2016

2019

2025

Критическим мышлением обладает примерно 10% населения, это те, кто могут сопоставить факты и если есть логические не стыковки, то выявить хуйню. Остальные люди читают предложенный текст и оценивают его убедительность. Как следствие "бот на зарплате" рожает текст, который должен быть убедительным, но поскольку цель - впарить дичь, то фактов и профессионализма там 0. Рассмотрим данное поделие:

Для несведущих поясняю

Попытка придать веса своим словам, выставляя себя как профессионала.

напрямую с серверов дебиана (да и любого другого дистрибутива) напрямую качать что-либо идея крайне хуевая.

И тут же пошла дичь. Потому что технически сервер репозитория Linux - это публикация статичного каталога через FTP/HTTP, иногда и rsync и другие менее распространённые протоколы. Фишка статического сайта в том, что сервер нагрузку практически не получает. В отличии, например, от Пикабу, на котором веб-приложение делает тонны вещей (проверка прав пользователя, обращения к базе данных, генерация страниц и т.д.). По сути сервер репозитория просто открывает файл и отправляет его содержимое в сетевой сокет. По ресурсам эта операция очень дешевая, что позволяет серверу открывать настолько большое количество соединений, что узким местом становится диск. По факту современные сервера (бюджетные) в таком режиме спокойно могут отдавать 10 Гбит/с по более чем 10 000 соединений параллельно.

При этом, поскольку содержимое статическое оно не зависит от ранее совершенных пользователем действий. То есть можно рядом поставить второй сервер и настроить DNS так, чтобы Пользователь_1 пришел на Сервер_1, Пользователь_2 на Сервер_2, Пользователь_3 снова на Сервер_1 и т.д.

Не смотря на то, что количество установок дистрибутивов исчисляется десятками миллионов работа с репозиториями занимает очень небольшой промежуток времени. В отличии от ОС Windows в Linux не принято скрыто проверять, качать и устанавливать обновления. В целом даже один репозиторий спокойно может вытащить всё. Но почему он всё-таки не один?

Причины есть и их масса. Тут бот снова пытается ввести в заблуждение

Они находятся очень далеко и имеют ограниченный канал

Сигналы в информационных сетях распространяются почти со скоростью света. Протоколы информационного обмена делали не идиоты, поэтому задержка в таких сетях идёт преимущественно на установку соединения. Как было указано выше канал роль играет, но не существенную.

При этот "бот на зарплате" продолжает дискредитировать оппонента

да еще и вот такие долбоебы по всему миру тянут с них пакеты напрямую

Ведь обычный обыватель не в курсе, что есть закрытые протоколы, которые позволяют делать подобные зеркала без внешнего доступа. То есть если бы количество загрузок стало проблемой, то владельцы корневого сервера могли бы отключить HTTP/FTP и сделать синхронизацию по закрытым протоколам, которые бы не позволили его свободно скачивать. После чего снова идёт прямая ложь:

Из-за этого скорость загрузки из официального репозитория никогда не блещет, а иногда репа может даже вводить rate limiting на своей стороне.

Есть или нет нагрузка на официальные репозитории можно спокойно увидеть. Но не при домашнем подключении, а если брать устройство подключенное как можно ближе к магистральному каналу связи. Например, VDS в дата-центре. И вот оттуда видно, что репозитории более чем свободные. Потеря скорости соединения практически всегда идёт на уровне местного провайдера т.к. именно подключение местного провайдера является "узким местом" для контента, особенно если между провайдером и магистралями есть дополнительные (например, региональные) провайдеры.

Специально для того, чтобы распределить нагрузку, придумали зеркала.

Зеркала придумали совершенно по другим причинам. Распределение нагрузки - да, но оно является приятным бонусом, а не главной целью.

Главная цель зеркал репозиториев, это оптимизировать потоки данных НА КЛИЕНТЕ. Здесь даже воспользуюсь оригинальным текстом:

В России есть крупное зеркало от яндекса для почти всех дистибутивов, и чуть поменьше конкретно для дебиана (и еще генту и пары других) от МИФИ.

В России очень дохуя зеркал того же Debian (публичных - очень маленький %). Взять к примеру Яндекс. У него есть пачка дата-центров в каждом из которых тысячи серверов. Разнообразие дистрибутивов связано с тем, что каждый дистрибутив решает свои задачи. Для крупных компаний это очень важно т.к. задача, это не 1 сервер, а пачка. Допустим есть 2 задачи. Задача_1 хорошо работает на Debian, а скажем Fedora потребует на 10% больше серверов. Задача_2 наоборот. Сервер, у компании типа Яндекса, это железка которая стоит миллионы рублей. То есть если Задача_1 и Задача_2 требуют по 500 серверов, то распределение задач по разным дистрибутивам экономит более 100 млн. руб.

Идём дальше - в ЦОДе как минимум тысячи серверов, если каждый из них будет качать пакеты, то это нагрузит прежде всего канал ЦОДа и замедлит собственные сервера. Гораздо эффективнее добавить в инфраструктуру дешевенький сервак, отзеркалить туда основной репозиторий и обновлять с него. Поскольку сервер в таком сценарии простаивает 95% времени, то можно совершенно бесплатно его пустить в сеть, заодно получая некоторые моральные бонусы.

Так же такой сервер служит страховкой от "деградации серверов репозиториев", что в наше время становится всё более и более явным риском.

В завершении бот пытается впарить ещё одну хуйню:

Укажи любое из них в конфиге и проблем никаких не будет.

На скрине в оригинальном посте показано, что на момент написания поста блокировался репозиторий безопасности. Что такое репозиторий безопасности?

Программисты тоже люди, поэтому при разработке софта они, как и все люди, ошибаются. Некоторые из этих ошибок приводят к появлению уязвимостей в программном коде. При выявлении подобной уязвимости исправления безопасности нужно доставить клиентам как можно раньше т.к. пока они не установлены есть риск атак на уязвимое программное обеспечение.

Зеркала репозиториев обновляются 1 - 2 раза в день по расписанию, как следствие пакет с исправлениями безопасности попадает в зеркало в лучшем случае через 12 часов, в худшем через 48 часов. Наличие пакета в репозитории безопасности прямо указывает на уязвимость и где она находится. То есть использование обновлений безопасности через зеркала означает, что инфраструктура пребывает в постоянно уязвимом состоянии. Если кто-то смог получить доступ к корпоративной сети, то из-за этой задержки он может эксплуатировать уязвимость как минимум 12 часов, а в реальности до 48 часов. Если уязвимость критическая, то за это время взломщик спокойно сделает с инфраструктурой то, что сделали в этом году с Аэрофлотом, К&Б и т.д.

Далее попытка поднять собственную значимость и очередной раз принизить автора:

Как всегда, человек нихера не разобрался и набросил говна на вентилятор в остросоциальной теме.

Ну и классика любого вора - кричать "воры", чтобы отвести от себя подозрения:

А, может, казачок-то засланный?..

Цель работы таких ботов вполне понятная.

В посте: Продолжение поста «РКН уху ел. В край» я показал нищенские уровни зарплат в РКН. Человек, который работает за хлеб и воду никогда не будет качественно исполнять свои обязанности. И никаких "секретных подразделений" с зарплатами "100500 миллионов в наносекунду" в РКН нет.

Как следствие у РКН нет и не может быть сотрудников, которые могут качественно решать задачу блокировок. Качественно решать - это когда блокируется только то, что поручено заблокировать, а всё остальное работает так, как будто РКН не существует.

Задача решаемая, но с определённой оговоркой. Если у человека навык сетевого инженера прокачан до некоторого Х, то заблокировать его возможно только физическим отключением от всех информационных сетей. Таких очень мало, далеко не все СИСТЕМНЫЕ администраторы являются сетевыми. Для остальных же сделать эффективные блокировки не проблема.

Более того в России как минимум в сотнях компаний (а скорее всего в тысячах) работают корпоративные блокировки, чтобы сотрудники работали, а не хернёй страдали. Так вот там задача блокировок давным-давно успешно решается. Связано это прежде всего с тремя факторами:

1. Высокий уровень зарплат позволяет нанимать тех, кто может решать задачи.

2. Блокировка "не того" для бизнеса имеет довольно конкретные финансовые проблемы. Как следствие ошибки в настройках блокировок очень болезненные для исполнителей. РКН за "блокировки не того" никто не наказывает, а безнаказанность ВСЕГДА порождает безответственность.

3. В таких компаниях понимают что и зачем блокируют. Как следствие есть продуманные архитектурные решения.

Может ли текущий РКН нормально осуществлять свой функции? Нет. Это принципиально невозможно.

Для того, чтобы задача решалась качественно нужны совершенно другие кадры, другие бюджеты и другие подходы к вопросу. По тому вопросу сделаю отдельный пост.