Здравствуйте, Cyberax, Вы писали:
C>"Trusted" extensions — это всё выросты из NSA-ного Flask'а, и в Линуксе делаются с помощью SELinux при желании. Обычно такого желания у здравомыслящих людей нет.
Ну как тебе про здравомыслящих людей-то сказать. Ноги у "песочницы" на OSX растут из того же места что и SELinux и Trusted Extensions (Common Criteria), но ее наличие реально радует. Может просто SELinux до ума довести не могут?
Здравствуйте, smeeld, Вы писали:
C>>А так ты из "внедренцев"? Так бы сразу и сказал. S>Нет, в прошлом админил ферму санфайров, и хорошо знаю сильные и слабые стороны S> машин на спарках, и самих спарков. Также наблудал за соларисом "в бою", наблюдал S>за линукс/x86, и могу сравнивать.
А, ну значит админ с ЧСВ и "прошлыми заслугами".
C>>Никаких, ровно НИКАКИХ плюсов от говна Оракла или IBM нет. Совсем. Глюколярис на slowparc'е нужен исключительно для админов, тешащих ЧСВ. S>Новейшие спарки рвут x86-ых как тузик грелку в задачах обслуживания транзакций.
Не рвут они уже, давно. Сдохли как котята в ведре с водой.
Вот тут сравнения есть: https://blogs.oracle.com/JeffV/entry/more_sparc_t5_performance_results — SPARC T5, который примерно в 5 раз дороже Xeon'а примерно на 15% быстрее. В бенчмарке для JVM, которая традиционно на SPARC оптимизирована. И ещё из приколов — под Линуксом машины на Sparc'ах обычно быстрее.
У IBM есть офигительно дорогие POWER-чипы, которые могут работать на 6GHz и в последовательных задачах они рвут всё. Но они прекрасно работают под Линуксом.
C>>У Solaris'а было единственное преимущество — ZFS, но и его сейчас уже нет. S>А вот ZFS это вообще не преимущество. Мало того, что оно есть и в других осях, так S>в основном предназначении соляриса zfs стараются или вообще выпилить, или ограничить его S>только корневым boot разделом. Всё остальное на ufs.
Здравствуйте, kaa.python, Вы писали:
C>>"Trusted" extensions — это всё выросты из NSA-ного Flask'а, и в Линуксе делаются с помощью SELinux при желании. Обычно такого желания у здравомыслящих людей нет. KP>Ну как тебе про здравомыслящих людей-то сказать. Ноги у "песочницы" на OSX растут из того же места что и SELinux и Trusted Extensions (Common Criteria)
Не-не. Trusted Extension позволяют разделять доверяемый и недоверяемый код с помощью меток, причём эти метки можно аттачить к чему угодно, включая сетевые пакеты или содержимому X-Clipboard'а.
Звучить классно, но на практике не работает из-за сложности во всяких крайних случаях.
KP>но ее наличие реально радует. Может просто SELinux до ума довести не могут?
Вполне могут, собственно, все фичи из Trusted Solaris делаются на SELinux.
Но на практике нужно немного другое — делать защищённые sandbox'ы, которые просто изолируют код от всего остального. В Лиунксе это сейчас модно делать через seccomp или namespace'ы. Seccomp сделан очень красиво — можно на системные вызовы ставить фильтры на языке BPF.
Здравствуйте, smeeld, Вы писали:
C>>Но вот AIX — это просто чистый BDSM ("Whip me, beat me, make me maintain AIX!"). S>AIX- единственная ось, которая полностью задействует возможности power7. Они перечислены S>в spec.
И какие же это такие магические "особенности"?
PS: знаменитый суперкомпьютер "Watson", который построен на POWER7 работает под... SuSE Linux.
Здравствуйте, Cyberax, Вы писали:
C>Здравствуйте, smeeld, Вы писали: C>И какие же это такие магические "особенности"?
C>PS: знаменитый суперкомпьютер "Watson", который построен на POWER7 работает под... SuSE Linux.
Там AIX и не нужен, потому что watson-кластер. Классический случай-RDBMS в сотню TB требует SMP,
её на watson не не натянешь. И вот SMP шкафы на power крутят AIX. PowerLinux не умеет, например,
быть LPAR гипервизором.
Здравствуйте, smeeld, Вы писали:
C>>PS: знаменитый суперкомпьютер "Watson", который построен на POWER7 работает под... SuSE Linux. S>Там AIX и не нужен, потому что watson-кластер. Классический случай-RDBMS в сотню TB требует SMP, S>её на watson не не натянешь. И вот SMP шкафы на power крутят AIX. PowerLinux не умеет, например, S>быть LPAR гипервизором. http://www-03.ibm.com/systems/power/software/linux/powerlinux/powervm/index.html — ой как совсем не умеет.
Не говоря уж про то, что есть и bare metal гипервизор.
Вообще, скажу по секрету, политика IBM сейчас — это делать все фичи доступными на Линуксе. Причина понятна — они тратить деньги на развитие своего велосипеда больше не хотят.
Глюкалово ещё то-линукс на спарках. Пока ls -lh гоняешь, он работает, подними сервис,
и обеспечь нагрузку, как всё начинает сыпаться c 50% вероятностью немедленного kernel panic.
Из опенсурсных осей на спарках только openbsd достаточно стабилен.
C>У IBM есть офигительно дорогие POWER-чипы, которые могут работать на 6GHz и в последовательных задачах они рвут всё. Но они прекрасно работают под Линуксом.
И, тем не менее, известные продакшен инфраструктуры на базе hi-end/POWER решений на -строго на AIX.
Никакого PowerLinux там нет.
Здравствуйте, smeeld, Вы писали:
C>>Не рвут они уже, давно. Сдохли как котята в ведре с водой. S>http://www.tpc.org/tpcc/results/tpcc_perf_results.asp
Не надо мне маркетоидную дрянь показывать. Даже на ней у Спарка отношение цена/скорость хуже, чем у четырёхлетнего HP.
C>> под Линуксом машины на Sparc'ах обычно быстрее. S>Глюкалово ещё то-линукс на спарках. Пока ls -lh гоняешь, он работает, подними сервис, S>и обеспечь нагрузку, как всё начинает сыпаться c 50% вероятностью немедленного kernel panic. S>Из опенсурсных осей на спарках только openbsd достаточно стабилен.
Ну что за бреееед.
C>>У IBM есть офигительно дорогие POWER-чипы, которые могут работать на 6GHz и в последовательных задачах они рвут всё. Но они прекрасно работают под Линуксом. S>И, тем не менее, известные продакшен инфраструктуры на базе hi-end/POWER решений на -строго на AIX. S>Никакого PowerLinux там нет.
Да-да. Я же говорю — AIX для лохов, которым хочется тратить деньги. Сами IBM делают СВОИ продукты уже исключительно на Линуксе, так как там не идиоты сидят.
PS: я работаю в HPC, в области молекулярной биологии. Про многие крупнейшие кластеры я знаю напрямую, часто от команд, которые их строили.
Не сайт оракела привёл, а ресурс c мировой репутацией независимого и объективного.
C> Даже на ней у Спарка отношение цена/скорость хуже, чем у четырёхлетнего HP.
Одних x86 хуже, других лучше.
C>>> под Линуксом машины на Sparc'ах обычно быстрее. S>>Глюкалово ещё то-линукс на спарках. Пока ls -lh гоняешь, он работает, подними сервис, S>>и обеспечь нагрузку, как всё начинает сыпаться c 50% вероятностью немедленного kernel panic. S>>Из опенсурсных осей на спарках только openbsd достаточно стабилен. C>Ну что за бреееед.
Не бред, а практика. Поднимать базу с дампа пробовали на линукс+спарк.
C>Да-да. Я же говорю — AIX для лохов, которым хочется тратить деньги. Сами IBM делают СВОИ продукты уже исключительно на Линуксе, так как там не идиоты сидят.
Нет, у них базы в сотни TB, на hpc кластер их не натянешь, используют большие SMP, с одним экземпляром OC,
в которых используется aix/solaris по причине их вертикальной масштабируемости
на сотни процессоров и реализации RAS.
C>PS: я работаю в HPC, в области молекулярной биологии. Про многие крупнейшие кластеры я знаю напрямую, часто от команд, которые их строили.
Повторюсь про RDBMS, а HPC есть горизонтально масштабируемые кластеры, с как можно большим числом нод,
на каждую из которых приходится не много нагрузки и ответственности. В них
крутятся небольшие вычислительные задачки, которые им подбрасывает контроллер кластера по MPI.
Строить такие машины можно на любой ОС, выбрали линукс, по причине большей поддатливости ядра к его перекраиванию,
урезанию без нарушения работоспособности.
Не все программы можно горизонтально масштабировать.
Здравствуйте, smeeld, Вы писали:
S>У яши почта на rhel, поиск на freebsd, всё остальное, возможно, ютится на S>rhel-овских виртулках.
Есть там деб, так как я поню кодгда писал запрос в яндексе о дебиане, мне предлогалось проти собеседование у них в на позицию сис админа с примерно такими словами:
"Любите дебиан, тогда присоединяйтесь к нашей команде у нас много серверов на дебиане ла-ла ла".
Здравствуйте, Cyberax, Вы писали:
C>Не-не. Trusted Extension позволяют разделять доверяемый и недоверяемый код с помощью меток, причём эти метки можно аттачить к чему угодно, включая сетевые пакеты или содержимому X-Clipboard'а.
Насколько я понимаю Common Criteria, это как раз одна из основных входящих туда идей.
C>Звучить классно, но на практике не работает из-за сложности во всяких крайних случаях.
На практике работать может и любая MAC система, в конечном счете, занимается тем же самым.
