Занудно напоминаю 2

[nataraj]

И только самый ленивый маргинал не говорил о том, что облака -- это плохо, близко к очень плохо. Если вы не контроллируете инфраструктуру, она у вас постоянно находится в состоянии подобным коту Шреденгера: пока не проверишь работает ли, не узнаешь. Это плохо, когда вы по отношению к своей собственной инфраструктуре являетесь внешнем наблюдателем.

И вот пожалуйста, оно случилось: нечто, что ломает облака, с чем вы вообще ничего не можете сделать. Суть проблемы именно в этом, а не в конкретном способе которым оно сейчас сломалось...

Comments

[rish]

Я малость прифигела, узнав, что среди операторов связи облака тоже стали популярны - типа а как же безопасность и контроль своего железа, ведь хранится кастомер дата и всё такое... Мне сказали, что мой вопрос немного устаревший - типа все давно озаботились безопасностью прежде, чем переходить на облака, и там всё надёжно и круто. Ну-ну...

Не бывает систем без дыр, имхо. Любую сломать можно.

[nataraj]

Систем без дыр не бывает.
Но когда дыра идет ко мне в дом, я могу ее одеялом заткнуть до выяснения. А когда метко попавший дятел разрушает цивилизацию и на это можно только смотреть раскрыв рот -- это не правильно...

[rish]

Согласна.

А что произошло-то, кстати? Мимо меня пока новости кроме твоего поста не пролетали, гуглить нет сил...

[nataraj]

Если коротко. Телеграм начал скакать по амазоновским IP'шникам. При этом массово. Роскомнадзор еще более массово начал пачками их блокировать. В результате чего много наших полегло, а Телеграм все еще работает...

[rish]

Про это слышала. А это как раз из-за того, что Амазон на облаке, и кто угодно (достаточно хитрожопый) имеет доступ к его айпишникам что ли?

[nataraj]

Ну облако это некая абстракция которая на конкретное железо и IP'шники мэпиться как попало. Телеграм постоянно переезжает с места на место (видимо API это позволяет). Это видимо стоит каких-то денег, но технически исполнимо. А РКН соответсвенно блокирует каждое новое место с заметной окрестностью...

[rish]

Грёбаный стыд... Слушай, я слабо представляю себе сайт, который может мапиться на дохрена всяких айпишников - это ж ДНСы с ума сойдут.

Энивей, сделать в облаке что-то подобное виртуалке с персональным айпишником - не? Или банальный nginx с лоад-балансером или NAT на реальном железе и персоальном айпишнике, с перенаправлением на облако - не?

Я понимаю, что Амазону может быть похрен на доступ к нему из рашки, но кагбэ маразм бывает не только у нас, и вообще странно, что твои айпишники может кто угодно юзать, а ты ничего не предпринимаешь... Ну как если бы твою машину кто угодно мог юзать (привет каршеринг) или штаны и нижнее бельё...

[nataraj]

Так в облаке вся фишка в том, что оказываемая тебе услуга абстрагирована от сетевых и хардверных нюансов... Вот есть у тебя d35aaqx5ub95lt.cloudfront.net который что-то что тебе надо раздает. А где он живет и через какое место это делает -- тебя не касается.

Что касается мапиться на дофига айпишников, тут недавно другая хохма была. Кто-то массово закупил заблокированных доменов, и каждый из них замапил на 1000 разных уникальных айпишников (или несколько тысяч, не помню). Много доменов. Автоматика эти все айпишники всосала и блокировщики издохли от переполнения. Несколько провайдеров по россии легло.

[rish]

Фигассе! Весело :)