המעבר מ-Digital Ocean לאמזון Lightsail

בלוג זה התארח עד היום בבוקר אצל Digital Ocean וכלקוח שלהם, אני יכול לאמר שהם אחד הספקים שמעולם לא אכזבו אותי. שרתים יציבים, אפס תקלות חומרה, והמערכת עובדת כמו שעון שוויצרי, ובקיצור איך אומרים אנשי לינוקס רבים: ה-Uptime חוגג 🙂

בשנים האחרונות חשבתי לא פעם להעביר את הבלוג הזה לענן כמו של אמזון או גוגל. אחרי הכל, כשאתם קוראים את הפוסט הזה או כל פוסט בבלוג שלי, בסופו של דבר אתם מקבלים גירסת דפים סטטית כך שהשרת כמעט ולא עושה כלום, את הגרפיקה אני יכול לאחסן ב-S3 במחיר מוזל ויש כל מיני יתרונות נוספים, אך הדבר שהכי הרבה הפריע לי בעננים – היה עניין המחיר ה"דינמי". בבלוג זה ובבלוגים אחרים שלי, יש ימים שהמבקרים היחידים בו זה גוגל ועוד כמה רובוטים, ויש ימים שפתאום כל מיני חברות שמפרסמות תכנים רוצות לפרסם תכנים מהבלוגים ולשלוח לי טראפיק – ואמנם אחרי כמה ימים אני רואה תעבורה של כמה אלפים ליום, מה שאומר – שמחיר הטראפיק שלי יעלה.

אם יש משהו אחד שאני ממש לא אוהב, זה הפתעות בחשבוניות, אז החלטתי להישאר ב-Digital Ocean. המחיר קבוע, זה עובד, אין הפתעות.

אמזון לאחרונה הכריזה על שרות LightSail שמתחרה בדיוק ב-Digital Ocean, Linode וספקי VPS רבים אחרים. היתרון בחבילה זו: המחיר קבוע, גודל המכונה קבועה (מבחינת ליבות, זכרון וגודל דיסק SSD מקומי) ויש לך כמה טרהבייט תעבורה החוצה כלולים במחיר. מכיוון שקיבלתי לאחרונה כמה דולרים בקרדיטים, החלטתי היום להעביר את הכל מהמכונה ב-Digital Ocean למכונה חדשה באמזון LightSail. המכונה הישנה רצה על אובונטו 15, החדשה על 16 וחשבתי שזה לא יהיה מורכב: rsync להעברת קובץ tar (של האתרים עצמם), קובץ dump של ה-SQL, סקריפטים והגדרות שונות – ונגמור עניין. לא אמור להיות מסובך.

מסובך זה לא היה, אבל תקלות – היו גם היו. הנה רשימה חלקית:

  1. האזור היחיד שאפשר להקים בו כרגע מכונה ב-Lightsail – זה אזור צפון וירג'יניה, שום מקום אחר. תרגום: תתכוננו לעוד 150 מילישניות Latency (אלא אתם משתמשים ב-CDN והקבצים הראשונים הם HTML/CSS).
  2. החלטתי לעשות dump ל-mysql כולו, כלומר all-databases ולהרים אותו על MariaDB החדש במכונה באמזון. הפקודה עברה בשלום, אבל restart ל-mysql הוציא הודעה על unix_socket plugin – לא נטען. מי שמקבל את התקלה הזו – יש פתרון כאן. מה שהפתרון לא מזכיר, זה שיש להקים לאחר עצירת ה-mysql תיקיה בשם /var/run/mysql/ כאשר לתיקיית mysql ההרשאות הן mysql:root אחרת לא תצליחו להפעיל את ה-MySQL כי הוא לא יכול לכתוב קובץ PID וההפעלה תיכשל.
  3. אם אתם משתמשים ב-Wordpress, תשמחו לדעת שהוא עובד מעולה עם PHP-7, ומאוד מומלץ לעבוד עם ה-FPM של PHP-7. ההבדל בין גירסה 5.6 של PHP לבין גירסה 7 – מהירות כפולה בלי לשנות אפילו שורת PHP אחת.
  4. המכונה שתקימו ב-LightSail לא תראו אותה ב-Instances או ב-VPC שלכם. אם אתם רוצים להשתמש בשרותים האחרים של אמזון דרך כתובות פנימיות, תצטרכו להפעיל שרות VPC Peering וכאן זה תלוי מתי נרשמתם לאמזון. במקרה שלי, מכיוון שאני רשום ל-AWS בערך מ-2009 אז כל נסיון VPC Peering נכשל, ויש לפתוח קריאה לתמיכה שיסדרו מהצד שלהם את הבעיה מהצד שלהם.
  5. מבחינת בניית חוקים ל-Security Groups/חומת אש – יש באג ב-LightSail: יש לך רשימת שרותים מאוד מצומצמת ש-Lightsail מכיר. רוצה להוסיף דברים כמו ICMP, SMTPS ודברים אחרים? אתה יכול לבחור Custom ולציין את מספר הפורט ואז … החוקים שיכתבו זה פתיחה של כל הפורטים. כרגע, מכיוון שאינך יכול לראות את מכונות ה-Lightsail בתוך VPC כלשהו, אינך יכול להגדיר Security Groups לאותו VPC ומכיוון שאינך רואה את ה-Instance בשום מקום (זולת האתר של LightSail) אינך יכול להגדיר גם שם את ה-Security Group למכונה שיצרת ב-LightSail. בקיצור – רוצה פורטים פתוחים/סגורים? תעשה זאת מתוך ה-VM.
  6. מבחינת השוואת מעבדים בין מה ש-Digital Ocean נתנו לי (המכונה שלי הראשית ששירתה את הבלוגים הוקמה שם לפני 4 שנים) המעבד היה XEON E5 דגם L (כלומר מהירות שעון נמוכה יותר – 1.8 ג'יגהרץ, וכמות ה-Cache היתה כמחצית ממה שיש ב-E5 ממוצע). באמזון דגם ה-E5 היה יותר חדש עם Cache מלא.
  7. מבחינת הפצות לינוקס – אינך יכול להקים מכונות מה-Market או מ-AMI שאתה בנית בעבר. יש לך רק מה שאמזון בנו שזה אמזון לינוקס (תואם CentOS בערך…), ואובונטו 16. לבחירתך ההפצות הללו כ"ערומות" או כהפצות + תוכנות קוד פתוח מוכנות, אבל שום דבר מעבר לזה. תשכחו מרשתות מורכבות וכו'.

לסיכום, המחיר עבורי הוא פחות או יותר אותו מחיר (רק שהפעם יש לי קרדיטים אז אני מאמין שה-3-4 חודשים הקרובים העלות היא על אמזון) – שזה במקרה שלי 40$ על אותה מכונה לחודש (2 ליבות, 4 ג'יגה זכרון, 60 ג'יגה דיסק, 5 טרה תעבורה בחודש החוצה). יש ל-LightSail פה ושם עדיין "מחלות ילדות" (בכל הקשור ל-VPC Peering) אבל אם שיחקת בעבר עם AWS, אתה תצליח להסתדר.

האם אני ממליץ להעביר מכונות שלכם לזה? אני לא ממש עושה SEO לבלוגים שלי כך שעוד 100 מילישניות לא משנים לי ממש (כי בין כה תקבלו את האתר בתצורתו הסטטית מאוד מהר דרך ה-CDN שאני משתמש – CloudFlare). יחד עם זאת, אני ממליץ להמתין שאמזון ירחיבו את השרות לאזורים אחרים גיאוגרפית ויטפלו במחלות הילדות.

קצת על IPXE

יש לא מעט ארגונים שעובדים או עבדו עם PXE. השיטה הזו טובה להתקנת מערכת מאפס בלי להיסחב עם דיסק און קי, קבצי ISO או העתקי מחיצות (Partitions) שהיצרן החליט לשים העתק של מערכת ההפעלה שם (כדי שתתקין יחד עם מערכת ההפעלה את ערימת הזבל שהוא מכניס).

מבחינה טכנית – PXE הוא די פשוט: יש שרת TFTP שמגיש קבצים ב-UDP דרך פורט 69. אתה מקים שרת כזה, מוודא שיש שרת DHCP שיתן כתובות IP זמניות (או קבועות אם אתה נותן כתובות לפי MAC) למכונה שעושה BOOT PXE וכל מה שנשאר לך זה לוודא שתוכנת ה-PXE Client (יש כל מיני ללינוקס ו-Windows) יודע איך להעלות את המערכת שאתה רוצה להעלות.

הפתרון הזה הוא פתרון נחמד למעבדת מחשבים או למקום שצריך PXE פה ושם. אחרי הכל – תן לשרת TFTP להגיש קבצים ל-100 מכונות בו זמנית ותראה את השרות זוחל.

אני רוצה להכיר לכם את IPXE.

אם אנחנו מסתכלים היום על Data Center – בין אם ה-DC מורכב מחצי ארון עם 3 שרתים ועד לאולם שלם שמפוצץ שרתים – הדברים השתנו לחלוטין בעשור האחרון. שיטת העברת הקבצים הכי פופולרית היום היא HTTP, אנחנו יותר משתמשים ב-iSCSI וב-NFS, בחלק מהמקומות יש Infiniband, ועוד ועוד טכנולוגיות מודרניות, ובכלל – כיום כל VM יושב על iSCSI או על NFS והתקנה אוטומטית דרך פרוטוקולים אלו יכולה לסייע מאוד.

היחוד של IPXE הוא בכך שהוא לוקח את PXE המוכר ומקדם אותו לעידן של היום תוך מתן תמיכה טבעית ל-NFS ו-iSCSI והעברת קבצים עצמה יכולה להתבצע דרך HTTP (ולכולם יש כיום מערכות לנטר ולכוון תעבורת HTTP). מה עם שרת ה-TFTP? אותו עדיין נצטרך אך ורק להעביר קובץ יחיד (UNDIONLY.KPXE) ואולי עוד קובץ למערכות UEFI. את השאר אפשר להעביר בפרוטוקולים אחרים.

IPXE נותן לנו במכונה שעושה BOOT PXE גם אפשרויות של סקריפטים בשפה די פשוטה שיקח לכם זמן מאוד קצר ללמוד אותה. אפשר להכניס תנאים, לשרשר קבצי IPXE, וכמובן – יש תמיכה ל-NFS, iSCSI, Infiniband ופרוטוקולים אחרים. כך לדוגמא אם מרימים מערכת ESXi או לינוקס, אפשר להכניס פרמטרים להטענת kickstart להתקנה אוטומטית, להשתמש ב-WIM של Windows ועוד. צריכים מכונות דסקטופ ל-Windows? אתם יכולים לעקוב אחר ההוראות כאן לגבי פתרון שיכול להתאים לכם.

הנה לדוגמא מערכת שאני מקים אצלי ב-LAB בבית (מאז הוספתי עוד כמה שורות). לא משהו מורכב, אבל עם הסקריפט הסופר-פשוט שכתבתי – אני יכול להתקין מגוון מערכות הפעלה לכל VM חדש שאני יוצר מבלי לחפש כל פעם היכן ה-ISO. כל קבצי ההתקנה וסקריפט ה-IPXE יושבים אצלי על שרת NGINX (שרת Web) וסקריפט ה-IPXE פשוט מוריד את כל מה שהוא צריך בהתאם למערכת שבחרתי ולבסוף מריץ פקודת boot. משהו לא עבד? לחיצה על CTRL-B תתן לי "shell" נחמד שאיתו אני יכול לנסות את הפקודות ידנית או לראות את השגיאות לפרק זמן ארוך כדי לתקן אותם ולהפעיל את המערכת מחדש.

ipxe

מערכת נוספת שהכנסתי לתפריט היום (לא מופיע בתמונה) היא מערכת GParted שהיא מערכת לניהול Partitions. נניח שאני צריך לגבות Partitions מסויימים לפני שינוי והשרת עצמו הוא פיזי (ב-VM יש snapshots, במכונות פיזיות – זה קצת יותר מסובך). אני יכול להתקין תוכנת גיבוי ולעשות זאת ולקוות שהגיבוי הצליח, או שאני פשוט יכול למפות iSCSI Volume זמני דרך ה-iPXE, להפעיל את IPXE, לבחור את GParted ולגבות את ה-Partitions. אותו דבר אני יכול לעשות עם NFS ושאר טריקים לאחסון – כל זה מבלי להתקין שום תוכנה נוספת, לרכוש רשיונות וכו'.

הפתרון של IPXE הוא פתרון שמנצל את הכלים שלנו לשימוש מודרני ב-DC, הפתרונות שיש כיום להפצת קבצים יכולים יפה מאוד לעמוד בעומס של עשרות או מאות מכונות שרוצות PXE ועכשיו. בהמשך הדרך, כש-VDI יכנס יותר ויותר לתמונה, ה-Thin Client יוכל לקבל את המערכת שצריכה לרוץ עליו דרך PXE במקום לעדכן קושחות, לבצע טסטים על כל שינוי קטן וכו'.

לסיכום: גם אם יש לכם פתרון PXE, מומלץ להכיר יותר את IPXE. ה-IPXE נותן לנו פתרון שמשתמש בטכנולוגיות של היום ובדרך גם חוסך בכל מה שקשור לתחזוקה והתקנות של מחשבי דסקטופ, שרתים, מכונות VM ואחרים. לא חייבים לשנות כל 3 דקות את הגדרות ה-DHCP (יש ProxyDHCP ותמיכה לזה ל-IPXE) ובטווח הארוך זה חוסך הרבה עבודה. מנסיון.

המעבר ל-MINI PC

לאלו שעוקבים אחרי הבלוג הזה – פירסמתי כאן לאחרונה פוסט על מיני PC, והיתרונות מול PI-3. הזמנתי את ה-Wintel Pro CX-W8 ואחרי שבוע הוא הגיע אליי. בדיוק הגיע אליי גם וירוס מדבק (לא של מחשבים, אלא כזה שדופק את הגרון ומיתרי הקול) כך שהייתי ב"מעצר בית", אז אם כבר – אז כבר. התחלתי לשחק עם הצעצוע.

screenshot-gloimg-gearbest-com-2016-09-17-13-26-01לפני שניכנס לעניינים טכניים, אני רוצה לאמר כמה דברים בנושא "פוליטי טכנולוגי". הצעצוע משמאל (זה שרכשתי) מבוסס על משפחת ה-Cherry Trail של אינטל, וכשזה מגיע ללינוקס, אינטל דווקא עושה עבודה מעולה בכל הקשור לכך שהציוד יפעל ויפעל טוב על הציוד שהם מוכרים, בין אם זה מעבדים, כרטיסי רשת, כונני SSD וכו'. לאינטל יש מספר צוותי לינוקס ובד"כ הדרייברים ללינוקס מופיעים מספר חודשים לפני שהציוד עצמו בכלל קיים בשוק ומפיצי הלינוקס מכניסים אותם לתוך ה-Kernel ומכירים בהם במסגרת ההפצה.

עד שזה מגיע ל-Cherry Trail. אין לי מושג ירוק מדוע, כאן אינטל החליטה לחזור 20 שנה אחורה לזמנים אפלים בהם אינטל תמכה רק ב-Windows, פה אינטל החליטה שה-Cherry Trail יתמך רק ב-Windows 10 ותו לא. אחת התקלות הידועות עקב החלטה תמוהה זו היתה שאנשים ניסו להריץ Kodi בגירסת OpenElec לדוגמא – הם היו מצליחים להתקין ולהריץ, אבל לא היה אפשרי לשמוע Audio דרך חיבור ה-HDMI. גם דרייברים ל-WIFI לא ממש עבדו, אבל בלינוקס כמו לינוקס – יש קהילה שלמה של מפתחים שיש להם פה ושם זמן פנוי והם הצליחו לבצע "השלמות" לתמיכה ב-Cherry Trail כך שהוא עובד די טוב עם לינוקס, למעט בעיה שעליתי עליה ושאינני מוצא לה פתרון – אם אתה מפעיל את הציוד עם לינוקס אך ללא שום חיבור USB לקופסא — הלינוקס עולה, אבל אינך יכול להתחבר אליו. ה"פתרון"? מצא איזה USB דונגל כלשהו שאינך משתמש ותקע אותו במכשיר – עכשיו הכל יעבוד.

ומ"פוליטיקה" נעבור לשלב הטכני.

מכיוון שמשפחת הרכיבים Cherry Trail היא די חדשה (ולמען האמת החל מלפני חודשיים אינטל הכריזה שכל משפחת Atom "מתה" והם פשוט עכשיו מוכרים את המלאי שהם יצרו) – הפצות לינוקס שונות מכירות חלקית בציוד, מכירות בצורה מלאה וכלל לא מכירות. (השימוש שלי במיני PC הזה הוא כ"שרת" ראשי שאמור להחליף כמה מכונות VM קטנטנות ועל כך פוסט זה), אז ניסיתי כמה הפצות לינוקס. מבחינתי הדברים החשובים לי שזה יכיר ב-eMMC (שזה ה"דיסק קשיח" בגודל 32 ג'יגה שנמצא על הלוח אם), וביציאת ה-LAN בצורה טובה ובחיבור ה-USB-3 שקיים בקופסא במצב USB-3. כל השאר לא ממש עניין אותי.

להלן הפצות הלינוקס שניסיתי והערותיי:

  • אובונטו 16.04.01 – ההפצה מכירה בכל הציודים שקיימים בקופסא והיא מתקינה את עצמה בצורה לא רעה, אולם כפי הנראה ישנן בעיות עם דרייבר ה-LAN, התקנת העדכונים היתה מאוד איטית (למרות שלפי ההודעות מערכת הוא עבר ל-Mirror ישראלי). מכיוון שהמערכת התקינה את כל הדסקטופ + אופיס + 1001 דברים שאין לי צורך בהם, הפעלתי tasksel כדי לבחור רק התקנה של שרת SSH. בתגובה ה-tasksel מחק ערימות של דברים וביניהם גם את ה-kernel image (נו באמת, למה צריך שיהיה boot..). מי שמכיר Debian ו-Ubuntu בצורה עמוקה מכיר בוודאי את ה-preseed אבל לי לא היה שום חשק להתחיל לשחק עם זה. עברתי הלאה.
    מסקנה: אם אתה מחפש לך לינוקס דסקטופ על המיני PC ואתה מכיר רק אובונטו – לך על זה.
  • אובונטו 16.04.01 גירסת Server – פה הדברים היו פשוטים. ההפצה לא מכירה לא ב-wifi, ולא ב-LAN. קצת מרגיז שקנוניקל לא יודעת לשחרר את אותם גרסאות קבצים בינאריים של הקרנל בצורה זהה לדסקטופ ולשרתים כמו שאר ההפצות לינוקס.
  • OpenSuSE – לא מכיר ב-LAN. נקסט!
  • Debian Jessie – כנ"ל.
  • CentOS 7.2 – התחיל לעשות Boot ואחרי 5 שניות … Kernel Panic.
  • Fedora 24 Workstation – עובד יפה, אם כי לא בדקתי Wifi (בין כה לא מומלץ לסמוך על ה-Wifi בקופסא – הוא בקושי קולט אות וגם אז – רק 2.4 ג'יגהרץ) אך כמו אובונטו דסקטופ – הוא מתקין יותר מדי שטויות שאני לא צריך.
  • Fedora 24 Server – עובד יפה, התקנה של Minimal עבדה חלק.

החלטה שלי: לעבוד עם Fedora 24 Server. הכנסתי כתובת IP קבועה, DNS של גוגל ויאללה – לעבודה מרחוק.

במהלך היומיים עבודה (חולה, נו…) הרמתי על הקופסא את השרותים הבאים:

  • שרות Active Directory עם שרות DNS פנימי. החלטתי ללכת "על הקצה" ולהשתמש ב-Samba 4.5 שיצא לפני ימים ספורים ובחבילות שקיימות כאן ל-Fedora 24 (שלא תעיזו להרים דבר כזה לפרודקשן או למקום אחר אם אין לכם הבנה טובה בלינוקס, אפילו הפעלת השרות מצריכה ידע בלינוקס, זה לא systemctl start smb!). אחרי כמה משחקים ונסיונות, ה-Samba הוכיח את עצמו כשרת AD מעולה ומכונות Windows 10,7, Server 2012R2 קיבלו אותו בשמחה מבלי לשנות מאומה. גם מבחינת DNS הוא הוכיח את עצמו כעובד מעולה ולעצלנים מבינינו – אפשר לנהל את ה-DNS דרך RSAT של Windows ואת ה-AD גם דרך Windows (אני מעדיף סקריפטיאדה בלינוקס)
  • שרת Mail – הגדרתי SMTP לחשבון שלי בגוגל, אפשרתי קבלת מיילים מ-Class כתובות שלי בבית וגם הצלחתי עם mailx (בלי להתקין sendmail או postfix) בתחנות לשלוח מיילים.
  • שרת NGINX – לשרת דברים סטטיים (בלי PHP או דברים כאלו)
  • שרת TFTP – לשימוש PXE
  • מערכת iPXE – ל-PXE יותר מתקדם (מה לעשות, TFTP די איטי, ואם משתמשים ב-UEFI אז הוא בכלל "זוחל" ו-iPXE מאפשר סקריפטיאדה נחמדה וקלה מאוד.
  • שרת Transmission כולל ממשק Web – טורנטים, אתם יודעים
  • NFS Client – הקבצים הסטטיים והטורנטים ישבו בשרת קבצים אחר, חבל להרוג את המיני PC באירוח קבצים מקומי עם mount ב-fstab כולל אופטימיזציה ל-NFS-3
  • שרת NTP – שיהיה שעון מרכזי

בהמשך אני מתכנן:

  • חיבור למודם סלולרי וסקריפטיאדה אם אין תקשורת דרך ה-DSL
  • מעקב מצלמות (זה הולך להיות כאב ראש בכל הקשור ל-Detection. שום Detection לא מסתדר עם אור חלקי ו-2 חתולים משתוללים בבית) ו-Upload לענן + אפשרות שידור ישיר לפי דרישה.
  • מיני קונטיינר קטן עם SSH שפועל עם מפתחות בלבד ו-Port Knocking – לחיבור מרחוק בעת הצורך.

סה"כ אחרי העבודה הזו נשאר במכונה 14 ג'יגה פנוי ומבחינת RAM יש פחות או יותר 1 ג'יגהבייט זכרון פנוי (תלוי בשרותים שמופעלים, יש כבר 14 סקריפטים ב-crontab).

מסקנות
קופסא שעולה 75$ עושה את העבודה בצורה לא רעה. יש לה UEFI מהגהינום (אין שם אפילו פונקציה להפעיל את הקופסא אוטומטית במקרה שהחשמל הפסיק וחזר) אבל נו .. זה יצרן סיני. האם הייתי קונה קופסא עם יותר RAM? אולי, אך לצערי כל קופסא שראיתי עם אותו מעבד או מעבד Atom X7 מכפילה את המחיר ל-150$ ומעלה ואני לא מוכן לשלם כפול בשביל עוד 2 ג'יגה זכרון.

האם אני ממליץ? כן, אם יש לך סבלנות וידע בלינוקס. האם Windows Server 2012R2 יעבוד על קופסא כזו? לא חושב, במיוחד עם כמות זכרון קטנה ודרייברים שאני לא בטוח שיהיו מוכנים להיות מותקנים על מערכת הפעלה כזו.

למי שרוצה פתרון שקצת יותר נתמך בלינוקס ושישמש כ"שרת" – חפשו קופסא כזו עם מעבד Celeron N3160 לדוגמא. שם אינטל בהחלט משקיעים בתיקון דרייברים ושחרור עדכונים (שמגיעים להפצות לינוקס, לקרנל ומשם למשתמשים)

המציאות והדמיון ב-Mr. Robot

הסידרה Mr. Robot היא אחת הסדרות הנצפות ביותר כיום על ידי אנשים טכניים, חובבי/מקצועני אבטחת מידע. אחת הסיבות לכך היא שבניגוד לסדרות אחרות שבהן מראים כל מיני סוגי גרפיקה מלהיבים שאין שום קשר בינם למציאות – בסידרה הזו מראים לא מעט דברים שהם מציאותיים לחלוטין: שימוש בלינוקס ככלי עיקרי, שימוש בציודים אמיתיים (Bluetooth, Raspberry Pi ועוד) והכי חשוב – לא מזלזלים באינטיליגנציה של הצופה הטכני (בהגבלות מסויימות. אחרי הכל, הם אינם יכולים לפרסם פריצות שלמות בלי לחטוף תביעות מכאן עד הודעה חדשה).

אזהרה
מכאן יהיו ספויילרים לגבי פרק ראשון בעונה 2. לא ראית? עצור, תשיג את הפרק, צפה ותחזור.

בפרק הראשון בעונה השניה רואים מספר דברים, ואני מעוניין להתעכב על 2 נקודות חשובות מבחינת אבטחת מידע.

מה רואים: היועצת המשפטית של הבנק מגיעה לביתה האולטרה-חכם (מה שנקרא Smart Home). האזעקה מצפצפת והיא מנטרלת אותה דרך המסך שצמוד לקיר (אנדרואיד). לאחר מכן היא מנסה לכבות דברים שנדלקו פתאום כמו המוסיקה והטלויזיה וזה מצליח לה בקושי. לאחר מכן היא נכנסת למקלחת ושם היא חוטפת מים רותחים תוך כדי המקלחת והיא נסה על נפשה, ולקינוח המזגן "מחליט" להקפיא את הבית והאזעקה פועלת נון סטופ בלי שניתן להפסיק אותה – עד שהיועצת מרימה ידיים והיא עוזבת את ביתה במונית לבית מלון.

המציאות: ישנן כיום לא מעט מערכות Smart Home בשוק החל מחברות כמו סמסונג ופיליפס ועד למערכות של חברות די חדשות בשוק. רובן המוחלט אינו כולל את מה שרואים בפרק, כך לדוגמא עניין המים החמים לא ממש אפשרי כי המשתמש קובע זאת עם ידית מכנית בעת שהוא מתקלח. אפשר לגרום לדוד חשמל להידלק לפני שהדיירים מגיעים, אבל לא עניין המקלחת. עניין השליטה בטלויזיה, אודיו, אזעקה אפשריים בהחלט אך מבחינת "הקפאת" הבית – להקפיא בית לוקח לפחות שעה למזגן רציני, לא דקות ספורות.

מסקנות שכדאי ללמוד: אלו שקונים בהתלהבות את ה-Smart Home עושים צעד לא חכם. נכון, זה מאוד מפתה לשלוט על הכל בצורה אוטומטית או עם שלט, אבל האבטחה במכשירים אלו היא מחפירה, עלובה, גרועה. במקרים רבים כל מה שצריך זה 5 דקות מול גוגל כדי לדעת איך לפרוץ פנימה ואיך לשנות דברים ב-Smart Home. אנליזה של המכשיר מבחינת קוד אסמבלי או סקריפטים פנימיים יכולה לגלות לא פעם שהסיסמא לשינוי דברים ב-Smart Home נמצאת כטקסט גלוי והחברה התקמצנה בהטמעת מעבד נורמלי כך שהמעבד החלש שהם הכניסו אינו יכול לעמוד בסשן HTTPS אפילו (הבדל של 3-4$!!). כדאי שידע כל רוכש מערכת כזו: הטמעת מערכת כזו בבית עושה את החיים לפורצים יותר קלה (טוב, תלוי אם הפורץ מבין משהו במחשבים. סביר להניח שאזהרה זו יותר מתאימה לחו"ל מאשר לארץ), ואגב – זה לא נגמר בבית, זה גם ברכבים (במיוחד רכבי היוקרה!) – יותר ויותר רכבים ממוחשבים נמצאים עם חורי אבטחה גדולים הואיל והיצרן שוב התקמצן בבדיקת חדירות אבטחה, בדיקת קוד וכו'. באינטרנט יש כל מיני קליפים שמראים מישהו שנמצא במרחק של כמה עשרות מטרים מרכב יוקרתי והפורץ עם לאפטופ מצליח לפתוח את הרכב, לנטרל את האזעקה ולהפעיל, וזה לא נעצר כאן – הנה דוגמא של 2 חברים שהצליחו לשלוט על רכב JEEP בזמן שהרכב נוסע ולבטל ברקסים, לשלוט על המוסיקה ועוד:

מה רואים: עובד במחלקת ה-IT בחטיבת הבנקים של E-Corp הינו חבר גם בקבוצת FSociety והוא מקבל מדארלין Disk On Key והוא כמובן מפעיל אותו באחד המסופים ולאחר דקות ספורות נראה מסך Ransomware הדורש שאחד המנהלים יפגש עם הקבוצה במקום ציבורי עם 5.9 מיליון דולר. ה-Ransomware משתלט על כל המסופים בכל סניפי הבנק ובדרך גם מוחק את בסיס הנתונים המרכזי של הבנק. מה קורה עם הכסף? את זה תראו בפרק 2 (שזמין לצפיה, אגב)

המציאות: תאורתית, עם מספיק תחכום, שוחד עובד – אפשר לבצע התקפת Ransomware אבל זה יהיה מקסימום ברמת סניף ולחוקרי הבטחון של הבנק והמשטרה לא תהיה הרבה עבודה כדי לתפוס את הגורם שביצע זאת: כל מה שצריך לעשות זה להשוות מתי קבצים החלו להשתנות ולהשוות מול הוידאו שצולם במצלמות הפרוסות בבנק לפי אותו זמן. אני מעריך שתוך יום העבריין יתפס.

מסקנות שכדאי ללמוד: אם יש משהו שגורמי הבטחון בבנקים מסרבים להבין זה שהזמנים השתנו. פה נגנבו 81 מיליון דולר דרך מערכת SWIFT, בבנק בבנגלדש כמעט הצליחו להרים מיליארד דולר (וזה נפל בסוף רק בגלל שגיאת כתיב, המשטרה מצאה שהבנק היה קמצן כרוני בכל מה שקשור לסוויצ'ים או חומת אש), וכאן הצליחו להרים דרך הניו יורק פד סכום של 100 מיליון דולר. בכלל, שנת 2016 נראית כרגע כשנה שבה קבוצות האקרים מאורגנות מעזות הרבה יותר ולפעמים הם מצליחים לגרוף מיליוני דולרים ולהשאיר לחוקרים אבק! לך תחפש שיתוף פעולה עם המשטרה הסינית לדוגמא (גם אם קבוצת הפורצים יעשו סלפי קבוצתי והחוקרים יקבלו תמונה – הסינים לעולם לא מסגירים סינים והם מוכנים "לשפוט" את העבריינים).

אם יש משהו אחד שהבנקים (במיוחד בישראל) צריכים – זה "שינוי דיסקט" בכל הקשור לנהלי אבטחה, להעיף נהלים כמו עדכוני אבטחה כל 6 חודשים והעדפה של השכרת אנשי אבטחה שיודעים לחשוב ממש "מחוץ לקופסא", ובדרך להתנתק מדברים כמו מערכות של מיקרוסופט. מה לעשות שאם לפורצים של פריצות Zero Day למערכות שונות, הסיכוי של הבנק להתגונן קטן באופן רציני. קחו דוגמא הכי פשוטה: גשו לכל כספומט, אל תכניסו כרטיס, ופשוט התבוננו במסך: אתם תראו אנימציות פרסום של הבנק. האנימציות רצות על Flash – ומה לעשות של-Flash יש יותר חורי אבטחה מגבינה צהובה! גם אם מערכות הכספומטים יקבלו עדכוני אבטחה (ואין זה משנה אם הן מריצות XP או Windows 7) – מהזמן שהפורצים יש בידם Zero Day ועד שיותקן עדכון אבטחה לאותם Zero Day יעברו לפחות 30-60 יום (מה לעשות שזה לא לינוקס שאפשר לשכור חברה שתסגור פרצות תוך יום או יומיים אם מדובר בקוד קרנל או קוד של חבילת קוד פתוח אחרת שבשימוש הבנק). המון זמן לפורצים. איך הפורצים יכנסו? הרי מערכות הכספומטים סגורים – יש את הגורם האנושי שקל לשחד אותו או בכלל להגיע למפתח שבאמצעות שוחד רציני יכול להכניס קוד זדוני (שמישהו במחלקת הבטחון יבדוק מתי נעשה ואם נעשה Code Auditing חיצוני לקוד של המפתחים בבנק) ומשם הדרך ל"חגיגות" קצרה וישנן עוד דרכים ושיטות שהמשותף להן הוא שברוב המקרים אינדיבידואל לא יכול לעשות זאת אולם קבוצות עם מימון יכולות בהחלט לבצע זאת.

הסידרה Mr. Robot מציגה לעיתים דברים מוגזמים (גרימת נזק לקלטות גיבוי בבניין שמראש נועד לאחסון דברים אלו? קלטת LTO מהישנות ועד החדשות יכולות לעמוד בעד 45 מעלות חום ו-80% לחות!) אבל היא גם מציגה עקרונית דברים שמאוד כדאי להתייחס אליהם: איך הפרטיות שלנו נעלמת, איך הפוסטים שאנו משתפים בהיסח הדעת ברשתות החברתיות יכולים להזיק לנו, וגם איך קל לדעת היום על אנשים הרבה יותר פרטים ולהפוך את חייהם לסיוט מתמשך ומה שהכי חשוב לכל אלו שאחראים על אבטחת מידע ומערכות במקומות שונים – אולי אינכם מאובטחים ממש כמו שחשבתם.

כמה מילים על הצעת "חוק הפייסבוק" של שקד וארדן

לפני מס' ימים התחילו להתפרסם כתבות על "חוק הפייסבוק" של ח"כ איילת שקד וח"כ גלעד ארדן. עו"ד יהונתן קלינגר כתב פוסט מאוד מעניין מבחינת משפטית ואני בהחלט ממליץ לקרוא את הפוסט. אני אכתוב על הפוסט מבחינה יותר טכנית.

ראשית, אציין שאין לי ציפיות מח"כ שקד או ארדן. ההבנה שלהם בפייסבוק בפרט או בגוגל ובאינטרנט בכלל – נראית שאינה גדולה והיא פחות או יותר כמעט כמו משתמשים רבים שאינם טכניים. מצד שני, עצוב לראות ש-2 החכ"ים לא ממש לקחו יעוץ מקצועי מהאנשים שכן מבינים בתחומים הנ"ל לפני שהם החליטו לשלוף את השפן הזה.

כלל מספר 1 לגבי האינטרנט הוא שה"אינטרנט זוכל הכל" (או "גוגל זוכר הכל" ליתר דיוק). כתבת פוסט בבלוג ומחקת? הוא עדיין שם. גוגל שומר עותק "מטמון" שנגיש לכל אחד. מעבר לכך, אם פוסט או טוויט הוא מעניין – אנשים יצלמו את החלק הזה (כולה לחיצה של ALT PRINT-SCREEN ולאחר מכן "גזירה" של הקטע הרלוונטי, 10 שניות של עבודה) ויפיצו הלאה, ולא צריך להתאמץ כדי להיזכר ברגעים מביכים. תשאלו את ג'ודי ניר מוזס, יאיר לפיד ועוד – שפרסמו דברים שהם מחקו אותם אך אנשים העלו צילומי קטעים של הטקסטים להנאת גולשים אחרים.

הצעת החוק הזו הגורסת שגוגל ופייסבוק ישתפו פעולה עם המדינה ושופט יוציא צווים לאתרים שמאוחסנים כאן בישראל או בחו"ל – היא בדיחה עצובה מבחינה טכנית מכמה סיבות:

  • גוגל – עם כל הכבוד, גם כשגוגל מוחקת, היא מוחקת אזורית ברוב הזמן, כלומר לגולש הישראלי שיגלוש ל-Google.co.il לא תהיה מוצגת התוצאה אולם אם הוא יגלוש לגוגל USA – סביר להניח שיראה את התוצאה. כך עשתה גוגל עם החלטת האיחוד האירופאי עם "הזכות להישכח" ואני לא בטוח שהפעם זה יהיה שונה.
  • פייסבוק – כן, פייסבוק יכול למחוק פוסטים, תמונות, תגובות וכו' -אבל אם מפרסם הטקסט או מישהו אחר שרוצה לפרסם את הטקסט – יכול להתחכם בקלות ולהעלות תמונה של הטקסט, ואז כל המערכת תצטרך לעבור את התהליך מחדש.
  • הסרת פרסום בחו"ל – זה לא יקרה. כל ספק שפרטיות הלקוחות שלו חשובה (ויש לא מעט כאלו) פשוט יזרוק לפח את הצו ויבקש צו משופט באותה מדינה ועכשיו נראה את המדינה רצה לשופט מקומי להוציא צו חד צדדי. אתרים רבים שאינם "מוצאים חן" בעיני המדינה (כולל אתרים המציינים מיקומי טילים גרעיניים ושאר אמצעי לוחמה עם מיקומים מדוייקים לדוגמא) עדיין נמצאים וכל מה שצריך הוא חיפוש פשוט בגוגל, אז כל הסעיף הזה הוא בדיחה עצובה במקרה הטוב.
  • השר גלעד ארדן מתלונן על תכנים מסיתים שמפרסם החמאס ותנועות אחרות – וגם כאן מדינת ישראל לא יכולה לעשות הרבה. אם  המדינה תרצה להחרים את השרתים שמארחים את האתרים היא תוכל, אבל החמאס יכול להעלות בדיוק את אותם אתרים בשרתים אחרים שלא נגישים לא לצה"ל וצווים ישראליים לא ממש מעניינים אותם. סתם דוגמא – חמאס מבקש לארח את אתריו בשרתים של חיזבאללה או בכל מדינה ערבית אחרת.

גם בלוגרים ישראליים יכולים לפרסם תכנים שצו בית משפט לא יכול להסיר אותם, ולא צריך להיות גאון גדול כדי לבצע זאת. מספיק לשאול כמה אנשים שמבינים בבניית אתר ובאחסונו, רכישת דומיינים, יצירת סאבדומיינים וכו' – כדי "לנטרל" אפשרות הסרה וגם אם יצליחו להסיר, כל מה שצריך זה 5$ כדי לארח את האתר באחד מאלפי חברות Hosting שישמחו לארח את האתר בחו"ל.

הצעת החוק הזו אינה יותר מהצעה פופוליסטית מבלי שחשבו על הדברים לעומק. אם עובד ציבור נעלב מפוסט שפורסם עליו או כל אדם או גוף מוצא את עצמו נפגע מתוכן שפורסם באתר או בבלוג, יתכבד וישיג צו מבית המשפט להסיר את הטקסט או לחלופין – שיתבע את הבלוגר המפרסם. מי שחושב שהמשטרה תוכל לעזור לו בקטע הזה – כדאי שיחשוב שוב. המשטרה לא יכולה להסיר טקסט כי אין לה גישה לשרת. היא יכולה לבקש מספק האירוח להסיר את האתר (בקשה שיכולה להיות מופלת בקלות בבית המשפט הואיל ויש הבדל ענק בין אתר המארח פוסטים רבים לבין פוסט ספציפי). המשטרה יכולה לבקש מגוגל ופייסבוק אבל גם אז אין שום בטחון שהם יסירו או כמה זמן יקח מהגשת התלונה עד להורדת הפוסט אם בכלל.

לסיכום: הצעת החוק הזו גורמת יותר נזק מתועלת. היא מראה שבסופו של יום ישראל אינה כזו "דמוקרטית" כפי שהיא מציגה את עצמה ועם החוק החדש פוסטים מוסרים על ימין ועל שמאל גם מבלי לקיים הליך מלא של תביעה מסודרת. היה אפשר לוותר בקלות על ההצעה ולהשאיר את הנוהל הקיים כיום של "נוהל הודעה והסרה".

סקירה: MINI PC מבוסס אינטל

מי שעוקב אחרי שוק המולטימדיה בכל מה שקשור למזרימים (סטרימרים) והתקני מדיה קטנים שמתחברים לטלויזיה, יודע שאינטל לא ממש שולטת בשוק זה. ישנם כל מיני פתרונות כמו של ROKU, אפל TV ועוד שדי תפסו חלק נכבד מהשוק. בשנים האחרונות אחד הסגמנטים שתפס יותר חלק מעוגת הסטרימרים ופתרונות מולטימדיה לסלון היה אנדרואיד לא רשמי שנמכר כ"מקל" שמתחבר ל-HDMI תחת הכינוי Mini PC (ויש כמובן גם גרסאות של קופסאות קטנות). היתרון הענק שלהם בהשוואה למתחרים היה המחיר המאוד מאוד זול. גם עניין הפתיחות (זה אנדרואיד לכל דבר ועניין) וגם שוק ענק של אפליקציות היווה נקודה שעזרה לשכנע רבים לרכוש, גם כשכולם ידעו שאין לך ממש תמיכה של יצרן מסודר ואף אחד גם לא ישחרר בצורה רשמית עדכונים.

אינטל לטשה עיניים לשוק זה כבר מספר שנים, אולם כל פתרון שלה היה עם 3 בעיות מרכזיות:

  1. מחיר גבוה מאוד למעבד + ערכת שבבים
  2. הצורך בפתרון קירור
  3. מערכת הפעלה

מבחינת מערכת הפעלה, אינטל כבר המירה את אנדרואיד עוד מגירסה 4 לעבוד עם X86, אבל המחיר שהם רצו מהיצרנים עבור מעבד+ערכת שבבים ופתרונות הקירור שהיו צריכים לשם כך – הניאו יצרנים סיניים מלהשתמש ולמכור פתרון זה. אחרי הכל, למה להתאמץ כשחברות כמו MediaTek, AllWiner, RockChip ואחרות מציעות לך פתרון מלא (כולל מערכת אנדרואיד מוכנה, כולל תכנון לוח אם וכניסות/יציאות) שעולה ליצרן לא יותר מכמה דולרים בודדים?

אז באינטל הלכו לעשות שיעורי בית וחשבו כיצד לתקוף את השוק הזה ע"מ למכור בו כמה שיותר שבבים מבלי להוריד את המכנס.

במסגרת המאבק של אינטל בכל מה שמעבדים, אינטל הוציאו מספר שבבים תחת הם ATOM, רק שבניגוד לעבר, הפעם לא מדובר על חיתוך מאסיבי של המהירות והורדת פונקציות רבות (כמו הדורות הראשונים של ATOM), אלא פתרון שיתן ביצועים טובים עם אנדרואיד, גרפיקה מואצת למשחקים ובמיוחד – תמיכה במקודדי וידאו כך שהכל יעבוד חלק ומהר.

כמו תמיד, כשאינטל מוציאה מעבדים, הם מוציאים שורה שלמה של מעבדים שנבדלים בתכונות קטנות אחד מהשני, ואינטל הכריזה על חלק מהסידרה בפני כל העולם ואחותו בכנס ב-CES שנה שעברה וקצת לפני כן. הפעם אינטל באו מוכנים בסיוע שותף בכיר – מיקרוסופט. האג'נדה של מיקרוסופט שונה מהאג'נדה של אינטל. לאינטל ממש לא אכפת איזה מערכת הפעלה תריץ על הברזל כל עוד אתה רוכש את הברזל. למיקרוסופט יש כאב ראש שנקרא "כרומבוק" שנמכר כמו לחמניות חמות עד היום, אז מיקרוסופט יחד עם אינטל יצאו בהכרזה על נטובוקים גירסה 2: מעבד ATOM עם 1 או 2 ג'יגהבייט זכרון, 16 או 32 ג'יגהבייט זכרון נדיף (Flash), ו-2 חיבורי USB וכניסת כרטיס SD או מיקרו SD (היצרן בוחר). כל זה ישווק כ-Netbook (תחת השם Notebook על מנת שלא להזכיר טראומות נשכחות למשתמשים) עם Windows 8.1 עם מנוע החיפוש בינג – במחיר זול ליצרנים וזול לצרכנים – בסביבות ה-200 ומשהו דולר לצרכן הסופי.

אינטל ערכה גם כנס נפרד שמיועד רק ליצרנים הסיניים, שם הם הכריזו על מעבד  Quad Core Z3735F BAY TRAIL TCR 1.33-1.83GHZ. אינטל החליטה להעתיק את אותם תנאים שיצרני ה-ARM הסיניים הזולים נתנו ליצרנים, והם סיפקו לאותם יצרנים הכל, כולל דיארגמות וסכמות ללוח האם, פתרון קירור, כניסות/יציאות וכו'. היצרן רק צריך להשתמש במה שאינטל נותנת, להתחיל לייצר ולמכור. המחיר הסופי יהיה קצת יותר יקר מפתרון זהה מבוסס ARM – בסביבות ה-100-130 דולר וכפיתוי ללקוח הסופי, ה-MINI PC יגיע גם עם אנדרואיד "וגם" עם Windows 8.1. מדוע שמתי מרכאות? כי ה"גם" כולל כוכבית קטנה – ה-Windows 8.1 מגיע ללא רשיון, כך שהלקוח יצטרך לשלשל למיקרוסופט עוד 120 דולר על רשיון (אפשר לרכוש את אותו רשיון דרך getsoftwarekey ברבע מהמחיר של מיקרוסופט). המשתמש כמובן יכול לוותר על ה-Windows ולבצע Boot ישירות לאנדרואיד ולשכוח מה-Windows, אבל כמה ירצו לוותר על Windows בשעה שיש לו כל כך הרבה אפליקציות מולטימדיה, סקייפ ו-1001 דברים אחרים? כך גם אינטל מרוויחה וגם מיקרוסופט שמרוויחה מחיר מלא לרשיון ולא מחיר קצוץ שהיא מוכרת ל-OEM.

pngה-MINI PC עם המעבד הנ"ל החל לצאת לפני מספר ימים בצורה רשמית, והזמנתי אחד לבדיקות. כמו תמיד, הנציגה של היצרן הסיני גם אצלי הצליחה לבלבל בין הגירסה שהזמנתי לגירסה שהיא שלחה לי, כך שאת שלי קיבלתי עם 16 ג'יגה זכרון נדיף ו-2 ג'יגה זכרון, עם Windows 8.1 ובלי אנדרואיד. את התקנת האנדרואיד אני אקבל עוד כמה ימים ואעדכן פוסט זה, כך שכרגע אני אתייחס ל-Windows וגם ללינוקס.

מבחינת חומרה וכניסות: יש כניסת USB 2.0 גדולה, כניסת מיקרו USB 2.0, כניסת חשמל בחיבור מיקרו USB, כפתור הפעלה, וכניסת כרטיס מיקרו SD שתומך עד 64 ג'יגהבייט (יכול להיות יותר, לא ניסיתי). יציאת ה-HDMI רגילה (לא ניסיתי לחבר למסך עם רזולוציה מעבר ל-FULL HD).

נתחיל ב-Windows.

גירסת ה-16 ג'יגהבייט של ה-MINI PC לא תשאיר לך הרבה מקום להתקנת אפליקציות (זיכרו, אפליקציות PC שוקלות הרבה יותר מאפליקציות אנדרואיד). כך זה נראה אצלי (תתעלמו מכרטיס המיקרו SD שהכנסתי ל-MINI PC):

10407044_832405393468497_929425930803267858_n

כן, 5.5 ג'יגהבייט מקום פנוי. אפשר כמובן להזמין את גירסת ה-32 ג'י'גהבייט (ואז יהיה פנוי לכם בערך 15 ג'יגהבייט מקום). אפשר כמובן "להצמיד" כרטיס מיקרו SD ככונן "משלים", אולם הביצועים יהיו נמוכים מאוד. כמה נמוכים? הכנסתי כרטיס של 64 ג'יגהבייט הכי מהיר שקיים בשוק (Exterme Pro) והמהירות שקיבלתי היא 20 מגהבייט לשניה בקריאה, בהשוואה ל-100 מגהבייט של הזכרון הנדיף במכשיר.

מבחינת קליטה אלחוטית – לצערי המכשיר לא מכיר את טווח ה-5 ג'יגהרץ, מה שאומר שתצטרכו להשתמש בתדר 2.4 ג'יגהרץ על כל הבעיות. מצד שני, יש לו יכולת קליטה מצויינת ובניסויים שלי בחדרים אחרים בביתי (עם דלתות סגורות כשהנתב נמצא בסלון) קיבלתי קליטה של 90-120 מגהביט לשניה (כך ה-Windows טוען) והוא לא סובל מאותן בעיות ש-MINI PC מבוססי אנדרואיד ישנים שהיו ללא אנטנה חיצונית – סבלו.

מבחינת הרצת סרטים/סדרות: לא נצפתה שום בעיה בהזרמה של 720P ו-1080P על wifi עם כולל מיני קידודים וקונטיינרים כולל Quicktime ו-MKV. הקידוד היחיד שכן "חונק" את ה-MINI PC זה קידוד HEVC, שם המעבד משתמש ב-80% מהמשאבים וישנם לא מעט Frame Drops. (השתמשתי בנגן VLC 2.1)

סה"כ התרשמות חווייתית משימוש ב-Windows על ה-MINI PC: יש לו Boot מהיר (תודות ל-Windows 8.1) כך שתוך שניות ספורות תוכל להתחבר. (לגבי מקלדת ועכבר – אפשר לחבר כמובן, אך כיום היצרנים מספקים אפליקציית אנדרואיד שתאפשר לך להשתמש בטלפון/טאבלט כדי להעביר תנועות עכבר ומקלדת). אך הדיסק הפנימי הוא איטי בהשוואה ל-PC רגיל (המהירות שהוא נותן במבחנים שבדקתי – בסביבות 100 מגהביט, כמו דיסק קשיח מהסדרות של 5400 RPM), כך שעדכוני Windows יקח להם זמן להיות מותקנים.

כעת – לינוקס:

לצערי אינטל עשתה חצי עבודה בפיתוח הצ'יפ והסביבה החומרתית שלו. ישנם טלאים להוספת המעבד וה-Chipset לקרנל 3.15, אולם לצערי אינטל לא שחררה חבילת תוכנה שתוכל להתקין את הלינוקס המועדף עליך ואז להתקין את החבילה ולקבל את כל הפונקציונאליות. ה-UEFI שקיים ב-MINI PC הוא חדש ובמקרים רבים הוא לא נתמך ע"י שום הפצה (ובנוסף ישנו באג ב-UEFI שמשום מה לוחץ על מקש רנדומאלי, גם אם תנתק מקלדת, אני אשלח להם את הבאג מחר), כך שאם אתה מעוניין להתקין לינוקס על ה-MINI PC, תתכונן "לבלות" קצת מול גוגל ועדיף שתצטייד בחיבור רשת עם מתאם USB (ה-WIFI בלינוקס לא עובד אלא אם תתקין כמה טלאים). אני מאמין שגרסאות עתידיות של לינוקס כבר יתמכו ב-MINI PC ישר מהקופסא ואני אכתוב על כך פוסט נפרד. בכל מקרה, ניסיתי גירסת אובונטו עתידית (vivid) ושם עדיין אין תמיכה ל-WIFI, אם כי הגרפיקה נתמכת, והדיסק הקשיח מוכר.

ה-MINI PC הזה הוא בסך הכל מקל נחמד אך הוא אינו מתאים למשתמש קצה שאינו מכיר מספיק טוב חומרה ו-Windows. יש לו באג קצת מעצבן שלפעמים הוא לא הכיר לי את המיקרו SD (ניסיתי גם מיקרו SD אחר בגודל קטן – אותה בעיה), וישנו באג שלא מאפשר לך להשתמש במקלדת ב-UEFI Shell (לחיצה על מקש Enter אחרי פקודה אחת וכל מה שתקליד ימחק מיד, כאילו מקש backspace תקוע, או ב-GRUB אי אפשר לבחור מהתפריט כי זה נראה כאילו משהו ממשיך ללחוץ כל הזמן את מקש חץ עליון), אבל אלו באגים שיתוקנו כבר אם לא תוקנו בגירסאות שתיקנו (ב-Windows עצמו אחרי שאתה מפעיל את המערכת אין זכר לבאג של המקלדת). אפשר להעיף את ה-Recovery Partition (אם יש לך גיבוי לזה או שאתה מתקין בעצמך Windows) ובכך לקבל עוד 4 ג'יגהבייט מקום ובסופו של דבר אם תשקיע קצת ותגגל את המעבד הזה, תמצא כל מיני פוסטים של אנשים שפתרו בעיות עם מחשבים דומים בכל הקשור ללינוקס. אם אתה מעדיף להשתמש באנדרואיד, אז כל העניין לא רלוונטי ואתה יכול לתקוע את ה-MINI PC באחד מכניסות ה-HDMI שלך, לעשות Boot לאנדרואיד, לבצע login לשם המשתמש שלך בגוגל ומיד להתקין את האפליקציות שלך ולהנות.

מי שמעוניין ב-MINI PC הזה לרכוש על מנת לנסות אותו כפתרון VDI או כ-Thin Client במסגרת Corporate, הייתי ממליץ להמתין עד שאחת מהיצרניות הגדולות תוציא מקל כזה, כך שיהיו לך עדכונים רשמיים ותמיכה רשמית.

קצת עדכונים לגבי דיסקים חדשים

בזמן האחרון הופיעו 2 טכנולוגיות דיסקים חדשות (אחת על דיסק מכני, אחת על SSD). בפוסט זה אסביר מעט על החידושים.

נתחיל עם סיגייט.

Seagate 8TB SMR driveחברת Seagate הכריזה על 3 דיסקים חדשים ששיווקם הרשמי יחל בינואר (אם כי אפשר למצוא אותם כבר עכשיו אך רק בכמויות). היתרון של הדיסקים החדשים – הגודל והמחיר. הדיסק הכי גדול – 8 טרהבייט יעלה לצרכן בארה"ב כ-260 דולר. לאלו שחובבים כמויות אחסון גדולות (כל איש IT רציני תמיד ירצה יותר אחסון) – במחיר של טיפה יותר מ-1000$ יהיו לך 32 טרהבייט של אחסון (ברוטו כמובן, לפני RAID וכו').

נשמע טוב, לא? אז אם תסתכלו על התמונה משמאל, תבינו שהוא לא ממש מיועד להיכנס לאיזו תשתית Storage רצינית לשימוש יומיומי לכל המשתמשים. מדוע? לשם כך, אסביר כמה דברים בסיסיים על דיסק מכני.

דיסקים מכניים מחולקים לפלטות, בכל פלטה יש כמות מסלולים גדולה (Tracks) וכל מסלול כזה מחולק לסקטורים. בדיסקים ישנים כל סקטור היה בגודל 512 בתים אולם מאז שהדיסקים החלו לגדול מעבר ל-2 טרהבייט, הסקטורים גדלו ל-4 קילובייט פר סקטור.

כשהמערכת שלכם כותבת קבצים, הדיסק כותב לסקטורים שנמצאים בתוך אותם מסלולים לפי מפה של מה תפוס, מה פנוי במסלול ולאיזו פלטה לכתוב. כמובן שכל המסלולים קרובים מאוד אחד לשני, אך עדיין יש רווח מינימילי ביניהם שהוא חיוני.

הדיסקים החדשים של Seagate עובדים בשיטה חדשה שנקראת SMR (ר"ת Shingled Magnetic Recording), וההבדלים הם שהפעם במקום שיהיה רווח בין מסלולים, המסלולים פשוט יושבים אחד על השני כמו רעפים שיש על גגות בתים. היתרון בשיטה הזו הוא שכך יש לך יותר מקום בדיסק ואפשר למכור דיסקים של 8 ובקרוב 10 ו-16 טרהבייט.

הבעיות מתחילות בכתיבת הנתונים. בשיטה הישנה, כל סקטור וכל מסלול הוא נפרד, אולם בשיטה החדשה שהמערכת צריכה לשנות סקטור (לעדכן או למחוק), כל המסלול כולל השכבות שמעליו צריכות להשתנות, כך שהכתיבה עצמה היא איטית (כמובן שהכתיבה נעשית ברקע). המסלולים בשיטה החדשה מחולקים לאזורים, כך שכל עדכון מחייב את הדיסק לעדכן את המסלולים והסקטורים כולם באותו אזור.

כל העניין הזה מתורגם להשהיה (Latency) שלא ממש רואים אותה כשכותבים/מוחקים כמה קבצים קטנים, אבל תתחיל לשחק עם כמה ג'יגהבייטים ותראה שההשהיה במקום להיות כמה מילישניות או עשרות מילישניות – תיהפך ל-1000+ מילישניות (שניה ומעלה). פעולה טיפוסית כמו התקנת מערכת הפעלה תהיה דבר איטי בכל מה שקשור לכתיבה ומחיקה (מערכות הפעלה בד"כ בשלב ההתקנה מעתיקות Image זמני כלשהו ומשם הן מתחילות להריץ את ההתקנה – כך זה ב-Windows וגם בלינוקס או כל מערכת אחרת). בקיצור – הסבל שלך רק יגדל.

גרוע מכך – תחשוב שאתה עורך תוכן חשוב מאוד, אין לך UPS או כרטיס RAID מגובה סוללה (או שאתה לא עובד עם ZFS וכונן SSD שמשמש ללוגים) והדיסק כל הזמן עובד כי הקובץ שאתה עורך מאוד גדול. יש הפסקת חשמל? תתכונן לבעיות, כי אם בדיסק רגיל היה הולך סקטור או מספר קטן של סקטורים שבדיוק נכתב עליהם מידע, פה ילכו אזורים שלמים לעזאזל. תתכונן לעצבים.

אז בשביל  מה הדיסק הזה? לארכיבאות. אם אתה עובד בחברה ויש צורך שהעובדים יגשו בגישה של קריאה בלבד לתוכן ישן יותר (חשבוניות ישנות, פרוייקטים ישנים, סרטים ותוכן מדיה שלא מעודכן וכו') – אז פתרון עם דיסקים כאלו (עם SSD שמשמש ל-Cache – הדיסקים האלו מאוד איטיים בקריאה/כתיבה – 150 מגהבייט לשניה בהשוואה ל-500+ מגהבייט של SSD מודרני) יכול להיות פתרון טוב ולשחרר לך מקום חשוב ב-Storage הראשי שלך. (כמובן שזה לא יהיה קל – יקח המון זמן לכתוב את הנתונים).

למתחרים – Western Digital יש גם פתרון שאיתו הם מוכרים דיסקים גדולים (דיסק ממולא הליום) והגודל המקסימלי של הדיסק אצלהם הוא 10 טרהבייט, וגם הם משתמשים ב-SMR כדי לשמור/לקרוא מידע, כך שהשיטה של SMR רק תצבור תאוצה וביצועים בדורות הבאים. בשלב זה, גם Western Digital וגם Seagate מייעדות את הכונן לארכיבאות ואחסון ענן (משהו כמו S3 של אמזון).

מכאן נעבור לדיסק SSD חדש ושיטה חדשה של סמסונג:

סמסונג הוציאה את סידרת הדיסקים EVO 850 המיועדים לשוק הביתי והסמי-מקצועי. היחוד בסידרה זו שזו הסידרה הראשונה המבוססת על טכנולוגיית 3D V-NANO. בשיטה זו שבבי הפלאש בנויים בצורה שונה מ"פרוסות" שיושבות אחת על השניה (32 שכבות) והתקשורת בין השכבות נעשית בצורה תלת מימדית. הליטוגרפיה ברכיבים האלו "ירדה" מ-19 ננומטר ל-40 ננומטר, מה שמתורגם לביצועים יותר גבוהים ולאורך חיים הרבה יותר גבוה (האחריות על הכוננים האלו גדלה מ-3 שנים ל-5 שנים). הנה סרט של סמסונג שמדגים את ה- 3D V-NANO:

המחירים של הכוננים נעים בין 100$ ל-128 ג'יגהבייט ל-500$ ל-1 טרהבייט. מכיוון ששיטה זו חוסכת מקום, סמסונג תצא בשנה הבאה עם כוננים של 2 ו-4 טרהבייט.

לשוק העסקי ול-Storage, סמסונג מציעה את ה-EVO 850 PRO שחוץ מביצועים יותר גבוהים, אתה מקבל גם 10 שנות אחריות לכונן SSD. כמובן שהמחיר יותר גבוה (בסביבות ה-650$ ל-1 טרה). נקודה חשובה למשתמשי ה-מק/לינוקס: התוכנה שמגיעה עם הכונן ומאפשרת לבצע הצפנות ושאר פונקציות קיימת רק ל-Windows, למרות שהכונן עצמו עובד בכל מערכות ההפעלה.

אז איזה כרטיס RAID לרכוש?

בפוסט הקודם דיברתי על כרטיס MegaRaid של LSI מבוסס מעבד 9220/9240 שגם נקרא M1015 של IBM, ויש לו שמות נוספים לפי החברה המשווקת (אינטל, HP, DELL, LENOVO ואחרים משווקים אותו בשמות שונים). אני ממליץ אותו לאלו שמעוניינים להרים שרת עם מערכת ZFS, מכיוון שהכרטיס הזה מצד אחד נותן חיבור אמין ויציב בין הדיסקים למערכת, ומצד שני הוא לא "מתערב" ממש בהעברת נתונים, והמקסימום מבחינת RAID שהוא יכול לעשות זה RAID-1/10. הוא יכול לבצע גם RAID-5/6 אבל אז כל העבודה נופלת על המעבד במחשב, בדיוק כמו RAID תוכנה. ב-ZFS זה יתרון, במערכות מבוססות RAID תוכנה אחרות – זה לא ממש יתרון.

ZFS זה טוב, אבל יש מצבים שאי אפשר (או לא מעוניינים) להשתמש ב-ZFS. אם לדוגמא אתם רוצים להשתמש בשרת Windows כשרת קבצים, או מערכות File System אחרות כמו EXT4 או XFS. במערכות הקבצים הללו מאוד מומלץ שיהיה כרטיס RAID אמיתי שידע לא רק לבצע את ה-RAID (שוב – החל ב-RAID 1/10 וכלה ב-5/50/60), אלא גם ידע לדווח לכם על שגיאות בדיסקים במקרה של תקלה.

אז איזה כרטיס אני ממליץ? תסתכלו בתמונה – ניחשתם נכון, אני עדיין ממליץ על הכרטיסים המבוססים LSI. הם הכי נפוצים בשוק עם התמיכה הכי רחבה שיש, תהיה מערכת ההפעלה שתהיה – הכרטיס נתמך עם כל הפונקציות שלו.

אבל איזה דגם לרכוש? פה זה כבר תלוי בכם. הנה מספר דוגמאות:

  • אם כל הדיסקים יושבים בתוך השרת (או "שרת") – אז כרטיס שמסתיים ב-8i (ה-i זה internal וה-e זה external) עם מעבד 9260 יכול לתת לכם את כל פונקציות ה-RAID בחומרה (צ'יפ 9240 עושה RAID 1/10 בחומרה, אבל שאר מצבי ה-RAID נעשים על המעבד שלכם, לא על הצ'יפ של הכרטיס) ואפשר לחבר אליה עד 8 דיסקים SAS או SATA. אם יש לכם רק 2-3 דיסקים ואתם לא מתכוננים להתרחב, אתם יכולים לרכוש את גירסה 4i שאפשר לחבר עד 4 דיסקים. ההבדל במחירים בין 4i ל-8i זניח ולכן אני ממליץ ללכת על 9260 8i.
  • אם לעומת זאת אתם חושבים להכניס קופסת JBOD חיצונית שבתוכה ישבו הדיסקים ואת הקופסא אתם רוצים לחבר לשרת – אז חפשו כרטיסים 9260 עם אחת האופציות כמו 8e או 4e, הבעיה בד"כ בחיפוש כרטיסים כאלו שקל למצוא – אבל הם יקרים, כמה אלפי שקלים לכרטיסים חדשים. במקום זה הייתי ממליץ לכם לתחמן קצת ולקנות מתאם כמו זה בתמונה מימין – זה עולה בערך 100 שקל (כאן לדוגמא) כך שאתם מחברים את הכרטיסון הזה אל הכרטיס בקר שלכם מבפנים עם כבל SFF 8087 (רכשו כבל קצר של SFF 8087 מ-2 הצדדים) וכבל SFF 8088 בין הכרטיסון לקופסת JBOD. עם החיבור הזה אתם יכולים גם לשרשר בין מספר קופסאות JBOD לשרת.
  • סוללה – הפסקות חשמל קורות ורוב מערכות ה-RAID לא ממש יודעות לעמוד טוב בהפסקת חשמל (אם ה-UPS לא עבד לדוגמא). עם ZFS יש לו פתרון משלו, אבל במקרה של מערכות קבצים אחרות – סוללת גיבוי על כרטיס הבקר תעזור לסנכרן את המידע ברגע שהחשמל יחזור.
  • זכרון נדיף (FLASH) או זכרון RAM כתוסף לכרטיס על מנת להאיץ ביצועים – ותרו. בפוסט הבא נדבר על פתרון הרבה יותר רציני לגבי האצה.

אם אתם קונים שרת יד שניה (אני מדבר על שרת פיזי ולא PC שעשה "גיור" להיות שרת), סביר להניח שיש לכם כבר כרטיס RAID בתוכו. בדקו מה הפונקציות שקיימות והאם יש צורך ברכישת כרטיס RAID חלופי. ספקים רבים עושים טריקים (כמו עם הכרטיסים הנ"ל) על מנת לאלץ אתכם לרכוש "כרטיס אחות" על מנת לקבל פונקציה מסויימת והכרטיסי "אחות" האלו לא ממש זולים.

חשוב לזכור: ישנם כרטיסים רבים שמאפשרים חיבורים של SAS או SATA אולם כרטיסים אלו אינם כרטיסי RAID, הם מאופיינים בכך שהם זולים מאוד (בערך 200-400 שקל). אם אתם רוצים לחסוך ויש לכם JBOD חיצוני – קנו כרטיס 8i, את המתאם בתמונה למעלה מימין וחברו בין כל הציודים. זהו פתרון שמתאים לבית או לעסק קטן. אם מדובר בחברה רצינית, אז תפסו שיחה צפופה עם אחד הסמנכל"ים הטכניים ורכשו כרטיס RAID רציני מבוסס 9280 עם פורטים פנימיים וחיצוניים.

בפוסט הבא נדבר על דיסקים ואיך לקבל ביצועים גבוהים גם עם דיסקים SATA פשוטים.

הסיפור עם כרטיס M1015 ותכירו את ה-Mobile RACK

כשאתה מחליט לבנות שרת קבצים רציני מבוסס ZFS, אחת ההמלצות הכי חשובות היא להעדיף בקר כמה שיותר פשוט כי ZFS לא ישתמש בשום RAID חומרתי, לא ב-Cache שעל הכרטיס ולא בשום פונקציה אחרת למעט כתיבה וקריאה ישירה אל הכוננים (לברזל). אחת ההמלצות האחרות (מ-SUN) היא להעדיף שלא להשתמש ביציאות SATA שיש על לוחות אם בתצורת דסקטופ מכיוון שיש ברבים מהם באגים במימוש/באגים בדרייברים שמדברים עם ה-CHIP שנותן שרותי SATA וכו'. (נוכחתי בכך בשבוע שעבר עם לוח קצת ישן של ASUS).

אחד הבקרי RAID הכי ידועים בשוק ושהם עדיין נמכרים בערימות, הם בקרי RAID של LSI מבוססים צ'יפ עם המספר 92XX. בסידרה יש את המספרים 9211, 9240, 9260, 9270 וכו'. חברת LSI מוכרת אותם ליצרני מחשבים וגם מוכרת אותם בהסכמי OEM כך שהלוח של הכרטיס נושא תוית שונה, אך עדיין בצד הקדמי יש את הלוגו של LSI, אולם כשמפעילים את הכרטיס, השם שמופיע על המסך בנוסף הוא שם ה-OEM. (לנובו, HP, DELL ו-IBM מכניסים את המערכת הזו בלוח האם עד היום)

אני רכשתי כרטיס כזה של IBM. ב-IBM מוכרים את הכרטיס תחת השם ServerRAID M1015, רק שכאן מתגלה הפתעה קטנה ולא נעימה: תחת M1015 ישנם צ'יפים שהזכרתי לעיל, ללא תתי דגמים ואין שום דרך לדעת מה הצ'יפ שלך אלא אם תסתכל פיזית על הצד האחורי ועל מדבקה שם שמציינת מה הצ'יפ. אצלי הצ'יפ היה 9220-8i. חיפוש קושחה לצ'יפ זה גילתה לי עובדה מעניינת – אין את הצ'יפ הזה ב-LSI. יש 9211 ויש 9240. 9220? אין חיה כזו.

החלטתי להתקין (עוד לפני שהסתכלתי על הלוח ועל המדבקה מאחורה) את הקושחה האחרונה שקיימת ל-9240. התקנת הקושחה הצליחה, ה-ROM עולה ואפשר להיכנס ולהגדיר את הדיסקים למצב JBOD, אך הבעיה מתגלה אחר כך – גם ESXI וגם גירסאות לינוקס שונות פשוט לא מראות שום דיסקים והמערכת נתקעת (לזמן מה בלינוקס, לגמרי ב-ESXI) בזמן ה-Boot (תוכלו לראות שגיאות רבות כאלו בחיפוש בגוגל), ובקיצור – כל עוד הכרטיס בתוך המחשב, והדיסקים מחוברים לבקר זה – לא תראה כולם.

מכיוון שמדובר בכרטיס מאוד פופולרי וזול ($100 בערך ב-eBay), מישהו הוציא MOD חדשים לכרטיס, 2 מודים ליתר דיוק. IT שלא נותן לך אפשרות להיכנס למסך הגדרות כרטיס (כי פשוט החלק הזה של ה-ROM לא נמצא) אך הוא כן סורק את הכרטיס + הדיסקים ומיידע את המערכת בהמשך לגבי מה הדיסקים ומאפשר גישה, ומצב IR שנותן אותו מצב כמו IT רק עם ROM כדי שתוכל להיכנס, לפרמט low level את הכונן, להגדיר RAID-1 (אם אתה לא משתמש ב-ZFS).

על מנת לבצע זאת, תצטרך להפעיל את המערכת ב-DOS, ולעקוב אחר ההוראות (שנמצאות כאן), אבל אם יש לך לוח מודרני עם UEFI, הטריק לא יעבוד כי המערכת לא נותנת תאימות מלאה ל-DOS ותקבל שגיאה של PAL. לשם כך תצטרך להפעיל את ה-EFI SHELL מה-UEFI של לוח האם שלך. אין לך SHELL? קח את refind (את ה-CD-R IMAGE) ושפוך אותו על כרטיס USB או כרטיס SD (ותוודא שה-Partition מוגדר ל-boot, תוכל לעשות זאת עם parted או gparted בלינוקס, או diskpart ב-Windows). לאחר ששפכת, כנס לתיקיית ה- EFI/BOOT והעתק לשם את ה-EFI SHELL (גירסה 2) מתוך  Arch wiki (כאן), רק כדאי שתתן לו שם שונה כדי שתזהה את השם. הפעל את ה-USB ב-boot על המחשב, ובחר את ה-shell שלך, ומשם עקוב אחר ההוראות כאן. (לקח לי כמה שעות להבין ולחפש את הקבצים..)

בסופו של דבר הכרטיס שלך יהפוך ל-9211 עם דרייבר שנקרא MPT2SAS, הדרייבר קיים בגירסאות לינוקס עדכניות וגם ישנות יותר וכמו כן מוכר ב-ESXI מגירסה 4 ומעלה.

המלצה נוספת היא שאם אתה מתקין ערימות של דיסקים באותו שרת קבצים והם מבוססות mirror (כלומר RAID-1), עדיף שכל דיסק ישב על בקר שונה. פה דווקא מצאתי שאם כבר mirror אז עדיף שדיסק אחד ישב על הבקר RAID ואחד על ה-SATA על הלוח, כך שגם אם יש בעיה עם ה-SATA על הלוח, המערכת שלך ממשיכה לעבוד. אם יש לך כסף, אז כדאי שפשוט תוסיף כרטיס בקר נוסף (הכרטיס עולה בערך $100 ב-eBay).

מכאן נעבור למודול אחסון דיסקים..

אם שרת הקבצים שלך מורכב מ-2 דיסקים, אז כל מה שצריך הוא להכניס את הדיסקים למארז, לסגור 4 ברגים, לחבר חשמל ו-SATA ולהתחיל לעבוד. הבעיה מתחילה אם אתה מכניס יותר מ-2 ויש לך תקלה – תצטרך לפתוח את השרת קבצים ולהשבית אותו, ואם יש לך שרתי ESXI או שרתים/מכונות אחרות שעובדות עם NFS לדוגמא, תצטרך להוריד אותן קודם ולאחר מכן את שרת הקבצים, להתחיל לחפש מי הדיסק התקול, להחליף, לקוות שהחלפת את הנכון, להפעיל את המחשב מחדש, לראות שהכל תקין ואז להרים את שאר המערכות.

לא כיף.

תכירו את המודול הזה בעל השם המורכב cse-m35t-1b של SuperMicro. מדובר על מודול שנכנס בדיוק במקומות שבעבר הייתם מכניסים צורבים, וכיום בכל מארז MIDI ומעלה קיימים 3 מפרצים כאלו שלא מלאים בכלום. כדי להרכיב את המודול הזה, כל מה שתצטרכו הוא לפרק את הפלסטיקים מהמארז, עם פלייר (או קאטר) לעקם במארז את הבליטות שתופסות את הכונן שהיה אמור להיכנס שם ואז להכניס את המודול הזה, לחבר אליו 5 חיבורי SATA (הוא מגיע עם כבל שמצד אחד יש לו 4 חיבורי SATA ובצידו השני MINI SAS – בדיוק מתאים ל-LSI 9240 שדיברתי עליו מקודם 🙂 ), ו-2 חיבורי MOLEX  לחשמל עבור המודול.

מודול זה מאפשר לכם להכניס ולהוציא בצורה חמה דיסקים, ואם יש תקלה בדיסק, אתם תראו את זה ישירות על הנורה של אותו דיסק (ירוק דלוק כל הזמן – הדיסק פעיל אך יש בו שגיאות, מומלץ להחליף בהזדמנות קרובה. אדום מהבהב או אדום דלוק קבוע – תחליף דיסק כמה שיותר מהר). המודול הוא עצמאי בבדיקות שלו כך שהוא אינו קשור למערכת ההפעלה ולמערכת ניטור שלכם (אם שכחתם להגדיר/להתקין/להפעיל). – אם אתם עובדים עם לינוקס, כדאי שתבדקו כל דיסק עם smartctl.

יש למודול גם מאוורר מאחור שדואג לקירור הדיסקים רק כדאי שתשימו לב – המאוורר מרעיש. לא בצורת רעש של שרת ממוצע, אבל אם זה יהיה ליד אנשים, הם בהחלט ישמעו את הרעש, ולכן כדאי לדאוג למארז כמה שיותר סגור או אכסון השרת במקום שלא יפריע לדיירי הבית. (משהו שלא מומלץ – לנתק את המאוורר. אין לו חיבור חשמל סטנדרטי והחיבור שלו כולל חיישנים של חום ומהירות. ניתקתם – תראו 2 נורות LED דולקות באדום במודול).

המודול קיים בצבעים שחור ולבן ותוכלו לרכוש אותו ב-eBay (הנה קישור) במחיר של 450-500 שקל + משלוח לארץ. אותי הוא כבר הציל עם דיסק תקול.

כמה מילים על אחסון גיבוי בענן (חלק 1/2)

הערת עריכה
הטקסט במאמר זה מדבר אך ורק על אחסון גיבוי ולא על שרות גיבוי

cloud backup

לרבים מאיתנו יש כל מיני תכנים שנמצאים על שרתים שונים. לחלק יש אולי שרת קטן שמתארח כ-VPS אצל ספק כלשהו, לחלק אחר יש אתרים קטנים (בלוג, אולי אתר קידום עצמי), ואחד הדברים הכי חשובים שאנחנו צריכים לדברים אלו – הם גיבויים. אחרי הכל – שרתים נפרצים, חברות נופלות, דיסקים נדפקים ושאר צרות מתרחשות, והגיבוי – זה הדבר שיכול להציל אותנו.

יתרון גדול שיש בימים אלו לתחרות – הוא המחיר הנמוך שאתה יכול להשיג אחסון לגבות את התוכן שלך. גוגל, לדוגמא, מציעה תמורת 10$ לחודש – 1 טרהבייט אחסון (במסגרת Google Drive). גם מיקרוסופט, Dropbox ואחרים חתכו מחירים וניתן לראות טבלה מעודכנת כאן.

כל אותן חברות מציעות Client ידידותי למשתמש שברגע שאתה מתקין, הוא מיד מתחיל להעתיק את כל התמונות, מסמכים ומוסיקה שלך לענן ולבצע בעצם סינכרון. כך הן מנסות "לנעול" את המשתמש (במיוחד מיקרוסופט עם Windows 8 ו-OneDrive). עוד לא הגענו לשלב שבו שרות אחת חוסם שרות מתחרה על אותו מחשב, אבל אני לא אתפלא אם זה יצוץ "במקרה" בעתיד. (הערה: בשרות הזה אני בהחלט ממליץ להשתמש כדי לגבות דברים אישיים שלך כמו מסמכים, תמונות, מוסיקה, ותכנים אישיים שנמצאים ב-My Documents שלך. המאמר כלל אינו מכוון לאחסון גיבויים כאלו או בשיטה שאותם שרותים משתמשים).

בלינוקס המצב מעט שונה: ישנן אפליקציות להתחבר לכל אותם שרותי ענן, אך אותן אפליקציות (למעט מעטות מהן) אינן מנסות לסנכרן את הנתונים שלך אלא בסך הכל לתת לך "כונן" נוסף שאליו תוכל לזרוק קבצים ותיקיות.

הפתרונות הנ"ל נוחים, בתור התחלה, אולם כאשר הגיבוי שלך שוקל יותר מכמה מאות מגהבייט ונע לכיוון הג'יגהבייט פר גיבוי, חבילות החינם לא יעזרו הרבה (במיוחד שחברות מסויימות נותנות כמות גדולה של אחסון בחינם – אך רק לשנתיים. אחרי שנתיים – תשלם על כל האחסון).

מנסיוני, אני דווקא מציע לבצע גיבויים לא לאחסונים הללו, אלא לאחסון היותר "עסקי" – גיבוי בענן  בטכנולוגיה כמו S3 של אמזון או Cloud Storage של גוגל או Azure Block Blob Storage של מיקרוסופט (הם כולם אותה טכנולוגיה), וזאת ממספר סיבות:

  1. מבחינת מחירים – אינך משלם מחיר FIXED לאחסון שאתה לא משתמש ברובו אלא הינך משלם רק על מה שאתה משתמש בפועל.
  2. ישנם הרבה יותר כלים מקצועיים לגיבוי גם ב-Windows וגם ב-Linux/BSD לאחסונים אלו
  3. אתה יכול לאחסן עם אותו כלי גיבוי (לפחות בלינוקס) לשרותים שונים ולאזורים גיאוגרפיים שונים, אם לדוגמא אינך רוצה לאחסן באזור של הדוד סם
  4. באחסון כמו Cloud Storage של גוגל, ניתן לקבל קישור ישיר פשוט (שלא עובר דרך JS כדי להסתיר את המקור) של הקובץ. כך לדוגמא ניתן לשתף קישור של קובץ ISO וניתן אפילו לעשות Boot ב-IPMI עם קישור כזה (תאר לעצמך מצב שאתה צריך ISO דחוף עכשיו כדי להפעיל שרת…)
  5. אינך מוגבל בגודל האחסון, כך שסקריפט/אפליקציית גיבוי שלך לא יכשל לפתע רק כי נגמרה לך החבילה.
  6. זה זול. גוגל לדוגמא גובה 0.026$ פר ג'יגהבייט, אמזון גובה 0.030$ פר ג'יגהבייט, ושוב – התשלום באחסון הוא על הכמות שאתה מנצל.
  7. עלויות תעבורה – מכיוון שאנחנו מדברים על גיבויים, אין לנו עלות ממשית על תעבורה כי הכל יוצא מהשרת שלנו אל הענן ועל תעבורה נכנסת – לא משלמים.
  8. שרידות הרבה יותר גבוהה.

כפי שאתם שמים לב, אני מתייחס רק לאחסון גיבוי בענן שנמצא בחו"ל ולא בארץ והסיבה לכך פשוטה: מה שכאן מוצע בארץ הוא שרות שמבחינה טכנית הוא הרבה יותר נחות בהשוואה למה שמוצע בחו"ל. כאן בארץ שמים שרתים ודיסקים עם RAID או קופסת NETAPP, גובים מחירים מטורפים – וזה האחסון שתקבל. מה יקרה אם מחר נופלת התקשורת לאותו Data Center? יבטיחו לך שיש שרידות, אולם כמו שראינו רק לפני חודשים ספורים – הבטחות לחוד ומציאות לחוד. לעומת זאת, כל הטכנולוגיה של S3 מדברת על Multiple Data Center ועל כך שהחומר נמצא במספר מקומות במקביל, ולכן אינני ממליץ על האחסון ה"עסקי" של בזק או ספקים מקומיים אחרים.

בחלק הבא אסביר לגבי אסטרטגיה מומלצת לגבי אחסון גיבוי דרך מערכת לינוקס, מה מומלץ ומה לא.