Stejná otázka by mohla být i na to, proč byl omezený výběr dodavatelů.
To je rozdíl mezi výběrovým řízením a řízeným výběrem.
Ale abychom byli spravedliví, oni nemají žádnou zákonnou povinnost provádět výběrové řízení podle ZVZ. Prostě si vybrali favoritní značky a mezi nimi hledali, co je aktuálně výhodné pořídit.
Mam tusenie, ze zrovna IBM/Lenovo nedaju do svojich serverov Intel XL710 ale nejaku svoju verziu postavenu na tomto chipsete. Nasledne tam funguje len IBM/Lenovo firmware. My sme vo firme pred casom riesili X520 a timto sme osekali vyber na niekolko znaciek ktore netrvalo na ich zbastlenych kartach.
Sice bych jako obranu proti DoS vyuzil spis velke mnozstvi vyrazne levnejsich zarizeni, ale budiz. Sice bych ponechal na ISP, aby si sami zainvestovali a implementovali AA CZ - je to totiz jejich konkurecni vyhoda, a sledoval bych jen, ze poskytuji aktualni zonu. ... sice bych delal mnoho veci jinak, ale chapu, ze stejne jako na vojne je potreba vykazovat cinnost. Jenze stejne jako vojaci neumi postavit stroj, ktery by byl zaroven lod, letadlo, tank, BVP a lehky kulomet, tak mozna nema cenu bojovat na jedine fronte s DDoS a snazit se postavit nepretizitelne AA DNS boxy. Mozna by to chtelo resit komplexem opatreni, ktere by v souctu vysly radove levneji.
Ale vzdyt cely ten DNS stack je clusterem levnejsich stroju, mezi ktere se rozklada aplikacni zatez. Lepsi odolnost proti DDoS je dana primarne onou "hrubou" silou v konektivite navenek, kde to router rozhazi provoz na jednotlive stroje - velmi jednoduche a pritom elegantni reseni. Nelze zapominat na to, ze cela .CZ je anycast a ta zatez se rozklada i geograficky. Nikde neni receno, ze boxy jsou "nepretizitelne" - ale na skutecne uspesny utok na .CZ je potreba pomerne velke mnozstvi zdroju - a o tom to cele je...
Cena odpovida kriticnosti (tedy dulezitosti) infrastruktury. S nefungujicim DNS toho na internetu drtiva vetsina uzivatelu veru mnoho neudela. Zbastlit to co mozna nejlevneji skutecne neni znamka profesionalniho pristupu. Kdyz se podivate na L-root, tak ten ma v Praze vyskladany podobne taky cely rack - a to je jen jeden anycastovy uzel z mnoha.
Znamkou profesionalniho pristupu rovnez neni, pokud se delaji technologicke ostruvky (=stack) na uzemi, ktere je stale pod jednou a touz jurisdikci. To nema pravni, technicky ani financni smysl.
Skutecne chcete uvazovat o "drtive vetsine uzivatelu"? Pro ne je prece sahani na L3/OSI uplne zbytecne, protoze tem staci replika v rekursivnim DNS jejich ISP.
Co mate na mysli "nefungujicim DNS"? Problem CZ TLD ovlivni prece jen CZ hinty. Navic proc by to melo zustavat rozbite? Nechava snad ISP schvalne nefunkcni linky a routovani? Proc by tedy mel nechat rozbitou repliku, pokud by ji chtel u sebe provozovat? To pro nej nemuze mit ekonomickou logiku.
Vzhledem k tomu, ze CZ.NIC coby organizace spada pod jurisdikci Ceske republiky je nesmysl naopak to co pisete Vy. Jednak pozadavek statni spravy musi CZ.NIC resit - a to i v pripade serveru umistenych v Africe. Rozhrani pro registratory taky bezi z CR. A v neposledni rade, v pripade DNS musi byt obsah zony na vsech serverech konzistentni - tedy stejny. Jiny stav znamena velky prusvih.
Nefunkcni (rozbity) nameserver 1,3 milionu .cz domen je pomerne zasadny a ne zrovna maly problem. A jejich vypadek v dusledku znamena ekonomicke ztraty pro vsechny subjekty na .cz domene zavisle - zejmena v e-commerce prostredi. V pomeru k moznym ztratam okolo jsou vydaje CZ.NICu jeste zanedbatelne.
Hm, obavam se, ze dochazi k nejakemu dramatickemu nedorozumeni. CZ.NIC (jako organizace) podleha ceske jurisdikci a navic jeho legalita spravy domeny vyplyva ze smlouvy, kterou ma s ceskym statem.
To se Vam samozrejme muze nelibit, nicmene je to fakt. Pokud se stat rozhodne predelegovat spravu domeny na jiny subjekt, muze to udelat, nebot ICANN bude respektovat rozhodnuti ceskeho statu.
Predpokladam, ze tusite, ze CZ.NIC ma dalsi stacky serveru i na dalsich mistech na zemi.
Zaroven vetsina dotazu na zonu .cz chodi z uzemi CR, tudiz je logicke, ze provozovatel zony .cz ma v CR robustnejsi infrastrukturu nez jinde (tri-ctyri repliky jsou dle meho nazoru zcela v poradku). A to, ze zaroven nekteri ISP chteji mit mensi cluster u sebe je dobre, ale CZ.NIC nesmi byt zavisly na libovuli ISP.
Moje cca 26 lete pusobeni na cesko(slovenskem) Internetu me naucilo nespolehat na "ekonomickou logiku". Je treba mit hotove vlastni domaci ukoly.
Samozrejme respektuji Vas nazor, ze to CZ.NIC dela spatne, nicmene muj nazor je takovy, ze spravu domeny CZ.NIC dela dobre v souladu s technickymi "best current practices" a s peci radneho hospodare.
"Ja vsak kritizuji cenu a zpusob provedeni, tam vidim velke slabiny."
Není to náhodou špatně proto, že to dělá CZ.NIC?
Furt píšete, že cz.nic dělá věci, co nesouvisí s doménou a její správou. A že peníze mají dávat na ni. A když je dají do DNS (bez kterýho doména nefunguje), tak je to najednou moc drahý? A mít víc redundantních serverů je špatně?
Budte trosku soudny. BMW vyrabi auta, a je to dobre. Kdyby zacali z nudy montovat jen auta s diamantovym volantem potazenym soboli kozesinou, tak by vam to asi taky prislo nevhodne...i kdyz by porad vyrabeli kvalitni auta.
Rovnez neni pravda, ze furt pisu, ze NIC dela neco co nema. Mne se (jako pozorovateli) nelibi, ze utraci penize v projektech bez dostatecne meritelneho impaktu. Kdyby sel zisk do nezavisle agentury pro podporu internetovych projektu, je to hned jina situace.
"Mne se (jako pozorovateli) nelibi, ze utraci penize v projektech bez dostatecne meritelneho impaktu. Kdyby sel zisk do nezavisle agentury pro podporu internetovych projektu, je to hned jina situace."
Aha.
Polovina root serverů ICANN běří na DNS serveru, který vyvinulo nic.cz. Je to měřitelný?
Dá se měřit, kolik registrátorů jiných TLD používá FREDa?
Dá se měřit, kolik bezpečnostních incidentů ročně řeší CSIRT.CZ a jak si stojí na bezpečnostích cvičeních?
Dá se měřit, jak dlouho je TLD .cz bez výpadku?
Dá se dohledat, kolik a jakých školení uspořádala jejich akademie a jaký byl impakt na účastníky?
Myslím, že toho dělají hodně a impakt je docela velký.
Takže problém je v tom, že neexistuje nekontrolovaná agentura, kde si management stanoví požadavky na projekty tak, že rozdá 20% a 80% jim zůstane na "provoz agentury", hlavně na náklady na personál?
To je jistě řada záslužných činností ale nevidím nikde zásah do menšího a středního podnikání. Pak se totiž jedná častou duplikaci s těmi co mají technické a organizační prostředky si poradit sami.
Turris je krásnej příklad jak by kombinace turris báze a csirt a dohledu cz.nicu mohla být k užitku.
1) cz.nic nema v popisu "zasah do maleho a stredniho podnikani"
2) Pokud Vam bezvypadkovy provoz zony .cz prijde jako maly cil, tak ehm ... jak to jen slusne rict - mozna - snad prectete si, s jakym cilem je cz.nic zalozen
3) Mozna Vas prekvapi, ze muj stary turris (a nejake ty dalsi turrisy) doma pod stolem je napojen na bezpecnostni aktivity cz.nicu
Pokud samozrejme jedete linku "cz.nic ma byt znicen", tak chapu, ze nenajdete zadna pozitiva, na druhou stranu staci tu linku opustit a najdete jich spoustu.
Jedeš jak zaseklá deska Michale, pořád do kola. Nepíšu nic o středním a malém podminkání ale že jsou to segmenty kde jsou s bezpečnostní na štíru nejčastěji.
Turris je pěkná hračka, u routeru za 8k bych čekal automatizovaný multiwan - přeci jenom problém většiny firem 5+ lidí.
Obcas by si to chtelo aspon precist dokumentaci. Pripadne to muzete vzit od zdroje. Ale chapu, ze pro nekoho muze byt strasny problem - tedy cist dokumentaci - nedejboze to podle ni nastavit :-)
"Turris je krásnej příklad jak by kombinace turris báze a csirt a dohledu cz.nicu mohla být k užitku."
Omyl, ono to tak je.
První Turris byl vytovřen jako kombinace SOHO router právě a bezpečnostní sonda v koncové síti. Mám doma T1.0 a i když už je po letech mým majetkem, pořád na něm jede honeypot na nepoužívaných portech a reportuje csirt.cz, kdo se pokouší nabořit po Telnetu, webu a SSH.
A protože o takový železo za korunu nájmu byl velký zájem, vyšel z toho T1.1
A protože byl pořád zájem, ale kasička nebyla bezedná, vylezla z toho Omnia, kterou už si člověk musel koupit za svoje, ale možnost automatickýho reportování tam pořád je. A protože pro některý je to všechno overkill, přišla stavebnice MOX...
Diskuse jako vždy zajímavým směrem:
1) logistika, říct že je 31 serverů logistickej problém je fakt odvaha. Když doprava a vše je za hubičku (dodávali jsme jeden den zákazníkovi 80 kusů 2U serverů, shodou okolností od jedné z oslovených firem a nebyl problém (dva kamiony - valníky).
2) cesta posílení a utok hrubou silou je jediná správná, dobrej návrh anycast sítě a neustále přidávání popů DDoSy principiálně dost řeší už jen proto že v rámci ovládání nějakého netriviálního množství počítačů/serverů obětí kontrolujete jejich linku ale rozhodně ne směrování připadnou SP politiku daného ISP.
politicky je to ovšem uvnitř neprůchozí, ale je to škoda - chápu snahu nezlevňovat doménu a nekrmit tak spekulany a spamery ale veřím že by se dané peníze dali utrtit jinak. Když už je politicky neprůhozí nějaká forma scrubbing centra určitě není pro cz.nic s jejich rozpočtem provozovat solidní lab na testování DDoS a kvality sítě a dát jej k dispozici. Pak může cena domény zůstat jaká je.
<nazor>nemělo to vůbec v článku zaznět</nazor>, nehlede na to že logisticky by to stejně napytel - domnívám se že hw evidence majektu, vstupní testování a konfigurace probíhá "na stole" a do dc se to pak jen umisťuje (protože to dělájí jiní technici než hw). možná je to v cz.nic jinak
U vetsich funkcnich celku je naprosto bezna dodavka primo do datacentra a jejich oziveni na miste - tedy po montazi ve stojanu. Konfigurace je v dnesni dobe automatizovatelna do te urovne, ze jen zapnete server, pripojite kabel a o zbytek se postara dobre pripravene - tedy automatizovane - prostredi (tedy vcetne instalace operacniho systemu). Proc s tim ztracet cas na pracovnim stole v kancelari, kde to akorat rusi kolegy...? ;-) I kdyz by to clovek resil "rucne", tak porad staci pripojit iDrac/ILO, adresu mu pridelit z DHCP a zbytek jde resit pohodlne vzdalene v klidu kancelare...
Sám si odporujete, tohle není větší dodávka dodávka je 100+, ale o to myslím nejde. Jde o to jestli je to určitě 10% informace kterou článek přináší protože zabírá 10% textu.
Ale respektuju že pro někoho to může být překvapení že když vemu velkou krabici a vynásobím ji 30x bude to veliké jako 30 velkých krabic, tedy hodně veliké.
I kdyby to bylo jen deset serveru, je logisticky z pohledu lidskych zdroju ty krabice (rozmerove presahujici rozmer serveru) mnohem efektivnejsi, kdyz se slozi primo v datovem centru - a nikoliv nejprve v sidle organizace, odkud se do datoveho centra (vlastnimi silami, s dalsimi naklady) prevezou, tak jak "navrhujete" - to je proste nesmysl. Ono 30U v "cistych" serverech muzeme s klidem prevest treba na cca 110U (tedy skoro 4,5metru) ve vysce dovezenyc krabic, a to jsem jeste celkem konzervativni.
Velmi taktne jste presel poznamku o tom, proc by mel servery nekdo poustet nekde v kancelari na stole (byt jediny kus) a obtezovat hlukem tim pusobenym sve kolegy - kdyz to viditelne neni nezbytne nutne. Ne kazdy je takovy geek rozplyvajici se blahem, kdyz se zrovna roztoci vysokootackove ventilatory ;-)
Ale v zasade Vam taky nic nebrani sednout a napsat pro root.cz podobny clanek - a popsat, jak podobne projekty resite v pripade Vasi infrastruktury - kdyz se domnivate, ze to delate lip nez CZ.NIC.
Není větší lábuž, než odtahat 30+ serverů do kanclu, rozbalit, zasvinit celou kancelář horami odpadu, natahat tam deset psů za sebou, zapojit a po spuštění vyhodit pojistky v celém baráku. A vůbec největší lábuž pak je, když se přitom ještě něco cvičně odpálí. No a poté, co tohle absolvujeme, tak slavnostně tu 3/4 tunu železa odtaháme zase do auta, přičemž to cestou pomlátíme (krabice mezitím vyházeli nepříčetní kolegové z kanclu oknem, a pokud náhodou ne, tak to do nich stejně už nikdo zpátky cpát nebude, protože by se to do auta nevešlo.)
Tak takhle to dělaj profíci, v serverhousingu si to nechá trapně složit jen amatér z CZ.NICu. :-P
Také se přidám k díky za parádní článek, pro mě kukátkem jak se dělá ve velkém řešení.
a pro ostatní diskutující, většina debat mi připomíná debatu odborníků u piva kteří kritizují naše fotbalisty s tím že se to dalo sehrát líp, s levnějšíma hráčema .. a výběrového řízení dresů se měl přidat i vietnamec na rohu.
Dobrý večer,
obě formulace si neodporují. Hlavním rozhodovacím kritériem byly skutečně technické parametry. Jelikož ze všech nabídek byly routery Juniper a Cisco z pohledu technických parametrů v zásadě srovnatelné, vybírali jsme vítěze na základě dalších skutečností. Tedy především dle nižší ceny a velikosti.
VS