David Heidelberg: Upgraduj telefony Linuxem
Co se dozvíte v článku
- David Heidelberg: Upgraduj telefony Linuxem
- Luboš Kocman: Digitální suverenita a openSUSE
- Vojtěch Dušátko: rebuild-ready Kubernetes
- Michal Lenc: NuttX aneb RTOS pro embedded nadšence i profíky
- Jakub Jirůtka: E-inkové cedule k učebnám
- Jakub Rubáš: Skenování zranitelností (nejen) na Linuxu
- Pavel Zálešák: Stop Killing Games
- Jakub Vokoun: O testování (nejen) serverů
- Martin Kalenda: Prodloužení uplatnitelnosti serverů
Když přišel Android, mysleli jsme si, že přichází otevřený operační systém, ve kterém si budeme moci provozovat všechny linuxové programy. Ukázalo se ale, že to tak nefunguje, že si můžeme jen pustit některé linuxové nástroje ve virtuálním prostředí. To ve WSL můžeme taky, ale není to úplně ono.
Cílem je mít běžné linuxové desktopové aplikace na telefonu. Mnoho desktopových aplikací má rozhraní pro mobilní telefony.
Pokud je spustíme v úzkém prostředí, chovají se z uživatelského hlediska jinak. Použití otevřeného linuxového systému umožňuje telefon používat netradičním způsobem.
Dnes už linuxové telefony fungují velmi dobře, neřeší se dřívější problémy s telefonováním a jiné běžné úkoly. Už to není takový skok do nepohodlí, mnoho lidí každodenně používá linuxové telefony.
Alternativy k populárním aplikacím jsou na Linuxu k dispozici, včetně klientů pro různé komunikační platformy.
Z hlediska přístrojů je dnes k dispozici například starší OpenPlus 6/6T nebo Fairphone 5, na kterém se ještě řeší některé detaily. V přípravě je Fairphone 6.
Na telefon je dnes možné nainstalovat Mobian, což je mírně upravený Debian. Ve vývoji je také NixOS Mobile, slušně používaný je pmOS postavený na Alpine a pak existuje řada specifických distribucí s menší uživatelskou základnou. Zajímavý může být také Ubuntu Touch, případně si spousta lidí zkouší rozběhat různé zajímavé alternativy.
Z prostředí je nejznámější GNOME a Phosh, případně je možné použít KDE s Plasma Mobile nebo plnohodnotný GNOME Shell. Chce to ale nějaké úpravy, aby byly všechny prvky připravené na malý displej.
Pro spuštění na novém telefonu je možné základní věci na SoC zprovoznit poměrně snadno, podpora pro jednotlivé bloky bývá už hotová. Pomocí device tree popíšete základ hardwaru a můžete nabootovat.
Pro řadu komponent pak stačí nahrát správný firmware, tím se zprovozní třeba Wi-Fi a Bluetooth.
Těžší to bývá se zvukem, protože je potřeba správně nastavit celou řadu komponent. Většinou je problém se zvukem při telefonování, samotný zvuk aplikací tak složitý není.
Je ale možné často využít práci vašich předchůdců, kteří už tyhle věci řešili.
Pro telefonování je potřeba zprovoznit modem, nastavit zvuk a podobně. V případě fotoaparátu je třeba zařídit ostření a blesk. Obvykle můžete ovládat nějakou diodu, které řeknete, jak moc má svítit.
Dnes už z kamer dostáváme velmi slušný a použitelný obraz.
Pokud chcete začít, je nejlepší vzít skutečný telefon, nahrát do něj funkční operační systém a rozběhnout oblíbené nástroje. Pokud narazíte na chybu, zkuste ji opravit.
Je dobré vyhledat také místní komunitu na různých sítích.
Čím víc Google utahuje šrouby a snaží se omezovat uživatele, tím rychleji linuxová komunita roste. Stačí začít malými krůčky a nakonec se dostanete třeba k vývoji linuxového jádra.
Luboš Kocman: Digitální suverenita a openSUSE
Málokdo tuší, kde běží infrastruktura pro vývoj jeho oblíbené linuxové distribuce. Konkrétně openSUSE se dnes vyvíjí prakticky celé v Praze. V současné bezpečnostní situaci se hodně řeší téma digitální suverenity.
Digitální suverenita označuje schopnost řídit a kontrolovat vlastní digitální aktiva, infrastrukturu a data. My dnes podléháme výhradně evropské legislativě.
Vždycky tak tomu ale nebylo, infrastruktura byla dříve provozována v americkém Utahu ve městě Provo. Důvodem je to, že společnost Novell měla v tomto městě datacentra.
Poté došlo k několika prodejům firmy, až nastal odchod od americké společnosti Micro Focus. V roce 2020 totiž došlo k návratu do Evropy a migrace do infrastruktury v Norimberku. Na naši wiki ale nikdo nesahal a pořád jsme v dokumentech psali, že máme infrastrukturu ve Spojených státech.
V roce 2022 pak nastalo velké stěhování velké části infrastruktury z kanceláří v Norimberku do Prahy. S pomocí openSUSE Heroes byla zmapována aktuální infrastruktura projektu a drtivá většina teď běží v Praze.
Situaci je pak možné sledovat na webu projektu.
Po dvanácti letech tak byly přepsány i licenční podmínky, které přešly na evropskou právní entitu, modernizovanou ochranou dat podle GDPR a zohledňují všechny varianty distribuce. Před těmi dvanácti lety jsme vyvíjeli jedinou distribuci, dnes vyvíjíme celou škálu distribucí a licence platí opravdu pro všechny.
Existují i oficiální právní překlady licence do francouzštiny a němčiny. Také jsou dostupné aktualizované komunitní překlady do češtiny, ruštiny, španělštiny, katalánštiny a japonštiny.
Když už víme, kde probíhá sestavování naší distribuce, stále si nemůžeme být jistí, že co jsme stáhli, je opravdu vytvořeno na správném místě a skutečných zdrojových kódů. Řeší se tedy také reprodukovatelná sestavení, kdy je možné vše na vlastní infrastruktuře zkompilovat a poté porovnat bit na bit. Nejsme ještě na stu procentech, ale už jsme překročili devadesát procent.
Vojtěch Dušátko: rebuild-ready Kubernetes
Problém vlastní instance Kubernetes se skládá z toho, že máte obrazy systémů, ze kterých jsou poskládané kontejnery. Helm charty definují, jaké jsou v cloudu objekty, následuje úložiště se stavem, kešemi a dalšími částmi a také různé skripty. Jakmile se rozhodnete udělat rebuild nebo restart, přichází okamžik pravdy. S trochou štěstí vám to projde, ale je možné, že taky ne.
Otázka totiž je, jestli stále existují všechny potřebné obrazy a jejich verze a zda existují na stejných cestách. Nebude chybět něco, co leželo v emptyDir nebo PV? Jsou dostupné všechny používané skripty a binárky? Je vše v daný okamžik dostupné z mého datacentra a nenarazím na nějaké limity?
Je důležité se zamyslet nad tím, co všechno máme v danou chvíli k dispozici. Co mám v cloudu, to vlastně nemám. Jen doufám, že se mi to podaří stáhnout.
Obrazy bychom měli dávat do registry proxy, helm charty do charts registry a kešovaná či generovaná data bychom měli zálohovat, pokud to jde.
Problém s obrazy je, že dnes používáme mnoho různých repozitářů (registry) a jedna proxy na výchozí už nestačí. Zároveň pozor na to, že proxy cache není plnohodnotné zrcadlo a vrácená 404 může přebít data v cache. Sice máte kopii staženou, ale ta se chová tak, jako by neexistovala.
Upstream je často větší autoritou než cache.
Externí binárky a skripty je lepší nepoužívat, protože je nutné přebalit oficiální obrazy a přidat do nich vlastní úpravy. Apelujte na své IT týmy, aby zveřejňovaly výsledky vlastních úprav. Jinak je budeme dělat pořád dokola všichni.
Subcharty jsou samostatná kapitola, protože aplikace mohou měnit licence. Když Redis změní licenci, prohledáváte celý cluster a hledáte ho.
Pokud změní licenci celý subchart, musíte přestavět cluster a postavit si vedle Valkey.
To, že něco máme v Gitu, neznamená, že to zítra bude možné znovu postavit. Rebuild funguje jako integrační test internetu. Když se na to podíváme z hlediska povinných organizací zákona o kybernetické bezpečnosti, je dostupnost součástí bezpečnosti. Na tohle skoro nikdo nemyslí a podle mě by myslet měl.
Michal Lenc: NuttX aneb RTOS pro embedded nadšence i profíky
Při programování embedded zařízení máme několik možností: můžeme programovat přímo v jazyku C a být nejblíž k zařízení. Druhou možností jsou HAL (Hardware Abstraction Layer), což jsou abstrakční vrstvy dodávané výrobci. Třetí možností jsou operační systémy navržené pro embedded. To je vlastně kombinace HAL a API, společně s dalšími vlastnostmi.
Můžeme mít k dispozici konzoli, podporu vláken, souborových systémů, síťování a podobně.
NuttX RTOS je operační systém reálného času (RTOS), který byl poprvé zveřejněn v roce 2007. Od roku 2022 je plně zařazen do organizace Apache a vychází pod licencí Apache License 2.0. Je hodně inspirovaný Linuxem, je psaný v C a je téměř plně kompatibilní s POSIX API. Snaží se udržovat kompatibilitu s voláními z Linuxu.
Výhodou je, že aplikace může být napsaná tak, že je kompatibilní s Linuxem. Můžete používat oblíbené nástroje a nemusíte každou verzi nahrávat do desky pro testování.
K dispozici je široká podpora architektur: ARM, RISC-V, Xtensa a AVR. Zároveň je podporována velká řada mikrokontrolerů a vývojových kitů.
NuttX má velkou variabilitu v konfigurací pomocí Kconfig, minimální sestavení vyžaduje zhruba 32 kB RAM a flash. Dá se jít i níže, ale znamená to hodně kompromisů a je to spíše zbožné přání.
Kód je velmi dobře rozdělen na společnou část ovladače (upper half) a část specifickou pro daný čip (lower half). Aplikace vždy komunikuje jen se společnou částí pomocí POSIX API.
Jednou z aplikací je NuttShell (NSH), který je dostupný na UART, CDC/ACM, nebo po síti přes telnet. Nabízí monitorování procesů, debugování, logování, správu souborů, nastavení sítě a možnost spouštět aplikace na pozadí. Pokud si ho chcete vyzkoušet, můžete se podívat na online demo.
Zdrojový kód je rozdělen do tří hlavních adresářů. Ovladač arch obsahuje obecnou implementaci mikrokontroléru a specifických vrstev ovladačů, adresář drivers obsahuje společnou část ovladače a boards obsahuje kód pro jednotlivé desky. Konfigurace probíhá přes Kconfig převzatou z linuxového jádra. Můžeme si zde vybrat zahrnutí podpory sítě, souborových systémů, aplikací a jádra.
Konfigurovat je možné téměř každou funkcionalitu, což může být složitější pro orientaci. Některé volby jsou špatně dokumentované, takže stejně musíte do zdrojového kódu.
Občas je možné narazit na problémy se závislostmi, což se v lepším případě projeví už při kompilaci, v tom horším pak až za běhu.
Občas se říká, že NuttX je jenom hračka bez reálného využití. Dnes ho ovšem můžeme najít na mnoha místech v průmyslu, v Česku například v odpojovačích trolejového vedení či komunikaci s palubními počítači v tramvajích. Dále jej můžeme najít v IoT systémech Sony Spressense, systému PX4 pro řízení dronů, ekosystému OpenVela od Xiaomi, či při řízení motorů na ČVUT FEL.
Jakub Jirůtka: E-inkové cedule k učebnám
Označníky u dveří jsou tu s námi od pradávna a v podstatě se na nich nic nezměnilo – jsou statické. Označení místnosti se nemění, ale rozvrh se obvykle mění několikrát za semestr. Údržba takových cedulek je velmi nákladná, protože někdo musí vytisknout nové rozvrhy a obejít celou fakultu. To nechcete dělat příliš často a pokud možno vůbec ne.
Taková cedulka neukazuje neperiodické události jako blokovou výuku, zkoušky nebo různé rezervace. Typicky je ale potřebujete ve chvíli, kdy spěcháte a potřebujete vědět, co se v dané místnosti právě děje. Někdy se výukou nahrazují státní svátky, takže se třeba ve čtvrtek učí jako v úterý.
Cílem projektu bylo zobrazovat všechny důležité informace a aktuálně probíhající událost. Cedulky je vhodné také spravovat na dálku přes ethernet. Při rekonstrukcích učeben jsme přivedli vedle dveří ethernet pro komunikaci a napájení.
Taková úprava je k dispozici ale jen u třetiny učeben, takže bylo potřeba vymyslet také bateriové řešení.
Bylo potřeba zvolit velký a dostatečně čitelný displej, pro který bude možné vytisknout rámeček na standardní 3D tiskárně. Zvoleny byly displeje využívající elektronický papír, které nesvítí a zobrazují pomocí barevných kapsli ovlivňovaných elektrickým polem. Je to dobře čitelné a spotřebovává to energii jen při překreslování.
Používají se často ve čtečkách elektronických knih nebo u moderních cenovek v supermarketech.
Překreslení takového displeje je ale poměrně pomalé a počet barev je velmi omezen. Nejběžnější jsou černobílé, případně doplněné o červenou nebo žlutou. Existují i velké barevné varianty, které se ale překreslují desítky sekund. Pro použití pro běžné zobrazení je to nepoužitelné, ale pokud to chcete překreslit několikrát za den, může to být výhodné.
První verzi cedule vytvořili studenti, ale napájení pomocí PoE mělo spoustu problémů, včetně velkého odpadního tepla z konverze napětí. Také byl použit senzor pro ovládání gesty, který dokázal přepnout zobrazení z denního na týdenní. Překreslení je ale velmi pomalé a uživatelé z toho byli zmatení, takže jsme ho nakonec vyřadili.
Finální verze využívá 10,5" displej, který je schopen zobrazit čtyři odstíny černé. Je to největší displej, pro který dokážeme vytisknout rámeček v jednom kuse na běžné 3D tiskárně.
O řízení se stará deska ESPink v2 a o napájení pak 10Ah LiPol baterie. Vypadá to, že vydrží dva semestry, ale záleží na síle Wi-Fi signálu a periodě obnovování.
Řídicí deska je osazena standardním ESP32, má 16 MiB paměti, podporuje 802.11b/g/n Wi-Fi, Bluetooth v4.2, konektor pro připojení displeje a integrovanou nabíječku baterií. K programování poslouží konektor USB-C, takže není potřeba žádný speciální programátor. Vše je open hardware, takže si desku můžete koupit nebo nechat vyrobit.
V současné době je na ČVUT nainstalováno 28 těchto cedulek a připravuje se dalších 30. Na levé straně je zobrazená časová osa daného dne, vpravo pak je aktuálně probíhající výuka. Nahoře je pak vidět aktuální datum a číslo učebny. Datum je tam proto, aby bylo na první pohled jasné, že se cedulka přestala aktualizovat.
K dispozici je také QR kód, který vede na kompletní rozvrh pro daný semestr.
Napájení je realizováno především pomocí integrované baterie, což umožňuje instalaci kamkoliv, ale je třeba cedulku jednou za rok dobíjet. Když jich máte po fakultě šedesát, už to vyžaduje nějakou organizaci.
Myšlenka využití ethernetu nebyla úplně opuštěna, ale kabel se nepoužívá pro komunikaci ani PoE, ale přímo se pomocí kabelu přenese potřebné napětí na dálku na desku pomocí pasivního 5V napájení.
Cedulky řídí aplikace Door Signs Controller, která data načítá ze služby importující data v kalendářovém formátu. Výstupem je obrázek, který se zobrazí na displeji.
Zhruba čtvrt minuty před změnou se obrázek vygeneruje ve formátu PNG do fronty MQTT pro konkrétní zařízení. To se pak probudí, data si stáhne a zároveň vyšle vlastní metriky, které se stahují do Promethea a zobrazují v Grafaně.
Cedulky je možné aktualizovat na dálku pomocí HTTPS a zároveň je možné nastavovat vzdáleně v cedulkách přesný čas pomocí NTP. To vše běží ve zcela oddělené síti, která není přístupná z internetu a zároveň z ní nejsou dostupné další sítě.
Kvůli šetření energie při běhu na baterie se cedulka uspává a při každém stažení nového obrázku dostane také informaci o tom, kdy se má znovu probudit a požádat o další aktualizaci.
Když máte po budově rozmístěné desítky malých počítačů napájených baterií, musíte sledovat jejich stav. Proto byl od začátku řešen také monitoring pomocí nástrojů Prometheus a Grafana. Zařízení vždy při probuzení a usínání posílá spoustu podrobností jako je uptime, verze firmwaru, kapacita baterie, síla signálu, poslední čas probuzení, využití paměti a podobně. Sledujeme také, jak dlouho je zařízení přes den probuzené, obvykle je to kolem pěti až šesti minut.
Největší problémy byly v praxi s podpětím, které bylo vyřešeno přidáním kondenzátorů a následně výměnou desky za novější revizi. Další problém způsobovaly nepřesné hodiny reálného času (RTC), které bylo možné vyřešit softwarovou úpravou doplňující dodatečný krátký spánek po kontrole času. Dále se projevil úbytek napětí na vedení po ethernetu, kde stačilo zvýšit vstupní napětí z 5 na 7 V.
Dále se objevily problémy s komunikací, protože firmware používá pro vyhledávání sítě Wi-Fi fast scan. Někdy se tedy cedulka připojí ke vzdálenému přípojnému bodu, který zjistí slabý signál a klienta odpojí. Ten by měl zareagovat připojením k bližšímu bodu, ale v režimu fast scan se to nestane a cedulka se snaží neustále připojovat ke stejnému AP a tím se vše zacyklí. Vyřešilo se to přepnutím na full scan, ale to nás stojí více baterie a stejně se někdy cedulka připojí zbytečně ke vzdálenějšímu AP.
V plánu je optimalizovat práci s Wi-Fi, kešovat logy do vnitřní paměti flash a začít vyrábět cedulky i pro další školy. Správa je nyní řešená velmi jednoduše, ale není to přenositelné na jinou školu, která nemá silné technické zázemí. Budeme tedy pracovat na nové aplikaci pro správu, která bude uživatelsky přívětivější.
Jakub Rubáš: Skenování zranitelností (nejen) na Linuxu
V posledních letech došlo k explozivnímu růstu počtu nových CVE. Je to vlastně exponenciála a každý rok je toho čím dál tím víc.
Přibývá také věcí, o které bychom se tedy měli starat. Musíme si tedy vytvořit nějaký prioritizační proces.
CVE (Common Vulnerabilites and Exposures) je veřejná databáze zranitelností spravovaná organizací MITRE, což je nezisková organizace podporovaná americkou vládou. V loňském roce vznikl problém s financováním, což byl jeden z důvodů k vytvoření evropské alternativy EUVD. Existují i další alternativní databáze zranitelností.
Každá zranitelnost má své hodnocení v rozsahu od 0 do 10, které ukazuje závažnost zranitelnosti. Není to priorita zajišťování opravy.
Vždy musíme řešit riziko a někdy je výhodnější opravit méně závažný problém, který je snadno opravitelný a řeší větší riziko.
Při rozhodování o zranitelnosti je potřeba především znát kontext. Musíme vědět, jestli se problém projevuje v produkci, zda je otevřený do internetu a podobně. V současnosti se často používá systém Thread Inteligence, který ukazuje, co se reálně zneužívá v praxi, kdo útočí a jaké techniky používá, pro které problémy existuje exploit a podobně.
Mezi nejpoužívanějšími platformami jsou MISP, Alienvault, SANS Stormcast a katalog CISA KEVC. V něm je možné sledovat probíhající útoky a pokud se v databázi nějaký objeví, měli byste zbystřit.
Další informace o exploitech je možné najít třeba v Exploit-DB nebo na GitHubu, případně je možné získávat reporty od dodavatelů nebo použít vlastní honeypoty.
Ve své infrastruktuře si můžeme nasadit vlastní skenování sítě zvenčí, privilegované skenování zevnitř, agentické skenování přímo na stanici nebo pasivní detekce. Pokud na zařízení nemůžete dát agenta, ani ho z nějakého důvodu skenovat, můžete pasivně sledovat komunikaci.
Z toho zjistíte, co na které straně běží a zda to znamená nebezpečí.
Jakmile máme zjištěné informace o zranitelnostech, můžeme testovat vlastní zařízení, třeba pomocí agentů. Nalezené chyby je pak potřeba prioritizovat a následně opravit. Ke každé zranitelnosti není k dispozici záplata, pak musíme nasadit výjimku.
Musíme ji ale evidovat a po čase ji znovu prozkoumat.
Mezi doporučované nástroje patří skenery nmap a nuklei. Jejich problém je, že pro ně potřebujete další informace.
Nedozvíte se od nich, že konkrétní situace či verze znamená problém. Je třeba stáhnout nějaké další databáze a porovnat je samostatně se zjištěnými informacemi ze skenu.
Legendární je nástroj OpenVAS, který je dnes vlastněný společností Greenbone. Stále je k dispozici jednodušší komunitní verze, kterou lze provozovat také v HA. Pro webové aplikace je možné používat nástroje Nikto, OWASP ZAP nebo Burp Suite PortSwigger. Tyhle skeny trvají mnohem déle a nejsou nedestruktivní.
Doba mezi nalezením zranitelnosti a vytvořením exploitu se velmi rychle zkracuje. Bohužel se k tomu používá AI, ale dobrou zprávou je, že se používá i na druhé straně.
Používá se k analýze CVE, korelaci threat intelligence a predikcím.
Pavel Zálešák: Stop Killing Games
Stop Killing Games je evropská občanská iniciativa, která vznikla už před deseti lety. Jejím cílem je zabránit zničení her po vypnutí serverů, zajistit ochranu spotřebitelů a zachování her jako kulturního dědictví. Naši rodiče nám mohou ukázat svoje hračky, ale my možná nebudeme mít možnost za deset let ukázat, s čím jsme si hráli my.
Delší dobu se nedařilo oslovit dostatečný počet hráčů, poté se o věci dozvědělo několik youtuberů a vše zpropagovali. Během pěti týdnů jsme získali přes milion dalších podpisů.
Tím se podařilo překročit petiční limity rovnou ve 24 státech Evropské unie.
To vše proběhlo bez financování, čistě z dobrovolnického zápalu. Měli jsme obavy z falešných podpisů, protože informace se ověřují až dodatečně.
Nakonec se podařilo ověřit 1,3 milionu podpisů.
Následovala návštěva v Bruselu, kde proběhla prezentace před Evropskou komisí, které se účastnili dva komisaři. Týden poté proběhl Civil Society Week, na kterém se prezentovaly občanské iniciativy. Setkalo se to s velmi pozitivními reakcemi.
Teď probíhá půlroční okno, během kterého budou probíhat rozhovory s Komisí a na 16. dubna je naplánováno veřejné slyšení. Byla založena organizace NGO sídlící v Bruselu, bude probíhat další lobbing a snaha oslovit nové uživatele.
Jakub Vokoun: O testování (nejen) serverů
Testovat je možné spoustu věcí, ale většina správců se nezabývá tím, jestli je vše ve výsledném stavu. Je ale možné zjistit, jestli je balíček nainstalovaný ve správné verzi, jestli služba běží, zda je přítomen správný konfigurační soubor a jestli má správná oprávnění. Můžeme také zjistit, jestli něco poslouchá na daném TCP portu.
Hodí se to ve chvíli, kdy nasadíme něco nového, ale můžeme také testovat po provedení změn nebo po určité době. Když mi něco běží dlouho, chci si být jistý, že je to pořád funkční.
Nejstarším hráčem v této oblasti je Serverspec, což je nástroj napsaný v Ruby a využívající syntaxi RSpec. Má velkou komunitu, ale vyžaduje instalaci Ruby a celé řady gems. Je to šikovné a funguje to, když překonáte prvotní překážky s nasazením.
Druhou variantou je Goss, což je jedna binárka napsaná v Go. Znamená to, že musí být nainstalován vždy uvnitř serveru, který testujeme.
Má vystavený HTTP server, kde je možné se dotazovat na stav celého serveru.
Třetím doporučovaným nástrojem je Testinfra, který je napsaný v Pythonu a dobře se integruje s nástrojem pytest. Syntaxe je přirozená pro uživatele Ansible.
Připojit je se možné pomocí SSH, Dockeru, Ansible či Paramiko. Všechny tyto tři nástroje umějí vygenerovat výstup JUnit XML.
Podobné testy nejsou určené jen pro velké korporace. Stačí vlastně jen malý krok, jeden soubor goss.yaml a jeden pytest. Můžete spustit cokoliv a jen se podíváte, jaký to vrátilo návratový kód.
Martin Kalenda: Prodloužení uplatnitelnosti serverů
Při práci se skutečnými daty musíme uvažovat nad tím, že je potřeba dodržovat legislativní a regulatorní požadavky. V takové situaci je potřeba hledat rozumně dostupný hardware, který zajistí možnost místního zpracování dat. Je třeba pochopit ekonomickou realitu a projekt finančně správně naplánovat.
Poměr mezi cenou a výkonem je u procesorů lineární a je možné optimalizací ušetřit velké peníze. V případě strojového učení jde o logaritmickou křivku a u velkých jazykových modelů je více než exponenciální. U mnoha projektů je nejzásadnější vyhovět legislativním pravidlům. Pro banku je ztráta licence likvidační.
Při plánování jde vždy o vyvažování rychlosti a schopností vzhledem k ceně. Je třeba si dnes uvědomit, že unifikovaná paměť mění pravidla hry.
Oblíbenými řešeními jsou NVIDIA Spark a počítače Mac, kde je možné modely přetížit a kromě paměti začít také swapovat, což výkon výrazně sníží, ale výsledek se dostaví.
Z hlediska ekonomiky lokálního jazykového modelu je zásadní výpočet denních nákladů na hardware za čtyři roky používání při padesátiprocentní využitelnosti. Obvykle se pohybuje pod jedním dolarem za den. Za to získáte suverenitu a obrovské zkušenosti, které při provozu v cloudu nezískáte.
Svět se příliš nezměnil na úrovni hardwaru, ale změnily se softwarové technologie. Kubernetes v HA vám pak umožňuje překročit plánovanou dobu zastarávání. U bank to byly typicky tři roky, nyní je možné jít výrazně dále.
Ceny serverů se za poslední rok zdvojnásobily, takže dává smysl je neházet do šrotu.
ČLÁNKY DO MAILU