V pátek 6. a sobotu 7. března proběhl v pražském sídle Nejvyššího kontrolního úřadu (NKÚ) Hackathon veřejné správy 7.1. Publikovány byly vytvořené aplikace. V kategorii projektů rozvíjených z krajského kola zvítězil tým „Mackokládi“. Čtyři středoškoláci ze Dvora Králové uspěli s aplikací KompaZ. Jde o digitálního průvodce, který pomůže s rychlou a srozumitelnou orientací v životních i krizových situacích „krok za krokem“. Aplikace
… více »QGIS, svobodný desktopový GIS, byl vydán v nové hlavní verzi 4.0. Změny zahrnují několik nových analytických a editačních funkcí, rozšíření podpory 3D, více možností úprav uživatelského rozhraní či mnoho dalších zlepšení použitelnosti. Řada 3.44 má aktualizace plánovány do září.
Dan Blanchard vydal knihovnu pro Python chardet v nové verzi 7.0.0. S novou verzí byla knihovna přelicencována z LGPL na MIT. Souhlasili s tím všichni přispěvatelé? Dan Blanchard souhlasy vůbec neřešil. Zaúkoloval umělou inteligenci (Claude), aby knihovnu zcela přepsala a výslovně jí nařídil, aby nepoužila žádný LGPL kód. Dan Blanchard tvrdí, že se jedná o clean room design. Protistrana argumentuje, že umělá inteligence byla trénována
… více »Andy Nguyen si na svou herní konzoli PlayStation 5 (PS5) pomocí exploitu Byepervisor nainstaloval Linux (Ubuntu). V Linuxu si spustil Steam a PS5 tak proměnil v Steam Machine. Na PS5 může hrát hry, které jsou vydané pouze pro PC a jsou na Steamu [Tom's Hardware].
Správce sbírky fotografií digiKam byl vydán ve verzi 9.0.0. Jedná se o větší vydání provázené aktualizacemi knihoven. Mnoho dílčích změn se vedle oprav chyb týká uživatelského rozhraní, mj. editace metadat.
Byla vydána verze 2026 distribuce programu pro počítačovou sazbu TeX s názvem TeX Live (Wikipedie). Přehled novinek v oficiální dokumentaci.
Jihokorejská Národní daňová služba (NTS) zabavila kryptoměnu Pre-retogeum (PRTG) v hodnotě 5,6 milionu dolarů. Pochlubila se v tiskové zprávě, do které vložila fotografii zabavených USB flash disků s kryptoměnovými peněženkami spolu se souvisejícími ručně napsanými mnemotechnickými obnovovacími frázemi. Krátce na to byla kryptoměna v hodnotě 4,8 milionu dolarů odcizena. O několik hodin ale vrácena, jelikož PRTG je extrémně nelikvidní, s denním objemem obchodování kolem 332 dolarů a zalistováním na jediné burze, MEXC [Bitcoin.com].
Komunita kolem Linuxu From Scratch (LFS) vydala nové verze knih s návody na instalaci vlastního linuxového systému ze zdrojových kódů Linux From Scratch 13.0 a Beyond Linux From Scratch 13.0. Pouze se systemd.
Byla vydána nová stabilní major verze 25.12 linuxové distribuce primárně určené pro routery a vestavěné systémy OpenWrt (Wikipedie). Jedná se o nástupce předchozí major verze 24.10. Přehled novinek v poznámkách k vydání. Podporováno je více než 2200 zařízení.
Na čem pracují vývojáři webového prohlížeče Ladybird (GitHub)? Byl publikován přehled vývoje za únor (YouTube). Odstraněn byl veškerý kód napsaný ve Swiftu. JavaScriptový engine LibJS byl reimplementován v Rustu.
V podniku máme dvě pracoviště spojená internetem. Na každém pracovišti je pár strojů s "veřejnými" t.j. routovatelnými adresami a hodně strojů s "privátními" t.j. neroutovatelnými adresami. Linuxové hraniční routery dělají současně NAT pro přístup privátních strojů do internetu. Hraniční routery dále dělají IPsec tunel mezi oběma lokalitami, takže vzájemná konektivita v rámci podniku je každý s každým.
Stroje s veřejnou adresou chodí na router nativním Ethernetem. Stroje s privátní adresou chodí na router pomocí VLAN na stejném fyzickém rozhraní, a router si to přebere. Na routerech je řada filtrovacích pravidel iptables sloužících jako firewall. Spojení do internetu máme na optice. Všechno funguje a stroje s veřejnou adresou si posílají data s průchodností tisíců Mbps.
Problém: Stroje s privátní adresou se dostanou na druhou stranu jen s malou průchodností pod 10Mbps. Často se stane, že přenos z privátní sítě jedné lokality začne slušnou rychlostí 100Mbps, ale rychlost během několika minut klesne na desetinu a méně, při čemž některý z routerů začne být zahlcený. Ve stavu zahlcení je jeho celková datová průchodnost velmi malá, ale nevypadá to, že by se pakety ztrácely. Ale odezva pingu vyběhne z původních jednotek ms na stovky ms. Při tom top na linuxovém routeru ukazuje load asi tak 4, procesor přes 95% idle. Současně vmstat ukazuje jen malý provoz, odpovídající té malé průchodnosti. Top vůbec neukáže, že by démon pluto (t.j. IPsec) spotřebovával zdroje.
Otázky: Kam se poděl výkon? Mohlo by to brzdit VLAN dekódování v jádře? Může to brzdit IPsec? Zažil někdo podobný jev?
Děkuji.
Vypadá že zahlcený je přímo ten router. Všecko co jde přes něj nebo přímo z něj má pomalou odezvu. Všechno co jde mimo něj má dobrou. Problém je ale v tom, že nevidíme nebo se neumíme podívat, co konkrétně se na routeru tak náročnýho děje.
Pozorované případy zahlcení jsou
AbcLinuxu.cz
ITBiz.cz
HDmag.cz
AbcPráce.cz
25.7.2011 14:45
lokalita A <-> IPsec <-> lokalita B
Při tom je NAT vyloučen, je tam jen tunel. Jestli je moc pravidel nevím, ale stejná pravidla se uplatní i při spojení
veřejná síť A <-> veřejná síť B
a propustnost je velmi dobrá.
Statistiky před přenosem a po přenosu, když se přenos udělá různýma cestama - že mě to nenapadlo?? Dík já to zkusím. (Ale teď jdu domů.)
Prozkoumal jsem statistiky s velkou parádou, snímkoval jsem po sekundě, dělal jsem z toho grafy a hnidopišsky jsem sečítal a odčítal čísílka v souborech vzorků. Nakonec vidím že nic nevidím, pakety běhají jak mají, žádné chyby, co jeden pošle druhý přijme. Když mám nějaký provoz na eth0.204 tak ho vidím ve statistice jak téhle vlany, tak ve statistice eth0. To je doufám správně.
Teď asi budu muset nějak hledat, který program je ten, který to zatížení způsobuje. Problém je že top nic neukázal. Já myslím že top ukazuje čas strávený v kontextu procesu, ale routování včetně netfilteru je přece v jádře. Jak spolehlivě zjistit, kolik zdrojů spotřebovává jádro, to tedy vážně nevím.
3.8.2011 19:51
vencour | skóre: 56
| blog: Tady je Vencourovo
| Praha+západní Čechy
A conntrack-tools jste už zkusil, jestli se nějak mění počet spojení? Ohledně "provozu" zkuste sledovat stav skrze latencytop a atop.
Děkuji za rady. Normálně je tam kolem 2000 interuptů za sekundu podle vmstat, atop ukazuje IRQ na úrovni 3%. Když pustím intezívní přenos, který jde do veřejné sítě a tedy neprochází tunelem IPsec, interupty vylezou na 8000 / s a atop ukazuje IRQ hodnotu mezi 30 - 40% . Myslím že to znamená, že 40% výkonu CPU jde na zpracování přerušení. Když pustím stejně inteznívní přenos do privátní sítě, jde to skrz IPsec tunel. V tom případě je přes 13000 přerušení/s a atop mi píše 100% IRQ a při tom se červená.
Mimochodem ten router je IBM blade LS21, 4GBN RAM, jeden Dual-Core AMD Opterony 2218 @2.6 GHz. Chipset jsem vyguglil SERVERWORKS HT1000 / HT2000 . Tož tak. Problém trvá, protože kdokoliv z uživatelů může začít tlačit data z jedné lokality do druhé a tím to zahltí. Řešení mě nenapadá.
nrouter2 root# cat /proc/interrupts
CPU0 CPU1
0: 42 0 IO-APIC-edge timer
1: 0 2 IO-APIC-edge i8042
5: 0 1043 IO-APIC-fasteoi ehci_hcd:usb1, ohci_hcd:usb2, ohci_hcd:usb3
7: 1 0 IO-APIC-edge
8: 0 0 IO-APIC-edge rtc0
9: 0 0 IO-APIC-fasteoi acpi
12: 0 4 IO-APIC-edge i8042
48: 15930 3074685 PCI-MSI-edge qla2xxx
49: 1624 333074 PCI-MSI-edge qla2xxx
50: 26215268 3136520483 PCI-MSI-edge eth0
51: 30172892 3172682677 PCI-MSI-edge eth1
52: 40 2693 PCI-MSI-edge eth2
53: 136 11704 PCI-MSI-edge eth3
NMI: 0 0 Non-maskable interrupts
LOC: 259980490 661828332 Local timer interrupts
SPU: 0 0 Spurious interrupts
PMI: 0 0 Performance monitoring interrupts
IWI: 0 0 IRQ work interrupts
RES: 55276625 7716555 Rescheduling interrupts
CAL: 6435 2238 Function call interrupts
TLB: 338364 157931 TLB shootdowns
TRM: 0 0 Thermal event interrupts
THR: 0 0 Threshold APIC interrupts
MCE: 0 0 Machine check exceptions
MCP: 11148 11148 Machine check polls
ERR: 1
MIS: 0
Nějak neumím zarovnat sloupečky. Naprostá většina přerušení je na CPU 1.
Vychází to moc draho - na dva routery šifrující 300 Mbps milionová investice. Já nevím jestli by ten OpenSwan šel nějak poladit nebo použít něco jiného.
Podle /proc/stat máme 3 miliardy HW přerušení a 4 miliardy SW přerušení. Běžně tam je 2000 přerušení/s, Při testovacím SSH přenosu rychlostí 11 MB/s podle tvrzení SCP do veřejné sítě máme 7500 intr/s . Řekněme že těch 5500 navíc jsou HW intr. odpovídající přijetí paketu a odeslání paketu. Při testovacím přenosu do privátní sítě skrz IPsec (stejnou rychlostí podle tvrzení SCP) máme 13000 intr/s . Řekněme že z toho je 2000 běžný provoz, 5500 HW přijmutí a odeslání a dalších 5500 přečtení programem a zápis programem do soketu. Když dedikujeme další celý stroj pro IPsec, bude tam tedy místo 13000 intr/s jen 11000, to se mi nezdá až takový rozdíl. Podle mě není jisté, že toto rozdělení funkcí něco rapidně zlepší.
Tiskni
Sdílej:
