НС
Michael Silich
ОМГ! Я поле чудес лет 30 назад последний раз смотрел. Ничесе.
Там до сих пор якубович, не переживай )
Size: a a a
2021 March 01
J
Michael Silich
ОМГ! Я поле чудес лет 30 назад последний раз смотрел. Ничесе.
Ну чать не двухтысячные, щас в интернете можешь смотреть прям живые стримы)
Как бы то ни было, я своё видение российских особенностей защиты ПД рассказал.
Вроде, у многих коллег контрол плейн опенстека в связке с вмваре используется для инфраструктур которые нужно по 152-фз аттестовать. Но что касается просто "опенстека", например, собранного своими руками с KVM + LXC, тут, вряд ли получится.
Как бы то ни было, я своё видение российских особенностей защиты ПД рассказал.
Вроде, у многих коллег контрол плейн опенстека в связке с вмваре используется для инфраструктур которые нужно по 152-фз аттестовать. Но что касается просто "опенстека", например, собранного своими руками с KVM + LXC, тут, вряд ли получится.
MS
Там до сих пор якубович, не переживай )
Только что посмотрел трейлер. Как по мне то он очень хорошо сохранился. По воспоминаниям он также выглядит как и тогда
J
Michael Silich
Только что посмотрел трейлер. Как по мне то он очень хорошо сохранился. По воспоминаниям он также выглядит как и тогда
Так и есть)
Разве что, костюм сидит получше теперь и стоит подороже.
Разве что, костюм сидит получше теперь и стоит подороже.
РН
Mcs по 152 сертифицирован. Там жеж опенстек
AC
Рамиль Низаев
Mcs по 152 сертифицирован. Там жеж опенстек
Mcs и не апстримный, а речь вроде об апстриме была
J
Mcs и не апстримный, а речь вроде об апстриме была
Да. Речь о возможности для абстрактного средней руки провайдера с чистым опенстеком доказать что инфраструктура отвечает требованиям ФСТЭК.
J
Но, честно сказать, неохота сильно в это углубляться, потому что всё что касается требований регуляторов эт очень неприятно и местами абсурдно.
AK
Да. Речь о возможности для абстрактного средней руки провайдера с чистым опенстеком доказать что инфраструктура отвечает требованиям ФСТЭК.
Mission: Impossible
AN
Ну чать не двухтысячные, щас в интернете можешь смотреть прям живые стримы)
Как бы то ни было, я своё видение российских особенностей защиты ПД рассказал.
Вроде, у многих коллег контрол плейн опенстека в связке с вмваре используется для инфраструктур которые нужно по 152-фз аттестовать. Но что касается просто "опенстека", например, собранного своими руками с KVM + LXC, тут, вряд ли получится.
Как бы то ни было, я своё видение российских особенностей защиты ПД рассказал.
Вроде, у многих коллег контрол плейн опенстека в связке с вмваре используется для инфраструктур которые нужно по 152-фз аттестовать. Но что касается просто "опенстека", например, собранного своими руками с KVM + LXC, тут, вряд ли получится.
два open-source продукта - не получиться. Но если добавить варежку то 152-фз в кармане -) так и зпишем )))
J
Mission: Impossible
Пожалуй)
AN
Пожалуй)
мне вот одно интересно а LXC там зачем ?)))
J
Aleksandr Nevenchannyj
мне вот одно интересно а LXC там зачем ?)))
Например, чтобы делить одну видеокарту между несколькими пользователями без SR-IOV и без софта типа nvidia virtual gpu. Или чтобы плотнее упаковывать клиентов, которых не волнует то что вся изоляция их "машин" на уровне ядра хоста.
AN
Например, чтобы делить одну видеокарту между несколькими пользователями без SR-IOV и без софта типа nvidia virtual gpu. Или чтобы плотнее упаковывать клиентов, которых не волнует то что вся изоляция их "машин" на уровне ядра хоста.
Так вроде все openstack в docker засовывают. А вот LXC я впервые услышал -))) И ОЧЕНЬ стесняюь спросить, как тебе LXC поможет делить одну видеокарту -)) ссылочку на возможности ядрышка пожалуйста.
J
Aleksandr Nevenchannyj
Так вроде все openstack в docker засовывают. А вот LXC я впервые услышал -))) И ОЧЕНЬ стесняюь спросить, как тебе LXC поможет делить одну видеокарту -)) ссылочку на возможности ядрышка пожалуйста.
Я не про засовывание опенстековских сервисов в lxc, а про то чтобы вместо виртуалок использовать lxc контейнеры. Хотя, lxc не поддерживается начиная с Victoria)
Надо сказать, openstack-ansible по-умолчанию деплоит опенстек внутри lxc контейнеров, но это пошло с давних времен, видимо, когда docker не особо еще был популярным и удобным, а rackspace уже хотели изолировать как-то сервисы.
Ссылочка на возможности ядрышка - это читать про cgroups.
Вот для примера бложик где рассказывают как делать.
https://theorangeone.net/posts/lxc-nvidia-gpu-passthrough/
Надо сказать, openstack-ansible по-умолчанию деплоит опенстек внутри lxc контейнеров, но это пошло с давних времен, видимо, когда docker не особо еще был популярным и удобным, а rackspace уже хотели изолировать как-то сервисы.
Ссылочка на возможности ядрышка - это читать про cgroups.
Вот для примера бложик где рассказывают как делать.
https://theorangeone.net/posts/lxc-nvidia-gpu-passthrough/
J
Правда, не очень понял зачем в конце рассуждения про nvenc.
Ну да ладно)
Ну да ладно)
AN
я в курсе что такое cgroups и там еще надо network namespaces, как ты этим видяху то делить будешь, вопрос то в этом
J
Aleksandr Nevenchannyj
я в курсе что такое cgroups и там еще надо network namespaces, как ты этим видяху то делить будешь, вопрос то в этом
А ответ такой что её не надо делить, ты просто разрешаешь процессам внутри cgroup контейнеров получать доступ к видюшке.
"Делением" это можно считать только с точки зрения пользователей работающих в контейнерах.
"Делением" это можно считать только с точки зрения пользователей работающих в контейнерах.
AN
ну да ты в контейнерах дал доступ к /dev/bla-bla-bla стеснюсь спросить https://www.youtube.com/watch?v=6ykB3cBtQ0M
AN
cgroup контейнеров <—- и тут это контейнеры м cgroups вещи разные, от слова совсем, нету cgroup контейнеров -))) учи мат. часть.