על מצלמות אבטחה ופרצות

בשנים האחרונות יש טרנד מאוד אופנתי שנקרא "הבית החכם". מדובר בשוק פוטנציאלי ענק שכל חברה מנסה לתפוס בו איזו תפיסת רגל. המכשירים הכי ידועים שנמצאים כבר בבתים רבים הם ה"עוזרים הדיגיטליים", כמו Alexa של אמזון עם Google Home של גוגל שמאפשרים לך לא רק לשאול שאלות ולקבל תשובות, אלא גם לשלוט בציודים בבית. רוצים להדליק אור איך שאתם נכנסים הביתה? פקודה אחת והאורות דלוקים ואפשר לעשות דברים שונים.

אספקט אחר שתופס יותר ויותר מקום הם ה"עזרים הדיגיטליים" ששם נמצאים כל שאר הציודים לבית, החל מתוארה, מתגים חכמים שיכולים לשלוט על ציוד "טיפש", מזגנים ושאר ציודים שכוללים חיבור ל-WIFI והשימוש נעשה דרך אפליקציה יעודית בטלפון שלך ועד מערכות אזעקה מתוחכמות שמאפשרות לך לנטר מה קורה בבית ולבצע פעולות שונות.

ב-3 שנים האחרונות נכנסות גם המצלמות האבטחה החכמות הביתה. המצלמה לא דורשת מחשב אלא רק חיבור ל-WIFI, אפשר להגדיר אזורים "חמים" שאם בהם תהיה פעולה (כמו מישהו שנכנס הביתה והמצלמה מצלמת את אזור הכניסה לבית) – תקבל התראה, הוידאו עולה לענן ולא נשמר למחשב או ל-NAS בבית כך שגם אם פורץ חודר הביתה ומנסה להזיק למצלמה – רוב הסיכויים שעד שהוא יזיק – תמונתו עולה לענן וגם אם הוא ישבור את המצלמה לרסיסים – תמונתו תהיה קלה לשחזור.

יש כל מיני חברות שמייצרות מצלמות וחיישנים לצרכי אבטחה ביתית. אחת הדוגמאות שמפורסמת בחו"ל (אבל משום מה קשה למצוא אותה בארץ) הן המערכות של RING (אמזון רכשה אותם לפני זמן לא רב). אתה מקבל התראה אם מישהו נכנס לאזור המוגדר, אתה יכול לדבר דו-כיווני מהטלפון שלך לפורצים ואתה יכול גם להפעיל אזעקה.

אבל מי שנכנס לשוק ב-3 שנים האחרונות בצורה מאסיבית הן מצלמות האבטחה הסיניות. מבחינת חומרה במקרים רבים היא נותנת תוצאת וידאו בינונית פלוס. גם שיאומי נכנסה לשוק עם מצלמות כמו זו בתמונה משמאל (יש גם דגם מכני שהמצלמה מסתובבת) עם וידאו/תמונות באיכות מעולה, ממשק די קל לשימוש, ושמירה בענן של הוידאו והתמונות לשבוע בענן של שיאומי בחינם.

הבעיה המרכזית בכל אותן מצלמות סיניות זה שאולי החומרה הטובה ובחלק מהמקרים הממשק טוב, אבל מבחינת אבטחה – מדובר באסון. מי שיציץ לדוגמא בסקירות באמזון יוכל לקרוא סיפורים על איך אנשים גילו שיש להם צופים בלתי מוזמנים שמציצים להם הביתה ועדיין – רבים מתפתים ויתפתו למחיר (בכל זאת, סט של 4 מצלמות כמו המצלמה בתמונה כאן של שיאומי עולה 100$+מסים באמזון).

אז מה ניתן לעשות בנידון?

מי שקורא את הבלוגים שלי יודע שאני האחרון שימליץ לדוגמא לזרוק את הטלפון הסלולרי מקומה עשירית לאחר 2-3 שנות שימוש. בעזרת חבר שמבין טוב במחשבים ניתן (בטלפונים מבוססי אנדרואיד) להחליף מערכת הפעלה וכך לקבל את רוב הפונקציות החדשות במכשיר הישן שלכם ולהמשיך להשתמש בו עוד שנתיים שלוש ויותר בלי בעיה. אותו דבר ניתן לעשות עם המצלמות הללו (אגב, התמונה שמשודרת לענן של שיאומי מוצפנת, היא מוצפנת במכשיר ואז נשלחת).

במהלך הפוסטים הבאים אני אנסה מספר מצלמות ושינויי קושחה (לשמחתי כל המצלמות "החכמות" הנמכרות היום מבוססות לינוקס) ואפרסם זאת כאן על מנת שתוכלו לשפר את השימוש במכשיר ותוכלו להפעיל פונקציות נוספות. אחת המצלמות הראשונות שאני הולך לנסות עליה דברים תהיה כנראה אחת מהמצלמות של שיאומי.

מה קורה לתחום הסיסטם?

כפרילאנסר שמקבל עבודות בתחום הלינוקס, אני יכול לספור על יד אחת את כמות הצעות העבודה שקיבלתי לעשות עבודות סיסטם בלינוקס בשנתיים האחרונות. גם כשמסתכלים באתרים כמו LinkedIn על עבודות בתחום הסיסטם, רואים ירידה מהתחום הסיסטם הקלאסי, ויותר דרישה לכיוון ה"כלבויניק" – תן שרותים לשרתי Windows, עדיף שתדע גם לינוקס, וגם להגדיר סוויצ'ים, ו-VMWare, וחומות אש, ואופיס, וגם לעזור למזכירות, ולמפתחים פה ושם ואם לא אכפת לך בדרך גם להוציא את הכלב של הבוס לטיול פעמיים ביום 🙂

עד לפני מס' שנים, עוד לפני כניסת העננים לסצינה, תחום הסיסטם בחברות גדולות לדוגמא, היה די ברור: היו אנשי סיסטם מיקרוסופט, אנשי סיסטם לינוקס, אבטחת מידע היו אחראים על ה-Firewall ודברים אחרים שהיו קשורים לתחום, וצוות תקשורת שהיו אחראים על סוויצ'ים, כתובות IP, על VLAN וכל הדברים הקשורים לתקשורת, מרכזיות, WIFI וכו'.  אם היה צריך להתקין אפליקציות ושרתי אפליקציות (נניח Exchange, SharePoint ב-Windows, או MySQL/Oracle או שרת אפליקציות כמו Tomcat) – אז הצוות שאחראי על אותה מערכת הפעלה היה מתקין אותה והמשתמשים היו מוגדרים ברמת משתמש, לא ברמת Admin.

ואז הגיע מקצוע חדש "איש Devops". בניגוד לאיש סיסטם ששם ההגדרה נכונה (כי אתה בעצם .. מגדיר מערכות שנחשבות כ"System"), לא היתה אמורה להיות חיה כזו בשם "איש Devops" כי Devops זו לא הגדרה של תחום, זה הגדרה של מתודות עבודה, אבל מה לעשות, זו כמו המלחמה לתקן אנשים ולאמר "שתיים" או "שניים" מתי שצריך – מלחמה די אבודה (ומעצבנת אנשים חובבי דיקציה).

אם נסתכל בתחומים שאותו "איש Devops" צריך להכיר ולתפעל ולכתוב סקריפטים אליו (כן, הרבה פחות שימוש ב-GUI!) – אז הוא בעצם לוקח את תחום הסיסטם לינוקס הבסיסי, ומתרכז הרבה יותר בכלים שרצים על הלינוקס. זה מתחיל בניהול קוד, ממשיך לאוטומציה, סקריפטים, Python, JSON, YAML, ניהול חשבונות ומשאבים בענן כמובן, Jenkin/Travis/CircleCI וכו', והרשימה עוד ארוכה, תלוי בתחומים שהחברה עוסקת בהם, כלומר אם ניקח איש סיסטם לינוקס ממוצע שבחיים לא נגע ברוב הדברים שתיארתי לעיל חוץ מלינוקס, יש לו כיברת דרך ארוכה לעשות השלמות כדי להיות "איש Devops" מקצועי טוב. מה לגבי איש סיסטם מיקרוסופט? ובכן, רוב הכלים שתיארתי קיימים גם ל-Windows (היתרונות של קוד פתוח), אבל אחד הדברים הראשונים שהוא יצטרך להתרגל לרדת מהם, זה ה-GUI, לעבוד עם PowerShell באופן קבוע ומומלץ גם להכיר Python בדרך, ואז כמובן את הדברים שציינתי לעיל בתור התחלה.

אז מה, לכל אלו שההורים/סבתא/מענק שחרור מאפשר להם ללמוד סיסטם מיקרוסופט (MCSA) או לינוקס (RHCA, LPIC) – האם לוותר? בתחום מיקרוסופט לדעתי יש רוויה בשוק (ואשמח שהקוראים יתקנו אותי כי זה לא התחום שלי), בתחום הלינוקס לעומת זאת – יש דרישה, אבל בשתיהם מצפים שהמועמד ידע הרבה יותר ממה שהקורס מספק (ולא, קורס המשך כמו MCSE או RHCE לא יעזרו הרבה, מצפים יותר לידע שמגיע מתוך שימוש ונסיון, לא שתדקלם כמו תוכי). אם לדוגמא תפנה לסטארטאפים, אז הדבר האחרון שהם מחפשים – זה איש סיסטם (אני יודע כי אחרי 7 שנים של להיות פרילאנסר, קיבלתי סך הכל פעמיים בקשה לשרותי סיסטם או בקשות ל"שידוך" איש סיסטם שכיר ע"י חברות סטארטאפ).

בימינו, האתגרים היום נהיו הרבה יותר מורכבים והחלוקה אינה ברורה כבעבר. כיום כבר מצפים לדברים כמו:

  • איך אתה מתקן תקלה X ואיך אתה מבצע זאת להבא באופן אוטומטי?
  • איך אתה פותר בעיות ניהול קוד, קונפליקטים, branching, Stash ועוד ועוד דברים שלא לומדים בשום חלק באיזה קורס סיסטם?
  • איך אתה יוצר חבילות מוצר של החברה באופן אוטומטי? איך אתה בונה "צינורות" (Pipe lines) שכוללים לוגיקות שונות?
  • איך אתה מרים ומנהל קונטיינרים? סטורג' לקונטיינרים? Load balance שלהם? פותח כניסה "מבחוץ" ועוד דברים שקשורים לסביבות פיתוח וייצור?
  • והרשימה עוד ארוכה.

לסיכום: אני מאמין שתחום הסיסטם יורד אט אט מהמכ"ם. כן, הוא בהחלט יהיה עדיין קיים בחברות שיש צוותי IT ושיש צוותים לכל פיפס, אך ככל שאותן חברות מכניסים ומטמיעים בעצם את מתודות ה-Devops, אותם אנשי סיסטם יהיו יותר ויותר מיותרים ומשם הדרך ל"רה-אירגון" ופיטורים (אחרי הכל, אם "איש ה-Devops" יודע לעשות מה שאתה עושה, למה צריכים אותך?)- אינה כה ארוכה ועלולה להגיע בהפתעה לסיום. לכן, אם אתם אנשי סיסטם והקריירה המקצועית שלכם חשובה, הגיע הזמן (אם לא עשיתם עד כה) לשדרג את עצמכם. קנו מחשב או 2, תקימו LAB (יש לי קטגוריה שלמה של פוסטים על כך פה בבלוג) ותתחילו ללמוד את הדברים הקשורים ל-Devops.

התחרות בין AMD לאינטל על ריבוי ליבות

תערוכת Computex שהיתה בטיוואן הסתיימה לפני מס' ימים. חברות הציגו כל מיני מוצרים או דיברו על מוצרים שעתידים לצאת. גם באינטל וגם ב-AMD דיברו על מעבדים שעתידים לצאת לשוק במהלך 2 הרבעונים הקרובים.

נתחיל מאינטל: היא הציגה את המעבד I7-8086K במלאת 40 שנה למעבד הנוסטלגי 8086 שהתחיל את כל מהפכת ה-PC. המעבד הזה הוא בעצם ה-I7-8700K רק שבתוכו יש פיסת סיליקון מובחרת שיכולה להיות מואצת למהירות 5 ג'יגהרץ (בחלק מהליבות, לא כולם) ואינטל דורשת עליו מחיר יותר גבוה מה-8700K.

אבל את עיקר הכותרות קיבלה אינטל מהצגת מעבד עתידי כלשהו שיכיל לא פחות מ-28 ליבות ושהודגם רץ במהירות 5 ג'יגהרץ. כל מי שקצת מבין בכמות ליבות פר מעבד ובמהירות שעון וראה את ההכרזה – חכך את ראשו כי המספרים לא ממש מסתדרים, ורק אחרי ההדגמה התגלה ה"טריק" של אינטל: הם לקחו בעצם מעבד מאוד יקר ממשפחת השרתים (השמועות מדברות על Xeon SP Platinum 8180 שעולה 10000$), ביטלו לו את נעילת ההאצה, והדגימו אותו על לוח אם סופר-מפלצתי והקירור היה קירור מאסיבי – Chiller שדורש 1000W בקירור מים. כל הטרראם הזה הוא אינו פתרון שאינטל יכולה למכור (זה לא פתרון שאתה יכול לרכוש הביתה או לחדר שרתים בחברה אלא אם יש לך מערכת הזנת חשמל מאוד גבוהה) וסביר להניח שאינטל גם לא תמכור מעבד כזה במהירות הזו (תזכרו – בשביל פתרון כזה צריך ספקי כח מיוחדים, לוח אם מיוחד וחתיכת פתרון קירור חיצוני). מדוע אינטל לא ציינו בהדגמה שמדובר ב-Overclock? כי הם "שכחו".

מדוע בעצם אינטל נכנסים לתחרות הזו? כי AMD המתחרים יכריזו למחרת על מעבדי Threadripper עם 32 ליבות (ולאינטל יש מחלקת ריגול שלמה כך שהם יודעים על הדברים מראש) אז הם יצאו בהכרזה מוקדמת על מעבד חדש. האם כדאי להתחיל להתלהב ואולי בהמשך לרכוש מעבד כזה? אני בספק. סביר להניח שכשאינטל תמכור מעבד כזה, המחיר שלו יהיה לא פחות מ-4000$, ועדיף לחברות שרוצות דבר כזה ורק מעבדים של אינטל – לרכוש מכונה עם 2 מעבדים עם 14 ליבות (כמו ה-i9-7940X או מה שאינטל תוציא בחודשים הקרובים), שם המחיר יהיה הרבה זול וצריכת החשמל תהיה נמוכה בהרבה. אינטל גם הכריזה לאחר הכנס כי יהיה גם מעבד עם 22 ליבות לצרכנים (שוב, כמו ה-Xeon SP Gold 6152).

בקיצור, שורת ההכרזות של אינטל היתה די טובה עד שהגיע הקטע עם המעבד 28 ליבות שיצר לאינטל שורה שלמה של יחסי ציבור גרועים וכפי שנראה תיכף – גניבת התשומת לב מ-AMD לא ממש היתה שווה את זה..

נעבור מכך, אם כן – ל-AMD.

בכנס של AMD הכריזו על מספר מוצרים עתידיים (בלי יותר מדי פרטים) ועל מעבדי ה-Threadripper החדשים שיקבלו את ארכיטקטורת +Zen שתשפר ביצועים בכל הקשור לתקשורת פנימית בין הליבות ותקשורת עם הזכרון, וכאן AMD הכריזה על 2 מעבדים חדשים במשפחת ה-Threadripper: מעבד אחד עם 24 ליבות ומעבד שני עם 32 ליבות. AMD שמחו להציג את תוכנת Blender עם השוואה מול המעבד ה-i9-7980XE של אינטל שמכיל 18 ליבות וכמובן שהמעבד עם 24 ליבות של AMD ניצח. באותו הזדמנות AMD הציגו שוב את Blender עם 32 ליבות אולם הפעם ההשוואה היתה ללא תצוגה מהצד של אינטל.

הבעיה ב-2 המעבדים החדשים פשוטה וקשורה למשפחת ה-Threadripper שהוא בעצם גירסה קצוצה של מעבדי EPYC לשרתים של AMD. במעבדי EPYC, תצורת הזכרון היא 8 ערוצים (כלומר אם נניח אתם רוצים שיהיה בשרת 128 ג'יגהבייט זכרון, עליכם למלא את כל 8 התושבות במקלות של 16 ג'יגהבייט ולא 4 מקלות של 32 ג'יגהבייט כדי לקבל ביצועים אופטימליים). ב-Threadripper תצורת הזכרון היא כמחצית מכך (4 ערוצים) כי Threadripper במקור היה עד 16 ליבות והיה צורך על כל רביעיית ליבות למלא זכרון ב-4 תושבות. עם המעבדים החדשים לעומת זאת, תצורת הזכרון נשארת אותו דבר כך שמעבד עם 32 ליבות, כך שמחצית מהליבות לא מקבלים גישה ישירה לזכרון, מה שפוגע בביצועים. נוסיף את הנקודה ש-AMD מדגישה תאימות לאחור (כך שאם יש לך מערכת עם Threadripper ואתה רוצה לשדרג למעבד עם 32 ג'יגהבייט זכרון, כל מה שתצטרך לעשות הוא פשוט לשדרג BIOS/UEFI ולהחליף לאחר מכן מעבד, רק אל תנסו לעשות Overclocking, לשם כך תצטרכו לוח חדש יותר עם אותם חלקים אך עם ערכת VRM משופרת, המעבדים החדשים צריכים יותר מתח).

יוצא מכך שההכרזות של AMD על מעבדי Threadripper החדשים (שיצאו באוגוסט) הם לא משהו שכל כך שווה להתלהב ממנו. כן, סביר להניח ש-AMD ימכרו מעבדי Threadripper עם 32 ליבות ו-64 ניבים במחיר של פחות מ-2000$ (מעבד לשרתים EPYC 7551P עם 32 ליבות עולה כיום 2300$) ומי שרוצה מעבדי AMD עם 32 ליבות ומקסימום ביצועים למעבד, עדיף שירכוש את EPYC (כותב שורות אלו מתכנן להחליף מספר שרתים בפתרונות מבוססי EPYC, הביצועים בוירטואליזציה מעולים בהשוואה למחיר פר מעבד ובצריכת החשמל שלהם).

לסיכום: גם ב-AMD וגם באינטל הבינו – לקוחות תחנות עבודה מקצועיות ומשתמשים מקצועיים רוצים מעבדים עם יותר ליבות ואותן חברות ישמחו לספק זאת, אבל יחד עם זאת, כדאי מעט לצנן את ההתלהבות. כבר כיום ניתן לקבל מספר גבוה של ליבות מבלי לקרוע את הכיס. לגבי שרתים – מלחמת הליבות תתחיל בשנה הבאה, כאשר AMD תכריז על מעבדי EPYC עם 48 ליבות במעבד או 96 ליבות בתצורת מעבדים כפולים ונראה מה אינטל תציג.

מה קורה בעולם הכרומבוקים (עדכון)

זה היה ב-4/10/2017. גוגל שחררה לעולם את ה-Pixelbook שלה. ערוצי המדיה השונים קיבלו את המחשב לסקירה וכולם כתבו את אותו דבר: מבחינת חומרה, מדובר במחשב מעולה, מקלדת נוחה, עט טוב, משטח trackpad מעולה ובקיצור – מחשב נוח שעובד מעולה. הבעיה מתחילה עם מערכת ההפעלה – כרום OS שלא נותנת לך הרבה: לגלוש ברשת ולהפעיל אפליקציות מבוססות Web ולהריץ אפליקציות של אנדרואיד, ואת כל זה אתה יכול לעשות במחשבי כרומבוק אחרים בפחות ממחצית המחיר, אז מדוע גוגל מוציאה מחשב כזה ובמחיר כה גבוה?

לגוגל כמובן היו תוכניות אחרות שהם שמרו קרוב לחזה, ובשום מקרה הם לא חשבו להתחרות ביצרניות הכרומבוקים השותפים שלהם (צעד שדופק את גוגל עד עצם היום הזה עם אנדרואיד ועדכונים ו"יד רפה" בכל הקשור להטמעת Bloatware, בדיוק ההיפך מאפל).

אז מדוע גוגל עשו זאת?

גוגל מודעים לכך שהפעלת אפליקציות Web ואפליקציות אנדרואיד על כרומבוק לא תסייע לה בחדירה לשוק (מעבר לשוק הלימודים בכיתות ה'-י"ב), אבל גוגל כן רוצים לחדור לשוק, ולהיכנס לדוגמא לשוק המפתחים (שם המק כבש מקום מאוד רציני, לכו לכל כנס ותראו במה הקהל משתמש). נכון, אפשר להריץ crouton ולהתקין את הפצת הלינוקס החביבה עליך, אבל לשם כך תצטרך להעביר את הכרומבוק שלך למצב developer mode ובדרך תאבד חצי מההגנות שיש בכרומבוק, שלא לדבר על כך ששילוב אפליקציות לינוקס גרפיות במסך הכרום OS הוא כרגע דבר די גרוע (עם תוסף XIWI). בקיצור אם אני רוצה להריץ כל אפליקציה גרפית עם האצה גרפית, האפשרות היחידה שלי היתה להריץ crouton ולהחליף בין סביבת כרום OS לסביבה מבוססת X.org.

הערה: כל הדברים הבאים לא זמינים לכרומבוקים, אלא רק ל-Pixelbook וגם זה רק בערוץ dev

אז בשלב הראשון, גוגל החליטו להכניס תמיכת קונטיינרים לכרום OS (זה נקרא Crostini), כך שתוכל להריץ את סביבת הלינוקס האהובה עליך (רק שיש שינוי בקונטיינרים וכשאתה מפעיל את הקונטיינר מחדש, הוא לא מתחיל מאפס אלא ממשיך בדיוק מאיפה שיצאת ממנו, כמו VM).

מכאן אנחנו מגיעים לסביבה הגרפית. גוגל לקחה את ה-GTK ויצרה עבורו Theme שמבוסס על Material Design כך שאפליקציות מבוססות GTK יראו כאילו נוצרו עבור אנדרואיד/כרום OS. הנה דוגמא (לחצו להגדלה):

מה עם אפליקציות שמבוססות QT? אל דאגה. להם יש כבר Material, וזה נראה כך (יש בצורה בהירה וגם בצורה כהה, להלן הצורה הבהירה:

הצעד הבא שהמהנדסים בגוגל עובדים עליו ממש בימים אלו הוא האצה גרפית (בכל זאת, אם אני רוצה להריץ VLC, אני מעוניין לקבל את כל הפריימים בקליפ, לא 5 פריימים בשניה), כך שאפליקציות מבוססות לינוקס יוכלו לרוץ במהירות טבעית ולהראות גרפיקה בדיוק באותם ביצועים כאילו הרצת אותם על סביבת Xorg רגילה.

הצעד הבא שגוגל עובדת עליו כרגע נקרא ALTOS (כן, ALT OS) וכשמו כן הוא – לראשונה תוכל באופן רשמי גם להתקין Windows על הכרומבוק שלך, רק שבניגוד למחשבים אחרים, אין יותר BIOS, ואין Management Engine שמלאים חורי אבטחה כרימון. יש את Core boot ועדיין יש את מנגנון העדכונים האוטומטי שמתעדכן ומאפשר לך גם לעשות roll back.

ומה בעתיד? בשלב זה אני יכול רק לנחש שגוגל תכניס את KVM ואת העבודה שאינטל עשתה (ה-GVT) כך שתוכל להפעיל מערכת הפעלה (כמו WIndows) בחלון וירטואלי ולקבל האצה גרפית רצינית (הרבה יותר ממה ש-VirtualBox או VMware workstation מציעים כיום!).

אני מאמין שלקראת אוקטובר, גוגל תצא בהכרזה יחד עם יצרני המחשבים השותפים שלה (כולם בתוכנית השותפות) עם כרומבוקים הכוללים מפרט הרבה יותר משמעותי: 8-32 ג'יגהבייט זכרון, דיסקים SSD בגודל 128-1024 ג'יגהבייט ועם הכרום OS האחרון הכולל שיפורים אלו. חשוב לזכור, שיפורים אלו ירוצו על חלק נכבד מהכרומבוקים הזמינים היום בשוק, רק שלצערי כרומבוק, כמו מק – לא ניתן להרחבה.

לסיכום: לא מעט אנשים מעוניינים לקפוץ למערכת הפעלה אלטרנטיבית וכשהם מתקינים אובונטו או פדורה הם במקרים רבים מתאכזבים – אי אפשר להגדיר כך וכך, זה לא עובד ואין את אפליקציה XYZ שהמשתמש רוצה. נכון, בלא מעט מקרים חיפוש בגוגל וקצת השקעה ואפשר להמשיך לעבוד עם אותה הפצת לינוקס, אבל לא כולם מוכנים להשקיע בכך. כרום OS מצד שני היא מאוד קלה לשימוש (תאמינו לי, חילקתי כרומבוקים למשתמשים שבקושי מצליחים עם Windows ואני לא שומע מהם תלונות) ואני בטוח שגוגל תעשה את הכל כדי להוסיף תמיכה קלה בלינוקס (אני משער שהם גם ירחיבו את החנות שלהם לאפליקציות לינוקס כך שההתקנה והסרה יהיו קלים וקל יהיה למצוא אפליקציות) ובכך סוף סוף שוק הלינוקס בתחום הדסקטופ יוכל רק לגדול ואולי חברות תוכנה אחרות שלא כתבו עד היום אפליקציות למשתמשי לינוקס (היי אדובי) יתחילו להמיר אפליקציות כך שהשוק רק יגדל.

ה-LAB הבא: פרק 11 – החום

אתחיל בתמונה: מה שאתם רואים משמאל לקוח מתוך vSphere (מתוך ה-VCSA) ומציג בעצם את העומס על 2 שרתים שנמצאים כאשכול אצלי (הם ב-DRS כך שהעומס מחולק וב-2 המכונות מצב המעבד נראה כך). כמו שאתם יכולים לראות, העומס על המעבדים הוא קטן מאוד.

ובכל זאת, אם נקשיב למאווררים, נוכל לשמוע שהם לא ממש שקטים (לחצו להאזנה).

האם זה קשור לדגם מסוים של שרת או Brand כלשהו? התשובה היא לא. הבעיה תחזור בכל השרתים בגודל 1U, גם כאשר אין שום עומסים על המערכת. מה הסיבה? החום, כמובן. כך נראית טבלאת החומרה עם הטמפרטורות כרגע (לחצו להגדלה):

כמובן, כל מי שהתעסק או קרא אי פעם על Overclocking או שמבין במעלות חום למעבדים, יבין שהמספרים לא כל כך מדאיגים לגבי מעבד. בכל זאת, הוא יכול לעבוד עד 85 מעלות בלי שום בעיה (אם כי לא מומלץ שיגיע לשם) וכך גם לגבי הזכרון, כך שהמכונות יכולות להמשיך לעבוד ללא בעיה.

מדוע בעצם השרתים מגיעים לחום הזה? נכון, היכן שהם נמצאים אין מזגן, אבל המאווררים אמורים להעיף את החום, לא? אז זהו, שכאן מתחילה הבעיה הגדולה.

בתכנון השרתים.

במחשבי דסקטופ/תחנות עבודה העניין די ברור ופשוט: יש מאוורר ומערכת קירור יעודית למעבד, כנ"ל לגבי הכרטיס הגרפי. שאר המאווררים (תלוי בתצורת ה-Push/Pull שקבענו בעת הבניה) מטרתם בסך הכל להכניס אויר ולהוציא אויר. הם לא יכולים לקרר את המעבד או ה-GPU. אויר בטמפרטורת החדר נכנס, אויר חם יוצא. גם ביום קיץ מהביל, אינכם שומעים מחשב (כל עוד הוא תקין מבחינת מאווררים) "זועק" כמו הדוגמא שהעליתי לעיל.

בשרתים לעומת זאת, אפשר לראות את התכנון הלקוי שאפיין שרתי 1U בעשור האחרון. קשה להאשים את היצרנים – בסופו של דבר, רעש זה הפרמטר האחרון שהם התחשבו בו, ולכן הם החליטו שהפתרון הכי טוב לשרתים הם צלעות על המעבדים, ו-6-7 מאווררים קטנים אך חזקים בחזית השרת (אחרי הכוננים וה-Backplane), כך ששרתי 1U של היצרנים המוכרים מרעישים בברירת המחדל כשחם בחדר, גם כשהמעבדים לא עושים כמעט כלום. אגב, בשרתים מהדור האחרון היצרנים (לפחות HPE) "נזכרו" בחלק מהדגמים להשתמש בפתרונות כמו צינורות נחושת להעברת האויר ובכך השרתים יותר שקטים, רק שרוב האנשים לא ממש חושבים לרכוש שרתים מהדור האחרון ל-LAB הביתה..

הפתרון שכל אחד יציע: סגור את השרתים בחדר עם מזגן. הבעיה היא שגם אם תיישם זאת והמזגן יעבוד באופן רצוף, זה יעלה לך כל שנה כמעט 3000 שקל (כלומר תוספת של 500 שקל לחשבון חשמל דו חודשי):

אז מה? לא לקנות שרתים 1U? אם אתה לא יכול לסגור אותם בחדר ממוזג או לשים אותם במקום שיש בו מיזוג שפועל רצוף (במיוחד בימים כאלו שהחום ביום יכול להגיע ל-36 מעלות ומעלה) – אז יהיה עדיף לוותר על הפיתוי ולחשוב על פתרון אחר.

אם לעומת זאת, אתה רוצה לבנות שרת 1U אז תוכל להשתמש במס' טריקים שיוכלו לעזור לך "להשתיק" את השרת גם ללא צורך במזגן:

  • בחר במעבד נכון. אם לא מדובר בשרת וירטואליזציה אלא שרת קבצים או מדיה, אפשר לקנות לוחות שמשובץ בתוכם מעבד (שלא ניתן להחלפה) או לחלופין קנה מעבד שמעטפת צריכת החשמל שלו נמוכה (AMD לדוגמא הוציאו את ה-Ryzen 5 2400GE שמעטפת צריכת החשמל שלו היא 35 וואט ועדיין יש לו מעבד גרפי מכובד לדברים פשוטים ויש לו 4 ליבות).
  • השתמש בפתרון איוורור אקטיבי הכולל מאוורר. לחברת Dynatron לדוגמא יש מאוורר ל-1U וכל עוד המעבד לא מתאמץ אתה לא ממש תשמע אותו (כך שזה לא ל-HTPC עם מעבד חלש וישן). לעומת זאת לאותו מעבד AMD שציינתי לעיל הוא בהחלט יכול להתאים הואיל וכמות החום שהוא יוציא היא קטנה.
  • את המאווררים בקופסת 1U מומלץ לזרוק לפח ולרכוש מאווררי 40 מ"מ של חברת Noctua. אלו מאווררים שתוכננו מלכתחילה להיות שקטים מאוד והם כוללים גם 2 ערכות חוטים כדי להשתיק את המאווררים עוד יותר, והם כוללים גם גומיות בצדדים להשתקת ויברציות. בקיצור – אלו מאווררים מעולים.

בשרתי 2U יש יותר מקום וניתן לבצע כל מיני Hacks כדי להשתיק אותם ועל כך – בפרק הבא.

פייסבוק ימשיכו לשקר לכם

כל מי שעקב בשבועות האחרונים על הפרשה של פייסבוק, הקמפיין של טראמפ, קמברידג' אנליטיקה וכו' קלט אולי את גודל המחדל לגבי פרטיות המשתמשים והמידע של המשתמשים בכל הסאגה הזו. לאלו שלא קלטו, הנה הסבר קצר:

בכל פעם שאתה מתחיל לשחק משחק חדש, שאתה מעוניין לראות מה העתיד שלך מבחינה אסטרולוגית, איך תיראי עוד 20 שנה, לאיזה סלב את דומה או לקבל איזה "עידוד" עם משפט בעובי דיקט על תובנות החיים – אתה ברוב המקרים פשוט מוותר על הפרטיות שלך ויש לא מעט חברות שכל הסיבה שהן נותנות את הדברים בחינם – היא שבעצם אתה המוצר, אתה בעצם מוכר את הפרטיות שלך ואת המידע הפרטי שלך – לאותה חברה, לאותו מפתח שטות כלשהי בפייסבוק. מהרגע שאישרת (ופייסבוק לא ממש מקפיצים לך חלון של "הנה כל ההודעות שלך חשופים לזבל שאתה מאשר כרגע!" – כל הפרטים שלך, הודעות שלך, תמונות שלך, לייקים, תגובות שלך, פוסטים, הודעות במסנג'ר – הכל זמין למפתח האפליקציה, ואם זו חברה שכל מטרתה זה לאסוף מידע על המשתמשים כי מזה הם מתפרנסים – אז הם בהחלט יחייכו בדרך לבנק.

לפני מס' שנים בגוגל חטפו על הראש על עניין הרשאות אפליקציה. אנשים פרסמו אפליקציות זבליות וכחלק מההתקנה ביקשו מהמשתמש אישור להשתמש בכל דבר שיש לו בטלפון, בין אם זה מצלמה, מיקרופון, אנשי קשר, תמונות, וידאו, ועוד ועוד. האם זה פסק מאז? יש ירידה בכמות האפליקציות שדורשות זאת (אם כי הירידה לא ממש מתרחשת פה בישראל, עדיין יש כל מיני אפליקציות "דיאגנוזה" שונות שלא אזכיר את החברה המפתחת – שעדיין מבקשת את כל ההרשאות האפשריות למרות שאין לה צורך אפילו בעשירית מההרשאות), אבל מאז גוגל שדרגה את האנדרואיד והחל מגירסה 6 גם אם אתה מאשר את כל ההרשאות שבעולם, אנדרואיד יקפיץ לך שאלה אם לאשר – ברגע שהאפליקציה מנסה לגשת לציוד כלשהו, כך שגם אישרת בזמן ההתקנה, אתה יכול לחסום עתה את האפליקציה ולא לאשר לה גישה לדברים שאתה לא חושב שהאפליקציה צריכה.

נחזור לפייסבוק: אם יש הרשאה אחת שקיימת שם ולא במקומות אחרים (למיטב ידיעתי) היא ההרשאה לקחת את המידע גם של חברים שלך. במילים אחרות, אם החלטת לפרסם פוסט כלשהו שמיועד רק לעיני החברים שלך, יצרן האפליקציה המטומטמת שהחבר המטומטם אישר גישה אליה – גם לה יש גישה להודעות הללו, בגלל אותו חבר מטומטם, ובל נשכח – אף אחד לא אומר לך שעכשיו יש לאפליקציית זבל גישה למידע שלך, כולל מידע שאינו ציבורי!

אני מתאר לעצמי שיהיו לא מעט אנשים שיאמרו "אוקיי, יש גישה למידע, ביג דיל, אין לי מה להחביא!". אני דווקא מזמין את כל האלו שבטוחים שאין להם מה להחביא לרוץ על הפוסטים שלהם מהשנה שנתיים האחרונות ואני מאמין שהם ימצאו איזה פוסט או 2 שאולי לא היה כדאי שיפורסם בכלל, אבל זה שאין לך מה להחביא לא ממש רלוונטי..

.. כי מה שכן רלוונטי בעיני האוספי נתונים שלך ושל חבריך, הוא איך בעצם אפשר להשפיע עליך. ואיך עושים זאת? עם המון הצלבות נתונים, חיתוכים ודברים רבים שכל Data Scientist מאוד יאהב לעשות. ביבי הגבר? אפשר לטרגט אותך לכל מיני מודעות "פרו ביבי" וביום פקודה אפשר להשפיע אולי רגשית עליך כדי שתדחוף כמה חברים שלך להצביע לימין. חובב צהוב בית"ר ירושלים? אפשר לטרגט אותך לכל מיני פרסומות ומודעות למיניהם וככל שאתה עושה יותר לייקים – אפשר לדעת עליך יותר ויותר, הרבה יותר ממה שאתה מודע לכך. כך ניצח טראמפ, כך ניצחו עם הבראקזיט, כך אולי ביבי או אחרים ינצחו בבחירות הבאות, כך בעצם יגרמו לך להחליט החלטות שונות שאולי לא היית מחליט מלכתחילה.

פייסבוק, עם כל ההודעות שהיא הוציאה לאחרונה – עדיין שמה פיפס אחד ענק על כולם. כל המידע שקיימברידג' אנאליטיקה שאבה – בכלל לא נמחק למרות בקשה של פייסבוק למחוק (נו, ממתי מישהו מקשיב לפייסבוק, במיוחד שהיא פונה בצורה של "בבקשה תמחק, פליז כזה?") וכל מה שפייסבוק עשתה עד כה הוא איחוד של כמה פונצקיות בדף אחד וזהו. אפליקציות זדוניות שמחפשות לשאוב מידע מכל אחד עדיין נמצאות חופשי בפייסבוק וגם כשפייסבוק חוסמת אותן, אותו מפתח עם אותם הגדרות ואותו מפתח SSL יכול תחת אותו שם משתמש להעלות מחדש את האפליקציות הזדוניות שלו (נכון ללפני כמה חודשים כשבדקתי זאת) ועדיין אין שום התראות באותיות קידוש לבנה לגבי הפרטיות ואפליקציות שודדות פרטיות. מדוע שפייסבוק תשנה את התנהגותה? הקונגרס בחו"ל לא ממש מעביר חוקים כדי לקבוע רגולציה לפייסבוק, צוקרברג יכול להבריז חופשי לבריטים והוא יבוא לקונגרס אבל יותר בתפקיד "דוגמנית" כדי להשאיר את הדיבורים היפים לעו"ד שלהם.

אישית, לי אין ממש מידע פרטי ואישי בפייסבוק, אבל מצד שני אני לא אוהב להיות ללא שליטה על מי שרואה/מגיב לדברים שאני מעלה, אז הדבר הכי פשוט היה למחוק את החשבון פייסבוק שלי, לחכות כמה שבועות עד שפייסבוק מוחקים (לא, הם לא מוחקים מיידית), אבל מצד שני אני כן כפרילאנסר רוצה פרויקטים ואני מקבל פה ושם פניות דרך המסנג'ר של פייסבוק, ולכן החלטתי להשתמש בתוסף Social Book Post Manager שמאפשר לך למחוק הודעות לפי חודשים, שנים וכו' (הוא לא עושה עבודה הכי טובה כך שאם בחרת חודש מסויים, כדאי שתבקש מהתוכנה לעבור במהירות יותר איטית לפחות פעם פעמיים נוספות), וכך מחקתי את רוב הפוסטים שלי מה-4 שנים האחרונות והשארתי את הפוסטים השיווקיים או הטכניים. אם פייסבוק רוצה להעביר את המידע והקישורים החוצה – ממש אין לי בעיה עם זה 🙂

אז האם אני ממליץ לאחרים לעשות זאת? תלוי כמה הפרטיות שלהם חשובה להם, תלוי כמה הם מוכנים שפייסבוק יעשו במידע/פוסטים/לייקים כל מה שהם רוצים תוך התעלמות מוחלטת מרצונותיך. יש גם פלטפורמות אחרות כמו טוויטר וכו'.

ה-LAB הבא פרק 10: חסימת פרסומות למכשירים בבית

קוראי בלוג זה הותיקים בוודאי יודעים על דעתי על פרסומות באתרים (אין לי בעיה עם פרסומות, כל עוד הם לא קופצים לך על הפרצוף ומפעילים מוסיקה בווליום בגלל שהעברת את העכבר בטעות ליידם ובוודאי לא פרסומות שגורמות למחשב לעבוד בצורה איטית!), ולכן החלטתי הפעם להדגים התקנה של אובונטו LTS עם PiHole, תוכנה בקוד חופשי שהופכת את המכונה שהיא רצה עליה לשרת DNS פנימי בבית/LAB כך שכל המשתמשים בבית שמשתמשים ברשת הפנימית/WIFI יוכלו לגלוש ללא פרסומות (כמעט).במילים אחרות, Pi Hole הוא מעין "פרוקסי" למכשירים/מחשבים בבית  שלך שמונע את הפרסומות מבלי שתצטרך להגדיר כל מכשיר/מחשב עם כל מיני חוסמי פרסומות.

לשם כך יש צורך ב-VM אבל למי שאין LAB או מערכת וירטואליזציה בבית, גם פתרון של Raspberry Pi-3 יעודי (ב-69$ כולל כל מה שצריך) יכול להיות פתרון מצוין לכך.

בעקרון מה ש-PiHole עושה הוא בעצם משמש כשרת DNS פנימי ויש צורך להגדיר בנתב הביתי את כתובת ה-DNS לשרות ה-DHCP אל ה-Pi Hole עצמו כך שכל בקשת DNS תעבור דרך האפליקציה ואם האתר מבקש גישה לשרת פרסומות, שרת הפרסומות חסום, וכך מקבלים גלישה טובה נטולת פרסומות (טוב, ברוב המקרים, לא כולם, במיוחד באתרים ישראליים ובפייסבוק). אם יש לכם שרת DNS פנימי כחלק מה-LAB, תוכלו להגדיר את ה-Pi Hole שיפנה אל שרת ה-DNS הפנימי הנוכחי שלכם ואם אתם רוצים שרת DHCP במקום שרות ה-DHCP של הנתב שלכם, אפשר לבטל שרות זה בנתב ולהפעיל זאת ב-Pi Hole.

בוידאו כאן תוכלו לראות הדגמה של הקמת שרת אובונטו LTS, הקמה והגדרות של Pi Hole.

ה-LAB הבא פרק 9: הרפתקאות עם שרתי HP דור 7

השבוע רכשתי (במחיר טוב! כמה? מוזמנים לקרוא את הפוסט שלי בנושא בבלוג העסקי) 3 שרתי HP DL360 G7. אלו שרתים די בסיסיים (בכל זאת, Xeon מלפני 8 שנים!) אבל קיבלתי אותם עם המון זכרון (208 ג'יגה!) ורציתי להקים עליהם VMWare vSphere 6.5 האחרון.

וכאן החלו ההרפתקות שאני רוצה לשתף עמכם, אם תירצו לרכוש שרתים כאלו בעתיד.

הדבר הראשון שהיתה בעיה – מערכת ה-iLO (זו מערכת הגישה מרחוק, ה-KVM המובנה פנימית) היתה לא מעודכנת (גירסה 1.15) וכתוצאה מכך לא היה ניתן כלל להיכנס לשרת מרחוק דרך דפדפן. לאחר בדיקות בגוגל התברר כי קודם כל יש לשדרג את הקושחה לגירסה 1.28 ורק לאחר מכן לשדרג לגירסת הקושחה האחרונה (נכון להרגע: 1.89). מכיוון שזו מערכת ישנה, אם אתם רוצים לראות את המסך מרחוק, תצטרכו .. להתקין JAVA ו"להילחם" בכרום שיתן לכם להוריד את קובץ ה-jnlp כדי שתוכלו להפעיל אותו. אם לעומת זאת אתם עם Firefox, מזלכם האיר לכם, יש תוסף יעודי "טבעי" של iLO ל-Firefox. בכל מקרה אין גירסת HTML5 לממשק ה-KVM לצפיה במסך. זה קיים רק ב-iLO 5 ומעלה ואי אפשר לשדרג iLO בשרת.

אחרי שסידרנו את עניין הגישה מרחוק, הדבר המומלץ הבא הוא לעדכן קושחות של השרתים. עדיין אין לנו מערכת הפעלה מותקנת ולכן מומלץ לעשות זאת עם קובץ ISO של יצרן השרת. כאן מגיעה הפתעה די מאכזבת: ל-HP אין שום בעיה שתורידו דרייברים ללא תשלום או רישום, אבל כשזה מגיע ל-ISO הזה הם רוצים שתשלמו על הארכת אחריות בכדי לקבל גישה לקובץ (שנקרא SPP – שזה Service Platform for Priliant וזו גירסה עצמונית של SUM – מערכת העדכון של HP). מכיוון שאין סיכוי שאני אשלם על שרת ישן "חידוש אחריות", פניתי ל"חבר האינטרנטי" (גוגל). נחסוך לכם את החיפוש, כאן אתם יכולים להוריד את ה-ISO מחודש יולי (מצאתי מקום אחר שנותן להוריד עדכון מהחודש, אבל אין שום הבדלים בין קבצי ה-ISO בכל מה שקשור לשרתים G7).

אז איך נפעיל את ה-ISO? שנתחיל לחפש USB Disk on key? לא צריך, אפשר דרך iLO.. כלומר אפשרי, אבל רק אחרי שתרכוש רשיון של iLO Advanced (אם אין לכם בשרת, לי לא היה באחד מהשרתים). כמה עולה? הו, טוב ששאלתם:

לשנה זה עולה $221 ול-3 שנים $339 וזה כמובן לא מזכה אתכם בשום תמיכה (התמיכה היחידה שתקבלו זה איפה להכניס את המספר ועדכונים.. שהם רק ל-iLO). טוב, גם הפעם אני לא ממש מעוניין לשלם על הרשיון אז שוב – גוגל שנותן לך לינק ל-Reddit כאן עם 2 רשיונות. תכניס, תפעיל (לא, זה לא מתחבר לאינטרנט לבדוק אם הרשיון "כשר").

אחרי שהפעלנו את הרשיון, ניתן להפעיל את ה-Remote Console, וניתן למפות קובץ ISO מהמכונה המקומית שלכם ולהפעיל את ה-SPP. כמות העדכונים שהיו היא .. אחת. עדכון לקושחת כרטיסי Qlogic. אם ציפיתם שהוא יעדכן את ה-iLO באותה הזדמנות – טעיתם. זה לא כולל עדכון של iLO. מדוע? ל-HP הפתרונים…

אז אחרי שהתקננו את העדכונים ל-iLO ויש לנו גישה מהדפדפן, אחרי שהרצנו את ה-SPP והוא עדכן את קושחת כרטיס הרשת הפנימי – נרצה להתקין וירטואליזציה אולי? אולי VMWare? רעיון מעולה, רק ששוב – זה לא כזה פשוט…

ל-HP יש IMAGE מוכן שתוכלו להריץ אותו דרך ה-iLO (אני ממליץ להכניס USB Disk on Key או כרטיס SD לשרת ועליו להתקין את ה-ESXi במקום דיסקים קשיחים). אתם מוזמנים להוריד אותו ולהתקין, הכל ילך חלק עד ש… תנסו להעמיס על השרת ותוך 6 דקות על השעון תיראו במסך ה-KVM מוצף בצבע סגול עם הודעות שגיאה ורגיסטרים. זה נראה כך:

לא, החומרה שלכם לא דפוקה, זה הדרייבר SMX של HP שהותאם לעבוד עם שרתים דור 9 ו-10, אבל בדרך הם שברו תאימות לשרתים דור 7 ו-8. מה עושים? משנסים מותניים, מתקינים VMWare PowerCLI ועוקבים אחר ההוראות כאן איך ליצור ISO חדש הכולל דרייברים מגירסה vSphere 6.0. אחרי שהכננו את ה-ISO, מפעילים דרך ה-iLO ומתקינים על ה-USB Disk on Key או על כרטיס ה-SD. מנסיון – זה עובד מעולה. עכשיו אפשר להתחיל לעבוד …

… בערך.

אם כל ה-Datastore שלכם מאוחסן באיזה סטורג' או NAS – אין בעיה שתתחילו לעבוד עם המערכת. לעומת זאת, אם אתם חושבים להכניס דיסקים SATA – תתבעסו לגלות שמהירות ה-SATA היא 3 ג'יגהביט (במקום 6 ג'יגהביט של SATA 3), כך שאו שתיקחו דיסקים SAS או שתחליפו לבקר אחר (ותשיגו כבל מיני SAS 8087 לחבר בין ה-Backplane לבין הכרטיס). חושבים להכניס SSD? קנו בקר אחר. איזה? כזה. מבחינת הרחבת זכרון, אתם יכולים להכניס עד 192 ג'יגהבייט אם זה זכרון 8500R (במהירות 1066 מגהרץ) או 288 ג'יגהבייט אם זה זכרון 10600R (במהירות 1333 מגהרץ).

ולבסוף רשמים: איך הרעש? כרגע מופעלים 2 מכונות כשבכל אחד מהם מעבדי X5650. אני כרגע מריץ סה"כ 10 מכונות VM (יהיו עוד הרבה) והם בחדר ממול, הרעש שהם עושים הוא פחות ממכונת ה-i5 שמתפקדת אצלי בתור NAS, כך שהם בהחלט שקטים.

לגבי חשמל .. היו רגעים שהגעתי לתצרוכת של 240-260 וואט, כרגע זה נראה כך:

כך שבסופו של דבר זה יחסית לא לוקח הרבה חשמל (כמובן, ברגע שאני אקים עוד כמה VM וייבא עוד כמה, התמונה תשתנה, אבל 200-260 וואט זה עדיין טוב.

לסיכום: האם הייתי ממליץ על רכישת שרתי DL360/DL380 G7? אני חושב שכן (כל עוד אין לך בעיה לעבור את המסכת שתיארתי לעיל אך מצד שני, בכל שרת תצטרך לעשות זאת פחות או יותר. בכל הקשור ל-iLO, פה זה עניין של מפתח מספרים, בשרתים אחרים מדובר במפתח חומרה כך שכן תצטרך לרכוש כזה, אם כי ב-eBay תוכל למצוא זאת בכמה דולרים).

סטטוס כרטיסי Debit בישראל – 2018

אם ישנו משהו שמדינת ישראל אינה אוהבת (תודות לבנקים וללוביסטים של הבנקים) זה אנשים שאוהבים את העצמאות שלהם מבחינה פיננסית, אנשים שלא אוהבים לשלם ריביות רבעוניות וחודשיות ופר-שורה ועמלות מכאן עד הודעה חדשה (שמחירן כמובן פי כמה וכמה מהעלות של הבנק). המדינה אוהבת שאתה "בסיסטם" ואם לדוגמא חשקה נפשך בכרטיס אשראי אז אתה יכול להגיע לבנק ולקבל כרטיס חיוב (לא, מה שהבנק נותן לך אינו כרטיס אשראי בהגדרה הרשמית) או לפנות לויזה כא"ל או ללאומי קארד ולקבל כרטיס אשראי, הכל כמובן תלוי בהיסטוריה הפיננסית שלך (כן, יש מספר גופים שעוקבים אחר התנועות הפיננסיות שלך, למרות שיש חסיון על חשבון הבנק שלך, המערכת מחוררת ככברה). כאן בארץ קשה עדיין למדינה לקבל עובדה שמישהו רוצה להתנהל על סמך הכסף שהוא מפקיד לכרטיס וזהו, מבלי לשלם עמלות שורה, עמלות רבעוניות ועוד. אחרי הכל, בשביל רשויות המדינה, זה שאתה משתמש בחשבון בנק מקל עליהן את העובדה שאם אתה חייב כספים, אפשר לעקל לך את הכספים במספר הקלקות אצל הפקידות ברשויות השונות, נוסיף את העובדה שהבנקים מתעלמים לחלוטין מהטקסט שכתוב במסמך העיקול (הרשות מבקשת לשמור בצד סכום מסוים, שום דבר מעבר, הבנק לעומת זאת כשיש צו עיקול יחזיר לך צ'קים ויכול להיות שגם יחסום לך כל כרטיס אשראי או הוראת קבע. למה? "כי יש צו עיקול", גם כשיש לך יותר כסף ממה שהצו עיקול מציין). בקיצור, אם אתה לא מאלו שמחביא שטרות מתחת למזרן, מומלץ שיהיה לך כרטיס טעון למקרה חרום.

אז איך ניתן להשיג את העצמאות הזו בכל זאת?

עד לפני חודשים ספורים, התשובה היתה "לא ניתן" (כלומר תמיד ניתן לפתוח חשבון ע"י קרוב משפחה וכו' אבל אני מדבר על דרכים כשרות ובלי לתחמן). רוצה כרטיס חיוב? בדואר מוכרים כרטיס חיוב חד פעמי (בעבר זה נקרא "ויזה נטען שקלי", כיום זה נקרא .. Gift Card). הבעיות עם הכרטיס הזה? ניתן לטעון אותו עד סכום של 1000 שקלים ובנוסף אתה תיתקע עם הסכומים הקטנים שנשארו בו. מה תעשה כשנשאר נניח בכרטיס 12 שקלים? לא הרבה..

כרטיס נוסף שהדואר הוציא הוא "ויזה נטען דולר" של חברת payoneer הישראלית. אתה יכול להטעין את הכרטיס בסכום מירבי של עד $2500, הכרטיס מבוטח כך שאם הוא נגנב, אתה תקבל את כספך בחזרה. הקוץ בכרטיס זה? הוא טוב לחו"ל, לא לארץ, אלא אם בא לך לשלם עמלה של 2.5% על כל עיסקה שתבצע בשקלים.

כרטיס נוסף שהדואר הציע היה כמו ויזה נטען בדולר, רק ליורו, אולם משיחות עם עובדי דואר הבנתי שהכרטיס בוטל עקב הענות חלשה.

בחודשים האחרונים חתמו חברת דואר ישראל וחברת Cash Passport (חברת בת של מאסטרקארד) על הסכם חדש ובמסגרתו הדואר יציע לציבור את כרטיס ה"סמארטקארד". בתוך אותו כרטיס יהיו 3 "ארנקים" – שקל, יורו וליש"ט, כאשר אתה יכול להטעין כל אחד בנפרד (כל אחד יכול להטעין עבורך את הכרטיס. אתה מקבל מס' חשבון וירטואלי ולמחרת הכסף נטען בכרטיס אלא אם אתה מטעין בדואר ואז זה מיידי). לכאורה, הכרטיס נותן מענה לאזרח הישראלי – אתה יכול להטעין בשקלים את הכרטיס שוב שוב, אבל כמו תמיד, לא כדאי להתלהב. דף העמלות באתר הדואר מבהיר כמה נקודות לא ממש מעודדות, כגון:

  • מעוניין למשוך מזומן עם הכרטיס מכספומט? עד פעמיים בחודש זה בחינם. אחרי זה – זה יעלה לך 5 שקלים.
  • חושב לאכול במסעדה ולשלם? אולי לקנות עם זה שתיה? כדאי שלא תוציא את הכרטיס, הואיל ו-Cash Passport יגבו ממך עמלה מפלצתית של 15%. רוצה למשוך מזומן בכרטיס באיזה כספונט שנמצא בפיצוציות? נוסף על העמלה של הכספונט, תיאלץ להיפרד מ-12 שקלים נוספים.

בקיצור, זהו כרטיס חרום, לא כרטיס לשימוש שוטף (ואגב, אם אתה רוצה לשלם בדולר, תצטרך גם לשלם עמלות המרה לדולר).

בעבר היתה "רפורמת כרטיסי האשראי", אולם רפורמה זו לא נגעה בנקודה חשובה הקשורה לכרטיס חיוב נטען רב פעמי לאזרח הישראלי ולא לעמלות החודשיות שנגבים מאזרחי ישראל. תציצו לרגע בארנק שלכם. כמה כרטיסים יש לכם? אם יש לכם כרטיסים בנקאיים או כרטיסים חיצוניים, העמלה שתשלמו על הכרטיס רק כי יש לך כרטיס הוא בין 12 ל-30 שקלים לחודש, גם אם לא עשית שום שימוש בכרטיס! (אגב, אם יש לך כרטיס זהב או פלטינה, הכרטיס חינם רק בשנה הראשונה. שנה שניה והלאה – חגיגות עליך!) עדיין בישראל אין כרטיס נטען שקלי רב פעמי עם עמלות נמוכות והדבר מוגבל בצורה מלאכותית. קחו לדוגמא כרטיס נטען חד פעמי שקלי – אין שום בעיה שתמשכו כספים איתו ותרכשו איתו באינטרנט בשקל או בדרך (קיימת עמלת המרה אם קניתם במטבע שאינו שקל), ובעבר חברות כמו כא"ל הציעו כרטיסים כאלו שנטענו בצורה רב פעמית אולם בשנים האחרונות כל החברות ביטלו אפשרות זו וועדת הרפורמה אפילו לא התייחסה לכך.

לסיכום: ישנה התקדמות מסויימת בכל הקשור לכרטיסי חיוב אולם עדיין העמלות פשוט גבוהות מדי. אזרח המעוניין בכרטיס חיוב עצמאי שאינו קשור לבנק כלשהו ושאינו מעוניין ב"מערכת יחסים" עם חברת אשראי – לא צריך לדעתי לשלם עמלות כאלו גבוהות על דברים פשוטים כמו תשלום במסעדות וכו'. מדוע בממשלה לא נותנים לאזרחים את האפשרות הזו ומדוע מאפשרים לחברות האשראי להתחמק מלתת שרות כזה? על חברות השידור בכבלים ובלווין כפו לתת חבילות בסיס, מדוע לא לכפות זאת על חברות האשראי הישראליות?

ה-LAB הבא פרק 8: רשת 10 ג'יגהביט?

כשאנחנו בונים LAB לבית שלנו, אחת הנקודות החשובות היא חיבוריות בין אמצעי האחסון (NAS ברוב המקרים) לבין השרתים שלנו. אחרי הכל, לא חשוב איזו מערכת הפעלה השרתים יריצו, צריך לחבר אותם ל-NAS כדי להעביר נתונים, להתקין מכונות VM או קונטיינרים, להעביר נתונים וכו'. יש לנו בעצם 2 "רשתות" – הרשת האחת היא בין השרתים ל-NAS, והשניה היא בין השרתים (והשלישית זה תקשורת כניסה/יציאה לאינטרנט). בד"כ אנחנו נשתמש במתג (Switch) כלשהו כדי לחבר את הכל כך שכל מכונה תקבל כבל תקשורת אחד במהירות 1 ג'יגהביט או שנחבר מספר חיבורים פיזיים ב-Teaming כדי לקבל מהירות יותר גבוהה מ-1 ג'יגהביט.

נשאלת השאלה: האם אנחנו צריכים מהירות יותר גבוהה מ-1 ג'יגהביט? הבה נראה:

נתחיל ב-NAS שלנו (לא חשוב איזו מערכת הפעלה או איזה File System יש על ה-NAS). סביר להניח שהוא יכלול לפחות 4 דיסקים ומעלה. בואו נסתכל לדוגמא על דיסקים Red Pro של Western Digital (המתחרים נותנים את אותם נתונים). לחצו על התמונה להגדלה:

כפי שאתם יכולים לראות, דיסק קשיח שמעביר כמות נתונים גדולה ברציפות, מעביר אותם במהירות החל מ-164 מגהבייט לשניה ועד 240 מגהבייט לשניה במקרה של דיסק 10 טרהבייט. סביר להניח שנשתמש ב-RAID כלשהו (או RAIDZ ב-ZFS) כך שאם נעביר קובץ שמתחיל אפילו בג'יגהבייט אחד, מהר מאוד נגלה שצוואר הבקבוק שלנו הוא חיבור הרשת. אם תסתכלו אצלכם בעבודה, החיבור בין ה-SAN לשרתים כלל אינו מבוצע על כבל רשת נחושת אלא על סיב אופטי במהירות 8 ג'יגהביט ומעלה (או בחיבור SFF-8088 או SFF-8640, תלוי בסטורג'). מכיוון שלרובינו לא יהיה SAN בבית נצטרך בעצם למצוא דרך לבצע חיבור מהיר בין ה-NAS לבין השרתים. יש כמובן את שיטת ה-Teaming לחבר מס' כבלי נחושת Ethernet ביחד ליצור רוחב פס של 4 ג'יגהביט, אבל ישנו פתרון יותר טוב ומה שחשוב – יותר אמין.

לשם כך נצטרך 3 כרטיסי רשת 10 ג'יגהביט +SFP כאשר 2 מהם עם כניסה יחידה וכרטיס אחד עם כניסה כפולה. כאן לדוגמא אפשר לקנות 2 כרטיסים וזה יעלה בסביבות ה-240 שקלים (יכול להיות פחות), וכאן יש לנו כרטיס עם כניסה כפולה במחיר של 208 שקל (כדאי לדבר עם המוכר, הוא ישראלי). כדי לחבר בין הכרטיסים, מומלץ להשתמש בכבל DAC (כלומר Direct Attach Cable) בין ה-NAS לשרתים, נצטרך לפחות 2 כבלים (אם יש לך 2 שרתים) או יותר (אם יש לך יותר). כאן אפשר לרכוש חבילה של 10 כבלים (באורך 2 מטר) מסוג TwinAx Copper במחיר של 660 שקל + משלוח. אם לעומת זאת אתה רוצה לרכוש בבודדים, אתה יכול להציץ כאן ולרכוש ב-20$ כבל באורך 3 מטר. לאחר רכישה והתקנה, כל מה שנשאר לעשות זה להגדיר חיבוריות 10 ג'יגה, הגדרת Jumbo Frames ולהגדיר ב-DNS כתובת IP שונה כדי שקבלת/שליחת קבצים במכונות תהיה דרך ה-10 ג'יגהביט ולא דרך ה-1 ג'יגהביט.

לסיכום: חיבור 10 ג'יגהביט אינו כה יקר בין המחשבים והשרתים ל-NAS (יוצא בסביבות ה-600 שקל פלוס מינוס) והיתרון הגדול בחיבור כזה הוא מהירות תעבורת הנתונים ללא צורך במתג 10 ג'יגהביט וללא צורך בידע רציני כיצד להגדיר זאת. אם לדוגמא אתם עובדים עם "מדף" או עם JBOD שמחובר לשרת כלשהו, אז מחברים כרטיס כניסה כפולה לשרת ומגדירים את הכל כרגיל.