1.2, нах (?), 10:13, 07/11/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +4 +/– |
> В качестве обходного пути для защиты рекомендуется сменить в
> настройках эмулируемый сетевой адаптер на PCnet или Paravirtualized
> Network.
и последний обеспечит вам "производительность" уровня доисторической ne1000 если (внезапно!) число выделенных виртуалке ядер превышает 1. (нет, я тоже в а...е от качества кода ораклов. Это, если что, именно оракл, сан писал...зачеркнуто, скопипастил у qemu код как раз e1000.)
про производительность pcnet, думаю, и так всем понятно. (но лучше, много лучше vboxnet на двух ядрах)
| |
|
2.18, Аноним (18), 12:46, 07/11/2018 [^] [^^] [^^^] [ответить]
| +/– |
То есть когда включено более 1 цпу, то virtio-net в виртуалбоксе - медленнее полностью эмулированного сетевого адаптера? Действительно удивительная реализация.
| |
|
3.27, нах (?), 14:53, 07/11/2018 [^] [^^] [^^^] [ответить]
| +/– |
мля, ты не допер - еще круче - он _и_так_ тормозной, но если cpu > 1 - настает _полный_ пц. Быстрый тест - сдампить и залить обратно с vnet на vnet не очень большую mysql базу.
а эмулятор e1000 - это ж еще кто надо писал, он в общем нормальный. Ну вот насчет надежности изоляции - тут никто ничего не обещал, в те времена об этом вообще не очень переживали.
> Действительно удивительная реализация.
там тикет на эту тему уже лет десять висит.
| |
|
4.31, Stax (ok), 15:20, 07/11/2018 [^] [^^] [^^^] [ответить]
| –1 +/– |
> эмулятор e1000 - это ж еще кто надо писал, он в общем нормальный
Но при этом этот "кто надо" написал нормально так, что
> переполнением буфера в коде эмуляции сетевого адаптера E1000
А ребята из оркала написали не так быстро, зато надежно и без уязвимостей. Я правильно понял?
- И тысячу знаков в минуту печатать можете?
- Могу.... но такая фигня получается!
| |
|
5.32, нах (?), 15:34, 07/11/2018 [^] [^^] [^^^] [ответить]
| +1 +/– |
> А ребята из оркала написали не так быстро, зато надежно и без уязвимостей.
никто не проверял - оно настолько "не так быстро", что вряд ли кто-то дальше локалхоста использует.
поэтому васян и начал копать именно e1000 - поскольку это единственный реальный вариант.
но, учитывая что подобных чудесных показателей добился только орацл, у всех остальных, от вмвари до kvm, паравиртуальные адаптеры либо не медленнее, либо быстрее эмулируемых, и уж тем более на них никак не может повлиять число ядер - скорее всего никакого "надежно" там и в помине нет - написано левой задней ногой.
| |
|
|
5.68, Аноним (68), 01:15, 08/11/2018 [^] [^^] [^^^] [ответить]
| +/– |
Для скорости, совместимости, расширяемости. Нормальный virtio-net (например тот, что в qemu) отнюдь не медленнее эмулируемого железа, точнее - он намного быстрее. В virtualbox явно где-то напартачили.
| |
|
|
|
|
|
2.4, нах (?), 10:21, 07/11/2018 [^] [^^] [^^^] [ответить]
| –4 +/– |
да ладно - ты от vbox'а ждал чего-то другого?
| |
2.9, Grigoriy (?), 11:14, 07/11/2018 [^] [^^] [^^^] [ответить]
| +6 +/– |
Люди работают в индустрии потому-что. Ни как раньше, с отвественностью, а как сейчас, хоп хоп, и в продакшен, и денежки бы побыстрее.
| |
2.40, КГБ СССР (?), 17:15, 07/11/2018 [^] [^^] [^^^] [ответить]
| +4 +/– |
RERO с ним не так.
www.catb.org/esr/writings/homesteading/cathedral-bazaar/ar01s04.html
Пока делом занимались хакеры старой закалки, это было на пользу. А миллениалы ни на что не годны, кроме плодить глюки и рисовать серое на сером, а языки быстрого прототипирования они используют для «раз-раз -- и в продакш».
| |
|
3.48, Урри (?), 18:17, 07/11/2018 [^] [^^] [^^^] [ответить]
| +2 +/– |
Но ведь пипл хавает? Денежки несут? Вечто глючащим гoвном пользуются?
Хотя меня тоже ситуация сильно удручает.
| |
|
4.55, КГБ СССР (?), 18:44, 07/11/2018 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Но ведь пипл хавает? Денежки несут? Вечто глючащим гoвном пользуются?
Пипл не в состоянии самостоятельно переделать, даже если бы умел и хотел: сложность современного софта запредельна для одного человека. Приходится жрать то, что дают с лопаты.
| |
|
|
|
1.15, ryoken (ok), 12:34, 07/11/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
Если у кого в такой конфиге VBox в продакшене - он ССЗБ, не? Есть же KVM\QEMU.
| |
|
|
3.29, нах (?), 15:01, 07/11/2018 [^] [^^] [^^^] [ответить]
| +/– |
а чего, божественный kvm до сих пор не умеет форматов кроме qcow/2 ?
vbox, кстати, его тоже умел, помнится, как и более популярные среди меня .vmdk
Если и есть там какая-то разница в производительности, вряд ли она первышает доли процентов.
| |
|
4.36, none_first (ok), 16:29, 07/11/2018 [^] [^^] [^^^] [ответить]
| +/– |
> а чего, божественный kvm до сих пор не умеет форматов кроме qcow/2
> ?
> vbox, кстати, его тоже умел, помнится, как и более популярные среди меня
> .vmdk
> Если и есть там какая-то разница в производительности, вряд ли она первышает
> доли процентов.
не знаю как vmdk, но vhd винда не принимает за правильный ;)
можно предположить - что вбоксовый vmdk тоже не будет читаться кроме как вбоксом
и еще момент - не вижу смысла держать файл как диск если есть возможность raw данных
| |
|
5.43, КГБ СССР (?), 17:21, 07/11/2018 [^] [^^] [^^^] [ответить]
| +/– |
VHD, вообще-то, родной формат майкрософтовской машины.
en.wikipedia.org/wiki/VHD_(file_format)
Простая Винда не обязана понимать, а мелкомягкие ВМ -- таки должны. Неужто не понимают?
| |
|
6.60, none_first (ok), 20:01, 07/11/2018 [^] [^^] [^^^] [ответить]
| +/– |
> VHD, вообще-то, родной формат майкрософтовской машины.
> en.wikipedia.org/wiki/VHD_(file_format)
> Простая Винда не обязана понимать, а мелкомягкие ВМ -- таки должны. Неужто
> не понимают?
сказало - не знаю такого ;) я не стал настаивать, я хуперву на "типа поржать" брал...
| |
|
|
8.81, нах (?), 14:20, 09/11/2018 [^] [^^] [^^^] [ответить] | +/– | при многих если, и, кстати, никто не обещал что эта программа будет вечной ... текст свёрнут, показать | |
|
|
|
5.46, нах (?), 18:08, 07/11/2018 [^] [^^] [^^^] [ответить] | +/– | мля ну я все еще надеюсь на лучшее вообще-то у меня наоборот - vmdk от доист... большой текст свёрнут, показать | |
|
|
7.61, пох (?), 20:19, 07/11/2018 [^] [^^] [^^^] [ответить]
| +/– |
> send не обязательно
смысл zvol что он sparse и незанятые блоки не занимают бестолку места (и не копируются ssh'ем, небыстро и не всегда бесплатно) qemu-img convert наше всьо.
| |
|
|
|
4.57, Аноним (57), 19:02, 07/11/2018 [^] [^^] [^^^] [ответить]
| –2 +/– |
> а чего, божественный kvm до сих пор не умеет форматов кроме qcow/2 ?
Божественный KVM — это всего лишь API в ядре, унифицирующий для userspace - хоть libvirt, использующей qemu для эмуляции периферии, хоть поделок вроде https://github.com/dpw/kvm-hello-world, доступ к различным аппаратным реализациям виртуализации в процессорах. Ну, у Intel, AMD, на POWER и ARM специальные регистры-инструкции разные, а API KVM - один. На этом его задача завершается, и он не может и не должен уметь никаких дисковых форматов.
| |
4.74, Anonimus (??), 12:52, 08/11/2018 [^] [^^] [^^^] [ответить]
| +/– |
> а чего, божественный kvm до сих пор не умеет форматов кроме qcow/2 ?
vbox, кстати, его тоже умел, помнится, как и более популярные среди меня .vmdk
Если и есть там какая-то разница в производительности, вряд ли она первышает доли процентов.
Чистый lvm или дисковая партиция? Я предпочитаю использовать lvm и работа с lvm через virtio драйвер по производительности очень близка к нативной и точно быстрее работы с образами vmdk, думаю процентов так на 10.
| |
|
5.79, КГБ СССР (?), 19:24, 08/11/2018 [^] [^^] [^^^] [ответить]
| +/– |
> vbox, кстати, его тоже умел, помнится, как и более популярные среди меня
> .vmdk
В окошке Виртуалбокса написано, что умеет конвертировать в VDI, VHD, VMDK, HDD, QCOW и QED.
| |
|
6.82, нах (?), 14:22, 09/11/2018 [^] [^^] [^^^] [ответить]
| +/– |
причем тут "конвертировать", он напрямую может с ними работать, без преобразования в свой странный формат.
Ну то есть вот с vmdk точно может (правда, там пару раз случались проблемы) а про vhd тут товарищи с мест сообщают нехорошее (а мне проверить негде)
| |
|
7.83, КГБ СССР (?), 14:51, 09/11/2018 [^] [^^] [^^^] [ответить]
| +/– |
> причем тут "конвертировать", он напрямую может с ними работать, без преобразования в
> свой странный формат.
> Ну то есть вот с vmdk точно может (правда, там пару раз
> случались проблемы) а про vhd тут товарищи с мест сообщают нехорошее
> (а мне проверить негде)
Умеет с VHD, подтверждаю. Никаких видимых на глаз отличий от использования VDI нет.
| |
|
|
|
|
|
|
3.24, Vitaliy Blats (?), 14:21, 07/11/2018 [^] [^^] [^^^] [ответить]
| +/– |
> В продакшене вообще есть виртуалбокс? Нахрена?
У тебя просто спутано понимание термина "продакшен". Ты наверняка под этим словом понимаешь какой-либо сугубо айтишный крупный бизнес.
А например библиотека на двадцать компов и сотню читателей - для тебя не продакшен?
| |
|
4.41, Аноним (41), 17:15, 07/11/2018 [^] [^^] [^^^] [ответить]
| +/– |
Библиотека - консюмейшен =)
А вот нетбук писателя - продакшен. Но ни там ни тут виртуализация не особо нужна.
| |
|
5.70, anonymous (??), 04:17, 08/11/2018 [^] [^^] [^^^] [ответить]
| +/– |
виртуализация нужна для скайпа и прочей малвари, которую приходится запускать.
| |
|
6.71, Аноним (41), 08:00, 08/11/2018 [^] [^^] [^^^] [ответить]
| +/– |
Скайп вроде есть под линь какой-то. Для другого софта нужна но тогда пользоваться линуксом бесмысленно, да и ресурсов компа больше надо.
| |
|
|
|
3.59, Онаним (?), 19:59, 07/11/2018 [^] [^^] [^^^] [ответить]
| +/– |
Потому, что очень легко и просто всё делается несколькими командами, я делал несколько виртуальных серваков на одном физическом через VirtualBox несколько лет назад, прекрасно работало.
| |
|
2.28, нах (?), 14:57, 07/11/2018 [^] [^^] [^^^] [ответить]
| –1 +/– |
> Если у кого в такой конфиге VBox в продакшене - он ССЗБ, не? Есть же KVM\QEMU.
это у линуксфанов он есть. Но линукса в продакшн многим, как я погляжу, уже не хочется совсем, даже ценой перехода на винду. (есть у нас masterhost.ru, но они не признаются, как это все у них не рассыпалось до сих пор, а на вопрос кто это все строил - говорят что он давно не с ними)
А у freebsd - только очень-очень странный bhyve. А у солярки в любой ипостаси и того нет, а в опен еще и сломали vbox совсем.
Поэтому ставим vmware и спим спокойно.
| |
|
3.37, none_first (ok), 16:40, 07/11/2018 [^] [^^] [^^^] [ответить]
| +/– |
>> Если у кого в такой конфиге VBox в продакшене - он ССЗБ, не? Есть же KVM\QEMU.
> это у линуксфанов он есть. Но линукса в продакшн многим, как я
> погляжу, уже не хочется совсем, даже ценой перехода на винду. (есть
> у нас masterhost.ru, но они не признаются, как это все у
> них не рассыпалось до сих пор, а на вопрос кто это
> все строил - говорят что он давно не с ними)
> А у freebsd - только очень-очень странный bhyve. А у солярки в
> любой ипостаси и того нет, а в опен еще и сломали
> vbox совсем.
> Поэтому ставим vmware и спим спокойно.
амазон, гугл... кто такие "многим" ?
в ажуре доля линуксов растет постоянно https://www.opennet.dev/opennews/art.shtml?num=49357
выж в том топике отметились или запамятовали?
| |
|
4.49, нах (?), 18:19, 07/11/2018 [^] [^^] [^^^] [ответить]
| +/– |
> в ажуре доля линуксов растет постоянно
ну растет, вот сейчас подпишут контракт - и еще вырастет (_сами_ пришли, между прочим).
Ну мне виртуалки моего работодателя ведь не жалко? К тому же то место, где они живут сейчас, хоть и внутри конторы, но вне моего контроля и я бы еще погадал, где надежнее. Где неудобнее - даже гадать не буду.
| |
|
3.47, Anonimus (??), 18:09, 07/11/2018 [^] [^^] [^^^] [ответить]
| +/– |
винду и даром не хочу, а kvm не боятся использовать даже в amazon, хотя куда им до masterhost.ru;)
| |
|
4.50, нах (?), 18:21, 07/11/2018 [^] [^^] [^^^] [ответить]
| +/– |
у мастерхвоста там не виртуалки, а витруалки-с-shared-hosting, это в плане обезьяноустойчивости задача гораздо более интересная.
| |
|
5.53, Anonimus (??), 18:37, 07/11/2018 [^] [^^] [^^^] [ответить]
| +/– |
в контексте обсуждение разговор был именно о виртуализации (считай что только о vps). А коммерческий шаред хостинг не вижу смысла настраивать внутри виртуалки - только дополнительные абстракции появляются без явных профитов.
| |
|
6.65, пох (?), 21:21, 07/11/2018 [^] [^^] [^^^] [ответить]
| –1 +/– |
> А коммерческий шаред хостинг не вижу смысла настраивать внутри виртуалки
сейчас _все_ принято настраивать "внутри виртуалки". Кроме каких-то совсем уж уникальных вещей, которые либо невлазят, либо не работают, либо сами себе виртуализация.
> только дополнительные абстракции появляются без явных профитов.
как в четыре ночи поднимешь упавший виртхостовый тазик (который, будь он виртуальным, просто перезапустился бы на соседнем хосте), под вопли из телефонной трубки (из сотен живущих на нем юзверей хоть два десятка да не спят и заметят) - так сразу поймешь, в чем он, профит.
Для винды еще и деплой в разы упрощается, но у линyпcoв нет sysprep.
| |
|
7.76, RHEL fan (?), 14:44, 08/11/2018 [^] [^^] [^^^] [ответить]
| +/– |
Да, у "линyпс0в" есть virt-sysprep, sys-unconfig, а благодаря отсутствию реестра можно обойтись и обычным rm.
| |
7.77, Anonimus (??), 15:14, 08/11/2018 [^] [^^] [^^^] [ответить]
| +/– |
> сейчас _все_ принято настраивать "внутри виртуалки". Кроме каких-то совсем уж уникальных вещей, которые либо невлазят, либо не работают, либо сами себе виртуализация.
Кем принято? В чем практическая польза в контексте шаредхостинга?
> как в четыре ночи поднимешь упавший виртхостовый тазик (который, будь он виртуальным, просто перезапустился бы на соседнем хосте), под вопли из телефонной трубки (из сотен живущих на нем юзверей хоть два десятка да не спят и заметят) - так сразу поймешь, в чем он, профит.
C HA кластером нет нужды вообще просыпаться в 4 часа ночи и слушать вопли. С виртуализацией, по хорошему, тоже нужно настраивать HA и тут аналогичный вопрос о смысле виртуализации если она ничего не дает кроме доп абстракции и потери ресурсов сервера. виртуализация во многих моментах имеет смысл но не в контексте конкретно шаред хостинга.
> Для винды еще и деплой в разы упрощается, но у линyпcoв нет sysprep.
да ладно, не знаю ничего что б винде работало лучше кроме того что создал сам мелкософт или делалось специально для него. конкретно для линукса прям вагон вариантов быстро развернуть и сконфигурировать ОС. Возможности ограничиваются только фантазией.
| |
|
|
|
|
|
2.35, пгуыыцрщ (?), 16:20, 07/11/2018 [^] [^^] [^^^] [ответить]
| –1 +/– |
Уязвимость в драйвере. Если KVM заюзает так же е1к драйвер, то и там будет.
| |
|
3.51, нах (?), 18:23, 07/11/2018 [^] [^^] [^^^] [ответить]
| +/– |
да не в драйвере, блин.
но вот не совпадает ли код в паре мест (ну так, чисто вот совсем случайно - ну так же как "случайно" именно e1000 вместе с pcnet из всего богатства выбора эмулируются тремя абсолютно разными проектами) - это гораздо интереснее.
| |
|
|
1.25, Аноним (25), 14:42, 07/11/2018 [ответить] [﹢﹢﹢] [ · · · ]
| –3 +/– |
> Для атаки требуется наличие прав root или администратора в гостевой системе.
Такая мелочь?
| |
1.26, Аноним (26), 14:51, 07/11/2018 [ответить] [﹢﹢﹢] [ · · · ]
| –8 +/– |
А я всегда знал, что можно что угодно сделать с системой с правами root. Но мне НИКТО не верил!
| |
1.30, Аноним (30), 15:11, 07/11/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
В paravirtual в свое время был неприятный баг, оно било память в гостевой системе. У меня закончилось внезапным разрушением файловой системы на госте. Не знаю, пофиксили его или нет. Так что прежде чем советовать paravirtual надо очень хорошо подумать
| |
|
2.33, нах (?), 15:36, 07/11/2018 [^] [^^] [^^^] [ответить]
| +/– |
> В paravirtual в свое время был неприятный баг, оно било память в гостевой системе.
оно - точно именно эмулятор, а не кривые драйвера в этой самой гостевой?
тикет-то завел, или как всегда?
| |
|
1.38, КГБ СССР (?), 16:54, 07/11/2018 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
> В качестве обходного пути для защиты рекомендуется сменить в настройках эмулируемый сетевой адаптер на PCnet или Paravirtualized Network, или отключить режим NAT.
Принято к сведению.
| |
1.39, КГБ СССР (?), 16:59, 07/11/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
> Решение опубликовать сведения об уязвимости, не дожидаясь исправления, вызваны неприятием сложившейся практики в области связанных с безопасностью исследований и негативным опытом информирования о уязвимостях в прошлом.
Вот это правильно. Давно пора.
| |
|
2.42, Аноним (41), 17:19, 07/11/2018 [^] [^^] [^^^] [ответить]
| +/– |
Чего правильно то? дал бы им месяц на исправление, а остальным бы объявил не юзать этот сетвой эмулятор пока
| |
|
3.44, КГБ СССР (?), 17:24, 07/11/2018 [^] [^^] [^^^] [ответить]
| +/– |
Чтобы кого-то научить плавать, дружок, обучаемого бросают сразу в глубокую воду, а не поливают его из лейки.
| |
|
4.52, нах (?), 18:24, 07/11/2018 [^] [^^] [^^^] [ответить]
| +/– |
тут не ваши коллеги в (глубокой) луже надысь утонули?
| |
|
5.54, КГБ СССР (?), 18:40, 07/11/2018 [^] [^^] [^^^] [ответить]
| +/– |
> тут не ваши коллеги в (глубокой) луже надысь утонули?
Я давно пропил свой телевизор. О чём речь?
| |
|
|
3.56, Аноним (56), 18:54, 07/11/2018 [^] [^^] [^^^] [ответить]
| +/– |
Дал бы месяц, а у самого ушло на написание эксплойта 2 недели. Т.е. итого ~ 2 недели всех будут во все технические отверстия. Защищённенько.
| |
|
4.72, Аноним (41), 08:05, 08/11/2018 [^] [^^] [^^^] [ответить]
| –1 +/– |
Сейчас всех, кто не читает опеннет его же эксплоитом будут во все дыры. Что за бред?
Чел понтуется, это очевидно. О здравом смысле и говорит не приходится.
| |
|
3.69, Аноним (69), 04:09, 08/11/2018 [^] [^^] [^^^] [ответить]
| +/– |
Ну так-то месяц на исправление у них никто не отбирал. Просто теперь пользователи знают про уязвимость и как ее избежать. Не вижу отличий.
| |
3.85, ПДК (?), 15:32, 09/11/2018 [^] [^^] [^^^] [ответить]
| +/– |
Что мешает прямо сейчас не пользоваться этим сетевым интерфейсом? Их ведь там несколько.
| |
|
|
|