
Protokol je založený na interakcii autonómnych systémov - Autonómne systémy alebo skrátene AS. Autonómny systém je jednoducho ID, ku ktorému sú IP siete priradené vo verejnom registri. Smerovač s týmto ID môže tieto siete oznámiť svetu. V súlade s tým môže byť akákoľvek trasa na internete reprezentovaná ako vektor, ktorý sa nazýva Cesta AS. Vektor pozostáva z počtu autonómnych systémov, ktoré musia prejsť, aby sa dostali do cieľovej siete.
Existuje napríklad sieť množstva autonómnych systémov. Musíte sa dostať zo systému AS65001 do systému AS65003. Cesta z jedného systému je v diagrame znázornená AS Path. Pozostáva z dvoch autonómnych systémov: 65002 a 65003. Pre každú cieľovú adresu existuje vektor AS Path, ktorý pozostáva z počtu autonómnych systémov, cez ktoré musíme prejsť.
Aké sú teda problémy s BGP?
BGP je dôveryhodný protokol
Protokol BGP je založený na dôvere. To znamená, že svojmu blížnemu štandardne dôverujeme. Toto je vlastnosť mnohých protokolov, ktoré boli vyvinuté na samom úsvite internetu. Poďme zistiť, čo znamená „dôvera“.
Žiadna autentifikácia suseda. Formálne existuje MD5, ale MD5 v roku 2019 je presne to...
Žiadne filtrovanie. BGP má filtre a sú popísané, ale nepoužívajú sa alebo sa používajú nesprávne. Neskôr vysvetlím prečo.
Založenie susedstva je veľmi jednoduché. Nastavenie susedstva v protokole BGP na takmer akomkoľvek smerovači je pár riadkov konfigurácie.
Nevyžadujú sa žiadne práva na správu BGP. Na preukázanie svojej kvalifikácie nemusíte absolvovať skúšky. Nikto vám nevezme práva na konfiguráciu BGP v opitosti.
Dva hlavné problémy
Únosy predpony. Prefix hijacking je reklama na sieť, ktorá vám nepatrí, ako je to v prípade MyEtherwallet. Zobrali sme nejaké prefixy, dohodli sa s poskytovateľom alebo to hackli a cez to oznamujeme tieto siete.
Netesnosti trasy. Úniky sú trochu komplikovanejšie. Únik je zmena cesty AS. V najlepšom prípade bude mať zmena za následok väčšie meškanie, pretože musíte cestovať na dlhšiu trasu alebo na menej kapacitnom spoji. Prinajhoršom sa zopakuje prípad s Google a Japonskom.
Samotný Google nie je operátor ani autonómny systém verejnej dopravy. Keď však svojmu poskytovateľovi oznámil siete japonských operátorov, návštevnosť cez Google cez AS Path bola považovaná za vyššiu prioritu. Premávka tam išla a klesla jednoducho preto, že nastavenia smerovania v rámci Google sú zložitejšie ako len filtre na hranici.
Prečo filtre nefungujú?
Nikoho to nezaujíma. Toto je hlavný dôvod – nikoho to nezaujíma. Správca malého providera alebo firmy, ktorá sa pripojila k providerovi cez BGP zobral MikroTik, nakonfiguroval na ňom BGP a ani nevie, že sa tam dajú konfigurovať filtre.
Chyby konfigurácie. Niečo pokazili, urobili chybu v maske, nasadili si nesprávnu sieťku – a teraz je tu chyba znova.
Žiadna technická možnosť. Napríklad telekomunikační poskytovatelia majú veľa klientov. Šikovná vec je automatickú aktualizáciu filtrov pre každého klienta – sledovať, že má novú sieť, že svoju sieť niekomu prenajal. Je ťažké to sledovať a ešte ťažšie s vašimi rukami. Preto jednoducho nainštalujú uvoľnené filtre alebo filtre neinštalujú vôbec.
výnimky. Existujú výnimky pre milovaných a veľkých klientov. Najmä v prípade rozhraní medzi operátormi. Napríklad TransTeleCom a Rostelecom majú veľa sietí a medzi nimi existuje rozhranie. Ak kĺb spadne, nebude to pre nikoho dobré, takže filtre sa uvoľnia alebo úplne odstránia.
Neaktuálne alebo irelevantné informácie v IRR. Filtre sú vytvorené na základe informácií, ktoré sú zaznamenané IRR - Internet Routing Registry. Ide o registre regionálnych internetových registrátorov. Registre často obsahujú neaktuálne alebo irelevantné informácie, prípadne oboje.
Kto sú títo registrátori?
Všetky internetové adresy patria organizácii IANA - Internet Assigned Numbers Authority. Keď si od niekoho kúpite IP sieť, nekupujete si adresy, ale právo ich používať. Adresy sú nehmotným zdrojom a na základe spoločnej dohody sú všetky vo vlastníctve IANA.
Systém funguje takto. IANA deleguje správu IP adries a čísel autonómnych systémov na päť regionálnych registrátorov. Vydávajú autonómne systémy LIR - lokálni internetoví registrátori. LIR potom prideľujú IP adresy koncovým používateľom.
Nevýhodou systému je, že každý z krajských registrátorov si vedie svoje registre po svojom. Každý má svoj vlastný názor na to, aké informácie by mali registre obsahovať a kto by ich mal alebo nemal kontrolovať. Výsledkom je neporiadok, ktorý máme teraz.
Ako inak môžete bojovať s týmito problémami?
IRR - priemerná kvalita. S IRR je to jasné - všetko je tam zlé.
BGP-spoločenstvá. Toto je nejaký atribút, ktorý je popísaný v protokole. K nášmu oznamu môžeme pripojiť napríklad špeciálnu komunitu, aby sused neposielal naše siete svojim susedom. Keď máme P2P prepojenie, vymieňame si iba naše siete. Aby sa trasa náhodou nedostala do iných sietí, pridávame komunitu.
Komunity nie sú tranzitívne. Vždy je to zmluva pre dvoch a to je ich nevýhoda. Nemôžeme priradiť žiadnu komunitu, s výnimkou jednej, ktorú štandardne akceptujú všetci. Nemôžeme si byť istí, že každý túto komunitu prijme a správne si ju vyloží. Preto v najlepšom prípade, ak súhlasíte so svojím uplinkom, pochopí, čo od neho v rámci komunity chcete. Ale váš sused to nemusí pochopiť alebo operátor jednoducho resetuje váš štítok a nedosiahnete to, čo ste chceli.
RPKI + ROA rieši len malú časť problémov. RPKI je Zdrojová infraštruktúra verejného kľúča — špeciálny rámec na podpisovanie smerovacích informácií. Je dobré prinútiť LIR a ich klientov udržiavať aktuálnu databázu adresného priestoru. Ale je s tým jeden problém.
RPKI je tiež hierarchický systém verejného kľúča. IANA má kľúč, z ktorého sa generujú kľúče RIR a z ktorých sa generujú kľúče LIR? ktorým podpíšu svoj adresný priestor pomocou ROA – autorizácie pôvodu trasy:
— Uisťujem vás, že táto predpona bude oznámená v mene tejto autonómnej oblasti.
Okrem ROA existujú aj ďalšie objekty, ale o nich neskôr. Vyzerá to ako dobrá a užitočná vec. Nechráni nás však pred únikmi zo slova „vôbec“ a nerieši všetky problémy s únosom predpony. Hráči sa preto s jeho implementáciou neponáhľajú. Aj keď už existujú záruky od veľkých hráčov, ako sú AT&T a veľké spoločnosti IX, že predpony s neplatným záznamom ROA budú zrušené.
Možno to urobia, ale zatiaľ máme obrovské množstvo prefixov, ktoré nie sú žiadnym spôsobom podpísané. Na jednej strane nie je jasné, či sú platne vyhlásené. Na druhej strane ich nemôžeme štandardne vypustiť, pretože si nie sme istí, či je to správne alebo nie.
čo tam ešte je?
BGPSec. Toto je skvelá vec, ktorú akademici vymysleli pre sieť ružových poníkov. Povedali:
- Máme RPKI + ROA - mechanizmus na overovanie podpisov adresného priestoru. Vytvorme samostatný atribút BGP a nazvime ho Cesta BGPSec. Každý router podpíše svojim podpisom oznámenia, ktoré oznamuje svojim susedom. Takto získame dôveryhodnú cestu z reťazca podpísaných oznámení a budeme ju môcť kontrolovať.
Teoreticky dobré, ale v praxi je veľa problémov. BGPSec narúša mnohé existujúce mechanizmy BGP pre výber ďalších skokov a správu prichádzajúcej/odchádzajúcej prevádzky priamo na smerovači. BGPSec nefunguje, kým ho neimplementuje 95 % celého trhu, čo je samo o sebe utópia.
BGPSec má obrovské problémy s výkonom. Na súčasnom hardvéri je rýchlosť kontroly oznámení približne 50 prefixov za sekundu. Pre porovnanie: aktuálna internetová tabuľka 700 000 predvolieb bude nahraná za 5 hodín, počas ktorých sa zmení ešte 10-krát.
Otvorené zásady BGP (BGP založené na rolách). Nový návrh podľa vzoru Gao-Rexford. Toto sú dvaja vedci, ktorí skúmajú BGP.
Model Gao-Rexford je nasledovný. Pre zjednodušenie, s BGP existuje malý počet typov interakcií:
- Poskytovateľ Zákazník;
- P2P;
- interná komunikácia, povedzme iBGP.
Na základe roly smerovača je už štandardne možné priradiť určité importné/exportné politiky. Administrátor nemusí konfigurovať zoznamy prefixov. Na základe roly, ktorú si routery medzi sebou dohodnú a ktorú je možné nastaviť, už dostávame nejaké predvolené filtre. V súčasnosti ide o návrh, o ktorom sa diskutuje v IETF. Dúfam, že sa toho čoskoro dočkáme vo forme RFC a implementácie na hardvér.
Veľkí poskytovatelia internetu
Pozrime sa na príklad poskytovateľa CenturyLink. Je tretím najväčším poskytovateľom v USA, obsluhuje 37 štátov a má 15 dátových centier.
V decembri 2018 bol CenturyLink na americkom trhu 50 hodín. Počas incidentu sa vyskytli problémy s prevádzkou bankomatov v dvoch štátoch a v piatich štátoch niekoľko hodín nefungovalo číslo 911. Lotéria v Idahu bola úplne zničená. Incident momentálne vyšetruje americká telekomunikačná komisia.
Príčinou tragédie bola jedna sieťová karta v jednom dátovom centre. Karta nefungovala, odosielala nesprávne pakety a všetkých 15 dátových centier poskytovateľa zlyhalo.
Tento nápad pre tohto poskytovateľa nefungoval "príliš veľký na pád". Tento nápad vôbec nefunguje. Môžete si vziať akéhokoľvek veľkého hráča a navrch dať nejaké malé veci. USA sú na tom s konektivitou stále dobre. Zákazníci CenturyLink, ktorí mali rezervu, do toho húfne chodili. Potom sa alternatívni operátori sťažovali na preťaženie ich odkazov.
Ak padne podmienečný Kazakhtelecom, celá krajina zostane bez internetu.
Korporácie
Pravdepodobne Google, Amazon, FaceBook a ďalšie korporácie podporujú internet? Nie, aj to porušujú.
V roku 2017 v Petrohrade na konferencii ENOG13 Jeff Houston z APNIC predložené . Hovorí, že sme zvyknutí na to, že interakcie, toky peňazí a návštevnosť na internete sú vertikálne. Máme malých poskytovateľov, ktorí platia za konektivitu väčším a už platia za konektivitu ku globálnemu tranzitu.
Teraz máme takúto vertikálne orientovanú štruktúru. Všetko by bolo v poriadku, ale svet sa mení – veľkí hráči budujú svoje transoceánske káble, aby si vybudovali svoje vlastné chrbtové kosti.
Novinky o kábli CDN.
V roku 2018 TeleGeography zverejnila štúdiu, že viac ako polovica prevádzky na internete už nie je internet, ale chrbtica CDN veľkých hráčov. Toto je prevádzka, ktorá súvisí s internetom, ale toto už nie je sieť, o ktorej sme hovorili.
Internet sa rozpadá na veľkú skupinu voľne prepojených sietí.
Microsoft má svoju vlastnú sieť, Google má vlastnú a navzájom sa málo prekrývajú. Prevádzka, ktorá vznikla niekde v USA, ide cez kanály Microsoftu cez oceán do Európy niekde na CDN, potom sa cez CDN alebo IX spojí s vaším poskytovateľom a dostane sa k vášmu smerovaču.
Decentralizácia sa vytráca.
Táto sila internetu, ktorá mu pomôže prežiť jadrový výbuch, sa stráca. Objavujú sa miesta koncentrácie používateľov a dopravy. Ak padne podmienený Google Cloud, bude naraz veľa obetí. Čiastočne sme to pocítili, keď Roskomnadzor zablokoval AWS. A príklad CenturyLink ukazuje, že na to stačia aj maličkosti.
Predtým nie všetko a nie každý zlomil. V budúcnosti možno prídeme na to, že ovplyvňovaním jedného významného hráča dokážeme rozbiť veľa vecí, na mnohých miestach a u mnohých ľudí.
štátov
Štáty sú ďalšie v poradí a to sa im zvyčajne stáva.
Náš Roskomnadzor tu v žiadnom prípade nie je priekopníkom. Podobná prax vypínania internetu existuje v Iráne, Indii a Pakistane. V Anglicku existuje návrh zákona o možnosti vypnutia internetu.
Každý veľký štát chce získať vypínač na vypnutie internetu, či už úplne alebo po častiach: Twitter, Telegram, Facebook. Nie je to tak, že by nechápali, že nikdy neuspejú, ale naozaj to chcú. Prepínač sa používa spravidla na politické účely - na odstránenie politických konkurentov alebo sa blížia voľby alebo ruskí hackeri opäť niečo rozbili.
DDoS útoky
Nebudem brať chlieb svojim súdruhom z Qrator Labs, robia to oveľa lepšie ako ja. Oni majú o stabilite internetu. A toto napísali v správe za rok 2018.
Priemerná dĺžka trvania DDoS útokov klesá na 2.5 hodiny. Útočníci tiež začnú počítať peniaze a ak zdroj nie je okamžite k dispozícii, rýchlo ho nechajú na pokoji.
Intenzita útokov rastie. V roku 2018 sme v sieti Akamai videli 1.7 Tb/s a to nie je limit.
Objavujú sa nové vektory útokov a tie staré sa zintenzívňujú. Objavujú sa nové protokoly, ktoré sú náchylné na amplifikáciu a objavujú sa nové útoky na existujúce protokoly, najmä TLS a podobne.
Väčšina návštevnosti pochádza z mobilných zariadení. Internetová prevádzka sa zároveň presúva na mobilných klientov. S tým musia vedieť pracovať aj tí, ktorí útočia, aj tí, ktorí sa bránia.
Nezraniteľný - nie. Toto je hlavná myšlienka – neexistuje univerzálna ochrana, ktorá by určite ochránila pred akýmkoľvek DDoS.
Systém nie je možné nainštalovať, pokiaľ nie je pripojený k internetu.
Dúfam, že som ťa dostatočne vystrašil. Poďme sa teraz zamyslieť, čo s tým robiť.
Čo robiť?!
Ak máte voľný čas, chuť a znalosť angličtiny, zúčastnite sa pracovných skupín: IETF, RIPE WG. Sú to otvorené mailové zoznamy, prihlásiť sa na odber mailingových zoznamov, zúčastňovať sa diskusií, prísť na konferencie. Ak máte status LIR, môžete hlasovať napríklad v RIPE za rôzne iniciatívy.
Toto je pre obyčajných smrteľníkov monitorovanie. Aby ste vedeli, čo je zlomené.
Monitorovanie: čo skontrolovať?
Normálny Ping, a nielen binárna kontrola - funguje alebo nie. Zaznamenajte si RTT do histórie, aby ste sa neskôr mohli pozrieť na anomálie.
traceroute. Toto je pomocný program na určenie dátových trás v sieťach TCP/IP. Pomáha identifikovať anomálie a blokády.
HTTP kontroluje vlastné adresy URL a certifikáty TLS pomôže odhaliť blokovanie alebo DNS spoofing pre útok, čo je prakticky to isté. Blokovanie sa často vykonáva pomocou spoofingu DNS a presmerovaním návštevnosti na stub stránku.
Ak je to možné, skontrolujte, či klienti majú žiadosť o pôvode z rôznych miest. To vám pomôže odhaliť anomálie únosu DNS, čo poskytovatelia niekedy robia.
Monitoring: kde skontrolovať?
Univerzálna odpoveď neexistuje. Skontrolujte, odkiaľ používateľ pochádza. Ak sú používatelia v Rusku, skontrolujte z Ruska, ale neobmedzujte sa na to. Ak vaši používatelia žijú v rôznych regiónoch, skontrolujte z týchto regiónov. Ale lepšie z celého sveta.
Monitorovanie: čo skontrolovať?
Prišiel som na tri spôsoby. Ak viete viac, napíšte do komentárov.
- RIPE Atlas.
- Komerčný monitoring.
- Vaša vlastná sieť virtuálnych strojov.
Povedzme si o každom z nich.
RIPE Atlas - je to taká malá škatuľka. Pre tých, ktorí poznajú domáceho "Inšpektora" - je to rovnaká krabica, ale s inou nálepkou.
RIPE Atlas je bezplatný program. Zaregistrujete sa, dostanete router poštou a zapojíte ho do siete. Za to, že niekto iný použije vašu vzorku, získate nejaké kredity. S týmito pôžičkami si môžete urobiť prieskum sami. Testovať môžete rôznymi spôsobmi: ping, traceroute, kontrola certifikátov. Pokrytie je pomerne veľké, existuje veľa uzlov. Ale existujú nuansy.
Kreditný systém neumožňuje budovať výrobné riešenia. Nebude dostatok kreditov na prebiehajúci výskum alebo komerčné monitorovanie. Kredity stačia na krátke štúdium alebo jednorazovú kontrolu. Denná norma z jednej vzorky sa spotrebuje 1-2 kontrolami.
Pokrytie je nerovnomerné. Keďže program je v oboch smeroch bezplatný, pokrytie je dobré v Európe, v európskej časti Ruska a niektorých regiónoch. Ale ak potrebujete Indonéziu alebo Nový Zéland, potom je všetko oveľa horšie - možno nemáte 50 vzoriek na krajinu.
Nemôžete skontrolovať http zo vzorky. Je to spôsobené technickými nuansami. Sľubujú, že to v novej verzii opravia, ale zatiaľ sa http nedá skontrolovať. Overiť sa dá len certifikát. Určitý druh kontroly http je možné vykonať iba na špeciálnom zariadení RIPE Atlas s názvom Anchor.
Druhým spôsobom je komerčné monitorovanie. S ním je všetko v poriadku, platíš peniaze, však? Sľubujú vám niekoľko desiatok alebo stoviek monitorovacích bodov po celom svete a vykreslia krásne dashboardy hneď po vybalení. Ale opäť sú tu problémy.
Je to platené, miestami veľmi. Ping monitoring, celosvetové kontroly a množstvo http kontrol môžu stáť niekoľko tisíc dolárov ročne. Ak to financie dovoľujú a páči sa vám toto riešenie, pokračujte.
Pokrytie nemusí byť v oblasti záujmu dostatočné. Rovnakým pingom sa špecifikuje maximálne abstraktná časť sveta – Ázia, Európa, Severná Amerika. Zriedkavé monitorovacie systémy môžu prejsť na konkrétnu krajinu alebo región.
Slabá podpora vlastných testov. Ak potrebujete niečo vlastné, a nie len „kučeravú“ adresu URL, sú s tým tiež problémy.
Tretím spôsobom je váš monitoring. Toto je klasika: "Napíšme si vlastné!"
Vaše monitorovanie sa zmení na vývoj softvérového produktu a distribuovaného produktu. Hľadáte poskytovateľa infraštruktúry, pozrite sa, ako ju nasadiť a monitorovať – monitorovanie treba monitorovať, však? A tiež je potrebná podpora. Premýšľajte desaťkrát, kým sa do toho pustíte. Možno bude jednoduchšie zaplatiť niekomu, kto to urobí za vás.
Monitorovanie anomálií BGP a DDoS útokov
Tu je na základe dostupných zdrojov všetko ešte jednoduchšie. Anomálie BGP sa zisťujú pomocou špecializovaných služieb ako QRadar, BGPmon. Prijímajú tabuľku s úplným zobrazením od viacerých operátorov. Na základe toho, čo vidia od rôznych operátorov, dokážu odhaliť anomálie, hľadať zosilňovače atď. Registrácia je väčšinou bezplatná – zadáte svoje telefónne číslo, prihlásite sa na odber emailových upozornení a služba vás upozorní na vaše problémy.
Monitorovanie DDoS útokov je tiež jednoduché. Typicky toto je Založené na NetFlow a protokoly. Existujú špecializované systémy ako napr FastNetMon, moduly pre Splunk. Ako posledná možnosť je tu váš poskytovateľ DDoS ochrany. Dokáže uniknúť aj NetFlow a na základe neho vás upozorní na útoky vo vašom smere.
Závery
Nerobte si ilúzie – internet určite praskne. Nie všetko a nie všetci sa zlomia, ale 14 tisíc incidentov v roku 2017 naznačuje, že k incidentom dôjde.
Vašou úlohou je všimnúť si problémy čo najskôr. Minimálne nie neskôr ako váš používateľ. Nielen, že je dôležité poznamenať, vždy majte v rezerve „plán B“. Plán je stratégia toho, čo budete robiť, keď sa všetko pokazí.: rezervní operátori, DC, CDN. Plán je samostatný kontrolný zoznam, podľa ktorého kontrolujete prácu všetkého. Plán by mal fungovať bez zapojenia sieťových inžinierov, pretože ich býva málo a chce sa im spať.
To je všetko. Prajem vám vysokú dostupnosť a zelený monitoring.
Budúci týždeň sa v Novosibirsku očakáva slnečné lúče, vysoká záťaž a vysoká koncentrácia vývojárov . Na Sibíri sa predpovedá front správ o monitorovaní, dostupnosti a testovaní, bezpečnosti a správe. Zrážky sa očakávajú v podobe načmáraných poznámok, networkingu, fotografií a príspevkov na sociálnych sieťach. Všetky aktivity odporúčame odložiť na 24. a 25. júna a . Čakáme vás na Sibíri!
Zdroj: hab.com